架設 NAT

獅湖國小許仲佑

因為，校內電腦增多 IP 漸有不敷使用之勢 

電腦課時，學生常趁隙連結到不當網站之慮 

於是，決定架設一 NAT ，介於 電腦教室 與 主要網路幹線間 

硬體： CPU: PII-233, RAM:128MB, HD: 10GB(IDE), NIC: Intel-Pro (2 片，一對外，一對內) 

軟體： OS: FreeBSD 5.3 Application: natd, ipw ( OS 內附 ), isc-dhcpd 

作法： 


重編 kernerl ，加入底下選項：


### Firewall setup #############
options IPFIREWALL # Support firewall
options IPFIREWALL_DEFAULT_TO_ACCEPT
options IPFIREWALL_VERBOSE
options IPFIREWALL_VERBOSE_LIMIT=10
options IPDIVERT # Support NAT
options IPFIREWALL_FORWARD
options DUMMYNET
################################


rc.conf 內容：


defaultrouter="163.32.xxx.xxx" 
hostname="xxx.xxx.kh.edu.tw"
ifconfig_fxp0="inet 163.32.xxx.xxx netmask 255.255.255.0" ### 對外
ifconfig_fxp1="inet 192.168.0.254 netmask 255.255.255.0" ### 對內

####### NAT setup ###################
gateway_enable="YES"

firewall_enable="YES"
firewall_type="simple" ### simple 表示 firewall 去讀 rc.firewall 那個檔
firewall_quiet="YES"
tcp_extensions="YES"

natd_enable="YES"
natd_interface="fxp0" ### 對外真實 IP 那片

sendmail_enable="NONE" ### 關閉 sendmail 


rc.firewall 內容：


#!/bin/sh

# clean all rules
/sbin/ipfw -f flush

# add deny rules
/sbin/ipfw add deny ip from 61.56.84.210 to any ##deny www.slime.com.tw
/sbin/ipfw add deny ip from 211.20.189.138 to any ##deny 彈水阿給
/sbin/ipfw add deny ip from 210.64.125.14 to any ##deny 彈水阿給

# NAT
#/sbin/ipfw add 1000 pass all from 127.0.0.1 to 127.0.0.1
/sbin/ipfw add divert natd all from any to any via fxp0
/sbin/ipfw add pass all from any to any



架設 DHCP Server , 要注意是由 fxp1 發出假 IP 


若 Samba Server 在 NAT 外需連接者


MDK-Linux 連接無問題，可就此收工 

MS-Windows 的連接鐵定會有連接不上的問題 

可以上 http://nbfw.sourceforge.net/ 尋求解決之道 

或是 把 Samba Server 移入 NAT 內 

或是 在 Samba Server 多加一塊網卡， 再將該網卡 IP 設定為該 NAT 一份子 

Samba Server 視需要決定是否異動 smb.conf ，即是否接受 NAT 網段的連接