📄 network-share-modem.html
字号:
<!doctype html public "-//w3c//dtd html 4.0 transitional//en">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=gb2312">
<meta name="Author" content="Edward Fu">
<meta name="GENERATOR" content="Mozilla/4.05 [zh-CN] (X11; I; Linux 2.1.127 i686) [Netscape]">
<title>Freesoft Linux FAQ -- 用一个modem带动整个局域网上internet</title>
</head>
<body>
前面raner已经讲得很好了,现在我针对一个具体的情况给出解决的参考方法:
<br>现在有一个小局域网,其中有一个Linux Box上有modem可以拨号上Internet,
<br>要求局域网上的所有机器可以通过Linux Box上internet.
<br>实施步骤如下:
<br>1 准备PPP拨号连接,参考<a href="network-ppp.html">拨号上网的问题</a>。
<p>2 网络的基本配置应该完全正常,保证局域网内网络的连接没有问题。
<p>3 准备内核,通常内核没有编译进forward/gateway/masquerade等选项,需要重新
<br> 配置并编译。在内核配置里加上以下几项:
<br> Code maturity level option
<br> Prompt for development/or ... (允许打开内核里的某些实验性代码选项)
<br> Networking options:
<br> Network firewalls
<br> IP: forward/gatewaying
<br> IP: firewalling
<br> IP: firewall packet logging
<br> IP: masquerading
<br> IP: ipautofw masquerading (如果你的应用不在已知伪装支持之列,打开此项)
<br> IP: ICMP masquerading
<br> IP: transparent proxy support (可选)
<br> IP: always defragment (强烈推荐)
<br> IP: accounting
<br> Network device support
<br> Dummy net driver support
<p>4 重新配置网络。
<br> a, 分配IP伪装地址。拨号上网顶多只有一个有效IP地址,所以Linux
Box上的网卡
<br> 以及其他机器上的网卡上都只能分配伪装IP地址。好在IETF保留了一大堆伪装
<br> 地址可用:
<br> 一个A类网络地址
<br> 10.0.0.0 (网络掩码 255.0.0.0)
<br> 十六个B类网络地址
<br> 172.16.0.0 - 172.31.0.0 (网络掩码
255.255.0.0)
<br> 二百五十六个C类网络地址
<br> 192.168.0.0 - 192.168.255.0 (网络掩码
255.255.255.0)
<br> 按照VLSM(可变长子网掩码),你可以不太在意网络掩码,比如可自定义一个10.168.1.0/24
<br> 192.168.1.128/25等等,但192.0.0.0/8肯定是不对的。配置后的网络举例如下:<tt></tt>
<p><tt>
192.168.10.0/24</tt>
<br><tt>
|</tt>
<br><tt>
192.168.10.2--+</tt>
<br><tt>
|
eth0 +---------+ modem</tt>
<br><tt>
+--192.168.10.1------+linux box+-------ppp to isp</tt>
<br><tt>
|
+---------+</tt>
<br><tt>
192.168.10.3--+</tt>
<br><tt>
|</tt>
<br><tt>
......</tt>
<p> 需要注意的是,<font color="#3366FF">有很多ISP如263,169,col都用到了IP
Masquerade技术</font>,它们给拨号上网的
<br> 用户分配的也是伪装地址,所以你<font color="#3333FF">要避免你的设置与它们的分配重复</font>。
<p> b, 设置网关及DNS。Linux Box上的缺省网关在ppp建立后应该分配在ppp上,参见ppp的配置说明。
<br> 局域网上其他机器的缺省网关应指向Linux
Box,如为192.168.10.1。这时候Linux Box相当于
<br> 一个简单的静态路由器,不过融合了IP Masquerade方式。如果你用Proxy代理服务器而且是用
<br> 集线器(hub)简单组网的话,这一步不是必须的,因为这时由Proxy来转发数据包,Linux
Box不
<br> 再需要静态路由转发的功能。DNS通常设置为指向ISP的DNS服务器,也可以指向任一个DNS服务
<br> 器。如果用Proxy的话,在客户端可以不设DNS。在Linux
Box上配置一个Cache Only的DNS也许
<br> 会提升一点点性能。
<p> c, 允许Linux的IP转发功能,编辑/etc/sysconfig/network文件,设置FORWARD_IPV4=yes。
<br> 整个文件看起来像这样:
<br> NETWORKING=yes
<br> FORWARD_IPV4=yes
<br> HOSTNAME=host.your.domain.name
<br> DOMAINNAME=your.domain.name
<br> GATEWAYDEV=
<br> GATEWAY=
<br> 如果用proxy的话,没有必要打开这个选项(当然打开这个选项对proxy没有大的影响)。
<br> 打开这项可以让局域网上的其他伪装地址“透明”地访问Internet,不利之处正如raner
<br> 所说,针对具体的应用级协议要有相应的模块支持,已知的支持有Ping(ICMP),HTTP,ftp,
<br> NNTP,traceroute,telnet,IRC,POP&SMTP,VRML,WAIS,Archie,Real
Audio Player,Gopher,
<br> True Speech Player,Internet Wave Player,Inetrnet
Phone,Powwow,CU-SeeMe,VDOLive,
<br> PC-anywhere,Socket Watch,Linux net-acct
package等。用Proxy的最大好处是可以缓存
<br> 以前浏览过的内容。两种方式都用上也许是个好注意(如果要计帐收钱可能不太方便)。
<br> 另外,这种情况下把GATEWAYDEV/GATEWAY空着好了,千万别设成eth0,拨号上网后,pppd
<br> 的defaulteroute选项会自动通知内核把ppp设成缺省网关的。
<p>5 设置IP包转发策略/规则
<br> 只有打开了FORWARD_IPV4=yes才有效,如果用proxy则设不设没有关系,原因嘛前面已经讲过。
<br> 这时候要用到ipfwadm(ip forward administry)工具,用man ipfwadm看看都有什么参数,
<br> 简单的应用如下:
<br> ipfwadm -F -p deny <==首先禁止所有转发
<br> ipfwadm -F -a m -S 192.168.10.0/24 -D
0.0.0.0/0 <==允许子网192.168.10.0到任何地方
<br> 查看计帐信息:
<br> ipfwadm -A -a -b -S 192.168.10.x
<br> ipfwadm -Aln
<br> 提醒一下,设定策略顺序很重要。自己用man ipfwadm读详细信息吧,或去读HOWTO,理解所以然。
<p>6 设置proxy服务
<br> 可以做proxy的软件很多,主要有squid,socks,FWTK(TIS Firewall Toolkit)以及apach(也可以做
<br> proxy哟).我觉得socks,FWTK更偏重于防火墙的运用,我一般用支持cache的<a href="http://squid.nlanr.net">squid</a>,Redhat5.1就带
<br> 它,无须修改配置,缺省的就可以了(看看/etc/squid.conf, http
proxy 缺省端口是3128)。客
<br> 户端程序要把proxy指向Linux Box(eth0),各种具体的应用对应到squid的端口上。
<p>7 测试
<br> 首先网内的其他机器应可以ping到linux box eth0上。然后拨号上网,在Linux
Box上ping到外面去
<br> 应该没有问题,否则去检查ppp设置。如果设置了FORWARD_IPV4=yes则在其他计算机上也可以ping到
<br> 外面去,装入ftp模块就可以ftp到外面去(insmod ip_masq_ftp),在/lib/modules/2.x.xx/ipv4下看
<br> 看都有那些模块,http是缺省的;如果你打开了Loadable module support/Kernel
module loader,则
<br> 内核会自动装入那些模块。否则使用支持proxy的软件如netscape来试试,应该没有问题。
<br> 测试通过后,你可能要考虑把某些配置写到启动配置文件中,如把有关ipfwadm的配置写到
<br> /etc/rc.d/rc.local里。
<p>8 举一反三
<br> 如果是ISDN终端,配置过程没什么两样;如果是DDN专线,可以变换如下:<tt></tt>
<p><tt>
有效IP地址</tt>
<br><tt>
|</tt>
<br><tt>
IP伪装地址 a.b.c.d ---+</tt>
<br><tt>
|
|</tt>
<br><tt>
| eth0 +---------+ eth1|</tt>
<br><tt>
+------+Linux Box+-----+</tt>
<br><tt>
| +---------+ |
+------+ +--------+</tt>
<br><tt>
192.168.10.2--+
+---+Router+--+同步设备+---DDN</tt>
<br><tt>
|
| +------+ +--------+ ⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -