首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

操作系统

Windows 9X | Linux&Uinx | Windows Server | 其它操作系统 | Vista | FreeBSD | Windows 7 |
首页 > 操作系统 > FreeBSD > 使用FreeBSD配置基于ADSL的VPN网关+防火墙 > 正文

使用FreeBSD配置基于ADSL的VPN网关+防火墙

出处:中文FreeBSD用户组 http://www.cnfug.org 作者:quakelee 时间:2004-4-13 21:46:00

我前前后后一共折腾了四天才弄完,真是麻烦死了,不过需要跟大家说明的是其
实VPN(PPTP方式)的配置在FreeBSD上面并不困难,大家只需要5分钟就能
解决了,其余99%的时间我有一半再跟tun0搏斗,结果发现我犯了个低级错
误,另外一半时间我在跟ipfw搏斗,发现了VPN的连接机制还挺复杂。好了废
话不多说了,let's go

我的目的是做一台ADSL拨号网关,这个网关上由MPD作为VPN网关的守护进程,
使用PPTP协议作为传输协议,由于这台机器上有samba服务器,所以我无法开
放我的所有端口,我必须封锁所有不需要的端口。正因为这样花了很长时间研究
PPTP协议到底需要通过防火墙上的那些端口和那些协议。配置的目的已经告诉大
家了,下面是配置的过程。

首先从ppp拨ADSL说起,如果您对于使用ppp连接PPPoE(也就是ADSL使用的连
接方式)已经非常熟悉了,那就可以跳过这一段直接看后面的。
使用ppp连接PPPoE是非常简单的,FreeBSD在安装好之后你会在/etc/ppp/目录
下看到一个叫做ppp.conf的文件,你把这个文件修改成下面的样子就可以连接
PPPoE了,文件内容如下:

default:
set log Phase Chat LCP IPCP CCP tun command
ident user-ppp VERSION (built COMPILATIONDATE)

# Ensure that "device" references the correct serial port
# for your modem. (cuaa0 = COM1, cuaa1 = COM2)
#
set device PPPoE:rl0
set speed sync
set mru 1492
set mtu 1492
set ctsrts off
set timeout 60 # 3 minute idle timer (the default)
enable dns # request DNS info (for resolv.conf)

papchap:
#
# edit the next three lines and replace the items in caps with
# the values which have been assigned by your ISP.
#

set authname #username#
set authkey #password#
set timeout 60
set ifaddr 10.0.0.1/0 10.0.0.2/0 255.255.255.0 0.0.0.0
add default HISADDR # Add a (sticky) default route

第一部分是设置日志的方式和一些默认信息
set device PPPoE:后面需要改成你的网卡的驱动,我的是Realtek的8139,所以
就是rl0了,下面是设置最大发送/接受单元,PPPoE默认是1492,然后timeout是在
你是用auto方式的时候设置的超时时间,超过这个时间将会断线。enable dns是打开
从ISP服务端接收分配的DNS,后面papchap部分是设置你的PPPoE帐号信息,最后两句
是设置路由信息的,请务必添加。
注意标签后面的语句要有缩进,至少缩进一个空格,在帖子里可能看不到,大家要注意!
修改过配置文件之后你就可以用ppp -ddial papchap来试验一下,如果连接上了网络
就没问题了,在rc.conf文件中添加下面两句就可以在开机的时候启动ppp拨号:
ppp_enable="YES"
ppp_mode=ddial
ppp_nat="YES"
ppp_profile="papchap"
其中ppp_mode=后面是ppp的方式,可选的有auto ddial background等等,具体的信
息可以从man ppp中获得。以上就是PPP拨PPPoE的配置,可以看到非常的简单。

下面一部分是启动IPFW的防火墙,这个需要修改默认得内核设置,同时使用MPD也需要
对内核进行修改,所就在这里同时都修改了。我使用的是升级版本的IPFW,也就是被称作
IPFW2的防火墙,在FreeBSD4.x上使用这个防火墙需要重新编译IPFW,这需要你事先安
装了FreeBSD4.6以上的源码在你的硬盘上,然后执行下列步骤升级你的IPFW:

cd /usr/src/sbin/ipfw
make -DIPFW2
make install
cd /usr/src/lib/libalias
make -DIPFW2
make install
或者在你/etc/make.conf里面添加
IPFW2=TRUE
然后mak world来升级你的防火墙
升级IPFW完毕之后,接下来就是修改内核了,重新编译内核需要经过如下步骤,首先进入
/sys/i386/conf/目录,里面有两个文件,一个是GENERIC,另一个是LINT,具体的说明
信息我就不赘述了,我只讲一下我修改内核的过程。
首先
cp GENERIC mykern
编辑mykern增加如下的部分:
options NETGRAPH
options NETGRAPH_PPPOE
options NETGRAPH_SOCKET
options NETGRAPH_ETHER
options IPFW2
options IPDIVERT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=100
options IPSTEALTH
options ACCEPT_FILTER_DATA
options ACCEPT_FILTER_HTTP
退出编辑器
config mykern
cd ../../compile/mykern
make depend
make
make install
然后重新启动机器内核的更新就已经完成了。
这样IPFW2的安装就已经完成了,我们先不打开防火墙,我们先配置mpd来建立PPTP的服
务器。关于MPD的安装其实非常简单,你可以自己手动编译,但我还是推荐大家用ports
来安装,因为我实在是想不出什么理由来不用ports安装:)
如果你安装了ports到你的硬盘上,你通过下列步骤就可以完成mpd的安装了
cd /usr/ports/net/mpd
make install
make clean
安装完毕之后,ports会自动创建/usr/local/etc/mpd目录
并把配置文件的样本存放在这个目录里面,可以通过修改已有的配置文件样本来完成对mpd
的配置,以mpd.conf.sample为例,首先cp mpd.conf.sample mpd.conf
然后修改下面的部分
pptp:
new -i ng0 pptp pptp
set iface disable on-demand
set iface enable proxy-arp
set iface idle 1800
set bundle enable multilink
set link yes acfcomp protocomp
set link no pap chap
set link enable chap
set link keep-alive 10 60
set link mtu 1460
set ipcp yes vjcomp
set ipcp ranges 192.168.1.1/32 192.168.1.50/32
set ipcp dns 192.168.1.3
set ipcp nbns 192.168.1.4
#
# The five lines below enable Microsoft Point-to-Point encryption
# (MPPE) using the ng_mppc(8) netgraph node type.
#
set bundle enable compression
set ccp yes mppc
set ccp yes mpp-e40
set ccp yes mpp-e128
set ccp yes mpp-stateless

这个是sample里面的默认配置,下面对于需要修改的部分做出说明
实际上我们需要修改只有三行,就是下面三行

set ipcp ranges 192.168.1.1/32 192.168.1.50/32
set ipcp dns 192.168.1.3
set ipcp nbns 192.168.1.4
第一行是设置你的本地VPN网关的地址,如果你是像我一样用NAT来区分内外网的话
这个应该是网关的内网地址,后面的是对方拨入以后将会在内网获得的地址,这个
地址倒是没有什么特殊要求,就是首先这个地址需要和内网处于一个网段,否则访
问不了,第二后面可以设置一个掩码,来控制这个地址可能的范围,如果这个地址
被占用了,将会分配一个再限定范围内的地址给客户端,这个范围由"/"后面的掩
码来控制。
第二行是指定你内网使用的DNS服务器的地址,注意这个将会在用户连入的时候同
内网地址一起被分配给用户
第三行和第二行类似,是指定Netbios服务器的地址,如果内网没有WINS服务器
这行可以不写。最后我还增加了一行命令,再不增加这个命令的时候mpd看起来也是
正常运转的,但是我不太放心还是加了这行加密指令
set bundle enable encryption
下面我们还需要稍微修改一下mpd.links.sample
pptp:
set link type pptp
set pptp self 1.2.3.4
set pptp enable incoming
set pptp disable originate
上面的部分里面需要修改一下set pptp self 1.2.3.4这一行,这行是指定mpd
的pptp服务器绑定在那个地址上面,如果是我们现在使用ppp拨叫ADSL的情况,会遇
到网络界面改变,ip地址改变的情况,就不能定义这一句,所以针对我们的情况,我们
要去掉这句,其他的我们就不用改了
当然我们还要修改一下mpd.secret文件
这个文件定义了拨入用户的用户名和密码
用户名写在前面,密码写在后面用引号引起来,就像下面这样
fred "fred-pw"
当然还可以指定这个用户必须从那个地址或者网段来拨入,就像下面的例子:
joe "foobar" 192.168.1.1
bob "\x34\"foo\n" 192.168.1.10/24
之后我们还可以添加一句来默认让mpd执行pptp的这组设置,需要修改配置文件的这个
部分:
default:
load pptp
sample文件里面还有配置多用户登陆的情况下的样本,我就不用在写了,配置是一样的
改完这些之后只要运行mpd -b就可以启动了
由于考虑到安全原因我没有书写启动脚本在开机的时候启动mpd,因为对于防火墙来说
在没有用的时候多开一个端口就多一份危险,但是也许很多人需要在开机的时候自动运行
mpd,下面我还是提供一个启动脚本给大家,可以放在/usr/local/etc/rc.d/目录下面
记住要加上执行权限。
#!/bin/sh

