会员注册
会员登录
个人空间
摘的别人的文章,也许有帮助哈
原有的网络情况是:用ADSL Modem的内部功能实现 pppoe和nat,这样内部员工就可以通过ADSL Modem作为网关访问互联网。
但是,随着员工数量的增多,同时造成访问互联网拥挤,有时甚至耽误正常的工作需要。
为了解决这个情况,决定对内部员工访问互联网加以 *** 。
我用一台淘汰的电脑(PIII 500 64M内存),装了一个OpenBSD 3.6系统,利用自身的PF进行管理。
两块网卡,一块连接Modem 另一快连接内部网络
主要想实现:
1。对内部员工上网 *** ,只有允许的IP才可以上网。
2。对上网的员工进行分组,分成2组。1组只能浏览网页,另一组没有 *** 。
3。对不同组进行带宽分配
到现在为止只实现了第一个目的,如果谁能提供帮助请于我联系:QQ:845243 MSN:SlackwareLinux@hotmail.com
以下是我的配置文件
# $OpenBSD: pf.conf,v 1.28 2004/04/29 21:03:09 frantzen Exp $
#
# See pf.conf(5) and /usr/share/pf for syntax and examples.
# Remember to set net.inet.ip.forwarding=1 and/or net.inet6.ip6.forwarding=1
# in /etc/sysctl.conf if packets are to be forwarded between inte *** ces.
ext_if="rl1"
int_if="rl0"
lan_net="192.3.88.0/24"
Admin="192.3.88.15"
server="{53 80}"
# --- Define Table
table <leader> persist file "/etc/leader_user"
table <software> persist file "/etc/software_user"
table <message> persist file "/etc/message.block"
table <other> persist file "/etc/other.block"
# --- Option
set block-policy drop
set loginte *** ce $ext_if
scrub in all
# --- Queue
altq>
一、功能:1、状态检测包过滤(packet filtering)。2、地址转换(NAT)。3、负载均衡(load alancing)。4、保护敏感信息。5、服务质量保证(QoS). (我在这里只是简单的说明一些功能,具体的应用,我将在以后的具体实例中说明)
二、在OPENBSD2.9以前,默认的GENERIC内核里面已经包还了ipfilter,这个要看你的内核配置文件里面是不是有OPTIONS IPFILTER 和
OPTIONS IPFILTER_LOG选项,至于ipfilter的使用,在这里就不再详细说明,有兴趣的朋友可以参考FREEBSD的ipfilter的使用方法。在3.0以后,因为某些这里不再说明的原因,内核中去除了对ipfilter的支持,使用pf来代替他。如果你要使用pf,应该确保你的内核配置文件里面有如下选项:pseudo-device pf 1 和 pseudo-device pflog 1。在我们现在的版本OPENBSD3.5里面,默认是已经配置了pf的选项。
三、如果要在开机的情况下就启动pf的功能,那么需要修改你的rc.conf文件,包含以下几个内容:
pf=YES,pf_rules=/etc/pf.conf,pflogd_flags= 。
如果你的系统已经启动,而在这个时候,你要开启pf的功能,可以使用#pfctl -e命令来开启,以及#pfctl -d来关闭。并且可以使用#pfctl -e -f /etc/pf.conf来直接开启pf功能并且启动过滤,地址翻译等规则文件。
两外,你需要更改你的sysctl变量:sysctl -w net.inet.ip.forwarding=1 。
四、下面,我们主要来看pf.conf这个主要配置文件的格式以及解释,这个文件可以分为5个部分:1、宏定义部分。2、各个选项。3、scrub。4、地址转换。5、过滤规则。就如同下面的格式划分: