IP Masquerade mini HOWTO

IP Masquerade mini HOWTO(11) **　这可以用许多不同的方式来达成．下列的建议与例子对我来说能用，但你可能有不同的主意，详节部份请参考　4.4　节及　ipfwadm　的线上手册．　**　


ipfwadm　-F　-p　deny　
ipfwadm　-F　-a　m　-S　yyy.yyy.yyy.yyy/x　-D　0.0.0.0/0　

其中　x　视你的子网路而定，为下列数字之一，而　yyy.yyy.yyy.yyy　则是你的网路位址．　
netmask　　　　　　　　　　x　　　Subnet
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
255.0.0.0　　　　　　　　8　　　Class　A
255.255.0.0　　　　　　16　　Class　B
255.255.255.0　　　　24　　Class　C
255.255.255.255　　32　　Point-to-point

例如，如果我是在一个　class　C　子网路上，我得输入:　

ipfwadm　-F　-p　deny　
ipfwadm　-F　-a　m　-S　192.168.1.0/24　-D　0.0.0.0/0　


因为　bootp　请求封包没有合法的　IP's　，客户端并不知道它的位址，对於在伪装/防火墙上执行　bootp　伺服器的人必须在　deny　之前执行下列指令:　

ipfwadm　-I　-a　accept　-S　0/0　68　-D　0/0　67　-W　bootp_clients_net_if_name　-P　udp


你也可以分别对每台机器设定．例如，如果我想让　192.168.1.2　及　192.168.1.8　能够存取网际网路，但不允许其它机器使用的话，我得输入:　


ipfwadm　-F　-p　deny　
ipfwadm　-F　-a　m　-S　192.168.1.2/32　-D　0.0.0.0/0　
ipfwadm　-F　-a　m　-S　192.168.1.8/32　-D　0.0.0.0/0　

另外，你可以输入网路遮罩以取代该值，例如　192.168.1.0/255.255.255.0　


常见的错误是像这样的第一行指令　

ipfwadm　-F　-p　masquerade

不要把你的预设方式(policy)定为伪装(masquerading)　－　否则可以操控他们的递送路径(routing)　的人将能够直接穿过(tunnel)你的闸道，以此伪装他们的身分!　

再一次，你可以把这些加入　/etc/rc.local　档案，任何一个你比较喜欢的　rc　档案，或是在每次你需要　IP　Masquerade　时手动执行之．　

请阅读　4.4　节有关　Ipfwadm　的详细指引．　


3.5　测试　IP　Masquerade　
在这些工作完成後，现在是试试看的时候了．确定你的　Linux　主机到网际网路的连线是通的．　

你可以在其它机器上试著浏览一些'网际网路!!!'　上的网页，看是否能见到．我建议第一次尝试时使用　IP　位址而不要用主机名称，因为你的　DNS　设定有可能并不正确．　

例如，你可以使用　http://152.2.254.81/mdw/linux.html　来存取　Linux　文件计画网页　http://sunsite.unc.edu/mdw/linux.html．　

如果你看见那漂亮的帆船(译注:　LDP　网页好像没有帆船?　:P)，那麽恭喜!　它可以运作了!　接著你可以使用主机名称试试看，然後是　telnet,　ftp,　RealAudio,　True　Speech，以及任何　IP　Masquerade　支援的东西．　

到目前为止，我还不曾在上面的设定上发生过问题，而那些花下时间让这个绝妙功能运作的人完全同意这些设定．　




--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

4.　其它　IP　Masquerade　的问题及软体支援