32.10. Network Address Translation буюу Сүлжээний Хаягийн Хөрвүүлэлт
Хувь нэмэр болгон оруулсан Шерн Ли.32.10.1. Тойм
FreeBSD-ийн Network Address Translation буюу Сүлжээний Хаягийн Хөрвүүлэлтийн дэмон нь natd(8) гэгддэг бөгөөд ирж байгаа түүхий IP пакетуудыг хүлээн авч эх хаягийг локал машиныхаар сольж эдгээр пакетуудыг гарч байгаа IP пакетийн урсгалд буцааж дахин оруулдаг. natd(8) нь өгөгдлийг буцаан хүлээн авахад өгөгдлийн анхны байрлалыг тодорхойлж чаддаг байхаар эхлэл IP хаяг болон портыг өөрчилж түүнийг анхлан хүсэгчид буцааж дамжуулдаг.
NAT-ийн хамгийн түгээмэл хэрэглээ бол Интернэтийн холболт хуваалцах гэгддэгийг хийж гүйцэтгэх явдал юм.
32.10.2. Анхны тохируулга
IP хаягийн хэмжээ багасаж байгаа болон кабель эсвэл DSL зэрэг өндөр хурдны хэрэглэгчийн шугамууд ашиглах хэрэглэгчдийн тоо ихэссэнээс болоод хүмүүст Интернэтийн холболт хуваалцах шийдлийн хэрэгцээ нэмэгдэх болсон билээ. Хэд хэдэн компьютеруудыг шууд нэг холболтоор холбох чадвар болон IP хаяг нь natd(8)-г боломжийн сонголт болгодог.
Хамгийн түгээмэл тохиолдол нь хэрэглэгч кабель эсвэл DSL шугаманд нэг IP хаягтай холбогдсон машинтай бөгөөд LAN-аар дамжуулан хэд хэдэн компьютеруудад Интернэтийн хандалт өгөхийн тулд энэ холбогдсон нэг компьютераа ашиглахыг хүсдэг явдал юм.
Үүнийг хийхийн тулд Интернэт дэх FreeBSD машин нь гарц маягаар ажиллах ёстой. Энэ гарц машин нь хоёр NIC-тэй байх ёстой—нэг нь Интернэтийн чиглүүлэгч уруу холбогдохын тулд, нөгөөх нь LAN уруу холбогдохын тулд ашиглагдах ёстой. LAN дахь бүх машинууд нь холбох төхөөрөмж (hub) юм уу эсвэл шилжүүлэгчээр (switch) холбогдсон байна.
Тэмдэглэл: FreeBSD гарцаар LAN-ийг Интернэттэй холбох олон арга замууд байдаг. Энэ жишээ нь хамгийн багаар бодоход хоёр NIC-тэй гарцыг зөвхөн тайлбарлах болно.
Үүнтэй адил тохиргоог Интернэтийн холболтыг хуваалцахын тулд түгээмэл ашигладаг. LAN машинуудын нэг нь Интернэтэд холбогдсон. Бусад машинууд нь тэр “гарц” машинаар Интернэтэд ханддаг.
32.10.3. Ачаалагч дуудагчийн тохиргоо
natd(8)-ийн тусламжтайгаар хийх сүлжээний хаягийн хөрвүүлэлтэд зориулсан цөмийн боломжууд GENERIC цөмд идэвхжүүлэгдээгүй байдаг боловч /boot/loader.conf файлд хоёр тохиргоо нэмж тэдгээрийг ачаалах явцад дуудахаар тохируулж болдог:
ipfw_load="YES" ipdivert_load="YES"
Мөн net.inet.ip.fw.default_to_accept тохиргоог 1 болгож болно:
net.inet.ip.fw.default_to_accept="1"
Тэмдэглэл: Галт хана болон NAT гарцыг анх удаа тохируулахдаа энэ тохиргоог тохируулах нь зүйтэй байдаг. Ингэснээр ipfw(8)-ийн анхдагч бодлого нь илүү хаалттай deny ip from any to any гэсэн бодлого биш харин allow ip from any to any гэсэн илүү нээлттэй бодлого болох бөгөөд дахин ачаалалтын дараа системд хандах боломж хэвээр байх юм.
