logo
Etusivu
Käsikirja
Opinnäytetyö
Tiedostot
Linkit
Muuta

LeHTori

Käsikirja

2 FreeBSD Käyttöjärjestelmä

2.1 Esitellään FreeBSD

2.2 Asennetaan FreeBSD

2.3 Yleistä UNIX järjestelmistä

2.4 Peruskomennot

2.5 Komentotulkit

2.6 Ohjelmien asentaminen ja päivittäminen

2.7 Käynnistysjonot

2.8 Asetustiedostot

2.9 Levykiintiö eli quota

2.10 FreeBSD:n kerneli

2.11 Yhteyden jakaminen NATD:llä

2.12 Palomuuriohjelmistot

2.13 Cvsup ja verkosta päivittäminen

2.14 Käyttöjärjestelmän päivittäminen

2.15 XFree86 Ikkunointijärjestelmä

2.16 Sysinstall Ohjelmisto

2.17 Yleisiä ongelmia

2.18 Muuta

2.19 Levyjärjestelmän laitteiden-nimet

3 Asennetut palvelinohjelmistot ja niiden käyttäminen

3.1 Samba ja toimialuepalvelin

3.2 Squid, Internetin välityspalvelin (proxy)

3.3 Apache, Web-palvelin

3.4 Postfix, Sähköpostipalvelin

3.5 Popd, Sähköpostin hakupalvelin

3.6 Openwebmail

3.7 Bind9, DNS-palvelin

3.8 OpenSSH

3.9 OpenSSL sertifikaatti


2.11 Yhteyden jakaminen NATD:llä

Natd:llä verkon reitittimen rakentaminen:

Natd nopeasti: Natd on helppo ja hyvä tapa suojata koti tai yritysten verkkoyhteyksillä. Yhdellä palvelimella voidaan hallita koko verkkosi palomuuria ja tiedon liikkumista sieltä edestakaisin.

Minulla on yksi kortti voinko toteuttaa NATD:n sillä?

Tottahan toki, tietoturvan kannalta on kuitenkin järkevämpää, jos toteutat NATD:n kahdella kortilla. Tällöin sisäverkon liikenne eroaa täysin ulkoverkon liikenteestä.

Voinko pitää esimerkiksi FTP palvelinta sisäverkossa?

Kyllä voit, ohjata esimerkiksi FTP liikenteen portin uudelleen sisäverkkoon, tällöin NATD lähettää liikenteen tässä portissa sisäverkon koneellesi, joka vastaan ottaa ja vastaa kyselyyn.

Voiko NATD:lla jakaa yhteyden useammalle kuin yhdelle koneelle?

Kyllä voi, NATD mahdollistaa periaatteessa 255x255x255 konetta palvelimesi perään. Kaiken hyvän lisäksi ne voivat näkyä yhtenä osoitteena ulkoverkkoon, jolloin esimerkiksi sinun ei tarvitse huolehtia puhelinyhtiöiden antamista "kone rajoituksista", koska koko verkkosi voi näkyä yhtenä koneena ulospäin.

Pika ohje natd:n rakentamiseen ipfw palomuuria käyttäen yksisuuntaiselle osoitemuunnokselle:

Lisää kerneliin seuraavat rivit:
options IPFIREWALL
options IPDIVERT

käännä kernelisi uudelleen ja käynnistä koneesi uudella kernelillä

Termejä:

RajapintaVerkkolaiteesi kutsuma nimi esimerkiksi vr0
BittisyysNetmaskin koko
NetmaskAliverkon peite
osoiteavaruusIP-osoiteväli, montako IP-osoitetta mahtuu "avaruuteen" /16 avaruuteen mahtuu = 65025 osoitetta

Muutokset rc.conf tiedostoon

gateway_enable="YES"Kerrotaan käyttöjärjestelmälle, että se toimii verkonreitittimenä
natd_enable="YES"Käynnistetään nat daemoni käynnistyksen yhteydessä
natd_interface="rajapinta"Verkon rajapinta, kortti jota kautta kone keskustelee maailman kanssa
natd_flags="-f /etc/natd.conf"Kerrotaan natd asetustiedoston sijainti nat daemonille
firewall_enable="YES"Otetaan palomuuri käyttöön
firewall_type="client"Valitaan palomuurin tyyppi, voit käyttää openia, joka sallii kaiken liikenteen, mikäli et ole varma. open tyyppinen palomuuri laskee kaiken läpi vakiona (käytä tätä arvoa testatessa natd:ta)

Asetetaan verkkokortille privaatti IP osoite:

ifconfig_rajapinta="inet 192.168.0.1 netmask 255.255.0.0"

tai luodaan alias tietokoneen ainoalle verkkokortille.

ifconfig_rajapinta_alias0="inet 192.168.0.1 netmask 255.255.0.0""

Esimerkki osoiteavaruuden koko on 255x255 konetta. Lisää tietoa asiasta

natd.conf tiedostosta esimerkki:

unregistered_only#paketit tulevat rekisteröimättömästä verkosta
interface vr0#ulkoisen liikenteen verkkokortin rajapinta (verkkokortin kutsuma nimi)
use_sockets#
dynamic
# dyamically open fw for ftp, irc
#punch_fw 2000:50
#Ohjataan pari tcp ja udp porttia uudelleen sisäverkkoon
redirect_port tcp 192.168.1.2:4661-4662 4661-4662#Uudelleen lähetetään TCP 4661-4662 portit, osoitteeseen 192.168.1.2 portti välille 4661-4662.
redirect_port udp 192.168.1.2:4665 4665#Uudelleen lähetetään UDP 4665 portin tiedot, sisäverkkoon osoitteeseen 192.168.1.2 porttiin 4665

käytättäessäsi open tapaa rc.conf:ista, sinun ei tarvitse muokata palomuuriasi, vaan voit aloittaa reitityksen.

rc.firewall palomuuri ipfw:llä:

Nopeasti säännöistä:

Esimerkki lauseen syntaksin selvennys:

${fwcmd} add allow tcp from any to any 22 in setup keep-state via vr0

${fwcmd} aloittaa komentojonon, jossa palomuurin asetuksia muunnellaan.

add = Lisää
delete = Poistaa
Allow = Sallii
deny = Estää
tcp = TCP liikenne
udp = UDP Liikenne
ICMP = ICMP liikenne
from = Mistä
to = Minne

Kohteen määrittäminen

Syntaksi esimerkein

from any to any = Mistä tahansa minne tahansa
from 192.168.0.0/16 to any = 192.168.x.x verkosta mihin tahansa osoitteeseen
from any to 192.168.0.1 = Mistä tahansa 192.168.0.1 osoitteeseen

Liikenne sisältää myös lähde- ja vastaanottoportin, esimerkiksi liikenne voi lähteä portista 53 ja saapua porttiin 2000

from 192.168.0.1:53 to any = 192.168.0.1 osoitteesta 53 portissa tuleva liikenne mihin tahansa minun porttini
from 192.168.0.1:53 to me:53 = 192.168.0.1:53 portissa tuleva data minun 53 porttiin.

Määreet

any = Mihin tahansa osoitteeseen
me = Minun osoitteeseeni

22 tai palvelu = Voit määrittää numerolla suoran portin tai hakea sen /etc/services listasta palvelun nimellä esim. ssh

in = Sisään tuleva liikenne
out = Ulosmenevä liikenne

Jättäessäsi suunan määrittämättä, oletetaan liikenteen menevän molempiin suuntiin

Setup = Tarkista, jos paketti on muodostamassa TCP yhteyttä (SYN bit asetetaan, mutta ei ACK:ta)
Keep-state = Sääntö jolla on rajoitettu elinaika
Established = Sallitaan muodostuvan TCP yhteyden muodostuminen
Via rajapinta = Minkä verkkolaitteen kautta liikenne tulee

Esimerkkikokoonpano clientistä

Tämän kohdan löydät määrityksen alta [Cc][Ll][Ii][Ee][Nn][Tt]), joka aloittaa client määritykset.

Huom! Established sääntöä tarvitaan, jotta TCP yhteydet voidaan muodostaa. Tämä sääntö sallii kaikki muodostuvat TCP yhteydet kaikkiin suuntiin
Sääntö ei salli kaikkea liikennettä sisään ja ulos, se sallii ainoastaan sääntöjen mukaan sallitut muodostuvat yhteydet

[Cc][Ll][Ii][Ee][Nn][Tt])

	#alustetaan loopback 
	setup_loopback

	# Sallitaan kaikki liikenne ulos 
	${fwcmd} add pass all from any to any out

	#Sallitaan muodostuvat tcp yhteydet
	${fwcmd} add pass tcp from any to any via vr0 established
	${fwcmd} add pass tcp from any to any via pcn0 established

	#Sallitaan ssh etäyhteydet ulkoverkon kortista sisään portissa (22) 
	${fwcmd} add allow tcp from any to any 22 in setup keep-state via vr0 

	#Sallitaan www TCP pyynnöt ulkoverkon kortista sisään portti (80) 
	${fwcmd} add allow tcp from any to any 80 in setup keep-state via vr0

	#Emulen portti modi
	${fwcmd} add allow tcp from any to any 4661-4662 in setup via vr0
	${fwcmd} add allow udp from any to any 4665 in

	#Vapautetaan IDENTTI irc yhteyksille 
${fwcmd} add allow all from any to any ident in setup via vr0 #icmp $fwcmd add allow icmp from any to any icmptypes 11 via vr0 $fwcmd add allow icmp from any to any icmptypes 0 via vr0 #Sallitaan udp yhteydet palomuurista sisään. UDP #yhteydet tarvitaan ainakin DNS-palvelimelle jotta nimiselvitykset #voitaisiin tehdä $fwcmd add allow udp from any to any 1024-65535 in keep-state via vr0 #Sallitaan tältä koneelta yhteydet rajoituksetta sisäverkkoon $fwcmd add allow all from 192.168.0.0/16 to any via pcn0 #Estetään yhteydet, jotka tulevat sisäverkon osoitteista ulkoverkosta #(poista tämä, mikäli ulkoverkon korttisi on sama kuin sisäverkon) $fwcmd add deny all from 192.168.0.0/16 to any via vr0 #Tehdään kirjausta kaikesta liikenteestä, joka ei läpäise sääntöjä $fwcmd add deny log ip from any to any via vr0 # Kaikki muu liikenne evätään oletuksena, ellei # IPFIREWALL_DEFAULT_TO_ACCEPT optio ole asetettuna kernelin # asetustiedostossa. ;;

NATD vähän tarkemmin:

Yleistä:

Yksisuuntainen osoitemuunnos: Yksisuuntaisessa osoitemuunnoksessa osoite muunnetaan vain yhteen suuntaan. Yksisuuntainen osoitemuunnos on tyypillisesti käytössä yksityisissä ja pienissä organisaatioissa. Yksisuuntaisella muunnoksella tarkoitetaan osoitemuunnosta, jossa yksityisen verkontietokoneet voivat liikennöidä yhden osoitteen yli. Tällöin yksityinen verkko näkyy ulospäin yhtenä osoitteena, vaikka perässä olisi 255 konetta.

Esimerkki:

Sisäverkon koneet väliltä:

192.168.0.0 - 192.168.0.1 liikennöivät kaikki ulospäin osoitteesta 80.213.214.20

Tällöin syntyy niin sanottu osoitemuunnos.

Kaksisuuntainen osoitemuunnos:

Kaksisuuntainen osoitemuutos: Kaksisuuntaisessa muutoksessa osoite muunnetaan molempiin, jolloin jokaiselle koneelle voi olla oma julkinen IP-osoite ja paikallinen IP-osoite. Tätä toimintoa käyttävät yleisesti puhelinoperaattorit ja se on harvoin käytössä yksityisissä tai pienien organisaatioiden verkossa niiden itsensä ylläpitämänä.

Esimerkkimuunnos:

192.168.0.2 -> 80.223.224.2
192.168.0.3 -> 80.223.225.3

Tässä muunnoksessa ensimmäinen osoite on privaattiverkon osoite ja toinen osoite edustaa julkisessa verkossa olevaa osoitetta. Liikennöinti molempiin päihin tapahtuu oman julkisen IP osoitteen yli.

Millä tavoin NATD suojaa verkkoni tietokoneita:

Natd ei välitä suoraan kaikkea liikennettä, mitä verkon suunnalta välitetään reitittimellesi. NATD kerroksen läpäisee ainoastaan liikenne, jota asiakaskoneesi pyytänyt ja joka on määrä välittää koneellesi pyynnöstä tai erikseen määritelty liikenne, joka voidaan ohjata suoraan verkon koneelle NATD:n läpi.

Näiden kahden erona on:

Pyydetty liikenteessä natd taulun tiedoista käydään lukemassa tietoja onko kone pyytänyt liikennettä? Natd taulun perusteella pyydetty liikenne edelleen välitetään sisäverkkoon. Uudelleenlähetyksessä: Liikenne fyysisesti suoraan lähetetään uudelleen.

Natd ohjelman käyttäminen ja rivien merkitykset:

Kuvaus:

Natd (Network Address Translation Daemon) työkalu tarjoaa mahdollisuutta kääntää toisaalle soketteja FreeBSD:ssä.

Jos tarvitset NAT PPP linkin, ppp(8) tarjoaa -nat asetusta, se tarjoaa melkein kaikki natd:n käytössä olevat ominaisuudet ja käyttää samaa libalias(3) kirjastoa.

Natd työkalua ajetaan normaalisti tausta-ajossa daemonina. Se päästää läpi raakoja IP-paketteja, minne ne ikinä ovat menossa ulos tai sisään koneesta, lisäksi natd tarjoaa mahdollista muutosta näille paketeille ennen kuin ne palautetaan pakettivirtaan.

Se muuttaa kaikkia pakettien määränpäitä toisiin osoitteisiin niin että niiden lähde IP-osoite on nykyinen tietokone. Jokainen paketti muutetaan tällä tavoin sisäiseen syöttötauluun, johon kirjataan tiedot. Lähdeportti muutetaan myös ilmaisemaan taulun syöttötietoja hyväksyttäväksi paketti. Paketti, joka on vastaanotettu kohde IP:stä, tarkastetaan syöttötietotaulusta nykyinen osoite ja, mikäli kirjaus löydetään, sitä käytetään sitä määrittämään oikea IP-osoite ja portti paketille.

-log | -l
Kirjoita ylös erilaisia aliasointi tilastoja ja tietoja tiedostoon /var/log/alias.log. Tämä tiedosto typistetään, joka kerran natd käynnistyksessä

-deny_incoming | -d
Älä läpäise sisään tulevia paketteja, tarkoittaa ettei ole kirjausta sisäisessä muunnostaulussa.

-log_denied
Kirjoita lokiin hylätyt sisään tulevat paketit, kun kirjataan tapahtumia syslog(3):n läpi (katso myös log_facility)

-log_facility facility_nimi
Käytä määritettyä mahdollisuutta, milloin kirjataan tietoja syslog(3):sta. Argumentti facility_nimelle on yksi avainsanoista määritettynä syslog.conf:issa

-use_sockets | -s
Salli sokettejen määrätä muodostumisia FTP datalla tai IRC DCC lähetys komennolla. Tämä asetus käyttää enemmän systeemin resursseja, mutta takaa onnistuneita yhteyksiä, jolloin porttinumerot aiheuttavat ristiriidan.

Yritä pitää portit samana numerona, muuttuneet ulosmenevät paketit. Tällä asetuksella protokollat, kuten RPC, saavat paremman mahdollisuuden toimia, jos se ei ole mahdollista ylläpitää porttien numeroita. Se vaihtaa hiljaisesti normaaliksi

-verbose | -v
Älä kutsu daemonia käynnistyksessä. Sen sijaan, pysytelle liitteenä hallintaterninaalissa ja näytä kaikkien pakettien muutokset standardina ulostulona. Tätä asetusta käytetään virheenkorjaustarkoituksiin.

-unregistered_only | -u
Muuta ulosmenevät paketit rekisteröimättömästä kohteesta. Yhtäpitäväksi RFC 1918 standardin kanssa, rekisteröimättömät lähdeosoitteet ovat 10.0.0.0/8, 172.16.0.0/12 ja 192.168.0.0/16.

-redirect_port proto kohdeIP:kohdePORTTI[-kohdePORTTI]
[aliasIP:]aliasPORT[-aliasPORT]
[etaIP[:etaPORTTI[-etaPORT]]]

Uudelleenohjaa sisään tulevat yhteydet saapuvan tietystä portista johonkin toiseen osoitteen tiettyyn porttiin. Argumentti "proto" on joko "tcp" tai "udp" kohde. "KohdePORTTI" on haluttu kohteen porttinumero tai väli ja "aliasPORTTI" on pyydetty portin numero tai väli ja "aliasIP" on aliasoitu osoite. Argumentit "etaIP" ja "etaPORTTI" voidaan käyttää määrittämään yhteyttä vähän tarkemmin, jos on tarpeellista. Jos "etaPORTTI":a ei ole määritetty, oletetaan sen olevan kaikissa porteissa.

Argumenttien kohdeIP, aliasIP ja etaIP voidaan antaa joko IP-osoitteena tai DNS-nimellä. KohteenPORTTI, aliasPORTTI ja etaPORTTI välit eivät tarvitse olla samoja numerovälejä, mutta niiden täytyy olla saman kokoisia. Kun kohdePORTTI, aliasPORTTI tai etaPORTTI on määritetty yksilöllisenä arvona (ei väliltä), se voidaan antaa määrittämään palvelun nimeä, joka etsitään /etc/services tiedoston tietokannasta

Esimerkki argumentista

tcp 192.168.02:telnet 6666

Tarkoittaa TCP paketit, jotka ovat osoitettu 6666 porttiin tälle koneelle, tullaan lähettämään telnetin porttiin osoitteeseen 192.168.0.2

tcp tarkoittaa protokollaa 192.168.0.2 on sisäverkossa olevan koneen osoite :telnet komenolla kerrotaan että liikenne ohjataan sen koneen telnet porttiin eli 23. Lopuksi kerrotaan mistä portista tieto tällä koneella vastaanotetaan.

tcp inside2:2300-2399 3300-3399

Tämä ohjaa sisään tulevat yhteydet 3300-3399 TCP porteista, sisäverkossa inside3 koneelle porttivälille 2300-2399. Mäppäys tarkoittaa 1:1 porteissa eli 3300 portit mäpätään 2300, 3301 mäpätään porttiin 2301, jne.

-redirect_proto proto paikallinenIP [julkinenIP [etaIP]]
Uudelleenohjaa IP paketit ja protokolla (katso protokollat) osoitetusta julkisestaIP:stä paikalliseenIP osoitteeseen julkisen sijasta.

Jos julkinenIP osoite ei ole määritelty, silloin oletus peiteosoite on käytössä, jos remoteIP on määritelty, silloin vain paketit, jotka tulevat etaIP:sta tulevat vain sopimaan tähän sääntöön.

-redirect_address paikallienIP julkinenIP
Uudelleenohjaa liikenne julkiseen IP osoitteen liikenne tältä koneelta paikalliseen verkkoon. Tämä funktio tunnetaan staattisena NAT:ina. Normaalisti staattinen NAT on käytännöllinen ISP(kuten Sonera), jotka haluavat tarjota pienen määrän IP osoitteita sinulle. Sitä voidaan käyttää joissakin tapauksissa yksittäisille osoitteille.

redirect_address 10.0.0.8 0.0.0.0
Komento uudelleenohjaa kaiken sisään tulevan liikenteen koneelle 10.0.0.8

Ehkä olet määrittänyt useampia osoitteden peitteitä, sama julkinen osoite seuraa osoitetta

Esim.
redirect_address 192.168.0.2 julkinen_osoite
redirect_address 192.168.0.3 julkinen_osoite
redirect_address 192.168.0.4 julkinen_osoite

Sisään tuleva liikenne tullaan, ohjaamaan viimeksi käännettyyn paikalliseen osoitteeseen (192.168.0.4), mutta ulos menevä liikenne ensimmäiseen kahteen osoitteeseen, silti peite ilmenee määritettäessä julkista osoitetta.

-redirect_port proto kohdeIP:kohdePORTTI[,kohdeIP:kohdePORTTI[,...]]
[aliasIP:]aliasPORT [etaIP[:etaPORTTI]]

Nämä kentät -redirct_port ja redirct_address ovat käytössä läpinäkyvässä poisladatussa verkossa yhdellä palvelimella ja levitys ympäri verkkoa useille verkonpalvelimille. Tämä funktio tunnetaan my LSNAT (RFC 2391). Esimerkki tästä argumentista

tcp www1:http,www2:http,www3:http www:http

Tarkoittaa HTTP pyynnöt osoitteisiin www tullaan läpinäkyvästi ohjaamaan yhdelle www1, www2 tai www3, missä osoite valitaan yksinkertaisesti heittämällä "!" lähtökohtaisesti, ilman katsomatta netin kuorman määrää.

-dynamic
Rajapinta tai -n asetuksen ollessa käytössä, natd valvoo reititys sokettien muutoksia rajapintojen läpivienneissä. Jos rajapinnan IP-osoite on muuttunut, on natd jatkuvasti käsitellyt osoitteet peite osoitteiksi.

-in_port | -i port
Lue jostakin portista ja kirjoita kääntämällä porttiin, kohtelemalla kaikkia paketteja sisään tulevina

-out_port | -o port
Lue jostakin portista ja kirjoittaa kääntämällä porttiin, kohtelemalla kaikkia paketteja ulosmenevinä

-port | -p port
Lue portista ja kirjoita käännettynä "tulevat" tai "menevät" paketit käyttämällä säännöissä määrättyä käännöstä. Jos portin numero ei ole numeerinen, se etsitän services tietokannasta (/etc/services). Jos tämä asetus ei ole määritetty, käytetään käännettyä porttien nimeämistä natd:llä vakiona

-alias_address | -a address
Käytä osoitteita osoitteiden peittämiseen. Vaikka tämä tai -interface asetus täytyy olla käytössä (mutta ei molemmat), jos -proxy_only asetus ei ole määritetty. Määritetty osoite on yleensä suunniteltu "julkisen" verkon rajapinta

Kaikki data läpäisee ulos mennessään ja uudelleen kirjoitetaan kohde osoitteesta yhtäläiseen osoitteeseen. Kaikki data tulee ja tarkastetaan ja katsotaan jos se täsmää yhteenkään valmiiksi peitettyyn ulosmenevään yhteyteen.

-t | -target_address address
Asettaa kohde osoitteen. Kun tulevaa pakettia liitetä mihinkään valmiiseen isäntä koneelta tulevaan linkkiin, se lähetetään määrättyyn osoitteeseen.

Kohde osoite voidaan asettaa 255.255.255.255, jossa tapauksessa kaikki tulevat paketit menevät toisella osoitteella joka on määrännyt -alias_address tai -interface.

kaikki uudet tulevat paketit menevät paketissa määrättyyn osoitteeseen suoraan, jos tätä optiota ei käytetä tai sitten sen arvoksi laitetaan 0.0.0.0,

-interface | -n interface
Käytä määrittäessäsi nimen osoitteelle, jos on mahdollisuus, että liittyy liitos laitteeseen voi muuttua, dynamic optiota tulisi käyttää

-config | -f file
Lue asetustiedostosta. Tiedosto tulee sisältää listan optioista, yksi per rivi, samassa muodossa kuin komentorivillä. Esimerkiksi: alias_address 158.152.17.1 asettaa alias ositteeksi 158.152.17.1. Optiot jotka eivät sisällä argumenttia annetaan arvo yes tai no. esimerkiksi: log yes pelkkä -log olisi anonyymi optio.

Lue asetukset tiedostosta. Tiedoston tulee pitää sisällään listan asetuksista, yhden rivillä.

-reverse
Tämä asetus tekee natd käänteisen käsittelyn "sisään tuleville" ja "ulosmeneville" paketeille, sallien sen operoida "sisäistä" verkon rajapintaa enemmän kuin "ulkoista".

Tämä voi olla hyödyllinen, joissakin läpinäkyvissä Proxy:n tilanteissa, milloin ulosmenevä liikenne ohjataan paikalliselta koneelta ja natd toimii sisäisessä rajapinnassa (yleisesti se toimii ulkoisessa rajapinnassa)

-proxy_only
Pakota natd suorittamaan läpinäkyvän proxyn ainoastaan. Normaalia osoitemuunnosta ei suoriteta

-proxy_rule [type encode_ip_hdr | encode_tcp_stream] port xxxx server a.b.c.d:yyyy
Ota käyttöön läpinäkyvä proxy. Ulos menevät TCP paketit tietystä porteissa menevät läpi tästä isännästä ja ohjataan tiettyyn palvelimeen ja porttiin. Alkuperäinen kohde voidaan lisätä pakettiin, käytä encode_ip_hdr lisätäksesi IP:n.

-punch_fw basenumber:count
Tämä asetus suuntaa natd "lävistävään reikään" ipfirewall(4) pohjaisessa palomuurissa FTP/IRC DCC yhteyksillä. Tämä sääntö tehdään dynaamisesti asettamalla palomuurin sääntö, joka sallii väliaikaisen yhteyden (ainoastaan sen yhteyden), joka menee palomuurin läpi. Sääntö poistetaan, kun vastaava yhteys katkaistaan.

-skinny_port port
Tämä optio antaa sinun määrittää TCP portin jota Skinny station protokolla käyttää. Skinnyä käytetään Cisco IP puheluissa kommunikoimaan Cisco Call managereiden kanssa saavuttaakseen äänen yli IP pyyntöjen.

-log_ipfw_denied
kirjaa jos pakettia ei saada perille ipfw säännön vuoksi. tämä on vakiona -verbose :ssa

-pid_file | -P file
määritä toissijainen tiedosto johon prosessin ID talletetaan. oletuksena /ver/run/natd.pid

NATD AJO

Seuraavat vaiheet ovat pakollisia ennen kuin voit käynnistää natd:n :

1. Rakenna mukautettu kerneli seuraavin asetuksin
options IPFIREWALL
options IPDIVERT

2. Varmista että koneesi käyttäytyy yhdyskäytävänä, varmista että seuraava rivi löytyy /etc/rc.conf tiedostosta
gateway_enable=YES
sysctl net.inet.ip.forwarding=1

3. käyttäessäsi -interface optiota, varmista että rajapintasi on konfiguroitu.
Ajaessa suoraan uudelleen lähetykset, jossa ed0 on verkkolaitteesi:
natd -interface ed0

Muista tarkistaa rc.conf:sta että miten saat käynnistettyä natd:n automaattisesti käynnistyksen yhteydessä. Kun natd on käynnissä, täytyy sinun varmistaa että liikenne menee natd:n läpi.

1.Sinun pitää muokata /etc/rc.firewall skriptiä kokeiluksi, jos et ole kiinnostunut pitämään palomuuria, kirjotiseuraavat rivit:
/sbin/ipfw -f flush
/sbin/ipfw add divert natd all from any to any via ed0
/sbin/ipfw add pass all from any to any

Toinen rivi riippuu verkkolaitteestasi(korvaa ed0 omallasi)

daemon

Tero Asikainen, Mika Mähönen ja Markku Hämäläinen