Пример настройки трансляции адресов

Итак, пусть наша сеть подключается через шлюз к Интернету. Шлюз имеет два интерфейса: ${internal} – внутренний и ${external} – внешний. Компьютеры внутри сети имеют адреса из диапазона, рекомендованного для использования внутри сетей. Необходимо:

n  обеспечить маскирование компьютеров с внутренними адресами внешним адресом интерфейса;

n  дать возможность работать прозрачному прокси-серверу ${proxy};

n  перенаправлять входящие из Интернета соединения по 25 порту на хост ${mailhub} внутри сети.

Все перечисленные задачи решаются с помощью natd. Первым делом необходимо изменить правила фильтрации пакетов так, чтобы трафик, проходящий через внешний интерфейс, обрабатывался демоном:

# ipfw add 6000 divert natd ip from any to any via ${external}

Теперь, когда natd получает весь внешний трафик, он должен правильно обработать его. Задача конфигурирования natd сводится к выбору набора директив, которые должны быть указаны в конфигурационном файле /etc/natd.conf или в качестве аргументов при запуске natd.

Конфигурация выглядит так (вместо переменной ${external} нужно указать имя интерфейса, например xl0 или en1, а вместо ${proxy} и ${mailhub} нужно подставить соответствующие IP-адреса):

interface ${external}                  

proxy_rule port 80 server ${proxy}:3128

redirect_port tcp ${mailhub}:25 25

Первый параметр указывает, что маскировка внутренних компьютеров должна проводиться адресом внешнего интерфейса ${external}.

Второй параметр заставлет natd перенаправлять все соединения по 80 порту на порт 3128 прокси-сервера ${proxy}. Для того чтобы прозрачное проксирование работало, сервер должен быть настроен соответствующим образом.

Последнее правило обеспечивает перенаправление входящих SMTP-соединений на хост ${mailhub} внутри сети. Теперь почтовый сервер и брандмауэр разнесены на разные машины. Стоит отметить, что поскольку 25-й порт хоста ${mailhub} выставлен в Интернет, хост следует размещать внутри DMZ, а на безопасности программы почтового сервера этого хоста сосредоточить усиленное внимание.

Регулировка величины трафика

Что такое регулировка трафика, и зачем она нужна

В простейшем случае задача регулировки трафика формулируется так: через наш шлюз проходит информационный поток A величной V(A). Мы хотим ограничить этот поток каким-нибудь значением Vmax. То есть, грубо говоря, сделать так, чтобы все, что выходит за пределы зачения Vmax, попросту уничтожалось[1].

Каждому потоку назначается специальный буфер, работающий по принципу очереди. Буфер наполняется с той скоростью, с какой в него поступают данные (Vin), а опустошается со скоростью, не превышающей заданную (Vout). В том случае, если Vin находится в допустимых пределах, поток проходит через буфер в полном объеме. Если же буфер наполняется быстрее, чем опустошается, может наступить такой момент, когда он будет полностью заполнен и вновь поступающие данные будут попросту уничтожаться.

Можно не только ограничивать трафик, но и вносить, например, задержку в него, или уничтожать пакеты с заданной вероятностью. Как правило, это делается для решения каких-либо экспериментаторских задач, но иногда может быть полезно и в чисто практических целях.

Средства, которые управляют трафиком подобным образом, называют трафик-шейперами (traffic-shaper), формирователями или регулировщиками трафика.

Трафик-шейпер в FreeBSD

В состав ядра FreeBSD входит модуль dummynet, который позволяет эмулировать канал связи, обладающий