共享一个OpenBSD做网关、web服务器、以及允许网络电话Magicjack通讯的规则

在OpenBSD环境下搭建各种服务器的相关讨论。

版主: lionuxchenjun天地乾坤

回复
头像
whoami
铁 Fe
帖子: 76
注册时间: 2010-06-03 13:23

共享一个OpenBSD做网关、web服务器、以及允许网络电话Magicjack通讯的规则

帖子 whoami » 2010-09-08 5:38

OpenBSD做网关、web服务器、以及允许网络电话Magicjack通讯的规则

OpenBSD作为内部计算机的网关连接外网,三个接口,xl0连接外网,re0,re1连接内网计算机,OpenBSD主机本身还提供web服务器的功能,允许从外部访问80和22端口(这里略去如何设置ssh keys认证以及阻止暴力破解ssh密码的步骤,请读者自行查阅论坛的相关帖子。),保留22端口是为了web服务器数据库备份,如果你还需要远程连接Mysql数据库,还需要开启3306端口,此外也许你还需要自己设置chroot ssh,注意这里仅提供了chroot的sftp服务器功能,要提供chroot的shell,需要设置更多的步骤。

xl0,连接外网,Ip地址为192.168.2.35,re0,re1连接内网的客户机。magick连接到re1网络的计算机上,OpenBSD的dhcp服务器(192.168.18.1)给re1网络分配的IP地址为内网计算机的IP地址从192.168.18.8开始,关于如何设置dhcp服务器请参阅用OpenBSD 4.7做网关/路由器(gateway/router) 。

代码: 全选

# cat /etc/gobsd.org
#       $OpenBSD: pf.conf,v 1.49 2009/09/17 06:39:03 jmc Exp $
#
# See pf.conf(5) for syntax and examples.
# Remember to set net.inet.ip.forwarding=1 and/or net.inet6.ip6.forwarding=1
# in /etc/sysctl.conf if packets are to be forwarded between interfaces.
 
set skip on lo
 
# filter rules and anchor for ftp-proxy(8)
#anchor "ftp-proxy/*"
#pass in quick proto tcp to port ftp rdr-to 127.0.0.1 port 8021
 
# anchor for relayd(8)
#anchor "relayd/*"
 
pass            # to establish keep-state
 
# rules for spamd(8)
#table <spamd-white> persist
#table <nospamd> persist file "/etc/mail/nospamd"
#pass in on egress proto tcp from any to any port smtp \
#    rdr-to 127.0.0.1 port spamd
#pass in on egress proto tcp from <nospamd> to any port smtp
#pass in log on egress proto tcp from <spamd-white> to any port smtp
#pass out log on egress proto tcp to any port smtp
 
 
#block in quick from urpf-failed to any # use with care
block all
# By default, do not permit remote connections to X11
block in on ! lo0 proto tcp to port 6000:6010
pass out quick log on xl0 from re0:network to any nat-to (xl0)
pass out quick log on xl0 from re1:network to any nat-to (xl0)
pass quick from {re0:network re1:network} to any
pass on xl0 proto tcp from any to any port {22 80}
pass out
 
 
pass in on xl0 from 192.168.2.1 to 192.168.2.255
 
pass in quick log on xl0 proto udp from any to any\
   rdr-to 192.168.18.8 port 5060:5069
未完待续、请勿转载、欢迎纠错、多谢!;)
[email]WHOAMi@点点儿[/email]

junfengfan
铜 Cu
帖子: 236
注册时间: 2010-02-03 18:37

帖子 junfengfan » 2010-11-25 18:35

我用openbsd48作网关,为何连接的主机当用迅雷下载时,速度时快时慢,并且中间一点速度也没有,请问这是什么原因?
当然,我直接把宽带接到主机上速度下载基本很稳定~~

xjw8025
铝 Al
帖子: 12
注册时间: 2010-10-04 20:12

帖子 xjw8025 » 2010-12-07 20:44

不错 值得学习

能不能发一下
pf限速的脚本和例子

头像
whoami
铁 Fe
帖子: 76
注册时间: 2010-06-03 13:23

帖子 whoami » 2010-12-08 5:59

PF用户指南上有类似的例子,我并没有做过限速测试,不过,既然已经在官方网页上给出来了,应该问题不大,你的问题太笼统,请将详细的网络情况和PF规则贴出来,以便大家探讨。
未完待续、请勿转载、欢迎纠错、多谢!;)
[email]WHOAMi@点点儿[/email]

头像
leo
帖子: 2465
注册时间: 2010-01-21 3:27

回复: 共享一个OpenBSD做网关、web服务器、以及允许网络电话Magicjack通讯的规则

帖子 leo » 2011-03-27 6:38

junfengfan 写了:我用openbsd48作网关,为何连接的主机当用迅雷下载时,速度时快时慢,并且中间一点速度也没有,请问这是什么原因?
当然,我直接把宽带接到主机上速度下载基本很稳定~~
今天又试了试迅雷,我觉得这要看你下载的是什么资源了(emule或BT或FTP)。前两者是p2p, 所以首先你不能限制上传,而且如果进行BT下载,你需要开启80端口,因为这是迅雷默认的设置,除非你修改自己的迅雷设置。我还记得迅雷有时候是走UDP端口,如果需要全速也要在防火墙上打开这类端口,时间长我有些忘了,你可以用pf的规则定义一下log(all),然后用tcpdump查看一下阻止了什么包。我并没有定义什么PF规则,只是用PF当DHCP服务器转发一下数据。但是第一条肯定是block all的。此外,注意下载速度和稳定性还要看供源方的上传速度和源的数量,也不可一概而论,附件里是测试用在windows客户端理使用迅雷的下载(emule)的情况,尽管速度不稳定(我并没有开启相关的UDP端口,所以肯定有来自外界的UDP请求被block了,分析需要抓包),不过感觉速度还是不错的。
附件
xunlei03.PNG

回复

在线用户

正浏览此版面之用户: Ahrefs [Bot] 和 0 访客