FreeBSD配置ADSL的VPN网关＋防火墙.docxVIP

PAGE 1 PAGE 1 FreeBSD配置ADSL的VPN网关＋防火墙 首先cpGENERICmykern编辑mykern增加如下的部分：  后重新启动机器内核的更新就已经完成了。这样IPFW2的安装就已经完成了，我们先不打开防火墙，我们先配置mpd来建立PPTP的服务器。关于MPD的安装其实特别简洁，你可以自己手动编译，但我还是推荐大家用ports来安装，因为我实在是想不出什么理由来不用ports安装：）假如你安装了ports到你的硬盘上，你通过下列步骤就可以完成mpd的安装了：  安装完毕之后，ports会自动创建/usr/local/etc/mpd目录并把配置文件的样本存放在这个目录里面，可以通过修改已有的配置文件样原来完成对mpd的配置，以mpd.conf.sample为例，首先cpmpd.conf.samplempd.conf然后修改下面的部分：  这个是sample里面的默认配置，下面对于需要修改的部分做出说明实际上我们需要修改只有三行，就是下面三行  第一行是设置你的本地VPN网关的地址，假如你是像我一样用NAT来区分内外网的话这个应当是网关的内网地址，后面的是对方拨入以后将会在内网获得的地址，这个地址倒是没有什么特别要求，就是首先这个地址需要和内网处于一个网段，否则访问不了，第二后面可以设置一个掩码，来掌握这个地址可能的范围，假如这个地址被占用了，将会安排一个再限定范围内的地址给客户端，这个范围由“/”后面的掩码来掌握。  第二行是指定你内网使用的DNS服务器的地址，留意这个将会在用户连入的时候同内网地址一起被安排给用户第三行和第二行类似，是指定Netbios服务器的地址，假如内网没有WINS服务器这行可以不写。最终我还增加了一行命令，再不增加这个命令的时候mpd看起来也是正常运转的，但是我不太放心还是加了这行加密指令setbundleenableencryption  下面我们还需要略微修改一下  mpd.links.sample　pptp:  setlinktypepptpsetpptpself1.2.3.4  setpptpenableincoming  setpptpdisableoriginate  上面的部分里面需要修改一下：set　pptp　self　1.2.3.4这一行，这行是指定mpd的pptp服务器绑定在那个地址上面，假如是我们现在使用ppp拨叫ADSL的状况，会遇到网络界面转变，ip地址转变的状况，就不能定义这一句，所以针对我们的状况，我们要去掉这句，其他的我们就不用改了当然我们还要修改一下mpd.secret文件这个文件定义了拨入用户的用户名和密码用户名写在前面，密码写在后面用引号引起来，就像下面这样fred　“fred-pw”当然还可以指定这个用户必需从那个地址或者网段来拨入，就像下面的例子：  joe“foobar”192.168.1.1bob“\x34\foo\n”  192.168.1.10/24之后我们还可以添加一句来默认让mpd执行pptp的这组设置，需要修改配置文件的这个部分：  default:loadpptpsample  文件里面还有配置多用户登陆的状况下的样本，我就不用在写了，配置是一样的改完这些之后只要运行mpd-b就可以启动了由于考虑到安全原因我没有书写启动脚本在开机的时候启动mpd，因为对于防火墙来说在没有用的时候多开一个端口就多一份危急，但是或许许多人需要在开机的时候自动运行mpd，下面我还是供应一个启动脚本给大家，可以放在/usr/local/etc/rc.d/目录下面记住要加上执行权限。  下面我们要开启防火墙来测试一下了，我们开启防火墙还需要修改一下rc.conf文件我们需要添加下列配置  下面我们要开启防火墙来测试一下了，我们开启防火墙还需要修改一下rc.conf文件我们需要添加下列配置  其中两个需要说明，firewall_type=后面我这里是指定了一个文件来做定制配置，ipfw还有其他几种默认的方式可选，例如open，client，close等等。  我们用不到就不说了无论如何一定要有以下这句，否则你的网关无法正常运转。  大家留意到我的转发界面设置的是rl0也就是我的网卡，这在使用ppp的时候是没有问题的，但是假如用mpd作PPPoE拨号时候无论如何不行，必需设置成mpd的创建的ng0设备上。我开始的想法假如无法把pptp的监听设定在外网界面上的状况下就把端口用natd从外网转进来，谁知道pptp还需要端口以外的部分进行连接，所以现在natd基本上是没有什么作