FreeBSDでCATV&家庭内LAN&PPPサーバー320-5

5．ipfilter(ip-fil3.3.1.tar.gz)のインストール&設定　[目次へ]

　ip-filterはNICカードを2枚使って、ローカルネットワークとグローバルネットワークを分けている場合の橋渡しをします。そのままデータをすべて橋渡しをせずに、橋渡しするデータの設定ができます。いわゆるファイアーウオールの役目をします。しかも、nat+ipマスカレード機能もありますので、グローバルアドレスが1つでも、ローカル側の何台でも、そのアドレスを使ってインターネットに接続することが出来ます。

IP Filter Current version: 3.3.1
　　　http://coombs.anu.edu.au/~avalon/　よりダウンロード

　　ip-fil3.3.1.tar.gzを、Windowsで1.44MBのFDにダウンロードする。

　1) IP Filterのダウンロード&コピー

　　#mount -t msdos /dev/fd0 /mnt
　　#cp /mnt/ip-fil3.3.1.tar.gz /
　　#cd /
　　#tar zxvf ip-fil3.3.1.tar.gz　で /ip_fil3.3.1　が解凍される
　　#mv ip_fil3.3.1 /usr/local/bin/
　　#umount /mnt
　　#ee /usr/local/bin/ip_fil3.3.1/FreeBSD-3/INST.FreeBSD-3　でインストール方法を確認する。
　　#ee /usr/local/bin/ip_fil3.3.1/INSTALL.FreeBSD　でインストール方法を確認する。
　　#ee /usr/local/bin/ip_fil3.3.1/NAT.FreeBSD　でインストール方法を確認する。

　2) IP Filterのインストール

　　1.#cd /usr/src/sys/i386/conf
　　　#cp MYKERNEL FIREWALL
　　　　　(identの行をMYKERNELからFIREWALLに書き換えること)
　　　#config FIREWALL

　　2.#cd /usr/local/bin/ip_fil3.3.1
　　　#make freebsd3

　　3.#make install-bsd

　　4.#FreeBSD-3/kinstall
　　　Kernal configuration to update [FIREWALL] [returnキー]

　　5.#cd /usr/src/sys/i386/conf
　　　#config FIREWALL
　　　#cd /usr/src/sys/compile/FIREWALL
　　　#make depend;make

　　6.#make install

　　7./etc/rc.local　に追加する

/etc/rc.local　の変更

　#ee /etc/rc.local

　　modload /lkm/if_ipl.o　　　　　　　　 ←モジュールを読み込む
　　ipnat -f /etc/natrules　　　　　　　　←NAT 変換ルールを読み込む
　　sysctl -w net.inet.ip.forwarding=1　　←ルーティングを有効化

　　8./etc/natrules　を次のように作成する

/etc/natrules　の変更

　#ee /etc/natrules

　　map ed1 192.168.13.0/24 -> 210.rrr.uuu.abc/32 portmap tcp/udp 10000:65000

　　fe0のプライベートの192.168.13.0/24(192.168.13.1～192.168.13.254までの254台分)までの
　　IPアドレスをed1のグローバルのdhcpcで割り当てられたアドレスに変換する。

　　ed1はNICの外部CATV側
　　192.168.13.0はfe0の内部側
　　210.rrr.uuu.abc　は、dhcpcで割り当てられたグローバルなアドレスにする。
　　#ifconfig -a で確認できる(ed1のアドレス)　これは、自動的にならないので強制的に入力する。

　　注）ed1のdhcpcからのアドレスが変わったら210.rrr.uuu.abcを変更すること。

　　DHCPCによるIPアドレス配給が変わっても
　　map ed1 192.168.13.0/24 -> 0/32 portmap tcp/udp 10000:65000
　　とすればよいとの情報もあります。

　　9./etc/rc.conf　に追加する

/etc/rc.conf　の変更

　#ee /etc/rc.conf

　　static_routes="foo"
　　route_foo="192.168.13.0 -netmask 0xffffff00 -interface 192.168.13.11"

　　この2行を追加する。"foo" は識別子なので，上の2行が同じ識別子であればよい．
　　192.168.13.11は、ローカル側のNIC(fe0)のアドレス

　　network_interfaces="fe0 ed1 lo0"
　　ifconfig_ed1="inet 192.168.13.7 netmask 255.255.255.0" ←あとでdhcpcで書き換えられる
　　ifconfig_fe0="inet 192.168.13.11 netmask 255.255.255.0"
　　ifconfig_lo0="inet 127.0.0.1"

　　上記のように、NICの2枚とも設定されているか確認しておく。

　　10.#reboot

　　11.確認

　　　ipnat -ls　←To check and see if it is loaded, as root type
　　　ifconfig -a
　　　netstat -rn

　ここまでのインストールで、ローカルなLANから192.168.13.11をゲートウエイとして、
　210.rrr.uuu.abcのアドレスでインターネットのアクセスができるようになります。
　家庭内LANからインターネットへは、wwwとメールとブラウザからのftpは問題ありません。
　よくわかりませんが、FTPソフトでのftpをする場合は、/etc/natrulesを変更するか、FTPソフトの設定をしないと使えないのかもしれません。

　注)PASV(パッシブモード)転送の設定が出来るFTPソフトであれば、この設定をすることにより、
　FTPが可能となります。(poohさん情報有り難うございました)1999.9

　[目次へ]