32.10.4. Цөмийн тохиргоо
Модулиудыг сонгодгоор биш эсвэл бүх шаардлагатай боломжуудыг цөмд оруулж бүтээхийг хүсэж байгаа бол дараах тохируулгууд цөмийн тохиргооны файлд байх ёстой:
options IPFIREWALL options IPDIVERT
Мөн нэмэлтээр дараах нь бас тохиромжтой байж болох юм:
options IPFIREWALL_DEFAULT_TO_ACCEPT options IPFIREWALL_VERBOSE
32.10.5. Системийн эхлүүлэх тохиргоо
Галт хана болон NAT дэмжлэгийг ачаалах явцад идэвхжүүлэхийн тулд дараах мөрүүдийг /etc/rc.conf файлд оруулж өгөх ёстой:
gateway_enable="YES"firewall_enable="YES"
firewall_type="OPEN"
natd_enable="YES" natd_interface="fxp0"
natd_flags=""
- Машиныг гарц маягаар ажиллахыг тохируулна. sysctl net.inet.ip.forwarding=1 тушаалыг ажиллуулах нь бас адил үр дүнтэй.
- /etc/rc.firewall файл дахь галт ханын дүрмүүдийг ачаалах үед идэвхжүүлнэ.
- Энэ нь урьдчилан тодорхойлсон байдаг бүгдийг оруулахыг зөвшөөрдөг галт ханын дүрмийн олонлогийг заана. Нэмэлт төрлүүдийн талаар /etc/rc.firewall файлаас үзнэ үү.
- Аль интерфэйс пакетуудыг нэвтрүүлэн дамжуулахыг заана (Интернэтэд холбогдсон интерфэйс).
- Ачаалах үед natd(8)-д дамжуулах нэмэлт тохиргооны сонголтууд.
Өмнөх тохируулгуудыг /etc/rc.conf файлд тодорхойлсноор natd -interface fxp0 тушаалыг ачаалах үед ажиллуулна. Үүнийг гараар бас ажиллуулж болно.
Тэмдэглэл: Их олон сонголтуудыг дамжуулах бол natd(8)-д зориулж тохиргооны файлыг ашиглаж бас болно. Энэ тохиолдолд дараах мөрийг /etc/rc.conf файлд нэмж тохиргооны файлыг тодорхойлох шаардлагатай:
natd_flags="-f /etc/natd.conf"/etc/natd.conf файл нь тохиргооны сонголтуудын жагсаалтыг нэг мөрөнд нэгийг байхаар агуулдаг. Жишээ нь дараах хэсгийн хувьд доорх файлыг ашиглах болно:
redirect_port tcp 192.168.0.2:6667 6667 redirect_port tcp 192.168.0.3:80 80Тохиргооны файлын тухай дэлгэрэнгүй мэдээллийг natd(8) гарын авлагын хуудасны
-fтохируулгын талаар бичсэнээс лавлана уу.
LAN-ий ард байгаа машин болон интерфэйс бүр RFC 1918-д тодорхойлогдсон хувийн сүлжээний хаягаас заагдсан IP хаягтай, natd машины дотоод IP хаягийг анхдагч гарц болгон заасан байх ёстой.
Жишээ нь LAN-ий цаана байгаа клиент A болон B нь 192.168.0.2 болон 192.168.0.3 гэсэн IP хаягтай байх бол natd машины LAN интерфэйс нь 192.168.0.1 гэсэн IP хаягтай байна. Клиент A болон B-ийн анхдагч гарц natd машины 192.168.0.1-ээр тохируулагдах ёстой. natd машины гадаад буюу Интернэтийн интерфэйс нь natd(8)-г ажиллуулахын тулд ямар нэгэн тусгайлсан өөрчлөлтийг шаарддаггүй.
32.10.6. Порт дахин чиглүүлэлт
natd(8)-ийн сул тал нь LAN клиентүүдэд Интернэтээс хандах боломжгүй байдаг. LAN дахь клиентүүд нь гаднах ертөнц уруу чиглэсэн гадагшаа холболтуудыг хийж чадах боловч ирж байгааг хүлээн авч чаддаггүй. LAN клиент машинуудын аль нэгэн дээр Интернэтийн үйлчилгээнүүдийг ажиллуулахыг оролдох үед энэ нь асуудал үүсгэдэг. Үүнийг тойрох хялбар арга бол natd машины сонгосон Интернэтийн портуудыг LAN клиент уруу дахин чиглүүлэх явдал юм.
