📄 [cldp] ip-masquerade mini-howto.txt
字号:
4. 从 'Connect via:' 弹出式选单中选择 'Ethernet'.
5. 从 'Configure:'
弹出式选单选择适当的项目.如果你不知道应该选什麽,你可能应该重新选择你的
'Default' 配置然後离开.我用的是 'Manually'.
6. 在 'IP Address:' 盒中输入你的 Mac 的 IP 位址 (192.168.1.x, 1 < x < 255).
7. 在 'Subnet mask:' 盒中输入 255.255.255.0.
Linux IP Masquerade mini HOWTO 中译版 13
8. 在 'Router address:' 盒中输入 192.168.1.1 .
9. 在 'Name server addr.:' 盒中输入你的领域名称伺服器 IP 位址.
10. 在 'Implicit Search Path:' 里的 'Starting domain name'
输入你的网际网路领域名称(例如 'microsoft.com').
11. 接下来的步骤是选择性的.不正确的值可能导致严重的错误行为.
如果你不确定,最好留下空白,不要勾选.如果需要的话,除去那些栏
位中的任何资讯.就我目前所知没有办法在
TCP/IP 对话视窗中告诉系统不要使用以前选过的另一 "Hosts"
档案.如果你知道的话,我很有兴趣了解.如果你的网路需要 802.3 框架的话勾选
'802.3'.
12. 按下 'Options...' 以确定 TCP/IP 有作用.我使用 'Load only when needed'
选项.如果你执行并结束 TCP/IP
应用程式许多次而未重新启动你的机器,你将发现不选 'Load only when needed'
会抑制/降低你机器的记忆体管理效能.不选此项目将使 TCP/IP
协定总是被载入便於使用.如果勾选了,TCP/IP
协定会自动在需要时载入并在不需要时释放.载入与释放的过程可能使你机器
的记忆体变的碎裂.
13. 你可以 ping 一下你的 Linux 主来来测试网路连线.如果你有 MacTCP Watcher
免费程式,按下 'Ping' 钮,然後在弹出的对话盒中键入你的 Linux
主机的地址(192.168.1.1).(这只不过是区域网路的连接测试,你还不能 ping
到外面的世界.)
14. 你可以在 System Folder 中建立一 Hosts
档案以便你可以使用你区域网路里机器的主机名称.这个档案可能已经或还
未存在於你的
System Folder
里.如果有的话,它应该会包含一些(注解掉的)范例项目而你可以根据你的
需要来修改.如果还没有的话,你可以从一部正在运作
MacTCP 的系统中取回,或自己建一个(它遵循 Unix 的 /etc/hosts 档案格式,在
RFC 1035 的第 33 页中描述).一旦你建立了这个档案,打开 TCP/IP control
panel,按下 'Select Hosts File...' 钮,然後打开 Hosts 档案.
15. 关闭对话盒或从 File 选单中选择 'Close' 或 'Quit' 然後按下 'Save'
以储存你所做的改变.
16. 这些改变会立刻生效,但重新开机也无害.
3.3.8 配置使用 NDS 的 Novell 网路
1. 如果你还没为你的乙太网路转接器安装适当的驱动程式,最好现在就作.
2. 从 <URL:ftp.novell.com/pub/updates/unixconn/lwp5> 取回 tcpip16.exe.
3.
编辑 c:\nwclient\startnet.bat
: (here is a copy of mine)
Linux IP Masquerade mini HOWTO 中译版 14
SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:
4.
编辑 c:\nwclient\net.cfg
: (将驱动程式改为你的, i.e. NE2000)
Link Driver KTC2000
Protocol IPX 0 ETHERNET_802.3
Frame ETHERNET_802.3
Frame Ethernet_II
FRAME Ethernet_802.2
NetWare DOS Requester
FIRST NETWORK DRIVE = F
USE DEFAULTS = OFF
VLM = CONN.VLM
VLM = IPXNCP.VLM
VLM = TRAN.VLM
VLM = SECURITY.VLM
VLM = NDS.VLM
VLM = BIND.VLM
VLM = NWP.VLM
VLM = FIO.VLM
VLM = GENERAL.VLM
VLM = REDIR.VLM
VLM = PRINT.VLM
VLM = NETX.VLM
Link Support
Buffers 8 1500
MemPool 4096
Protocol TCPIP
PATH SCRIPT C:\NET\SCRIPT
PATH PROFILE C:\NET\PROFILE
PATH LWP_CFG C:\NET\HSTACC
PATH TCP_CFG C:\NET\TCP
ip_address xxx.xxx.xxx.xxx
ip_router xxx.xxx.xxx.xxx
5. 最後建立
Linux IP Masquerade mini HOWTO 中译版 15
c:\bin\resolv.cfg
:
SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER 207.103.0.2
NAMESERVER 207.103.11.9
6. 我希望这些某些使用 Novell 网路的人有帮助.还有,这对 Netware 3.1x 或 4.x
都有用.
3.3.9 配置其它系统像是 OS/2
它们应该按照相同的理论来建立.查阅上述的小节.如果你有兴趣写关於其它像 OS/2
的作业系统,或其它 UNIX 系统的变种,请送详细的建立指示到 achau@wwonline.com.
3.4 配置 IP 转送(Forwarding)的方式
到目前为止,你应该已经安装好核心以及其它需要的套件,也载入了你的模组.
同时,其它机器的
IP 位址,闸道,以及 DNS 也该全都设定完成.
现在,唯一剩下要做的事是使用 ipfwadm 转送适当的封包给适当的机器:
ipfwadm -F -p deny
ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0
其中 x 视你的子网路而定,为下列数字之一,而 yyy.yyy.yyy.yyy 则是你的网路位址.
netmask | x | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0 | 8 | Class A
255.255.0.0 | 16 | Class B
255.255.255.0 | 24 | Class C
255.255.255.255 | 32 | Point-to-point
例如,如果我是在一个 class C 子网路上,我得输入:
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
第二行指令也可以加上 -V 192.168.1.1 或是 -W eth0
以确保伪装封包从系统中适当的界面进来 -
如果你极端注重安全考量(不然这有点过头)的话那麽你将会希望这麽做.
因为 bootp 请求封包没有合法的 IP's
,客户端并不知道它的位址,对於在伪装/防火墙上执行 bootp 伺服器的人必须在 deny
之前执行下列指令:
ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp
你也可以分别对每台机器设定.例如,如果我想让 192.168.1.2 及192.168.1.8
Linux IP Masquerade mini HOWTO 中译版 16
能够存取网际网路,但不允许其它机器使用的话,我得输入:
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0
另外,你可以输入网路遮罩以取代该值,例如 192.168.1.0/255.255.255.0
常见的错误是像这样的第一行指令
ipfwadm -F -p masquerade
不要把你的预设方式(policy)定为伪装(masquerading) -
否则可以操控他们的递送路径(routing) 的人将能够直接穿过(tun□
nel)你的闸道,以此伪装他们的身分!
再一次,你可以把这些加入 /etc/rc.local 档案,任何一个你比较喜欢的 rc
档案,或是在每次你需要 ip_masq 时手动执行之.
请阅读 4.4 节有关 Ipfwadm 的详细指引.
3.5 测试 IP Masquerade
在这些工作完成後,现在是试试看的时候了.确定你的 Linux
主机到网际网路的连线是通的.
你可以在其它机器上试著浏览一些'网际网路!!!'
上的网页,看是否能见到.我建议第一次尝试时使用 IP
位址而不要用主机名称,因为你的 DNS 设定有可能并不正确.
例如,你可以使用 http://207.200.73.34 来存取 Netscape's 站台
http://home.netscape.com.
如果你看见那漂亮的帆船,那麽恭喜! 它可以运作了!
接著你可以使用主机名称试试看,然後是 telnet, ftp, RealAudio, True
Speech,以及任何 IP Masquerade 支援的东西.
到目前为止,我还不曾在上面的设定上发生过问题,而那些花下时间让这个绝妙
功能运作的人完全同意这些设定.
4. 其它 IP Masquerade 的问题及软体支援
4.1 IP Masquerade 的问题
首先伪装只能在通讯埠式(ported)协定上运作 - 像是 TCP 或 UDP.尤其不能配合 ICMP
使用,所以 ping 以及 traceroute 将无法运作(除非你的 ping 以及/或是 traceroute
已经修改成使用不同的运作方式).
某些协定现在无法配合 masquerading
使用,因为它们不是假设有关埠号的一些事情,就是在位址及埠号的资料流里编码资料 -
後面这些协定需要在 masquerading 程式码里建立特定的代理程式使它们能运作.
Linux IP Masquerade mini HOWTO 中译版 17
4.2 进入系统的服务(incoming services)
Masquerading 完全不能处理外界的服务请求 (incoming services).
只有极少方法能允许它们,但这完全与 masquerading
无关,而且实在是标准的防火墙方式.
如果你并不要求高度的安全性那麽你可以简单地重导(redirect)这些埠.
有几种不同的方法可以做这件事 - 我使用一只修改过的 redir
程式(我希望这只程式很快就能从 sunsite 及其 mirrors 取得).
如果你希望能够对外界进入系统的服务请求有某种程度的身分验认(authorisation)
那麽你可以在 redir 的顶层(0.7 or above) 使用 TCP wrappers 或是 Xinetd
来允许特定 IP 位址通过,或使用其它的工具.TIS
防火墙工具集是寻找工具及资讯的好地方.
4.3 已支援的客户端软体以及其它设定方面的注意事项
一般说来,使用传输控制协定(TCP) 或是使用者定义资料协定
(UDP)的应用程式应该都能运作.如果你有任何关於无法与 IP Masquerade
相容之应用程式的建议,请 email 给我软体名称以及简短的描述.
4.3.1 可以使用的客户端软体
一般客户端软体
HTTP
所有有支援的平台,浏览网页
POP & SMTP
所有有支援的平台,电子邮件软体
Telnet
所有有支援的平台,远端签入作业
FTP
所有有支援的平台,配合 ip_masq_ftp.o
模组(不是所有站台都能配合各种客户端软体;例如某些不能使用 ws_ftp32
触及的站台却能使用 netscape 进入)
Archie
所有有支援的平台,档案搜寻软体(并非所有 archie 客户端软体都支援)
NNTP (USENET)
所有有支援的平台,网路新闻软体
VRML
Windows (可能所有有支援的平台都可以),虚拟实境浏览
traceroute
主要是 UNIX 系列的平台,某些变种可能无法运作
ping
所有平台,配合 ICMP 修补档
Linux IP Masquerade mini HOWTO 中译版 18
anything based on IRC
所有有支援的平台,配合 ip_masq_irc.o 模组
Gopher client
所有有支援的平台
WAIS client
所有有支援的平台
多媒体客户端软体
Real Audio Player
Windows, 网路资料流音讯,配合载入 ip_masq_raudio 模组
True Speech Player 1.1b
Windows, 网路资料流音讯
Internet Wave Player
Windows, 网路资料流音讯
Worlds Chat 0.9a
Windows, 客户-伺服端立体交谈(3D chat) 程式
Alpha Worlds
Windows, Windows, 客户-伺服端立体交谈(3D chat) 程式
Powwow
Windows,
点对点文字声音白板通讯,如果你呼叫别人,人们可以与你交谈,
但是他们不能呼叫你.
CU-SeeMe
所有有支援的平台,配合载入 cuseeme 模组,详细细节请参 阅 IP Mas□
querade Resource10
VDOLive
Windows, 配合 vdolive 修补档
注意: 即使不是由你呼叫别人,使用 ipautofw 套件某些客户端软体像是 IPhone 以及
Powwow 可能还是可以运作(参阅 4.6 节)
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -