基于OpenBSD的宽带上网共享和网络服务

6. 电子邮件服务sendmail
一般来说sendmail服务需要一个固定的IP，但是由于服务器一般是常开的，所以我们还是可以运行sendmail服务的。这里有一个难点，就是一般免费的动态域名注册服务都是进行域名->;IP的正向解析，而IP->;域名的反向解析不能实现。但是sendmail服务启动的过程中却会使用gethostbyaddr取得域名，才能正常使用。为此我们必须做一点手脚：
a) 再次访问hammernode的主页，点击Modify your Account，输入someuser和用户名，在Primary MX前面打钩。
b) 检查/etc/rc.conf中，sendmail_flag=NO。因为我们不能在ne4通过DHCP得到IP之前启动sendmail。
c) 将原先的/etc/hosts保存到另一个文件中
cp /etc/hosts /etc/hosts.fixed
d) 在/etc/rc.local的末尾添加这些内容：
# Set hosts
if [ -e /etc/hosts.fixed ]; then
cp /etc/hosts.fixed /etc/hosts
/sbin/ifconfig ne4|grep "inet "|awk '{print($2," someuser someuser.hn.org";}' >;>; /etc/hosts
fi
# Start sendmail
/usr/sbin/sendmail -bd -q15m
第一部分是将ne4的IP和域名加hosts中。前文说到，在resolv.conf里我们有
lookup file bind
这一句，所以系统会先到hosts文件去进行域名解析。这样，gethostbyaddr就能够成功了。
e) 在/etc/rc.shutdown的末尾添加这些内容：
# Set hosts back
if [ -e /etc/hosts.fixed ]; then
cp /etc/hosts.fixed /etc/hosts
fi
这样做是在关机前恢复原来的hosts文件，这一步不是必需的。
f) 在/etc/mail/sendmail.cf中找到这样一行：
#Dj$w.Foo.COM
在这行的后面加一行：
Djsomeuser.hn.org
这样设置以后，下一次重启的时候，sendmail就可以工作了。从其他地方发一封email到root@someuser.hn.org，过一段时间看看，是不是root用户收到了一封信？

7. IP防火墙
在这台网关机上，我们可以设置基于IP过滤的防火墙，规则配置文件是/etc/ipf.rules。比如我们如果修改一下这个文件：
# cat /etc/ipf.rules
pass in quick on ne4 proto icmp from any to any icmp-type echorep
block in quick on ne4 proto icmp from any to any icmp-type redir
block in quick on ne4 proto icmp from any to any
block in quick on ne4 proto icmp from any to any icmp-type echo
pass in from any to any
pass out from any to any
第一行是允许内部LAN上的机器ping外部的IP得到的应答进入，第二到第四行是禁止其它的ICMP包进入，这样Internet上的机器就无法ping通OpenBSD机的IP地址了。最后的两行是允许其它的信息包进出。
上面的规则只是举例说明防火墙的设置，它并不是一个很严格的规则，对这方面有兴趣的朋友可以参考http://www.obfuscation.org/ipf/，那里有详细的IP过滤的资料。


基于OpenBSD的宽带上网共享和网络服务就介绍这些，OpenBSD的官方网站是www.openbsd.org，配置、使用中有什么问题可以去那里寻找答案，也欢迎探讨：huxley@kali.com.cn，请不要发广告邮件给我！

注：
1 NAT与应用程序代理工作在TCP/IP的不同层次上，前者的好处是对应用程序基本透明，后者的好处是能够进行基于内容的过滤，但是需要应用程序支持代理并进行正确的设置，并且系统开销比较大，对服务器的配置要求比较高。
2 OpenBSD 2.8的发行版中，ftpd有一个漏洞，如果匿名FTP提供可写的目录，必须打一个补丁，否则有被黑掉的可能性。