Жишээ нь A клиент дээр IRC сервер, B клиент дээр вэб сервер ажиллаж байна гэж үзье. Эдгээр нь зөв ажиллахын тулд 6667 (IRC) болон 80 (вэб) портууд дээр хүлээн авсан холболтууд нь тохирох машинууд уруу дахин чиглүүлэгдэх ёстой юм.
natd(8) уруу -redirect_port тохируулга зохих
сонголтуудтай дамжуулагдах ёстой. Зөв бичих
дүрэм нь ийм байна:
-redirect_port proto targetIP:targetPORT[-targetPORT]
[aliasIP:]aliasPORT[-aliasPORT]
[remoteIP[:remotePORT[-remotePORT]]]
Дээрх жишээний хувьд нэмэлт өгөгдөл нь ийм байх ёстой:
-redirect_port tcp 192.168.0.2:6667 6667
-redirect_port tcp 192.168.0.3:80 80
Энэ нь зөв tcp портуудыг LAN клиент машинууд уруу дахин чиглүүлэх болно.
-redirect_port нэмэлт өгөгдлийг порт
тус бүрийг заахад ашиглахаас гадна бас бүлэг
портуудыг заахад хэрэглэж болно. Жишээ нь tcp 192.168.0.2:2000-3000 2000-3000 нь 2000-аас 3000
хүртэлх портууд дээр хүлээн авсан бүх
холболтуудыг A клиентийн 2000-аас
3000 хүртэлх портууд уруу дахин чиглүүлэх болно.
Эдгээр тохируулгуудыг natd(8)-г шууд ажиллуулж байх үед /etc/rc.conf файлд natd_flags="" тохируулга дотор оруулж ашиглаж болохоос гадна тохиргооны файлын тусламжтай дамжуулж болно.
Тохиргооны сонголтуудын талаар natd(8)-с лавлана уу
32.10.7. Хаяг дахин чиглүүлэлт
Хаягийн дахин чиглүүлэлт нь хэд хэдэн IP хаягууд байгаа бөгөөд тэдгээр нь нэг машин дээр байх ёстой үед ашигтай байдаг. Үүнийг ашиглаад natd(8) нь өөрийн LAN клиент бүрдээ өөрийн гадаад IP хаягуудыг өгч чаддаг. Дараа нь natd(8) нь LAN клиентүүдээс ирэх гадагш чиглэсэн пакетуудыг зөв гадаад IP хаягаас болгон дахин бичиж тухайн IP хаяг дээр ирж байгаа бүх урсгалыг тохирох LAN клиент уруу дахин чиглүүлдэг. Энэ нь бас статик NAT гэж нэрлэгддэг. Жишээ нь 128.1.1.1, 128.1.1.2, болон 128.1.1.3 гэсэн IP хаягууд нь natd гарц машинд харьяалагдаж байна гэж үзье. 128.1.1.1 нь natd гарц машины гадаад IP хаяг болон ашиглагдаж болох бол 128.1.1.2 болон 128.1.1.3 нь A болон B LAN клиентүүд уруу буцааж дамжуулагдахаар байж болно.
-redirect_address бичлэг нь дараах
маягийн байна:
-redirect_address localIP publicIP
Энэ жишээний хувьд энэхүү нэмэлт өгөгдөл нь ингэж уншигдаж болно:
-redirect_address 192.168.0.2 128.1.1.2 -redirect_address 192.168.0.3 128.1.1.3
-redirect_port тохируулгын нэгэн адил
эдгээр нэмэлт өгөгдлүүдийг /etc/rc.conf файлын natd_flags="" тохируулгад хийж өгч
болохоос гадна тохиргооны файлаар дамжуулж
болно. Хаягийн дахин чиглүүлэлт дээр тухайн
нэг IP хаяг дээр хүлээн авсан бүх өгөгдөл дахин
чиглүүлэгддэг учраас портын дахин чиглүүлэлт
шаардлагагүй байдаг.
natd машины гадаад IP хаягууд нь идэвхтэй байж гадаад интерфэйсийн нэрээр нэрлэгдсэн байх ёстой. Үүнийг хийхийн тулд rc.conf(5)-г үзнэ үү.