САМЫЙ СЕРЬЕЗНЫЙ ГЕЙТ
Настраиваем ipfw + NAT во FreeBSD

DemiurG (arkhangel@mail.ru)

Спецвыпуск Xakep, номер #033, стр. 033-054-1

Пингвин уже больше не прячет тело жирное в утесах, а наоборот уютно занял пять или шесть гигов на твоем харде, разложил свою аппетитную тушку на одной из партиций, радикально прописался в mbr, и уже при каждой загрузке компа тебя встречает жизнерадостный логотип Линуха и приглашение lilo (хотя, может, у кого-то grub?).

Но как же остальные UNIX системы? Ведь существует масса других бесплатных стабильных операционных систем, более пушистых, идейных, радующих сердце (ночами) и согревающих душу в морозный день. Ты, наверно, уже понял, мой маленький друг, что сегодня мы будем говорить о FreeBSD.

КТО Я ТАКОЙ?

Я работаю системным администратором в одной из московских фирм. В один чудный день руководство компании попросило меня (да-да, меня... сисадмина) создать систему трафика, по которой было бы видно, сколько каждый пользователь выкачивает из Интернета. Прошел месяц, и эта система трафика была создана и уже почти два месяца как практически без багов (что удивительно) функционирует в нашей сети. Именно опытом создания такой системы я и хочу поделиться на страницах нашего любимого журнала (я о Спец-Хакере, если кто не понял).

АХТУНГ! АХТУНГ! ФРИБЗДЯ...

Операционная система FreeBSD не имеет ничего общего с Линухом. У них изначально были совершенно разные пути развития и принципиально разная история. Если FreeBSD по сути вышла из институтской среды, мутировав из UNIX System V, то linux был полностью написан с нуля Линусом Торвальдсом, который просто пытался написать хороший бесплатный UNIX (что ему в принципе и удалось). FreeBSD имеет более долгую историю, более глобальные корни (схему развития можно проследить на сайте http://www.levenez.com/unix/history.html#06). Я надеюсь, что ты более-менее подкован, так как такие вещи, как установка FreeBSD, работа с сетью, компилирование ядра, здесь рассмотрены чисто схематично.

ФИГНЯ ВОЙНА - ГЛАВНОЕ МАНЕВРЫ

Что такое NAT? NAT расшифровывается как Network Address Translation. Он позволяет локальной сети выходить в другую сеть (ну, допустим в Интернет) через один комп. Функционирование NAT показано на схеме.

Комп, через который идет весь трафик сети, называется роутером или маршрутизатором. Стоит заметить, что роутер является компьютером лишь в частном случае. Очень часто (если позволяют средства) в качестве маршрутизаторов мы видим всем известные устройства компании Cisco и их конкурентов. Это все я к тому, что Cетевая Трансляция Адресов - это не просто программка, для того чтобы тебе было удобнее качать порнушку, а технология, которая встраивается практически во все роутеры, и реализовать ее можно практически на любой системе. Обычно (иначе просто не имеет смысла) на NAT навешен еще и firewall, который, благодаря админским правилам, запрещает/разрешает/подсчитывает определенные ip-пакеты. Благодаря NAT достигается:

1) экономия ip-адресов, так как используется только один внешний адрес, который мы и пробиваем на роутере;

2) увеличивается безопасность, так как все внутренние адреса скрыты за роутером, на котором firewall отсекает ненужные запросы;