फ्रीबीएसडी में परमाणु एनएटी का एक संक्षिप्त अवलोकन

FreeBSD के तहत NAT के कुछ सामान्य संस्करण हैं। यह natd, ipnat, pfnat, ng_nat या एक विकल्प के रूप में "एएसए 5550 खरीदें और बाहर खड़े न हों।"





दुर्भाग्य से, हाल ही में मैं ipfw नेट के बारे में बहुत कम अच्छे और सबसे महत्वपूर्ण रूप से सुलभ लेखों में आया हूं जो कि दिखाई देते हैं यदि स्मृति मुझे 7.0 के रूप में जल्दी से कार्य करती है।

फिर हम आज इसे एक आवर्धक कांच के तहत विचार करेंगे।



सच्चे पीएफ अनुयायियों को सलाह दी जाती है कि वे बिल्ली के नीचे न देखें ताकि अत्यधिक ज्ञान से खुद को घायल न करें।







सबसे पहले, मैं समझाऊंगा कि क्यों ipfw nat

सबसे पहले, क्योंकि मैं सरल और स्पष्ट समाधानों का समर्थक हूं, जिसका समर्थन व्यावहारिक रूप से पहली नज़र में बिना किसी विषय पर लंबे ध्यान और प्रतिबिंब के संभव है ”यह कैसे काम करता है? ऊँ। " दुर्भाग्य से, मैं इस तरह के रूप में ipfw + pfnat के गैर-तुच्छ संकर का गुणन नहीं कर सकता।

दूसरे, ng_nat और pfnat पर पहले से ही बहुत सारे दस्तावेज हैं (किसी चीज़ को किसी चीज़ से किसी चीज़ पर इंटनेट पर - - extif - s?)।

तीसरा, मैं ipfw का उपयोग करता हूं, और मुझे यह पसंद है - इसकी सादगी, दृश्यता, पूर्वानुमेयता, dummynet और संकर के रूप के लिए ipfw + pf + altq ... सामान्य तौर पर, "प्रथम" देखें।



मैटेरियल।

हम ऊपर दिखाए गए वैक्यूम में गोलाकार घोड़े के आकार के नेटवर्क के उदाहरण के रूप में आईपीएफडब्ल्यू एनएटी पर विचार करेंगे। दरअसल, योजना के अनुसार, सब कुछ बहुत स्पष्ट है - हम तुरंत एक आरक्षण करेंगे कि हम 172.16.0.0/21 को नेटवर्क करेंगे, em1 का एक पता है, आइए 8.8.8.8 और आंतरिक नेटवर्क संसाधन कहते हैं जिससे हमें पते का अनुवाद करने की आवश्यकता नहीं है - उदाहरण के लिए, कॉर्पोरेट पोर्न अभिलेखागार मेल सर्वर और अन्य आवश्यक चीजें पते के साथ जीवित रहेंगी 8.8.8.9, 8.8.8.10

Ipfw nat कार्यक्षमता लगभग पूरी तरह से libalias कार्यक्षमता को डुप्लिकेट करती है, जो natd, ng_nat भी उपयोग करती है।

यदि एनएटी सर्वर का अंत अपने आप में आंतरिक इंटरफ़ेस (हमारे मामले में em0) के पैकेटों में src-ip को बदलने के लिए बहुत कम हो जाता है, तो आउटगोइंग इंटरफ़ेस का पता (हमारे उदाहरण em1 में) और आवश्यक पैकेट के आगमन पर रिवर्स रूपांतरण के लिए इसके पत्राचार तालिका में डेटा दर्ज करना। जवाब में। इसके अलावा, उचित रूप से पैक किए गए सभी पैकेट या तो डिफ़ॉल्ट रूप से या जहां भी आपको आवश्यकता होती है (यदि, कहते हैं, ढेर किए गए पीबीआर) छोड़ देते हैं।



