把FreeBSD作为网关和路由[三]（改进）

发贴人:Nashira
发表时间:Fri Sep 14 12:41:23 2007

虽然FreeBSD网关跑起来了，但还有很多地方不完善，我们需要进一步完善:)

1.完善防火墙
#ee /etc/ipfw.conf

cmd="ipfw -q add "
#校园网接口
exif="xl0"
#局域网接口
inif="fxp0"
#adsl虚拟隧道设备
adsl="tun0"

#两个宏
skip="skipto 50000"
ks="keep-state"

#清除防火墙规则
ipfw -q -f flush

#打开局域网，回环设备（127.0.0.1）和连接adsl的网络接口
$cmd 10 allow all from any to any via $inif
$cmd 20 allow all from any to any via lo0
#$cmd 30 allow all from any to any via rl0

#nat进入校园网的ip
$cmd 100 divert natd all from any to any in via $exif
#$cmd 110 check-state

#放行从内部向外网的连接，也可以使用更加严格的策略，我自己用就算了，呵呵~
$cmd 10000 $skip udp from any to any out via $exif $ks
$cmd 10010 $skip tcp from any to any out via $exif setup $ks
$cmd 10020 $skip icmp from any to any out via $exif $ks

$cmd 10100 allow udp from any to any out via $adsl $ks
$cmd 10110 allow tcp from any to any out via $adsl setup $ks
$cmd 10120 allow icmp from any to any out via $adsl $ks

#打开本机对外网的ftp和ssh端口，和icmp试探
$cmd 20000 allow udp from any to me 20,21 via $exif $ks
$cmd 20010 allow icmp from any to me via $exif $ks
$cmd 20020 allow tcp from any to me 20,21,22 via $exif setup $ks

#阻止其它的数据对进入本机
#ps：昨天拦截到了1.8GB的数据，呵呵，病毒害死人阿~
$cmd 40000 deny all from any to any

#nat流向外网的数据
$cmd 50000 divert natd all from any to any out via $exif

防火墙这样设置之后内部可以无限制的访问外网，而外网之能够连接到本机开放的ftp和s
sh服务，一些攻击被阻挡了~

2.在内网提供dhcp服务

需要安装isc-dhcp3-server软件
可再从ports安装，在：/usr/ports/net/isc-dhcp3-server/
也可以package安装，看个人喜好了，呵呵~
#cd /usr/ports/net/isc-dhcp3-server/
#make install clean
#rehash

然后修改配置文件
#ee /usr/local/etc/dhcpd.conf
内容如下：
option domain-name "jlu.edu.cn";
#DNS服务器，网通和校园网都有
option domain-name-servers 202.98.0.68,202.198.16.3,202.98.5.68,202.198.16.5;

#option domain-name-servers 202.198.16.3,202.198.16.5;
#子网掩码
option subnet-mask 255.255.255.0;
#分发的ip时间
default-lease-time 86400;
max-lease-time 86400;
#忘了是干啥的了，呵呵，不过需要象下面这样:)
ddns-update-style none;
#局域网上的ip地址范围，根据你自己的设定~
subnet 192.168.18.0 netmask 255.255.255.0 {
range 192.168.18.1 192.168.18.8;
#本机的内网接口
option routers 192.168.18.254;
}

修改/etc/rc.conf
添加下列三行：
#dhcp server
dhcpd_enable="YES"
dhcpd_ifaces="fxp0" #fxp0为内网接口

最后
#reboot
或者
#/usr/local/etc/rc.d/isc-dhcpd start
就可以了

3.自动开关机

本科生宿舍一般都是要停电的，所以每天要开关机也是很麻烦的，我们让他自动进行，嘿
嘿~

开机：
这个用的是我机器的一个bug，我的机器acpi有问题，不会自动关闭电源，所以每次都是“
非法关机”，呵呵~
在BIOS中设置：After power down : on
每个机器都不大一样，好好找找，大概意思就是当机器突然断电后，再来电的时候机器是
否自动开机，我们可以选择开机，这样当第二天来电的时候机器就自动启动了~

关机：
我们用cron来使机器在快熄灯时自动关闭
#ee /etc/crontab
添加如下两行
0 23 * * 0-4 root /sbin/shutdown -p 23:28
0 23 * * 5-6 root /sbin/shutdown -p 23:58
这样每天23：00时都会执行shutdown -p，并提示将要关机，并在熄灯前两分钟关机。

PS：请确保机器的时钟正确，否则……

调整时间可以用 data命令~

4.配置sshd

#ee /etc/ssh/sshd_config
设置下面几项
#允许root用户登录
PermitRootLogin yes
#允许密码认证
PasswordAuthentication yes
#禁用DNS，DNS配置错误时开机会很慢
UseDNS no

PermitRootLogin 和 PasswordAuthentication 都是不安全的做法，但是我自己用，方便
就好，呵呵~

最后修改/etc/rc.conf
添加下列两行：
#ssh server
sshd_enable="YES"

经过上面的设置，你的FreeBSD网关就可以自己默默地在某个角落里工作了，把键盘，显示
器拔掉可以很多天不用管它，它可以自己工作的很好~

--
①未满18周岁人士请在父母指导下与本人聊天。
②本人非专业聊天人士，。不承担主动打招呼、主动找话题的义务。
③谢绝"三问一答制"，谢绝在聊天的时候使用"哦"，在本人不回复的情况下请自觉停止一切信息。
【注】：本人拥有最终解释权！！！

※ 来源:．吉林大学牡丹园站 bbs.jlu.edu.cn [FROM: 219.217.63.*]

※ 修改:．Nashira 於 Sep 14 12:51:01 2007 修改本文．[FROM: 219.217.63.*]