[精讚] [會員登入]
695

[Freebsd] 利用pf達成port forwarding 及nat

為了達成port forwarding 及NAT 的功能,不斷思考加上試了三天終於試出來。

此文完整連結 http://n.sfs.tw/10604

複製連結 [Freebsd] 利用pf達成port forwarding 及nat@新精讚
(文章歡迎轉載,務必尊重版權註明連結來源)
2017-01-17 08:38:02 最後編修
2017-01-13 10:43:27 By 張○○
 

二台伺服器同時都要連網,這樣就會有兩個對外的ip,能確保dns在切換收斂的過程中,無論來自哪個ip都能正確的回應。

一台主要是當成router,另一台才是真正的web server

利用pf達成port forwarding 及nat

Freebsd 的pf是防火牆,也能設定成nat,這次使用pf來完成

為了達成port forwarding 及NAT 的功能,不斷思考加上試了三天終於試出來,由於這部分網路上幾乎沒有足夠的資訊,所以這篇應該對部分有此需求的人有幫助。

目的說明

1. Web server 需要兩個外部線路進入,但是只能設單一路由,預設路由是往外線路二。
2. 加入另一部伺服器Router,預設路由是往外線路一,專門只做路由的事。
3. 由外部線路一進到Router後,會轉送到 Web的bge0介面,並在Router bge1出口帶入10.200.0.244的ip
4. Web bge0回應來自Router bge1的流量後,會沿原路由往外線路一回到Internet。
5. 因此,第3點要達成port forwarding的功能,在Router的bge0/1介面都要作NAT的功能。

OS

[Web Server] FreeBSD 7.1-RC1 #0: Mon Jul 30 04:18:28 CST 2012
[Router Server]  FreeBSD 9.2-PRERELEASE #0 r255473: Wed Sep 11 23:30:26 CST 2013

網路設定 rc.conf

[Web Server]
ifconfig_bge1="inet 10.200.0.254  netmask 255.255.0.0"
ifconfig_bge0="inet 123.45.67.8 netmask 255.255.255.0"
defaultrouter="123.45.67.254"

[Router Server]
ifconfig_bge1="inet 10.200.0.244  netmask 255.255.0.0"
ifconfig_bge0="inet 211.75.190.1 netmask 255.255.255.0"
defaultrouter="211.75.190.254"

#NAT
gateway_enable="YES"
#PF
pf_enable="YES"
pflog_enable="YES"

Router之 pf設定 pf.conf

ext_if="bge0"                          #HINET

int_if="bge1"                          #LAN 10

lan_net="10.200.0.0/16"               # LAN Subnet

rdr_service="{53 80}"                 # 轉送的服務

# 外部線路出口時內部ip轉成外部ip 211.75.190.1 出口

nat on $ext_if from $lan_net -> ($ext_if)

# 外部線路出口時,若非來自內部ip則不帶外部ip 211.75.190.1 出口

no nat on $ext_if from !$lan_net to any

# 到內部介面時,轉成 10.200.0.244     

nat on $int_if from any -> 10.200.0.244

# 外部介面來的封包全往 10.200.0.254送

rdr on $ext_if proto {tcp,udp} from any to ($ext_if) port $rdr_service -> 10.200.0.254

啟動pf
# pfctl -f /etc/pf.conf

查看
# pfctl -sn
nat on bge0 inet from 10.200.0.0/16 to any -> (bge0) round-robin
no nat on bge0 inet from ! 10.200.0.0/16 to any
nat on bge1 inet all -> 10.200.0.244
rdr on bge0 inet proto tcp from any to (bge0) port = domain -> 10.200.0.254
rdr on bge0 inet proto tcp from any to (bge0) port = http -> 10.200.0.254
rdr on bge0 inet proto udp from any to (bge0) port = domain -> 10.200.0.254
rdr on bge0 inet proto udp from any to (bge0) port = http -> 10.200.0.254