मूल संस्करण में कुल हमें निम्नलिखित की आवश्यकता है



Ipfw, ipfw nat, libalias और फिर स्वाद के लिए समर्थन के साथ कर्नेल पर जाएं



# cd /sys/i386/conf/

# cp GENERIC NAT

# vim NAT









फिर कुछ इसी तरह डालें:



ident NAT

options IPFIREWALL

options IPFIREWALL_DEFAULT_TO_ACCEPT

options IPFIREWALL_FORWARD

options IPFIREWALL_VERBOSE

options IPFIREWALL_VERBOSE_LIMIT=50

options IPFIREWALL_NAT

options LIBALIAS

options ROUTETABLES=2

options DUMMYNET

options HZ="1000"









हम नए कर्नेल को पुराने के एहतियाती बैकअप के रूप में इकट्ठा और स्थापित करते हैं



# cp -R /boot/kernel /boot/good

# config NAT

# cd ../compile/NAT

# make depend

# make

# make install









/Etc/rc.conf में जोड़ें

firewall_enable="YES"

firewall_nat_enable="YES"

dummynet_enable="YES"

firewall_type="/etc/firewall"









इस तथ्य की ओर संकेत करने के लिए कि हम ipfw / / / फ़ायरवॉल का उपयोग करते हुए आरंभीकरण करेंगे, जिसे हम सरलतम मामले में देखना चाहेंगे, उदाहरण के लिए, इस तरह:



#

table 2 add 172.16.0.0/21



# nat

table 9 add 8.8.8.8

table 9 add 8.8.8.9

table 9 add 8.8.8.10



# nat =)

nat 1 config log if em1 reset same_ports

add 1200 nat 1 ip from table\(2\) to not table\(9\) via em1

add 1300 nat 1 ip from any to 8.8.8.8 via em1









अपने विवेक को शांत करने के लिए, आप /etc/sysctl.conf में कुछ और कर सकते हैं



net.inet.ip.fw.one_pass=1

net.inet.ip.fastforwarding=1

net.inet.tcp.maxtcptw=40960

kern.ipc.somaxconn=4096

kern.ipc.nmbclusters=65536

net.inet.tcp.nolocaltimewait=1

net.inet.ip.portrange.randomized=0









रिबूट के बाद, सब कुछ काम करना चाहिए। यह सत्यापित है कि यह बहुत सरलता से काम कर रहा है।



ipfw nat 1 show

nat 1: icmp=271, udp=45462, tcp=61534, sctp=0, pptp=0, proto=1, frag_id=2 frag_ptr=0 / tot=107270









यहाँ pfctl –sa की तुलना में इस तरह के छोटे आँकड़े हैं, लॉग पैरामीटर ipfw nat कलेक्ट करता है।



संक्षेप में अल्प ज्ञान के विकल्पों पर जाएं जो हम मनुष्य से सीख सकते हैं:



अगर - इंटरफ़ेस जिस पर एड्रेस ट्रांसलेशन किया जाएगा

लॉग - आंतरिक कनेक्शनों पर "संपूर्ण" आंकड़ों के लॉगिंग को सक्षम करता है जिसे हमने पहले ही देखा है (ipfw nat1 show)

रीसेट - संकेत देता है कि इंटरफ़ेस बदलते समय, आंतरिक लेबल को साफ किया जाना चाहिए

deny_in - बाहर से आने वाले पैकेट पर प्रतिबंध लगाता है जिसके लिए आंतरिक लेबल में कोई मिलान नहीं मिला।

same_ports - यदि संभव हो, तो मूल पोर्ट को आउटगोइंग पैकेट में छोड़ दें (इसे सक्षम करने के लिए अनुशंसित है)

unreg_only - मास्क केवल "अवास्तविक" नेटवर्क से आने वाले पैकेट हैं।

redirect_addr intip extip - मशीन से एक्सिप करने के लिए आने वाले ट्रैफिक को इंटिप के साथ लपेटने का निर्देश देता है। Redirect_port और redirect_proto विकल्प समान तरीके से काम करते हैं, जो NAT के लिए आवश्यक सेवाओं के साथ कुछ मशीनों को "रेंडर" करने के लिए उपयोगी होते हैं।



