ip-masquerade-howto-3.html

Linux初学者最好的老师就是howto了。相当于函数man。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
 <META NAME="GENERATOR" CONTENT="ZH-SGML-Tools 1.0.9">
 <TITLE>Linux IP Masquerade mini HOWTO 中译版: IP Masquerade 的设定</TITLE>
 <LINK HREF="IP-Masquerade-HOWTO-4.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-4.html" REL=next>
 <LINK HREF="IP-Masquerade-HOWTO-2.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-2.html" REL=previous>
 <LINK HREF="IP-Masquerade-HOWTO.html#toc3" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc3" REL=contents>
<SCRIPT src="menu.js"> function BeginPage() {} function EndPage() {} </SCRIPT> </HEAD> <BODY bgcolor=#FFFFFF MARGINHEIGHT=0 MARGINWIDTH=0> 
<A HREF="IP-Masquerade-HOWTO-4.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-4.html"><IMG SRC="next.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/next.gif" ALT="Next"></A>
<A HREF="IP-Masquerade-HOWTO-2.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-2.html"><IMG SRC="prev.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/prev.gif" ALT="Previous"></A>
<A HREF="IP-Masquerade-HOWTO.html#toc3" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc3"><IMG SRC="toc.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/toc.gif" ALT="Contents"></A>
<HR>
<H2><A NAME="s3">3. IP Masquerade 的设定</A></H2>

<P>
<BLOCKQUOTE>
<B>如果你的私用网络里有任何重要的信息，在使用 IP Masquerade 之前请三思。这可能成为你通往网际网路的闸道，反之亦然，也可能成为另一边的世界进入你私用网路的途径。</B>
</BLOCKQUOTE>
<P>
<H2><A NAME="ss3.1">3.1 编译核心加入 IP Masquerade 的支持</A>
</H2>

<P>
<BLOCKQUOTE>
 <B>如果你的 Linux 发行套件已经将下面将提到的所需特性及模块编译进去的话(大部份模块化的核心有你所需的东西)，那麽你不需要重新编译核心。
不过仍十分建议你读一读此节，因为它包含了其它有用的信息。</B> 
</BLOCKQUOTE>
<P>
<H3>Linux 2.2.x 版核心</H3>

<P>
<UL>
<LI>首先，你需要 2.2.x 版核心的原始程序码。
</LI>
<LI>如果这是你第一次编译核心，不要害怕。
事实上，这非常容易而且涵盖于 
<A HREF="javascript:if(confirm('http://www.linux.org.tw/CLDP/Kernel-HOWTO.html  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.linux.org.tw/CLDP/Kernel-HOWTO.html'" tppabs="http://www.linux.org.tw/CLDP/Kernel-HOWTO.html">Linux Kernel HOWTO</A>。
</LI>
<LI>以这个指令: <CODE>tar xvzf linux-2.2.x.tar.gz -C /usr/src</CODE>
将核心原始码解开至 <CODE>/usr/src/</CODE>,
其中 x 是 2.2 之後的修补层级(确定有一叫 <CODE>linux</CODE> 的目录或符号连结)。
</LI>
<LI>加上适当的修补。因为新的修补档不断出来，所以细节不会包含在这里。
最新的信息请参考 
<A HREF="javascript:if(confirm('http://ipmasq.cjb.net/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://ipmasq.cjb.net/'" tppabs="http://ipmasq.cjb.net/">IP Masquerade Resources</A>。
</LI>
<LI>有关编译核心更进一步的介绍请参考 Kernel HOWTO 以及核心原始程序码目录里的 README 档案。
</LI>
<LI>这里是你要编译进去的选项:
<P>下列选项要回答 <EM>YES</EM>:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  * Prompt for development and/or incomplete code/drivers
    CONFIG_EXPERIMENTAL
    - 这将让你能选择把实验性的 IP Masquerade 程序码编译到核心里去

  * Enable loadable module support
    CONFIG_MODULES
    - 让你能够载入 ipmasq 相关模块如 ip_masq_ftp.o

  * Networking support
    CONFIG_NET

  * Network firewalls
    CONFIG_FIREWALL

  * TCP/IP networking
    CONFIG_INET

  * IP: forwarding/gatewaying
    CONFIG_IP_FORWARD

  * IP: firewalling
    CONFIG_IP_FIREWALL

  * IP: masquerading
    CONFIG_IP_MASQUERADE

  * IP: ipportfw masq support
    CONFIG_IP_MASQUERADE_IPPORTFW
    - 建议加入

  * IP: ipautofw masquerade support
    CONFIG_IP_MASQUERADE_IPAUTOFW
    - 可选用

  * IP: ICMP masquerading
    CONFIG_IP_MASQUERADE_ICMP
    - 支持伪装 ICMP 封包，建议加入

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG
    - 高度建议使用

  * Dummy net driver support
    CONFIG_DUMMY
    - 建议加入

  * IP: ip fwmark masq-forwarding support
    CONFIG_IP_MASQUERADE_MFW
    - 可选用
</PRE>
</CODE></BLOCKQUOTE>
<P>注意: 这只不过是你跑 IP Masquerade 所需的项目，其它的按照你所需的来选择。
<P>
</LI>
<LI>在编译完核心之後，你需要编译及安装模块:
<BLOCKQUOTE><CODE>
<PRE>
make modules; make modules_install
</PRE>
</CODE></BLOCKQUOTE>