檢測結果

tcpdump是一個不錯的檢測工具,他能列出即時的流量來源

# tcpdump -i bge0 tcp port 80

[Web Server]
11:36:46.133768 IP 10.200.0.254.http > 10.200.0.244.64240: . 1461:2921(1460) ack 628 win 8212
11:36:46.136730 IP 10.200.0.244.52076 > 10.200.0.254.http: . ack 41449 win 16425
11:36:46.137754 IP 10.200.0.244.58499 > 10.200.0.254.http: . ack 1 win 16425
11:36:46.139073 IP 10.200.0.254.http > 10.200.0.244.52076: . 47289:48749(1460) ack 1897 win 8212
11:36:46.139101 IP 10.200.0.254.http > 10.200.0.244.52076: . 48749:50209(1460) ack 1897 win 8212
表示有從 244送到254的封包,且有正確回應

[Router Server]
bge0

14:45:52.616392 IP 163.17.40.149.60910 > 211-75-190-1.HINET-IP.hinet.net.http: Flags [.], ack 1, win 16425, length 0
14:46:03.857683 IP 163.17.40.149.60910 > 211-75-190-1.HINET-IP.hinet.net.http: Flags [F.], seq 1048, ack 40489, win 16425, length 0
14:46:03.857992 IP 211-75-190-1.HINET-IP.hinet.net.http > 163.17.40.149.60910: Flags [.], ack 1049, win 8212, length 0

bge1
14:47:23.833219 IP 211.75.190.1.50780 > 10.200.0.254.http: Flags [.], ack 33773, win 10537, length 0
14:47:23.906264 IP 10.200.0.254.http > 211.75.190.1.64077: Flags [.], seq 1:1461, ack 628, win 8212, length 1460
分別有正確的轉送

結語

對我而言真是一件不容易工作,不過達成了心情爽

參考資料

[1] PF-利用 PF 輕鬆達成 NAT http://www.weithenn.org/cgi-bin/wiki.pl?PF-%E5%88%A9%E7%94%A8_PF_%E8%BC%95%E9%AC%86%E9%81%94%E6%88%90_NAT

[2] 用FreeBSD9架設pf + NAT - Coding Life http://coding.memory-forest.com/%E7%94%A8freebsd9%E6%9E%B6%E8%A8%ADpf-nat.html


原文 2013-09-12 11:54:46

你可能感興趣的文章

[FreeBSD] 查看檔案詳細資訊 利用stat查看檔案詳細資訊

[Freebsd10] 使用者的crontab Freebsd 使用者的排程crontab和 root 層級的不太一樣

[Freebsd] 查看dhcp客戶端 Freebsd如何能知道目前的租約及有效狀態

[Freebsd] 使用者的定時排程 crontab Freebsd 下若使用者要建立自己的 crontab,方法和 root來建有一些不同。

[FREEBSD10] 安裝 dhcp 伺服器 Freebsd10 安裝 dhcp for IPv4伺服器

[Freebsd] VSFTP的安裝和配置 Freebsd 安裝和配置 VSFTP

[Freebsd] 利用pf達成port forwarding 及nat 為了達成port forwarding 及NAT 的功能,不斷思考加上試了三天終於試出來。

Freebsd 套件和套件有關的指令 在 Freebsd 上的套件(packages)要如何安裝,可以自行下載檔案解壓編譯,或是利用 ports。

[FREEBSD] 在FreeBSD 如何使用 USB 隨身碟? 在FreeBSD 如何使用 USB 隨身碟?

Freebsd 設定quota 在Freebsd使用quota以限制使用者容量

我有話要說


限制:留言最高字數1000字,超過部分會被截掉。請注意:留言不可帶有網址,會被濾掉。 限制:未登入訪客,每則留言間隔需超過10分鐘,每日最多5則留言。

訪客留言

[無留言]

隨機好文

[jQuery] 利用load()來達成ajax的寫法 jQuery中利用load()來達成ajax的寫法,也有人稱他是假的ajax,作法就是..

沒有非誰做不可的事,也沒有不可被取代的人 沒有非誰做不可的事,也沒有不可被取代的人

Linux shell 的date表示法 linux下SHELL中的date表示法

為什麼要重造輪子? 什麼輪子?造什麼輪子?我為什麼要重造輪子?

UTF8中文字/全形一覽 快速查詢urf-8的中文字,共計13246中文字(5401常用字+7652罕用字+日文或編號),292全形符號,27半形符號。