वास्तव में, हम नेट उदाहरणों को कई और किसी भी / आईपी इंटरफेस (आईपी 2 एनएटी 2 कॉन्फिग लॉग पर लॉग इन कर सकते हैं, यदि एम 2 रीसेट करें as_ports, उदाहरण के लिए) और उनमें ट्रैफ़िक लपेटें जैसा कि हम पसंद करते हैं।

अपने काम में ipfw नेट का उपयोग करने वाली मेमोरी कर्नेल के लिए उपलब्ध मेमोरी है और इसके साथ लगती है

# sysctl -a | grep kmem

vm.kmem_size_scale: 3

vm.kmem_size_max: 335544320

vm.kmem_size_min: 0

vm.kmem_size: 335544320









इसे कर्नेल विकल्प KVA_PAGES (अधिकतम 512 जो i386 के लिए 2GB से मेल खाती है) का उपयोग करके स्पिन करें।



किसी भी तरह से, चैनल पर एक अच्छा भार (मैं 350-400Mbit / s पर बाहर निकलता हूं) के साथ, प्लेटों को खाने वाली मेमोरी को मुक्त करने के लिए नेट उदाहरण की आवधिक पुनरारंभ की आवश्यकता हो सकती है। मुझे लगता है कि समाप्त हो चुके सत्रों को बंद करने के धीमे तंत्र के माध्यम से कुत्ते ने अफवाह उड़ाई। पुनर्स्थापना प्रपत्र की प्राथमिक स्क्रिप्ट के साथ की जा सकती है:



#!/bin/sh

/sbin/ipfw nat 1 delete && /sbin/ipfw nat 1 config log if em1 reset same_ports









साथ ही हर कोई इस तथ्य के साथ एक रेक पर चलता है कि लिबलीस खुद स्पष्ट रूप से चेकसम के हार्डवेयर काउंटरों के साथ अनुकूल नहीं है और साथ ही टीसीपी सेगमेंटेशन ऑफलोड के साथ, हम शुरुआत से उसी तरह से कार्ड कॉन्फ़िगर करने की सलाह देते हैं:



cat /etc/rc.conf | grep ifconfig

ifconfig_em1="inet 8.8.8.8 netmask 255.255.255.0 -rxcsum -txcsum -tso"









बस इतना ही। सब कुछ पारदर्शी रूप से काम करता है, शुरू में पीपीटीपी, एफटीपी (एफएनएनएटी) जैसी सेवाओं के साथ बीमारियां नहीं होती हैं और उपयोगकर्ता स्थान (एनएटीडी) पर स्विच करने के कारण निराशाजनक मंदी से ग्रस्त नहीं होता है। केवल एक चीज जो वास्तव में गायब हो सकती है, वह है पता पूल के नीचे से नैट का सामान्य तरीका। इस मामले में दिमाग में केवल एक ही बात आती है कि एलियास पर बहुत सारी प्रतियाँ छपती हैं, लेकिन ऐसा लगता है कि यह पफ्नैट के कहने के अनुसार सुंदर नहीं है।



किसी तरह गड़बड़ हुई लेकिन मुझे स्पष्ट रूप से उम्मीद है।



अगला सवाल यह सवाल करता है - क्या कोई व्यक्ति दूरस्थ NAS पर ट्रैफ़िक हटाने के साथ बिलिंग स्थापित करने और नेटफ़्लो पर लेखांकन के बारे में कदम-दर-चरण मार्गदर्शिका देखने में दिलचस्पी रखेगा? खैर, वास्तव में, कैसे समाधान हैं जो पिछले लेखों में वर्णित सब कुछ के विपरीत क्षैतिज रूप से हैं? या कुछ कम संकीर्ण के बारे में लिखें?



PS उन्होंने मुझे यहां संकेत दिया कि मैंने पहले ही "वास्तविक" आईपी की आड़ में अपने उदाहरणों में dns google का उपयोग करना शुरू कर दिया है। हां, मुझे RFC3330 के बारे में पता है जहां यह कहता है कि "192.0.2.0/24 को प्रलेखन और उदाहरण कोड में उपयोग के लिए" टेस्ट-नेट "के रूप में सौंपा गया है, लेकिन किसी भी तरह मैं नहीं जानता, यह खुद के लिए अधिक स्पष्ट है :)