FreeBSD som router for Windows-klienter

Hvis din freebsd box ikke skal køre andet end router, er der nogle linux distibutioner som kommer på 1 diskette og som ikke kan andet end at køre router/firewall.

En af dem er The Linux Router Project, som vist nok kan findes på http://http://www.linuxrouter.org/

/thomas

den skal bruges til andet:
samba
proftp
apache
mm.

Det er meget let faktisk. Det eneste du skal er at følge eksemplet i man filen natd ved at skrive \"man natd\" på din FBSD box. Så nederst så står det. Ellers har jeg lavet en copy paste af det her og siden hvor der står man om det er.

http://www.freebsd.org/cgi/man.cgi?natd

RUNNING NATD
    The following steps are necessary before attempting to run :

    1.  Build a custom kernel with the following options:

                options IPFIREWALL
                options IPDIVERT

          Refer to the handbook for detailed instructions on building a custom
          kernel.

    2.  Ensure that your machine is acting as a gateway.  This can be done
          by specifying the line

                gateway_enable=YES

          in the /etc/rc.conf file or using the command

                sysctl -w net.inet.ip.forwarding=1

    3.  If you use the -interface option, make sure that your interface is
          already configured.  If, for example, you wish to specify `tun0\' as
          your interface, and you are using ppp(8) on that interface, you must
          make sure that you start ppp prior to starting .

    Running natd is fairly straight forward.  The line

          natd -interface ed0

    should suffice in most cases (substituting the correct interface name).
    Please check rc.conf(5) on how to configure it to be started automatical­
    ly during boot.  Once natd is running, you must ensure that traffic is
    diverted to :

    1.  You will need to adjust the /etc/rc.firewall script to taste.  If
          you are not interested in having a firewall, the following lines
          will do:

                /sbin/ipfw -f flush
                /sbin/ipfw add divert natd all from any to any via ed0
                /sbin/ipfw add pass all from any to any

          The second line depends on your interface (change `ed0\' as appropri­
          ate).

          You should be aware of the fact that, with these firewall settings,
          everyone on your local network can fake his source-address using
          your host as gateway.  If there are other hosts on your local net­
          work, you are strongly encouraged to create firewall rules that only
          allow traffic to and from trusted hosts.

          If you specify real firewall rules, it is best to specify line 2 at
          the start of the script so that natd sees all packets before they
          are dropped by the firewall.

          After translation by , packets re-enter the firewall at the rule
          number following the rule number that caused the diversion (not the
          next rule if there are several at the same number).

    2.  Enable your firewall by setting

                firewall_enable=YES

          in /etc/rc.conf. This tells the system startup scripts to run the
          /etc/rc.firewall script.  If you do not wish to reboot now, just run
          this by hand from the console.  NEVER run this from a remote session
          unless you put it into the background.  If you do, you will lock
          yourself out after the flush takes place, and execution of
          /etc/rc.firewall will stop at this point - blocking all accesses
          permanently.  Running the script in the background should be enough
          to prevent this disaster.

btw, så vil dette også sætte en lille firewall op, som tillader alt, men i kan selv se hvordan man justere på den.. Jeg sidder selv med to ADSL routere, hvor jeg lader noget af min interne trafik ud ad til gå via den ene og noget til den anden og det er gjort med ipfw programmet, så der er en del, som kan laves alligevel ;o)

hehe cool
det ser jo ud til at det er lige det jeg skal bruge :) Jeg tester det lige når jeg kommer hjem fra skole.
z master er der nogle gode bøger om FireWall konfigurering du kan anbefale eller dækker MAN-siderne og FreeBSD handbook alle ens behov? Jeg skal også have sat noget dummynet op til båndbredde kontrol.

Man siderne og freebsd.org plus irc kanalen på efnet (irc.gigabell.de) #freebsdhelp , der kan du få svar på det meste indenfor overskuelig tid, hvis det er det. Jeg har selv ingen bøger om firewalls eller noget.. Jeg har bare kigget rundt.

hmm Vedrørende båndbreddekontrol kan du bruge IPFW.. I man siderne \"man ipfw\" fortæller den eksempler på hvordan det virker.. Såvidt jeg ved så virker det på mit system.. Jeg har bare ikke gennemstestet det ordenligt endnu. Men på det interne net kom jeg til at give alle kun 128kbit/S hvilket ikke er så sejt på et LAN?
Det så ud til at virke ;oP.. Skulle dog kun have været på Internetsiden det skulle gøres på, så jeg skal lige have sat den op, så alle fra 192.168.1.* har max hastighed ;o)

hehe det sker jo :) har selv lige messed kernel, så jeg blev nød til at geninstallaret FreeBSD.

Hmm.. Du ved godt at når du genstarter FBSD, så er der en tæller.. Hvis du trykker på alt andet end \"enter\", så kommer du ind i en safemode. Så skal du bare skrive \"boot kernel.old\".. Så booter den din gamle kerne. Så når du kommer ind igen, så sletter du den nye og ændre navnet på den gamle.. Forslag. Gem din kerne. den hedder kernel og ligger i /, så du ikke behøver at reinstallere ;o). Jeg fuckede også min kerne op for nogle dage siden for første gang og jeg gad ikke at installere alt mit routing og apache og mail og ftp og alt det igen.. Det har taget mig flere dage at sætte ordenligt op ;o)

ok tak for tippet :)

hov jeg var logget ind hos en kammerat :)

humm det funger ikke når jeg kører firewall scriptet siger den:

Flushed all rules
ip_fw_ctl: invalid command
ipfw: getsockopt(IP_FW_ADD): invalid argument
00100 allow ip from any to any

Hvad betyder de to fejlmeddelelser?

der er en seriøs fejl i eksperten.dk man kan ikke logge ud og logge ind igen som en anden bruger hvis man har sat den til at gemme passwordet det er rimelig irriterende :) Har nu kommet til at skrive med mine kammeraters accounts mange gange!

Hmm Hvor er du nået helt præcist, når den kommer med den fejl?

Det kunne lyde, som om at du ikke har compilet kernen endnu og den mangler et modul?

Hmm Det ser ud til at når du prøver at få ipfw til at få natd til at lave en divert at der sker en fejl. Har du husket compile din kerne med \"IPDIVERT\" og har du husket at starte din natd program.

men prøv lige først at skrive dette ind.

/sbin/ipfw -f flush
/sbin/ipfw add 65533 divert 8668 ip from any to any via dit_netkort
/sbin/ipfw add 65534 allow ip from any to any

Ellers, kontakt mig på elkvixen@easyfrag.dk. Den mail kan jeg hurtigere få tjekket end at skulle ind på eksperten hele tiden.
Og hvis det går helt galt, så vil jeg høre om jeg kunne få en bruger account og superuser passwordet, som du har lavet om til noget andet, så jeg ikke får det rigtige for lige at tjekke hvad der sker?

humm den melder samme fejl ved divert men ikke ved allow, det er sikkert en kernel fejl :( Hvad hedder den fil hvor man sætter kernel options?

mange gange tak for svaret!