使用ＯｐｅｎＢＳＤ構(gòu)建安全校園網(wǎng)絡(luò)

　　隨著區(qū)域教育信息化的推進(jìn)和農(nóng)村“校校通”工程的建設(shè)，訪問互聯(lián)網(wǎng)在農(nóng)村地區(qū)學(xué)校已逐漸推行開來，互聯(lián)網(wǎng)成為學(xué)校獲取教育資源的重要渠道之一。由于廣大農(nóng)村中小學(xué)受經(jīng)濟(jì)條件的限制，很多學(xué)校暫無法使用光纖接入，只能采用較為普及的ADSL接入互聯(lián)網(wǎng)。共享ADSL線路上網(wǎng)一般采用兩種方式：一是使用寬帶路由器，二是使用一臺(tái)PC機(jī)安裝WinGate之類的NAT／代理服務(wù)器軟件。使用寬帶路由器設(shè)計(jì)安裝比較方便，但是由于受路由器性能限制，客戶機(jī)較多時(shí)上網(wǎng)速度會(huì)變得很慢。使用WinGate等代理軟件又存在穩(wěn)定性差、容易受病毒干擾等問題。此外，由于辦公電腦和電腦室學(xué)生電腦處于同一網(wǎng)段，辦公共享文檔等文件容易被破壞，共享打印機(jī)容易被惡意使用；如果電腦室使用二次代理分隔網(wǎng)段，服務(wù)器資源又難以實(shí)現(xiàn)共享；如果劃分VLAN購買高檔交換機(jī)、路由器，許多功能用不上，經(jīng)濟(jì)投入又比較大，小規(guī)模學(xué)校難以承受。針對(duì)上述情況，本文介紹使用OpenBSD對(duì)不同網(wǎng)段進(jìn)行路由并共享ADSL上網(wǎng)的方法。
　　
　　一、關(guān)于OpenBSD
　　
　　OpemBSD是一款優(yōu)秀的開放源代碼的操作系統(tǒng)，此系統(tǒng)以安全性能高著稱。在OpcnBSD主頁上，第——句話是：Only orle TCIIIOte hole in the defaultinstall，in more than 8 years(八年多來，使用默認(rèn)安裝只發(fā)現(xiàn)了一個(gè)遠(yuǎn)程安全漏洞)，可見對(duì)于防火墻、網(wǎng)關(guān)應(yīng)用，OpenBSD是一個(gè)很好的選擇。目前，OpenBSD最新版本是3．8版。我們使用OpenBSD自帶的PF(Pack Filter，是TCP／IP流景過濾和網(wǎng)絡(luò)地址轉(zhuǎn)換軟件系統(tǒng))軟件進(jìn)行寬帶共享。
　　
　　二、硬件準(zhǔn)備及連接
　　
　　OpenBSD對(duì)于硬件要求不高，很低的配置就能很好地工作。為了保證路由性能，我們選用賽揚(yáng)500或以上的CPU，內(nèi)存不少于64M，硬盤空間500M以上。需要三張網(wǎng)卡，一張普通的RTL81 39網(wǎng)卡(接ADSL MOdem)，兩張性能較好的網(wǎng)卡，如3COM或Intel(分別連接辦公網(wǎng)絡(luò)和學(xué)生電腦室)。網(wǎng)絡(luò)線路連接見圖1：
　　
　　整個(gè)網(wǎng)絡(luò)分為三部分，一個(gè)外部網(wǎng)絡(luò)(Internet)，兩個(gè)內(nèi)部網(wǎng)絡(luò)。兩個(gè)內(nèi)部網(wǎng)絡(luò)不直接相連，網(wǎng)段也不一樣，不能直接訪問共享文件夾和打印機(jī)，通過OpcnBSD進(jìn)行路由防問服務(wù)器資源。
　　
　　三、OpenBSD配置
　　
　　1．網(wǎng)卡設(shè)置
　　在OpenBSD中，每張網(wǎng)卡都對(duì)應(yīng)一個(gè)配置文件，RTL8139的配置文件是／etc／hostname．rlO，兩張Intel網(wǎng)卡分加是／etc／hOStname．fxpO和／etc／hostname．fxpl。r10網(wǎng)卡連接ADSLMOdem，地址不與MOdem沖突即可，使用vi／etc／hostilame．r10 修改文件內(nèi)容為：inet 192．168．0．2 255．255．255．ONONE，意思是：設(shè)定IP地址為192．168．0．2，子網(wǎng)掩碼為255．255．255．0，自動(dòng)識(shí)別連接介質(zhì)。用同樣方法修改其余兩張網(wǎng)卡地址為192．168．10．1和192．168．20．1。
　　2．開通路由及PF軟件開啟
　　OpenBSD默認(rèn)是關(guān)閉網(wǎng)卡之間的數(shù)據(jù)通過。開啟的方法是：修改／etc／sYsct1．conf，把#net．inet．ip．forwarding=1前面的“#”去掉。運(yùn)行sh／etc／netstart后就可以轉(zhuǎn)發(fā)數(shù)據(jù)包，兩個(gè)網(wǎng)段就可以互訪了。開啟PF：修改／etc／rc．coilf，找到pf=NO，把NO改成YES。
　　3．ADSL撥號(hào)設(shè)置
　　建立ADSL虛擬撥號(hào)所需的軟件在OpeDBSD已有內(nèi)置，只要簡(jiǎn)單設(shè)置一下就可以了。ADSL撥號(hào)需要三個(gè)文件，都要在／etc／ppp里建立，分別是ppp．conf，ppp．linkup，ppp．linkdown。
　　主配置文件ppp．conf如下，注意格式：default和pppoe必須頂格，其余每行前面都要有空格。
　　default：
