📄 [cldp] ip-masquerade mini-howto.txt
字号:
其它客户端软体
NCSA Telnet 2.3.08
DOS, 包含 telnet, ftp, ping 等等的一组套件.
PC-anywhere for windows 2.0
MS-Windows, 经由 TCP/IP 远端遥控 PC
,只有在作为客户端而非主机端的情形下才能运作
Socket Watch
使用 ntp - 网路时间协定
____________________
10.<URL:http://ipmasq.home.ml.org/>
Linux IP Masquerade mini HOWTO 中译版 19
Linux net-acct package
Linux, 网路帐号管理套件
4.3.2 无法使用的客户端软体
Intel Internet Phone Beta 2
可以连上但声音只能单向(往外)传送
Intel Streaming Media Viewer Beta 1
无法连上伺服器
Netscape CoolTalk
无法连接对方
talk,ntalk
这将不会运作 - 需要撰写一份核心代理程式.
WebPhone
目前无法运作(它做了不合法的位址假设).
X
没有测试过,但我想除非有人建立一套 X
代理程式否则它无法运作,这可能是 masquerading
程式码之外的一个外部程式.一个让它运作的方式是使用 ssh
作为链结并且使用其内部的 X 代理功能来执行!
4.3.3 已测试过可以作为其它机器的平台/作业系统
□Linux
□Solaris
□Windows 95
□Windows NT (both workstation and server)
□Windows For Workgroup 3.11 (with TCP/IP package)
□Windows 3.1 (with Chameleon package)
□Novel 4.01 Server
□OS/2 (including Warp v3)
□Macintosh OS (with MacTCP or Open Transport)
□DOS (with NCSA Telnet package, DOS Trumpet works partially)
□Amiga (with AmiTCP or AS225-stack)
Linux IP Masquerade mini HOWTO 中译版 20
□VAX Stations 3520 and 3100 with UCX (TCP/IP stack for VMS)
□Alpha/AXP with Linux/Redhat
□SCO Openserver (v3.2.4.2 and 5)
□IBM RS/6000 running AIX
□(谁还测试过其它平台?)
4.4 IP Firewall Administration (ipfwadm)
这一节提供关於 ipfwadm 更深入的使用指引.
这是一个给在固定 PPP 位址之 PPP
连线後面的防火墙/伪装系统使用的设定.信赖(trusted) 界面为 192.168.255.1, PPP
界面已经修改过以避免犯错 :) .我分别列出每一个进入(incoming)以及送出(outgo□
ing)界面来抓出变更递送路径(stuffed routing) 以及/或是伪装(masquerad□
ing)等等这些个 IP spoofing 技巧.同时任何没有明确允许的东西都是禁止的!
#!/bin/sh
#
# /etc/rc.d/rc.firewall, 定义防火墙配置,从 rc.local 执行.
#
PATH=/sbin:/bin:/usr/sbin:/usr/bin
# 测试用,等待一段时间然後清除所有的防火墙规则.
# 如果你希望防火墙十分钟之後自动关闭就取消下列几行的注解.
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &
# 进入伪装闸道的设定,更新以及设定拒绝的策略(policy).事实上
# 预设的策略没什麽关系,因为原先就希望拒绝以及记录所有规则
ipfwadm -I -f
ipfwadm -I -p deny
# 伪装闸道的本地(local) 界面,区域网路里的机器,允许连往任何
# 地方
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
# 伪装闸道的远端(remote)界面,声称是区域网路里的机器,IP spoofing
# 拒绝
ipfwadm -I -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/
-o
# 伪装闸道的远端界面,任何来源,允许送往固定 (permanent) PPP
# 位址
ipfwadm -I -a accept -V your.static.PPP.address -S 0.0.0.0/0 -D your.static
PPP.address/32
# 回授(loopback)界面是允许的
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# 捕捉所有规则,任何其它的进入方式都会被拒绝并记录.可惜没有
Linux IP Masquerade mini HOWTO 中译版 21
# 记录用的选项但这可以代替
ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o
# 送出伪装闸道的设定,更新以及设定拒绝的策略(policy).事实上
# 预设的策略没什麽关系,因为原先就希望拒绝以及记录所有规则
ipfwadm -O -f
ipfwadm -O -p deny
# 本地界面,允许任何来源送出至区域网路
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16
# 远端界面送出至区域网路,stuffed routing ,拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/1
-o
# 区域网路的机器从远端界面送出,stuffed masquerading,拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/
-o
# 区域网路的机器从远端界面送出,stuffed masquerading,拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/1
-o
# 任何其它远端界面送出的东西都是允许的
ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/
2 -D 0.0.0.0/0
# 回授(loopback)界面是允许的
ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# 捕捉所有规则,任何其它的送出方式都会被拒绝并记录.可惜没有
# 记录用的选项但这可以代替
ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o
# 伪装闸道的转送设定,更新以及设定拒绝的策略(policy).事实上
# 预设的策略没什麽关系,因为原先就希望拒绝以及记录所有规则
ipfwadm -F -f
ipfwadm -F -p deny
# 伪装区域网路的机器从本地界面送出至任何地方的资料
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
# 捕捉所有规则,任何其它的转送方式都会被拒绝并记录.可惜没有
# 记录用的选项但这可以代替
ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o
你可以使用 -I, -O 或是 -F
来控制到某特定节点的流量.记得这些规则集是由上往下扫描的而 -a
代表"附加(append)"到目前现有的规则集中所以任何限制必须在全域(global)
规则之前出现.例如(没测试过)
:-
使用 -I
规则.可能是速度最快的但是它只能阻止区域网路里的机器,防火墙本身仍然可以
存取"禁止"的节点.当然你可能想允许这样的组合.
... start of -I rules ...
# 拒绝并记录本地界面,区域网路里的机器通往 204.50.10.13
ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32
o
# 本地界面,区域网路里的机器,允许通往任何地方
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
... end of -I rules ...
使用 -O 规则.最慢,因为封包首先经过伪装但这个规则阻止防火墙存取禁止的节点.
Linux IP Masquerade mini HOWTO 中译版 22
... start of -O rules ...
# 拒绝并记录送出至 204.50.10.13 的资料
ipfwadm -O -a reject -V your.static.PPP.address -S your.static.PPP.address/
2 -D 204.50.10.13/32 -o
# 允许任何其它远端界面送出的东西
ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/
2 -D 0.0.0.0/0
... end of -O rules ...
使用 -F 规则.可能比 -I
慢而这仍然只能阻止伪装的机器(例如内部的机器),防火墙仍然可以取得禁止的节点.
... start of -F rules ...
# 拒绝并记录 PPP 界面送出从区域网路到 204.50.10.13 的资料.
ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# 伪装本地界面从区域网路送出至任何地方的资料.
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0..0.0/0
... end of -F rules ...
不需要有个特定的规则来允许 192.168.0.0/16 通往 204.50.11.0,
这涵盖於全域规则中.
有一种以上的方法可以对界面设定上述规则.例如可以使用 -W eth0 来取代 -V
192.168.255.1,可以使用 -W ppp0 来取代 -V
your.static.PPP.address.个人的选择最重要.
4.5 IP Masquerade 以及需求式拨接(Demand-Dial-Up)
1. 如果你想把网路设定成自动拨接上网际网路,那麽 diald demand
拨接套件将会是很棒的工具.
2. 要设定 diald, 请查看 Setting Up Diald for Linux Page11 网页
3. 一旦 diald 以及 IP masq 设定完成,你可以在任何客户端机器上启动 web, tel□
net 或是 ftp 连线.
4. Diald 将会侦测到进入系统的请求,然後拨接到你的 ISP 并建立连线.
5. 第一次连线将会发生逾时(timeout)
的情形.如果你使用类比式的数据机那这是无可避免的. 建立数据机连结以及 PPP
连线所花费的时间将会使你的客户端软体不耐. 如果你使用 ISDN
连线那这是可以避免的.你得做的只是结束客户端软体现行的程序再重新启动即可.
