В данной статье мы будем рассматривать настройку Nat на примере раздачи интернета в локальную сеть.

Итак, у нас есть сервер под управлением FreeBSD, подключенный к сети провайдера («внешняя сеть»).
Также имеется один или несколько компьютеров («внутренняя сеть»), которым нужно дать доступ к ресурсам сети интернет.
Подключить компьютеры внутренней сети напрямую к внешней нельзя, так как у нас есть всего 1 IP-Адрес во внешней сети, который выдан нашему серверу.
Выходом из ситуации будет соединение сетей через сервер (в данной ситуации всётаки «роутер» будет более правильно) при помощи технологии NAT
Предположим что сеть провайдера имеет диапазон 123.123.123.0/24, а IP который выдал нам провайдер 123.123.123.111.
Внутренняя сеть же имеет диапазон 192.168.10.0/24 и IP нашего роутера в ней 192.168.0.1
Диапазон IP адресов во внутренней сети может быть любой, однако необходимо чтобы он не пересекался с диапазонами ни в одной внешней сети.

Рекомендуется придерживаться зарезервированных для локальных сетей диапазонов, которые не используются в интернете, а именно:
10.0.0.0 — 10.255.255.255
172.16.0.0 — 172.31.255.255
192.168.0.0 — 192.168.255.255

Итак в итоге мы имеем:

Внешняя сеть(сеть интернет):
Интерфейс: rl0
IP: 123.123.123.111
Маска под сети: 255.255.255.0
Шлюз: 123.123.123.1

Внутренняя сеть(локальная сеть):
Интерфейс: rl1
IP: 192.16.0.1
Маска под сети: 255.255.255.0

Настройка сервера

Непосредственно за преобразование адресов (NAT) отвечает демон NATD.
Сам по себе он не может обрабатывать пакеты. Для обработки пакет должен быть передан ему фаерволлом.
В данной статье мы используем фаерволл ipfw.
Настройка сводится к нескольким шагам, некоторые вы возможно пропустите, если система уже имеет подходящие настройки:

1. Сборка ядра

Для получения возможности использовать NAT и Фаерволла, нам потребуется собрать новое ядро с дополнительными опциями:
options IPFIREWALL
options IPDIVERT

Более подробно о сборке ядра можно почитать в соответствующей главе Руководства по FreeBSD

Первая опция включает фаерволл ipfw, а вторая — возможность передавать пакеты на обработку приложениям.

Если вы раньше никогда не собирали своё ядро, то не расстраивайтесь, здесь всё просто.
Переходим в папку с файлами где хранится не скомпилированое ядро, создаём свою собственную конфигурацию ядра и добавляем в него строчки опций которые Вам необходимы
После чего остаётся только скомпилировать и установить новое ядро.

Для компиляции нового ядра выполните следующие действия:
cd /usr/src/sys/i386/conf
cp GENERIC MYKERNEL
ee MYKERNEL

Изменяем строку
ident GENERIC

на
ident MYKERNEL

после чего добавляем строки
options IPFIREWALL
options IPDIVERT

и сохраняем.

Конфигурация ядра готова. Теперь осталось ее скомпилировать и установить новое ядро:
cd /usr/src
make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=NATKERNEL

2. Настройка фаерволла

Если вы ранее использовали фаерволл ipfw, то необходимо добавить к нему следующее правило:
divert natd ip any to any via rl0

Означает оно следующее: передавать все ip пакеты на обработку внешней программе, «висящей» на стандартном порту natd (8668).

Если же фаерволл у вас не настроен, то мы его сейчас настроим
Создаём файл /etc/firewall.conf и пишем в нём следующие строки:
fw="/sbin/ipfw -q"

${fw} -f flush
${fw} add divert natd ip any to any via rl0
${fw} add 65534 allow ip any to any

После чего сохраняем файл.
Теперь необходимо поставить права на выполнение данного файла.
chmod 700 /etc/firewall.conf

3. Настройка параметров авто запуска сети, фаерволла и natd

Сейчас нам необходимо внести некоторые изменения в файл /etc/rc.conf для обеспечения автоматической настойки сети, фаерволла и запуска NAT'а при загрузке системы.

Сеть:
ifconfig_rl0="inet 123.123.123.111 netmask 255.255.255.0"
ifconfig_rl1="inet 192.168.0.1 netmask 255.255.255.0"
defaultrouter="123.123.123.1"

Фаерволл:
firewall_enable="YES"
firewall_script="/etc/firewall.conf"

NAT:
gateway_enable="YES"
natd_enable="YES"
natd_interface="rl0"

Если Вы хотите перенаправить какой-то определенный порт на определенный компьютер в сети то необходимо отредактировать(создать) файл /etc/natd.conf и прописать в нем:
redirect_port tcp 192.168.0.2:3389 3389

Данная строчка означает что все входящие соединения на внешний порт 3389 будут перенаправлены на 192.168.10.2:3389

Также желательно добавить следующую строку в /etc/sysctl.conf
net.inet.ip.forwarding=1

Это аналогия gateway_enable="YES"

На этом базовая настройка сервера закончена.
После перезагрузки NAT должен заработать.
Если этого не произошло, то проверьте правильно ли вы всё сделали.