基于OpenBSD的宽带上网共享和网络服务

　　d) 在/etc/rc.local的末尾添加这些内容：

　　# Set hosts

　　if [ -e /etc/hosts.fixed ]; then

　　cp /etc/hosts.fixed /etc/hosts

　　/sbin/ifconfig ne4|grep "inet "|awk '{print($2," someuser someuser.hn.org");}' >> /etc/hosts

　　fi

　　# Start sendmail

　　/usr/sbin/sendmail -bd -q15m

　　第一部分是将ne4的IP和域名加hosts中。前文说到，在resolv.conf里我们有

　　lookup file bind

　　这一句，所以系统会先到hosts文件去进行域名解析。这样，gethostbyaddr就能够成功了。

　　e) 在/etc/rc.shutdown的末尾添加这些内容：

　　# Set hosts back

　　if [ -e /etc/hosts.fixed ]; then

　　cp /etc/hosts.fixed /etc/hosts

　　fi

　　这样做是在关机前恢复原来的hosts文件，这一步不是必需的。

　　f) 在/etc/mail/sendmail.cf中找到这样一行：

　　#Dj$w.Foo.COM

　　在这行的后面加一行：

　　Djsomeuser.hn.org

　　这样设置以后，下一次重启的时候，sendmail就可以工作了。从其他地方发一封email到root@someuser.hn.org，过一段时间看看，是不是root用户收到了一封信?

　　7. IP防火墙

　　在这台网关机上，我们可以设置基于IP过滤的防火墙，规则配置文件是/etc/ipf.rules。比如我们如果修改一下这个文件：

　　# cat /etc/ipf.rules

　　pass in quick on ne4 proto icmp from any to any icmp-type echorep

　　block in quick on ne4 proto icmp from any to any icmp-type redir

　　block in quick on ne4 proto icmp from any to any

　　block in quick on ne4 proto icmp from any to any icmp-type echo

　　pass in from any to any

　　pass out from any to any

　　第一行是允许内部LAN上的机器ping外部的IP得到的应答进入，第二到第四行是禁止其它的ICMP包进入，这样Internet上的机器就无法ping通OpenBSD机的IP地址了。最后的两行是允许其它的信息包进出。

　　上面的规则只是举例说明防火墙的设置，它并不是一个很严格的规则，对这方面有兴趣的朋友可以参考http://www.obfuscation.org/ipf/，那里有详细的IP过滤的资料。

　　基于OpenBSD的宽带上网共享和网络服务就介绍这些，OpenBSD的官方网站是www.openbsd.org，配置、使用中有什么问题可以去那里寻找答案，也欢迎探讨：huxley@kali.com.cn，请不要发广告邮件给我!

　　注：

　　1 NAT与应用程序代理工作在TCP/IP的不同层次上，前者的好处是对应用程序基本透明，后者的好处是能够进行基于内容的过滤，但是需要应用程序支持代理并进行正确的设置，并且系统开销比较大，对服务器的配置要求比较高。

　　2 OpenBSD 2.8的发行版中，ftpd有一个漏洞，如果匿名FTP提供可写的目录，必须打一个补丁，否则有被黑掉的可能性。