4.6 IPautofw 封包转送程式
IPautofw12 是一个给 Linux masquerading 使用的一般性 TCP 及 UDP
转送程式.一般使用需要 UDP 的套件的时候,需要载入特定的 ip_masq
模组;ip_masq_raudio, ip_masq_cuseeme,... Ipautofw
以更一般化的方式运作,它将会转送包含这些应用程式特定模组都不会转送的任何
资料流型态.如果没有正确地管理这可能造成安全上的漏洞.
____________________
11.<URL:http://home.pacific.net.sg/~harish/diald.config.html>
12.<URL:ftp://ftp.netis.com/pub/members/rlynch/ipautofw.tar.gz>
Linux IP Masquerade mini HOWTO 中译版 23
5. 其它
5.1 获得协助
□IP Masquerade Resource page13 应该有足够的资讯设定 IP Masquerade
这一页还有另一个站台14
□加入 IP masquerade 邮递列表(建议)
要订阅的话,寄封标题为 "subscribe" (不包含引号)的邮件到 masq-
request@indyramp.com
要取消订阅的话,寄封标题为 "unsubscribe" (不包含引号)的邮件到 masq-
request@indyramp.com
要获得使用这个邮递列表的协助说明的话,寄封标题为 "archive help" 或
"archive dir" (不包含引号)的邮件到 masq-request@indyramp.com
□IP masquerade 邮递列表档案15 包含所有过去送到这个邮递列表的讯息。
□本文件 Linux IP Masquerade mini HOWTO16 for kernel 2.x (如果你使用 1.3.x
or 2.x 的核心)
□IP Masquerade HOWTO for kernel 1.2.x17 如果你使用比较旧的核心
□IP masquerade FAQ18 有些一般性的资讯
□X/OS Ipfwadm page19 包含关於 ipfwadm
套件的原始程式码,执行档,文件,以及其它资讯
□LDP Network Administrator's Guide20 这是新手尝试设定网路的必要资讯
□Linux NET-2 HOWTO21 也有许多关於 Linux 网路方面有用的资讯
____________________
13.<URL:http://ipmasq.home.ml.org/>
14.<URL:http://www.hwy401.com/achau/ipmasq/>
15.<URL:http://www.indyramp.com/masq/list/>
16.<URL:http://ipmasq.home.ml.org/ipmasq-HOWTO.html>
17.<URL:http://ipmasq.home.ml.org/ipmasq-HOWTO-1.2.x.txt>
18.<URL:http://www.indyramp.com/masq/ip_masquerade.txt>
19.<URL:http://www.xos.nl/linux/ipfwadm/>
20.<URL:http://linuxwww.db.erau.edu/NAG/>
21.<URL:http://www.caldera.com/LDP/HOWTO/NET-2-HOWTO.html>
Linux IP Masquerade mini HOWTO 中译版 24
□Linux ISP Hookup HOWTO22 以及 Linux PPP HOWTO23 给你如何把 Linux
主机连上网际网路的相关资讯
□Linux Ethernet-Howto24 有关设定执行乙太网路的区域网路很棒的资讯来源
□你也可能对 Linux Firewalling and Proxy Server HOWTO25 有兴趣
□Linux Kernel HOWTO26 将会指引你编译核心的过程
□其它 Linux HOWTOs27 像是 Kernel HOWTO
□张贴到这个 USENET 新闻群组: comp.os.linux.networking
5.2 感谢
□ Gabriel Beitler, gbeitler@aciscorp.com
on providing section 3.3.8 (setting up Novel)
□Ed Doolittle, dolittle@math.toronto.edu
on suggestion to -V option in ipfwadm command for improved security
□Matthew Driver, mdriver@cfmeu.asn.au
on helping extensively on this HOWTO, and providing section 3.3.1 (setting
Server
--
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -