がとらぼ

これまでのネットワーク構成は、FreeBSDで作成したブロードバンドルーターが入り口にあり、DMZがあります。そして、並列でNAT箱としてNTT-MEの家庭用ブロードバンドルーターBA6000があり、その下にローカルネットが接続されています。このBA6000というルーターはビックカメラで妙に安かったので購入しましたが、値段相応の低性能ルーターでした。数回SYNFIN attackを受けるとすぐにダウンし、その後は非常に遅くなり正常な通信ができなくなります。また、BitTorrentを使用すると（TCPセッション数の不足のためか）3分ともたない状態です。このように調子が悪いので、BA6000が不良品だったか壊れたのかもしれません。

新しいブロードバンドルーターを購入する方法もありますが、安価な製品は何かしら問題がありそうで購入するのが不安です。それなりにしっかりした製品を買えば良いのかもしれませんが、NATしか使わないのに高価な製品を購入するのは馬鹿らしいと感じています。そこで、しばらくの間、現在稼働しているFreeBSDルーターにNAT機能も任せることにしました。

暫定ネット構成図
今回の構成では、ルーターにネットワークカードを3枚挿しました。
NIC3枚挿しのルーターの設定は通常なら簡単ですが、PPPoEとNATが入ると複雑になります。この記事の内容も怪しい部分があるかもしれません。とはいえ、NATの設定は非常に簡単で、悩むのはフィルタリングの設定だけです。

それでは、設定を開始します。

NAT用には、細かい制御ができないnatdではなく、ipnatを使用します（ipnatはFreeBSDに標準で含まれています）。

まず、カーネルの設定を変更する必要があれば行います。私の場合は、以下の2行を追加しました。

options         IPFILTER                #ipfilter support
options         IPFILTER_LOG            #ipfilter logging

次に、IPアドレスの設定を行います。

• gxx.xxx.xxx.0/28： DMZ用のグローバルIPアドレス (IP16個)
• gxx.xxx.xxx.001： tun0のIPアドレス
• gxx.xxx.xxx.015： NAT変換用のグローバルIPアドレス
• 192.168.0.0/24： ローカルネット用のプライベートIPアドレス (IP256個)

ローカルネットはgxx.xxx.xxx.015と対応させます。

ipnat_enable="YES"

私の環境では正しくipnatが機能しない場合があるので後から呼び出すことにしました。

map tun0 192.168.0.0/24 -> gxx.xxx.xxx.015/32 proxy port ftp ftp/tcp
 map tun0 192.168.0.0/24 -> gxx.xxx.xxx.015/32 portmap tcp/udp auto
 map tun0 192.168.0.0/24 -> gxx.xxx.xxx.015/32
 rdr tun0 gxx.xxx.xxx.015/32 port 80 -> 192.168.0.21 port 80 tcp

1行目はFTP用のルールです。proxyルールはportmapの前に書きます。
2行目と3行目が最も重要な設定です。DMZがなくて無条件にアドレス変換すれば良い場合は、map tun0 192.168.0.0/24 -> 0/32という書き方ができますが、今回はそれができないため、このように指定しています。
4行目はリダイレクトの設定で、ローカルの192.168.0.21でウェブサーバを立て、NAT外部からこのウェブサーバにアクセスさせるような場合には必要な設定です。ウェブサーバでなくても、他のアプリケーションで「ポートを開ける」設定が必要な場合は、このような設定を追加します。

NAT用フィルタリングの設定ですが、長くなるのでこの記事では割愛します。

NATが正しくアドレス変換を行っているか確認するには、「確認君」などを使用すると簡単です。