用FreeBSD建立拨号网关

家庭网络结构如下：

　　W2K(192.168.0.100)

　　-----以太网----->

　　FreeBSD(192.168.0.200)

　　-----PPP拨号----->

　　internet

　　实现要求如下：

　　在FreeBSD主机上使用调制解调器拨号上网，并对局域网内其它计算机提供该拨号连接的共享。

　　在FreeBSD主机上设置缓冲型的DNS系统以避免对域名的重复查询，减轻网络流量。

　　在FreeBSD主机上设置Squid软件对局域网提供http代理服务并配置ipfw防止用户绕过代理服务器。

　　在FreeBSD主机上使用Fetchmail及Qpopper为局域网用户代收外部电子邮件。

　　安装PPP

　　众所周知，在FreeBSD下有两种类型的PPP，在这里为简单起见使用用户级PPP(User-PPP)，因为

　　内核级PPP(Kernel-PPP)需要更多设定配置方面的工作。

　　当然在开始之前弄清设备所用的硬件资源可使工作事半功倍。为此，需要了解以下内容：

　　调制解调器所用端口及速率(我假设为所用端口为串口1、速率为115200)

　　上网的账号及口令

　　ISP分配的静态IP地址(如为动态分配则无须知道)

　　现在要根据这些资料来配置并编译新的内核以支持用户级PPP和防火墙功能，在内核配置文件中加入以下内容：

　　options

　　IPFIREWALL

　　#防火墙功能

　　options

　　IPDIVERT

　　#转移套接字(支持NAT)

　　#

　　串(COM)口

　　device

　　sio0

　　at

　　isa?

　　port

　　"IO_COM1"

　　flags

　　0x10

　　tty

　　irq

　　4

　　#

　　伪设备

　　-

　　数字说明分配之单元数

　　pseudo-device

　　tun

　　1

　　#

　　分组隧道

　　编译完新内核后，就可以根据需要修改/etc/ppp/ppp.conf文件了(相应的防火墙功能稍后配置)，该文件的样本如下：

　　default:

　　set

　　device

　　/dev/cuaa0

　　set

　　log

　　Phase

　　Chat

　　LCP

　　IPCP

　　CCP

　　tun

　　command

　　set

　　speed

　　115200

　　set

　　dial

　　"ABORT

　　BUSY

　　ABORT

　　NO\\sCARRIER

　　TIMEOUT

　　5

　　\"\"

　　AT

　　OK-AT-OK

　　ATE1Q0

　　OK

　　\\dATDT\

　　\T

　　TIMEOUT

　　40

　　CONNECT"

　　set

　　timeout

　　120

　　set

　　ifaddr

　　10.0.0.1/0

　　10.0.0.2/0

　　255.255.255.0

　　0.0.0.0

　　add

　　default

　　HISADDR

　　enable

　　dns

　　nat

　　enable

　　yes

　　163:

　　set

　　phone

　　163

　　set

　　authname

　　163

　　set

　　authkey

　　163

　　在此样本文件中，set

　　device说明使用的端口，在此我用了串口1；set

　　speed说明设备使用的速率，我用的是115200；set

　　ifaddr说明PPP连接所用的IP地址，第一个地址为本地地址及网络掩码，而第二个地址为ISP处的拨号服务器地址及掩码。如果使用ISP动态分配的地址，就可以象我这样用掩码为0的地址，它说明可以接受任何地址。否则请指定您的ISP分配的静态地址。

　　nat

　　enable

　　yes说明该PPP拨号连接可以让局域网络内的其它计算机共享。它使用NAT技术将网络内有连接请求的主机本身的本地IP转换为PPP连接所用的IP，从而可以访问外部互联网。

　　适当修改后可以用ppp命令来进行拨号测试了：

　　#ppp

　　ppp

　　>

　　dial

　　163

　　PPP

　　>

　　当提示符由小写变为大写时说明已经拨号成功了，这时可以ping一下ISP处的DNS服务器地址，看是否能通。另外还可以用netstat命令检查网络状态：

　　#

　　netstat

　　-nr

　　Routing

　　tables

　　Internet:

　　Destination

　　Gateway

　　Flags

　　Refs

　　Use

　　Netif

　　Expire

　　127.0.0.1

　　127.0.0.1

　　UH

　　10

　　389

　　lo0

　　192.168

　　link#1

　　UC

　　0

　　0

　　ed0

　　192.100.53.23

　　202.102.141.141

　　UH

　　1

　　0

　　tun0

　　192.168.0.100

　　52:54:4c:19:6d:d

　　UHLW

　　2

　　3968

　　ed0

　　1198

　　要挂断退出可以在提示符下打quit命令，当然还可以用killall

　　-INT ppp来中止当前的连接，否则如果空闲120秒就会自动挂断了(可以用settimeout参数进行调整)。这样，简单的PPP拨号连接配置就完成了。要更多的了解配置PPP方面的内容，可以参考Setting

　　up

　　User

　　PPP(FreeBSD手册中关于用户级PPP的设定细节)。

　　使FreeBSD成为拨号网关

　　前面提到在/etc/ppp/ppp.conf中使用nat

　　enable yes可以让网络内其它主机共享此PPP拨号连接，当然要达到这样效果，还必须让FreeBSD成为网关以允许转发IP数据包，所以在/etc/rc.conf文件中加入：

　　gateway_enable=YES

　　然后重新启动系统使其生效，当然，如果不想重启，可以用以下命令：

　　sysctl

　　-w

　　net.inet.ip.forwarding=1

　　注意：PPP拨号会修改路由表，为使路由稳定，系统不能启动动态路由守护程序，如routed或 gated，因为它们会动态修改路由表。

　　设置缓冲型DNS

　　为了对网内计算机查询域名进行缓冲，首先修改/etc/resolv.conf，因为PPP的enable dns参数会为系统设定从ISP处获得的域名服务器，要使系统优先使用本地域名服务器才能发挥缓冲型DNS的特性，这时可以把其它服务器作为后备：

　　domain

　　meaculpa.net

　　nameserver

　　127.0.0.1

　　nameserver

　　202.102.14.141

　　nameserver

　　202.102.15.162

　　以上添加127.0.0.1作为首域名服务器。然后用/etc/namedb/make-localhost产生适合本机的localhost.rev文件。注意，make-localhost脚本属性为644，需以root身份将其改为744才能运行。

　　接着修改/etc/namedb/named.conf，以使BIND运行为缓冲方式，样本如下：

　　options

　　{

　　directory

　　"/etc/namedb";

　　forward

　　only;

　　forwarders

　　{

　　202.102.14.141;

　　};

　　};

　　zone

　　"."

　　{

　　type

　　hint;

　　file

　　"named.root";

　　};

　　zone

　　"0.0.127.IN-ADDR.ARPA"

　　{

　　type

　　master;

　　file

　　"localhost.rev";

　　};

　　如使用BIND4则修改named.boot，样本如下：

　　directory

　　/etc/namedb

　　primary

　　0.0.127.IN-ADDR.ARPA

　　localhost.rev

　　cache

　　.

　　named.ca

　　forwarders

　　202.102.14.141

　　options

　　forward-only

　　最后就可以向/etc/rc.conf文件加入以下行使域名服务启动：

　　named_enable="YES"

　　这样重启后就拥有一个缓冲型的DNS系统了，这时可以设置局域网内其它计算机的TCP/IP属性，将DNS服务器指向该系统以利用其特性。

　　安装Squid

　　为了改善慢速的拨号连接并阻塞内部计算机直接访问外部网站，可以安装一套代理/缓冲系统并添加一定的防火墙规则。

　　在FreeBSD上我用了Squid这套软件，当然可以有两种安装方法，一是用现成