PREFIX=/usr/local

case "$1" in
start)
if [ -x ${PREFIX}/sbin/mpd -a \
-f ${PREFIX}/etc/mpd/mpd.conf ]; then
${PREFIX}/sbin/mpd -b
echo -n ' mpd '
fi
;;
stop)
killall mpd && echo -n ' mpd '
;;
*)
echo "Usage: 'basename $0' {start|stop}" >&2
;;
esac

exit 0

下面我们要开启防火墙来测试一下了,我们开启防火墙还需要修改一下rc.conf文件
我们需要添加下列配置

firewall_enable="YES"
firewall_type="/etc/ipfw.conf"
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"
natd_flags="-f /etc/natd.conf"
其中两个需要说明,firewall_type=后面我这里是指定了一个文件来做定制配置,ipfw
还有其他几种默认的方式可选,例如open,client,close等等。我们用不到就不说了
无论如何一定要有以下这句,否则你的网关无法正常运转
gateway_enable="YES"
大家注意到我的转发界面设置的是rl0也就是我的网卡,这在使用ppp的时候是没有问题的,
但是如果用mpd作PPPoE拨号时候无论如何不行,必须设置成mpd的创建的ng0设备上。
我开始的想法如果无法把pptp的监听设定在外网界面上的情况下就把端口用natd从外网
转进来,谁知道pptp还需要端口以外的部分进行连接,所以现在natd基本上是没有什么
作用的。
下面我就给大家我的/etc/ipfw.conf里面关于如何让pptp连接通过的语句
add 40009 allow tcp from me 1723 to any
add 40010 allow tcp from any to me 1723
add 40011 allow gre from me to any
add 40012 allow gre from any to me
只有添加了这四句才可以使得客户端连接上网关,但是如果只有这四个,客户端连上了是
什么也干不了的,所以还要为客户端设置下面两个规则才行
add 40007 allow ip from any to 192.168.1.30 keep-state setup
add 40008 allow ip from 192.168.1.30 to any keep-state setup
注意我得配置中192.168.1.30是我分配给客户端得内网地址,如果你的地址定义跟我
不同你需要修改这个地址
由于安全原因,我不能把我完整的配置文件都放出来给大家了,关于其他的规则,请大家
参考iceblood写的通过FreeBSD共享ADSL上网等文章得防火墙设置或者查看man 8 ipfw
来定制自己的规则。
最后我还要感谢我的好朋友+同学platinum在配置过程中帮助我测试并提供了很多的资料
给我,帮助我最终解决了所有问题。
当然还有我家宝宝,忍受了我两天都没顾上照顾她:)感谢她对我的支持嘻嘻。,
相关文章 热门文章
  • freebsd 安装邮件系统extmail 防毒 防垃圾
  • FreeBSD上建立一个功能完整的邮件服务器(POSTFIX)
  • Freebsd环境下基于qmail系统的反病毒反垃圾邮件系统构建
  • 用Postfix架设FreeBSD下中小规模邮件系统
  • FreeBSD 服务器上彻底禁用 sendmail
  • 门户级反垃圾邮件系统KBAS发布FreeBSD版本
  • 在 FreeBSD 上彻底禁用 sendmail
  • 制作可以随身携带的FreeBSD系统
  • FreeBSD安装配置E-mail服务器
  • RSYNC ON FreeBSD 5.2 HOWTO V1.0
  • 浅谈FreeBSD 5.2常用操作的改变
  • FreeBSD 6.0-下建立高速DNS缓存服务器
  • 制作U盘启动的RAMDISK为根目录的FreeBSD
  • 打造FreeBSD桌面系统
  • 菜鸟学装FreeBSD5.1图解(一)
  • Free BSD常用指令简述
  • 使用FreeBSD的SNMP+MRTG网络流量分析
  • 菜鸟学装FreeBSD5.1图解(二)
  • 使用FreeBSD配置基于ADSL的VPN网关+防火墙
  • 安装实战:FreeBSD6.1桌面安装指南
  • 制作软盘上运行的FreeBSD系统
  • FreeBSD 5.0 硬盘安装指南
  • 给FreeBSD新手的一些建议
  • 新兴桌面软件 Ubuntu叫板 Windows
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号