फ्रीबीएसडी पर एनएटी कॉन्फ़िगरेशन का अवलोकन और तुलना

इस लेख में, मैं नेटबीएस को फ्रीबीएसडी ओएस पर कॉन्फ़िगर करने के उदाहरण देना चाहूंगा और कुछ तरीकों की तुलना कर सकता हूं, जो मेरी राय में, सबसे अधिक बार उपयोग किए जाते हैं।



आरंभ करने के लिए:

NAT (अंग्रेजी से। नेटवर्क एड्रेस ट्रांसलेशन - "नेटवर्क एड्रेस ट्रांसलेशन") टीसीपी / आईपी नेटवर्क में एक तंत्र है जो आपको ट्रांजिट पैकेट के आईपी पते का अनुवाद करने की अनुमति देता है। जिसका नाम IP Masquerading, Network Masquerading और Native Address Translation है।



विचार किए गए विकल्प:

- दानव नाथ

- IPFilter (ipnat)

- पीएफ नट

- ng_nat

- ipfw नेट (कर्नेल नेट)

नैट के साथ नेट

हैंडबुक से:

FreeBSD में नेटवर्क एड्रेस ट्रांसलेशन डेमॉन, जिसे आमतौर पर नैटड (8) के रूप में जाना जाता है, एक डेमन है जो आने वाले आईपी पैकेट्स को स्वीकार करता है, प्रेषक पते को स्थानीय मशीन पते में बदल देता है, और उन पैकेटों को आउटगोइंग पैकेट स्ट्रीम में बदल देता है। एनएटीडी प्रेषक के आईपी पते और पोर्ट को बदलकर ऐसा करता है ताकि जब डेटा वापस प्राप्त हो जाए, तो यह प्रारंभिक डेटा के स्रोत का स्थान निर्धारित कर सकता है और इसे उस मशीन को अग्रेषित कर सकता है जो शुरू में डेटा का अनुरोध करता था।



नैट को काम करने के लिए ipfw की जरूरत होती है।

कोर में:

# Ipfw समर्थन

विकल्प IPFIREWALL

विकल्प IPFIREWALL_VERBOSE

विकल्प "IPFIREWALL_VERBOSE_LIMIT = 100"

# नेट के लिए इंटरफेस में आने वाले पैकेट

विकल्प IPDIVERT



/Etc/rc.conf में जोड़ें

Gateway_enable = "हाँ"

या /etc/sysctl.conf में जोड़ें

net.inet.ip.forwarding = 1।



em0 - बाहरी इंटरफ़ेस

192.168.0.0/24 - आंतरिक नेटवर्क

200.200.200.200 - बाहरी पता



/Etc/rc.conf में भी जोड़ें:

natd_enable = "YES"

natd_interface = "em0"

natd_flags = ""



फ़ायरवॉल के लिए डायवर्ट के नियम जोड़ें:

/ sbin / ipfw 192.168.0.0/24 से डायवर्ट नैटड आईपी को em0 के माध्यम से किसी भी बाहर जोड़ें

/ sbin / ipfw किसी भी 200 से 200.200.200.200 में em0 के माध्यम से डायवर्ट natd ip जोड़ें



यह हैंडबुक में वर्णित अधिक विवरण में है।

IPFilter (ipnat) का उपयोग करके NAT

कोर में:

विकल्प IPFILTER

विकल्प IPFILTER_LOG

या एक मॉड्यूल के रूप में लोड करें और कर्नेल को स्पर्श न करें।



/Etc/rc.conf में जोड़ें

Gateway_enable = "हाँ"

या /etc/sysctl.conf में जोड़ें

net.inet.ip.forwarding = 1।



/Etc/rc.conf में भी जोड़ें:

ipnat_enable = "YES" # ipnat चालू करें

ipnat_program = "/ sbin / ipnat" # ipnat पथ

ipnat_rules = "/ etc / ipnat.rules" # नियम

ipnat_flags = "" # किस पैरामीटर से शुरू करना है



Syslog.conf ऐड में लॉग बनाए रखने के लिए:

स्थानीय ०। * / सवर्ण / विप्लव / विप्लव

और IPFilter चलाएं - IP की निगरानी उपयोगिता के साथ -व्यास कुंजी

-D - a daemon के रूप में चलाना

-व - ड्रिल डाउन

-a - सभी IPFilter उपकरणों को ट्रैक करें

-s - syslog के माध्यम से



उदाहरण:



हैं:

em0 - बाहरी इंटरफ़ेस

192.168.0.0/24 - आंतरिक नेटवर्क

200.200.200.200 - बाहरी पता



फिर नेट के लिए नियमों का एक उदाहरण इस तरह दिखेगा:

नक्शा em0 192.168.0.0/24 से किसी भी -> 200.200.200.200/32



या गंतव्य पते को निर्दिष्ट किए बिना:

मानचित्र em0 192.168.0.0/24 -> 200.200.200.200/32



यदि पता गतिशील है, तो आप यह कर सकते हैं:

मानचित्र em0 192.168.0.0/24 -> 0.0.0.0/32



Ipnat के साथ काम करते समय कुछ उपयोगी कमांड:

पुनरारंभ करें:

/etc/rc.d/ipnat पुनः आरंभ करें

नेट रोबोट के सामान्य आँकड़े:

ipnat –s

सक्रिय नियमों की सूची और वर्तमान में सक्रिय सत्रों की सूची:

ipnat -l

कॉन्फ़िगरेशन को फिर से चलाएँ:

ipnat -CF -f /etc/ipnat.rules

-सी - नियम तालिका को साफ करता है।

-F - अनुवाद तालिका से प्रविष्टियाँ निकालता है।

आप सामान्य रूप से ipnat और IPFilter के बारे में अधिक जान सकते हैं:

ipnat (1), ipnat (5), ipnat (8), ipf (5), ipf (8), ipfstat (8), ipftest (1), ipmon (8)

अधिक जानकारी यहाँ ।

पीएफ़ के साथ नेट

कोर में:

डिवाइस pf # PF OpenBSD पैकेट-फ़िल्टर फ़ायरवॉल सक्षम करें

डिवाइस pflog # Pf लॉग सपोर्ट



/Etc/rc.conf में जोड़ें

Gateway_enable = "हाँ"

या /etc/sysctl.conf में जोड़ें

net.inet.ip.forwarding = 1।



/Etc/rc.conf में भी जोड़ें:

pf_enable = "YES"

pf_rules = "/ etc / pf.conf"

pf_program = "/ sbin / pfctl"

pf_flags = ""

pflog_enable = "YES"

pflog_logfile = "/ var / log / pf.log"

pflog_program = "/ sbin / pflogd"

pflog_flags = ""



स्वयं नियम का एक उदाहरण:

em0 - बाहरी इंटरफ़ेस

192.168.0.0/24 - आंतरिक नेटवर्क

200.200.200.200 - बाहरी पता



/Etc/pf.conf में:

192.168.0.0/24 से em0 पर nat किसी भी -> (em0)

NAT_nat के साथ NAT

कोर में:

विकल्प NETGRAPH

विकल्प NETGRAPH_IPFW

विकल्प LIBALIAS

विकल्प NETGRAPH_NAT

... और यदि आवश्यक हो तो अन्य नेटग्राफ विकल्प



या बस मॉड्यूल लोड करें:

/ sbin / kldload /boot/kernel/ng_ipfw.ko

/ sbin / kldload /boot/kernel/ng_nat.ko



em0 - बाहरी इंटरफ़ेस

192.168.0.0/24 - आंतरिक नेटवर्क

200.200.200.200 - बाहरी पता



NAT नोड बनाना:

ngctl mkpeer ipfw: nat 60 out

ngctl नाम ipfw: 60 नेट

ngctl कनेक्ट ipfw: nat: 61 इन

ngctl msg nat: setaliasaddr 200.200.200.200

Ipfw में, बनाए गए नोड में ट्रैफ़िक को पुनर्निर्देशित करने के लिए लाइनें जोड़ें:

/ sbin / ipfw किसी भी ६१ से २००.२००.२००.२०० तक सभी नेटग्राफ को em0 के माध्यम से जोड़ते हैं

/ sbin / ipfw सभी नेटग्राफ 60 को 192.168.0.0/24 से em0 के माध्यम से किसी भी बाहर जोड़ें

आगे

sysctl net.inet.ip.fw.one_pass = 0



स्क्रिप्ट के रूप में लिखी गई सभी चीज़ों को बाहर निकालें और इसे ऑटोलड के लिए स्टार्टअप अधिकारों के साथ /usr/local/etc/rc.d में डालें।



अधिक जानकारी यहाँ ।

NAT ipfw नेट का उपयोग कर रहा है

FreeBSD संस्करण 7.0 के बाद से ipfw nat के लिए समर्थन दिखाई दिया है

कोर करने के लिए:

विकल्प IPFIREWALL

विकल्प IPFIREWALL_DEFAULT_TO_ACCEPT

विकल्प IPFIREWALL_FORWARD

विकल्प IPFIREWALL_VERBOSE

विकल्प IPFIREWALL_VERBOSE_LIMIT = 50

विकल्प IPFIREWALL_NAT

विकल्प LIBALIAS



/Etc/rc.conf में जोड़ें

firewall_enable = "YES"

firewall_nat_enable = "YES"

firewall_type = "/ etc / फ़ायरवॉल"

Gateway_enable = "YES"



/Etc/sysctl.conf में जोड़ें:

net.inet.ip.fw.one_pass = 1



em0 - बाहरी इंटरफ़ेस

192.168.0.0/24 - आंतरिक नेटवर्क

200.200.200.200 - बाहरी पता



एक उदाहरण:



/ sbin / ipfw nat 1 config लॉग जोड़ें अगर em0 फिर से सेट करें

/ sbin / ipfw nat 1 ip को 192.168.0.0/24 से तालिका 0 में नहीं (10 \) जोड़ दें

/ sbin / ipfw em0 के माध्यम से किसी भी 200.200.200.200 से nat 1 ip जोड़ें

जहां तालिका 10 - नेट के माध्यम से नहीं जाती है



कुछ आँकड़े इस तरह देखे जा सकते हैं:

ipfw nat 1 शो

थोड़ी तुलना

यह कहा जाना चाहिए कि ipfw, natd, ipf, ipnat साथ में मिलते हैं। उसी समय, आपको फिल्टर की विशेषताओं को याद रखने की आवश्यकता है: पहले मैच से आईपीएफडब्ल्यू काम करता है, और आईपीएफ (नियम में त्वरित विकल्प के बिना) - अंतिम द्वारा। ठीक है, आपको हमेशा उस क्रम को ध्यान में रखना चाहिए जिसमें पैकेट फ़िल्टर से गुजरता है। इसलिए, यदि कर्नेल में ipf सपोर्ट एकत्र किया जाता है, तो इसके बावजूद कि ipfw कैसे शुरू किया जाता है, सबसे पहले सभी पैकेट ipf नियमों से गुजरेगा, और ipfw को केवल वही प्राप्त होगा जो वह इनपुट को पास करेगा। यदि ipfw को कर्नेल में बनाया गया है, और ipf को एक मॉड्यूल के रूप में लोड किया गया है, तो ipfw प्रधानता का उपयोग करेगा।



यदि हम अंतर और विशेषताओं पर विचार करते हैं, तो हम निम्नलिखित नोट कर सकते हैं:



natd:

- जब ट्रैफिक 40-50 मेगाबिट से अधिक हो जाता है तो डेस अप्रभावी हो जाता है

- एक दानव के रूप में एहसास

- कई इंटरफेस पर काम करते समय कठिनाइयाँ

+ आसान सेटअप

+ कार्यशीलता, लचीलापन



iPnat:

+ आसान सेटअप

+ "निकटता" कोर के लिए

- बहुत भारी भार के लिए, ट्यूनिंग की आवश्यकता है





ng_nat:

- अपेक्षाकृत जटिल सेटअप

- पता नहीं कैसे redirect_port

+ कर्नेल में libalias के माध्यम से लागू किया गया

+ अपेक्षाकृत कुछ संसाधनों का उपभोग करता है



इपफव नट:

+ गति

+ लचीलापन

+ कर्नेल में libalias के माध्यम से लागू किया गया

नाइटफ़्ल यूपीडी :

- आम तौर पर पूल के नीचे से एक टन उपनाम के बिना खींचने में असमर्थता

- स्लाइन आँकड़े

+ आखिरकार बहना बंद हो गया

+ दूसरों के विपरीत, यह बॉक्स के सक्रिय एफ़टीपी का उपयोग कर सकता है, जो एफ़टीपी प्रॉक्सी को पास में नहीं रखने देता है

+ बचपन की बीमारियों से ग्रस्त नहीं है जैसे कि नेट के माध्यम से एक साथ पीपीटी के साथ चुटकुले



Pf नट:

+ गति

+ नियमों को लिखने के लिए मैक्रोज़ का उपयोग करना

- smp की समस्या

निष्कर्ष

मैं इस तथ्य के कारण उपरोक्त विकल्पों में से किसी का उल्लेख नहीं करूंगा कि विषय थोड़ा पवित्र है, और पाठकों की राय मेरे साथ मेल नहीं खा सकती है। मैंने बस विन्यास उदाहरणों का वर्णन करने और फ्रीबीएसडी पर एनएटी संगठन के कई तरीकों की तुलना करने की कोशिश की। इसके अलावा, मैंने NAT भाग का वर्णन नहीं किया, क्योंकि यह यहाँ है ।