</LI>
<LI>然後把下面几行加到你的 <CODE>/etc/rc.d/rc.local</CODE> 档案
(或其它你认为适当的档案)中以便于每次重开机时自动载入位于 
<CODE>/lib/modules/2.2.x/ipv4/</CODE> 的模块:
<BLOCKQUOTE><CODE>
<PRE>
        .
        .
        .
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
(以及其它的模块如 ip_masq_cuseeme, ip_masq_vdolive,
如果你有加上这些修补的话)
        .
        .
        .
</PRE>
</CODE></BLOCKQUOTE>


<B>重要: IP 转送功能在 2.2.x 版核心中预设是关闭的，请确定你以此指令将其打开:</B><BR>
<BLOCKQUOTE><CODE>
<PRE>
echo "1" > /proc/sys/net/ipv4/ip_forwarding
</PRE>
</CODE></BLOCKQUOTE>

对于 Red Hat 的使用者来说，你可以把 <CODE>/etc/sysconfig/network</CODE> 中的
<CODE>FORWARD_IPV4=false</CODE> 改成 <CODE>FORWARD_IPV4=true</CODE>。
</LI>
<LI>重新启动 Linux 主机。
</LI>
</UL>
<P>
<H3>Linux 2.0.x Kernels</H3>

<P>
<UL>
<LI>首先，你需要核心的原始程序码(最好是最新的 2.0.36 或以上的版本)。
</LI>
<LI>如果这是你第一次编译核心，不要害怕。
事实上，这非常容易而且涵盖于 
<A HREF="javascript:if(confirm('http://www.linux.org.tw/CLDP/Kernel-HOWTO.html  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://www.linux.org.tw/CLDP/Kernel-HOWTO.html'" tppabs="http://www.linux.org.tw/CLDP/Kernel-HOWTO.html">Linux Kernel HOWTO</A>。
</LI>
<LI>以这个指令: <CODE>tar xvzf linux-2.0.x.tar.gz -C /usr/src</CODE>
将核心原始码解开至 <CODE>/usr/src/</CODE>,
其中 x 是 2.0 之後的修补层级(确定有一叫 <CODE>linux</CODE> 的目录或符号连结)。
</LI>
<LI>加上适当的修补。因为新的修补档不断出来，所以细节不会包含在这里。
最新的信息请参考 
<A HREF="javascript:if(confirm('http://ipmasq.cjb.net/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://ipmasq.cjb.net/'" tppabs="http://ipmasq.cjb.net/">IP Masquerade Resources</A>。
</LI>
<LI>有关编译核心更进一步的介绍请参考 Kernel HOWTO 以及核心原始程序码目录里的 README 档案。
</LI>
<LI>这里是你要编译进去的选项:
<P>下列选项要回答 <EM>YES</EM>:
<P>
<BLOCKQUOTE><CODE>
<PRE>
  * Prompt for development and/or incomplete code/drivers
    CONFIG_EXPERIMENTAL
    - 这将让你能选择把实验性的 IP Masquerade 程序码编译到核心里去

  * Enable loadable module support
    CONFIG_MODULES
    - 让你能够载入模块

  * Networking support
    CONFIG_NET

  * Network firewalls
    CONFIG_FIREWALL

  * TCP/IP networking
    CONFIG_INET

  * IP: forwarding/gatewaying
    CONFIG_IP_FORWARD

  * IP: firewalling
    CONFIG_IP_FIREWALL

  * IP: masquerading (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE
    - 这虽然是实验性的，但却是 *必须* 的

  * IP: ipautofw masquerade support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPAUTOFW
    - 建议加入

  * IP: ICMP masquerading
    CONFIG_IP_MASQUERADE_ICMP
    - 支持伪装 ICMP 封包，可选用

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG
    - 高度建议使用

  * Dummy net driver support
    CONFIG_DUMMY
    - 建议加入
</PRE>
</CODE></BLOCKQUOTE>
<P>注意: 这只不过是你跑 IP Masquerade 所需的项目，其它的按照你所需的来选择。
<P>
</LI>
<LI>在编译完核心之後，你需要编译及安装模块:
<BLOCKQUOTE><CODE>
<PRE>
make modules; make modules_install
</PRE>
</CODE></BLOCKQUOTE>

</LI>
<LI>然後把下面几行加到你的 <CODE>/etc/rc.d/rc.local</CODE> 档案
(或其它你认为适当的档案)中以便于每次重开机时自动载入位于 
<CODE>/lib/modules/2.0.x/ipv4/</CODE> 的模块:
<BLOCKQUOTE><CODE>
<PRE>
        .
        .
        .
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
(以及其它的模块如 ip_masq_cuseeme, ip_masq_vdolive,
如果你有加上这些修补的话)
        .
        .
        .
</PRE>
</CODE></BLOCKQUOTE>


<B>重要: IP 转送功能在 2.0.34 之後的核心中预设是关闭的，请确定你以此指令将其打开:</B><BR>
<BLOCKQUOTE><CODE>
<PRE>
echo "1" > /proc/sys/net/ipv4/ip_forwarding
</PRE>
</CODE></BLOCKQUOTE>


对于 Red Hat 的使用者来说，你可以把 <CODE>/etc/sysconfig/network</CODE> 中的
<CODE>FORWARD_IPV4=false</CODE> 改成 <CODE>FORWARD_IPV4=true</CODE>。
</LI>