　　setlog Phese Chat IPCP CCP tun command
　　set redial 15 0
　　set recoilnect 15 10000
　　pppoe：
　　set devlce“!／usr／Sbin／pppoe-i rlo”
　　#連接ADSL Modem的是，r10網(wǎng)卡，如果使用其他網(wǎng)卡需要根據(jù)實(shí)際情況更改名稱
　　diseb，e acfcomp protocomp
　　deny acfcomp
　　set mtu max 1492
　　set crtscts off
　　set speed sync
　　erable Iqr
　　set Iqrperlod 5
　　set cd 5
　　set diaI
　　Set login
　　set timeout O
　　setaLdhname“gzDSL12345678@163．gd”
　　#填入連接賬號(hào)，注意使用引號(hào)
　　set authkey 66666666
　　#填寫連接密碼
　　add! de fault HISADDR
　　enable dns
　　erable mssfixup
　　應(yīng)注意ppp．comf帶有撥號(hào)賬號(hào)和密碼，為了安全起見最好把權(quán)限更改為超級(jí)用戶才能查看：chmod600 ppp．conf。
　　撥號(hào)連通之后會(huì)執(zhí)行ppp．linkup中的命令。撥號(hào)成功后啟動(dòng)PF，命令如下：
　　MYADDR：
　　! sh -c“／sbin／pfctl -e -F all -f／etc／pf．conf”
　　／etc／pf．conf是PF的默認(rèn)配置文件。
　　ppp．linkdown里是停止連接后執(zhí)行的命令，一般我們需要不間斷連接，所以ppp.linkdown文件留空即可。
　　為了使系統(tǒng)啟動(dòng)時(shí)自動(dòng)撥號(hào)，要在文件／etc／Fc．local中加入：
　　／usr／sbin／ppp -ddial pppoe
　　4．NAT配置
　　進(jìn)行NAT地址轉(zhuǎn)換的軟件是PF(PaCk Filter)，PF是OpcnBSD系統(tǒng)上進(jìn)行TCP／IP流量過濾和網(wǎng)絡(luò)地址轉(zhuǎn)換的軟件，并提供TCP／IP流量的整形控制、帶寬控制和數(shù)據(jù)包優(yōu)先控制。在這里只使用了PF的地址轉(zhuǎn)換功能進(jìn)行ADSL的共享。
　　PF支持“宏”、“表”和“列表”，能夠大幅度提高防火墻規(guī)則的可維護(hù)性，降低規(guī)則書寫難度。我們可以使用宏和列表來管理OpenBSD的網(wǎng)絡(luò)接門和地址信息，修改／etc／pf.conf文件：
　　ext__if=“tunO”
　　int__if=“{fxpO，fxp1}”
　　int__net=“{192．168．10．0／24，192．168．20．0／24}”
　　使用ADSL虛擬撥號(hào)，系統(tǒng)會(huì)生成一個(gè)虛擬接口tunO。由于tunO擁有外網(wǎng)地址，在規(guī)則中都必須使用tunO進(jìn)行配置。在規(guī)則中建立ext__if等宏以后，引用時(shí)，名稱都以$字符開頭。
　　nat on $ext__if from $int net to any-＞($ext if)
　　這條NAT規(guī)則代表的意思是：應(yīng)用在ext__if端口上，源自地址為int__et目的地址是所有的數(shù)據(jù)，都將地址轉(zhuǎn)換為ext__if接口的地址。由于ADSL虛擬撥號(hào)地址是變化的，在$ext__if外面加上括號(hào)是告訴PF如果網(wǎng)絡(luò)接口的地址改變了 ，就更新規(guī)則集。
　　配置完成，我們可以使用ppp—ddial pppoe或者重啟來連接ADSL及啟動(dòng)PF。
　　
　　四、客戶機(jī)設(shè)置
　　
　　客戶機(jī)的設(shè)置比較簡(jiǎn)單，連接fxpo的IP地址使用192．168．10．x，子網(wǎng)掩碼255．255．255．0，網(wǎng)關(guān)192．168．10．1，DNS設(shè)為當(dāng)?shù)豂SP的DNS地址。連接fxpl的地址使用192．168．20．x，網(wǎng)關(guān)192．168．20．1，其余與連接fxpO的一樣。
　　
　　五、功能拓展
　　
　　使用上面所介紹的方法，兩個(gè)網(wǎng)段的計(jì)算機(jī)都能共享ADSL上網(wǎng)并能互訪服務(wù)器資源。對(duì)于多個(gè)LAN的情況，只需要給OpenBSD機(jī)罪添加網(wǎng)卡并修改PF規(guī)則的宏的部分內(nèi)容就可以了。對(duì)于使用光纖接入方式，ADSL撥號(hào)部分可以省略，修改PF規(guī)則ext__if宏為接外網(wǎng)網(wǎng)卡即可正常使用。
　　PF的功能比較完備，根據(jù)需要還可以設(shè)置嚴(yán)格的防火墻規(guī)則，并可利用排隊(duì)功能對(duì)數(shù)據(jù)流量進(jìn)行控制，使OpenBSD機(jī)器變成一臺(tái)強(qiáng)大的防火墻。
　　(作者單位：廣東廣州市白云區(qū)沙鳳小學(xué) 廣東廣州市白云區(qū)教育發(fā)展中