超级会员免费看
复杂网络配置与管理指南
1. 内部服务器的NAT配置
当外部可见地址不可用或成本过高,且不想在主要作为防火墙的机器上运行多个服务时,我们会在网关进行NAT(网络地址转换)。以下是一个示例配置,包含Web服务器和邮件服务器:
webserver = "192.168.2.7"
webports = "{ http, https }"
emailserver = "192.168.2.5"
email = "{ smtp, pop3, imap, imap3, imaps, pop3s }"
rdr on $ext_if proto tcp from any to $ext_if port $webports -> $webserver
rdr on $ext_if proto tcp from any to $ext_if port $email -> $emailserver
pass proto tcp from any to $webserver port $webports synproxy state
pass proto tcp from any to $emailserver port $email synproxy state
pass proto tcp from $emailserver to any port smtp synproxy state
这里使用了 synproxy 标志,PF会代表服务器或客户端处理连接建立(三次握手),然后将连接交给两端的应用程序,提供一定的防SYN攻击保护。
订阅专栏 解锁全文
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
