📄 ip-masquerade.txt
字号:
Ipfwadm 已经无法在 2.2.x 版的核心中处理 IP 封包的伪装规则,请改用 ipchains。 ipchains -P forward DENYipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ 其中 x 视你的子网路而定,为下列数字之一,而 yyy.yyy.yyy.yyy 则是你的网 路位址。 netmask | x | Subnet~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~255.0.0.0 | 8 | Class A255.255.0.0 | 16 | Class B255.255.255.0 | 24 | Class C255.255.255.255 | 32 | Point-to-point 你也可以使用这种格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx, 其中 xxx.xxx.xxx.xxx 指定你的子网路遮罩,如 255.255.255.0。 例如,如果我是在一个 class C 子网路上,我得输入: ipchains -P forward DENYipchains -A forward -s 192.168.1.0/24 -j MASQ 或 ipchains -P forward DENYipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ 你也可以分别对每台机器设定。 例如,如果我想让 192.168.1.2 及 192.168.1.8 能够存取网际网路,但不允许其它机器使用的话,我得输入: ipchains -P forward DENYipchains -A forward -s 192.168.1.2/32 -j MASQipchains -A forward -s 192.168.1.8/32 -j MASQ 不要把你的预设方式(policy)定为伪装(masquerading) - 否则可以操控他们的 递送路径(routing) 的人将能够直接穿过(tunnel)你的闸道,以此伪装他们的身 分! 同样地,你可以把这些加入 /etc/rc.d/rc.local 档案,任何一个你比较喜欢的 rc 档案,或是在每次你需要 IP Masquerade 时手动执行之。 关於 ipchains 的详细使用方法,请参考 [44]Linux IPCHAINS HOWTO Linux 2.0.x 核心 ipfwadm -F -p denyipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0 或 ipfwadm -F -p denyipfwadm -F -a masquerade -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0 其中 x 视你的子网路而定,为下列数字之一,而 yyy.yyy.yyy.yyy 则是你的网 路位址。 netmask | x | Subnet~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~255.0.0.0 | 8 | Class A255.255.0.0 | 16 | Class B255.255.255.0 | 24 | Class C255.255.255.255 | 32 | Point-to-point 你也可以使用这种格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx, 其中 xxx.xxx.xxx.xxx 指定你的子网路遮罩,如 255.255.255.0。 例如,如果我是在一个 class C 子网路上,我得输入: ipfwadm -F -p denyipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0 因为 bootp 请求封包没有合法的 IP's ,客户端并不知道它的位址,对於在伪 装/防火墙上执行 bootp 伺服器的人必须在 deny 之前执行下列指令: ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp 你也可以分别对每台机器设定。 例如,如果我想让 192.168.1.2 及 192.168.1.8 能够存取网际网路,但不允许其它机器使用的话,我得输入: ipfwadm -F -p denyipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0 常见的错误是像这样的第一行指令ipfwadm -F -p masquerade 不要把你的预设方式(policy)定为伪装(masquerading) - 否则可以操控他们的 递送路径(routing) 的人将能够直接穿过(tunnel)你的闸道,以此伪装他们的身 分! 同样地,你可以把这些加入 /etc/rc.d/rc.local 档案,任何一个你比较喜欢的 rc 档案,或是在每次你需要 IP Masquerade 时手动执行之。 请阅读 4.4 节有关 Ipfwadm 的详细指引。 3.5 测试 IP Masquerade 在这些工作完成後,现在是试试看的时候了。确定你的 Linux 主机到网际网路的 连线是通的。 你可以在其它机器上试著浏览一些'网际网路!!!' 上的网页,看是否能见到。我 建议第一次尝试时使用 IP 位址而不要用主机名称,因为你的 DNS 设定有可能并 不正确。 例如,你可以使用 [45]http://152.19.254.81/mdw/linux.html 来存取 Linux 文件计画网页 http://metalab.unc.edu/mdw/linux.html 如果你看见 The Linux Documentation Project 的字样,那麽恭喜! 它可以运作 了! 接著你可以使用主机名称试试看,然後是 telnet, ftp, RealAudio, True Speech,以及任何 IP Masquerade 支援的东西。 到目前为止,我还不曾在上面的设定上发生过问题,而那些花下时间让这个绝妙 功能运作的人完全同意这些设定。 4. 其它 IP Masquerade 的问题及软体支援4.1 IP Masquerade 的问题 某些协定现在无法配合 masquerading 使用,因为它们不是假设有关埠号的一些 事情,就是在位址及埠号的资料流里编码资料 - 後面这些协定需要在 masquerading 程式码里建立特定的代理程式使它们能运作。 4.2 进入系统的服务(incoming services) Masquerading 完全不能处理外界的服务请求 (incoming services)。 只有极少 方法能允许它们,但这完全与 masquerading 无关,而且实在是标准的防火墙方 式。 如果你并不要求高度的安全性那麽你可以简单地重导(redirect)这些埠。 有几种 不同的方法可以做这件事 - 我使用一只修改过的 redir 程式(我希望这只程式 很快就能从 sunsite 及其 mirrors 取得)。 如果你希望能够对外界进入系统的 服务请求有某种程度的身分验认(authorisation) 那麽你可以在 redir 的顶 层(0.7 or above) 使用 TCP wrappers 或是 Xinetd 来允许特定 IP 位址通过, 或使用其它的工具。TIS 防火墙工具集是寻找工具及资讯的好地方。 更多的详节可在 [46]IP Masquerade Resource 找到。 将会加上一小节更多关於转送服务的的资讯。 4.3 已支援的客户端软体以及其它设定方面的注意事项 ** 下面的列表将不再被维护了。可经由 Linux IP masquerading 运作的应用 程式请参考 [47]这里 和 [48]IP Masquerade Resource 以取得进一步的细节 。 ** 一般说来,使用传输控制协定(TCP) 或是使用者定义资料协定 (UDP)的应用程式 应该都能运作。 如果你有任何关於应用程式与 IP Masquerade 相容的建议,提 示或问题,请拜访由 Lee Nevo 维护的 [49]可与 Linux IP masquerading 运作 的应用程式 网页。 可以使用的客户端软体 一般客户端软体 HTTP 所有有支援的平台,浏览网页 POP & SMTP 所有有支援的平台,电子邮件软体 Telnet 所有有支援的平台,远端签入作业 FTP 所有有支援的平台,配合 ip_masq_ftp.o 模组(不是所有站台都能配合各 种客户端软体;例如某些不能使用 ws_ftp32 触及的站台却能使用 netscape 进入) Archie 所有有支援的平台,档案搜寻软体(并非所有 archie 客户端软体都支 援) NNTP (USENET) 所有有支援的平台,网路新闻软体 VRML Windows (可能所有有支援的平台都可以),虚拟实境浏览 traceroute 主要是 UNIX 系列的平台,某些变种可能无法运作 ping 所有平台,配合 ICMP 修补档 anything based on IRC 所有有支援的平台,配合 ip_masq_irc.o 模组 Gopher client 所有有支援的平台 WAIS client 所有有支援的平台 多媒体客户端软体 Real Audio Player Windows, 网路资料流音讯,配合载入 ip_masq_raudio 模组 True Speech Player 1.1b Windows, 网路资料流音讯 Internet Wave Player Windows, 网路资料流音讯 Worlds Chat 0.9a Windows, 客户-伺服端立体交谈(3D chat) 程式 Alpha Worlds Windows, Windows, 客户-伺服端立体交谈(3D chat) 程式 Powwow Windows, 点对点文字声音白板通讯,如果你呼叫别人,人们可以与你交 谈,但是他们不能呼叫你。 CU-SeeMe 所有有支援的平台,配合载入 cuseeme 模组,详细细节请参 阅 [50]IP Masquerade Resource VDOLive Windows, 配合 vdolive 修补档 注意: 即使不是由你呼叫别人,使用 ipautofw 套件某些客户端软体像是 IPhone 以及 Powwow 可能还是可以运作(参阅 4.6 节) 其它客户端软体 NCSA Telnet 2.3.08 DOS, 包含 telnet, ftp, ping 等等的一组套件。 PC-anywhere for windows 2.0 MS-Windows, 经由 TCP/IP 远端遥控 PC ,只有在作为客户端而非主机端 的情形下才能运作 Socket Watch 使用 ntp - 网路时间协定 Linux net-acct package Linux, 网路帐号管理套件 无法使用的客户端软体 Intel Internet Phone Beta 2 可以连上但声音只能单向(往外)传送 Intel Streaming Media Viewer Beta 1 无法连上伺服器 Netscape CoolTalk 无法连接对方 talk,ntalk 这将不会运作 - 需要撰写一份核心代理程式。 WebPhone 目前无法运作(它做了不合法的位址假设)。 X 没有测试过,但我想除非有人建立一套 X 代理程式否则它无法运作,这 可能是 masquerading 程式码之外的一个外部程式。一个让它运作的方式 是使用 ssh 作为链结并且使用其内部的 X 代理功能来执行! 已测试过可以作为其它机器的平台/作业系统 * Linux * Solaris * Windows 95 * Windows NT (both workstation and server) * Windows For Workgroup 3.11 (with TCP/IP package) * Windows 3.1 (with Chameleon package) * Novel 4.01 Server * OS/2 (including Warp v3) * Macintosh OS (with MacTCP or Open Transport) * DOS (with NCSA Telnet package, DOS Trumpet works partially) * Amiga (with AmiTCP or AS225-stack) * VAX Stations 3520 and 3100 with UCX (TCP/IP stack for VMS) * Alpha/AXP with Linux/Redhat * SCO Openserver (v3.2.4.2 and 5) * IBM RS/6000 running AIX 基本上,所有支援 TCP/IP 而且允许你指定匣道器/路由器(gateway/router)的作 业系统都应该能和 IP Masquerade 一起工作。 4.4 IP 防火墙管理 (ipfwadm) 这一节提供关於 ipfwadm 更深入的使用指引。 ⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -