虽然ipfw/natd已经是相当强大的网络地址转换及防火墙系统,然而它还是有一定的缺点存在。其中最重要的一个缺点是natd是使用守护进程的方法来进行地址转换,因为它没有运行在内核中,而是通过divert socket 来和内核通信,这种方式虽然比较灵活,但效率显然要低一些。
另外,natd的功能还不能满足有些要求,natd能做静态地址转换和使用一个伪装地址为多个内部地址服务,但其不能从一个给定的地址池中,为内部地址自动分配IP地址。毕竟natd是一个较早的网络地址转换工具,当前的发展已经比较迟缓。但是由于ipfw是FreeBSD系统的一部分,并且过滤和地址转换是由不同的部分来完成的,结构清晰,因此对于大部分情况都很适合,因此一般仍应使用ipfw/natd。如果ipfw/natd不能满足使用者的需要,能避免ipfw/natd缺点的另一个网络地址转换和数据包过滤的工具是ipfilter。虽然FreeBSD是其支持的主要系统,但它其实是一个支持多平台的独立软件,不仅能运行在FreeBSD上,也能运行在其他多种Unix系统中。由于它被包括进FreeBSD基本系统中,因此在FreeBSD 下配置ipfilter同样也非常轻松。
ipfilter的网址为http://cheops.anu.edu.au/~avalon/, FreeBSD 3.0之前它不包括在FreeBSD的基本系统中,需要手工设置。
由于ipfilter与ipfw同为在内核级对IP数据包进行处理的系统,因此他们相互冲突,不能同时并存在一个内核内,否则内核的TCP/IP功能就不能正常执行。为了使用ipfilter,就需要重新定制内核,删除所有 IPFIREWALL的设置,而添加IPFILTER的设置。
#options IPFIREWALL
#options IPDIVERT
options IPFILTER
options IPFILTER_LOG选项IPFILTER为支持IPFILTER的基本代码,IPFILTER_LOG为支持IPFILTER的统计记录能力。需要增加这些选项,并注释IPFIREWALL、IPDIVERT及其相关选项。此后,就可以重新定制、安装新内核。然而在重新启动之前,还需要在rc.conf中设置firewall_enable的值为NO,当系统内核不存在IPFIREALL功能又设置了firewall_enable的时候,启动文件就会自动载入支持这个功能的可加载模块ipfw.ko,载入ipfw.ko之后的系统内核就等同于使用IPFIREWALL内核选项的系统,与 ipfilter发生冲突。然而ipfilter仍然需要设置gateway_enable,以打开系统内核的数据包转发功能。
使用新内核启动系统之后,如果本地计算机的网络功能正常,此时再使用ipfw就会报告错误。这就能使用ipfilter 来设置包过滤和网络地址转换了。
请保留地址 http://www.qqread.com/freebsd/s348207.html
更多内容请看FreeBSD系统安全管理、FreeBSD使用教程、Freebsd频道专题,或进入讨论组讨论。
相关专题
- FreeBSD系统安全管理 (8828篇文章)
- FreeBSD使用教程 (6592篇文章)
- Freebsd频道 (698篇文章)
- FreeBSD系统安装 (205篇文章)
- FreeBSD系统的使用 (96篇文章)
- Freebsd安装/配置 (222篇文章)
- FreeBSD系统安装与配置之准备篇 (1753次浏览)
- FreeBSD入门安装及汉化 (1472次浏览)
- FreeBSD下安装GNOME桌面 (971次浏览)
- FreeBSD 5.0硬盘安装指南 (707次浏览)
- freebsd5.2.1上安装vmware 3.2.1 (610次浏览)
- FreeBSD 5.1安装VMware全部过程 (571次浏览)
- FreeBSD连载(72):设置和使用DHCP (563次浏览)
- 使用FreeBSD的原因 (506次浏览)
- FreeBSD系统终极安装手册(图) (474次浏览)
- FreeBSD5.3下安装Apache+PHP+MySQL+Tomcat (453次浏览)
