如何使用NAT?
2024-07-26 00:29:23
供稿:網友
NAT (Network Address Translation) 可以讓你區域網路中的所有機器經由一臺通往 Internet 的 server 連線出去,而且只需要注冊該 server 一個 ip 就夠了。
在以往沒有 NAT 技術以前,我們必須在 server 上安裝 sockd,并且所有的 clients 都必須要支援 sockd,才能夠經過 server 的 sockd 連線出去。這種方式最大的問題是,通常只有telnet/ftp/www-browser 支援 sockd,其它的程式都不能使用;而且使用 sockd 的速度稍慢。因此我們現在都使用本篇所提的 NAT,這樣 client 不需要做任何的更動,只需要把 gateway 設到該 FreeBSD server 上就可以了,而且所有的程式(例如 kali/kahn 等等) 都可以使用。
首先我們先來談談區域網路的 PRivate IP,依照 RFC 1918 規范,以下的IP 被預留作為 private network 使用,不會跟別人沖突:
10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255
因此當你在架設私有的區域網路時,應該根據你的需要使用以上的 IP 當作區域網路中機器的 IP Address。
再來我們談談所需要的軟硬體:
1. 一臺可以連上 internet 網路的 FreeBSD server,并且擁有注冊過的合法 IP。而且在 /etc/sysconfig 中要把 gateway 設成 ON 以啟動IP forwarding 的功能。
2. FreeBSD 操作系統版本:
a) FreeBSD-2.1:
* 如果你的 FreeBSD server 是經由 PPP 連上 internet 的,你可以使用 PPP_Alias (http://www.srv.net/~cmott/alias.html),使用方法很簡單,只需要把 ppp_alias 替換掉 /usr/sbin/ppp,然後使用 /usr/sbin/ppp (user mode ppp) 連上網路即可,不需額外設定。
* 如果你的 FreeBSD server 是經由 LAN 以及其他方式連上網路的, 請用 ip_filter (http://coombs.anu.edu.au/~avalon/ip-filter.html) 這套軟體不但具有 NAT 的功能,還可以做 IP Filtering 以及其他強大的功能。
b) FreeBSD-2.2/3.0:
* 如果你的 FreeBSD server 是經由 PPP 連上 internet 的,你可以使用 PPP_Alias,由於 cmott 撰寫的 PPP_Alias 已經被加入 2.2/3.0 中,因此你只需要使用 /usr/sbin/ppp -alias 撥接即可。
* 如果你的 FreeBSD server 是經由 LAN 以及其他方式連上網路的, 你有兩種選擇:
1) 使用 IP Divert Interface:
FreeBSD 2.2/3.0 具有 Packet Divert (請 man divert) 的功能,Divert 可以讓你自由的處理經過 kernel 的 packets,除了 NAT以外,還有其他如「限制網路頻寬」等功能。如果你要使用 divert
來做 NAT 的話,你需要 ftp://freebsd.csie.nctu.edu.tw/pub/jdli/collect/natd/ 軟體,并且依照里面的說明在 kernel 中加入 IP Firewall 與 IP Divert 的功能。(現在 natd 已經進入FreeBSD-ports/net/natd/,您可以到 ports/packages 中尋找)
2) 使用 IP Filter:
前面提過的 ip_filter 由於功能強大,現在已經慢慢進入 FreeBSD 2.2/3.0 中,很可能未來會取代掉 FreeBSD 現有的 IP Firewall。
3. 其它的軟體:
你可以在這臺 FreeBSD server 上啟動 IP Firewall 或是安裝 Proxy server (例如 squid) 來充分發揮其 gateway 的功能。
4. 注意事項:
使用 NAT 後,你所有的連線都會被當成是從該 FreeBSD server 上出去的,也就是說,外面的機器無法直接連上你區域網路中的機器,當然連上你的 FreeBSD server 是沒有問題的。
PS. 從 1997/6/22 起,natd 已經正式加入了 2.2/3.0 的行列。
==================================================================
淺談 natd 的架設:
0. 你必須使用 FreeBSD-2.2.2+/3.0+ (已內建 natd)
1. man natd 大略看過一遍
2. 系統設定:
a) 在 kernel 設定檔中加入以下 keyWord 并重新編譯 kernel
options IPFIREWALL
options IPDIVERT
b) 修改 /etc/rc.conf 啟動 IP forwarding,以及啟動 IP Firewall
gateway_enable=YES
firewall="open"
c) 把以下加入到 /etc/services
natd 6668/divert
d) 重新開機
e) 執行 natd
natd -interface ed0
其中 ed0 是你連上網路的媒介,例如 ed0 ppp0 de0 tun0,這樣封包會經由該媒介轉送。
f) 執行 ipfw (把 ed0 換成 natd 用的那個)
/sbin/ipfw add 60000 divert 6668 all from any to any via ed0
3. 到此大致完成了,你可以把你的 clients 的 router IP 設到這臺 FreeBSD Server,測試看看能不能上網路。
4. 如果成功了,可以把 ipfw 那行加到 /etc/rc.firewall 中,把 natd 那行加到 /etc/rc.local 中,這樣以後就可以自動啟動了。
5. 這只是最基本的設定,natd 還有許多特異功能,請自行 man natd。
