ip-masquerade-howto-3.html

Linux初学者最好的老师就是howto了。相当于函数man。

</PRE>
: (here is a copy of mine)
<PRE>
SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:
</PRE>

</LI>
<LI>
<PRE>
编辑 c:\nwclient\net.cfg
</PRE>
: (将驱动程序改为你的， i.e. NE2000)
<PRE>
Link Driver KTC2000
        Protocol IPX 0 ETHERNET_802.3    
        Frame ETHERNET_802.3     
        Frame Ethernet_II        
        FRAME Ethernet_802.2

NetWare DOS Requester
           FIRST NETWORK DRIVE = F
           USE DEFAULTS = OFF
           VLM = CONN.VLM
           VLM = IPXNCP.VLM
           VLM = TRAN.VLM
           VLM = SECURITY.VLM
           VLM = NDS.VLM
           VLM = BIND.VLM
           VLM = NWP.VLM
           VLM = FIO.VLM
           VLM = GENERAL.VLM
           VLM = REDIR.VLM
           VLM = PRINT.VLM
           VLM = NETX.VLM

Link Support
        Buffers 8 1500
        MemPool 4096

Protocol TCPIP
        PATH SCRIPT     C:\NET\SCRIPT
        PATH PROFILE    C:\NET\PROFILE
        PATH LWP_CFG    C:\NET\HSTACC
        PATH TCP_CFG    C:\NET\TCP
        ip_address      xxx.xxx.xxx.xxx
        ip_router       xxx.xxx.xxx.xxx
</PRE>

</LI>
<LI>最後建立 
<PRE>
c:\bin\resolv.cfg
</PRE>
:
<PRE>
SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER 207.103.0.2
NAMESERVER 207.103.11.9
</PRE>

</LI>
<LI>我希望这些某些使用 Novell 网络的人有帮助。还有，这对 Netware 3.1x 或 4.x 都有用。
</LI>
</OL>
<P>
<H3>配置 OS/2 Warp</H3>

<P>
<OL>
<LI>如果你还没为你的乙太网络转接器安装适当的驱动程序，最好现在就作。
</LI>
<LI>如果你还没装 TCP/IP 通讯协定的话现在就装。
</LI>
<LI>开启 <EM>Programms/TCP/IP (LAN) / TCP/IP</EM> 设定
</LI>
<LI>在 <EM>'Network'</EM> 栏位加上你的 TCP/IP 位址并设定你的 netmask (255.255.255.0)
</LI>
<LI>在 <EM>'Routing'</EM> 栏位按下 <EM>'Add'</EM>。将 <EM>Type</EM> 栏位设定为 
<EM>'default'</EM> 并在 <EM>'Router Address'</EM> 栏位中键入你的 Linux 主机的 IP 位址 (192.168.1.1)。
</LI>
<LI>将 <EM>'Hosts'</EM> 栏位设定与你的 Linux 主机使用相同的 DNS (名称服务器)位址。
</LI>
<LI>关闭 TCP/IP 控制台。在接下来的问题中回答 yes。
</LI>
<LI>重新启动你的系统
</LI>
<LI>你可以 ping 你的 Linux 主机以测试网络配置。在 'OS/2 命令视窗' 上键入 <CODE>'ping 192.168.1.1'</CODE>。如果收到 ping 封包一切就没问题。
</LI>
</OL>
<P>
<H3>配置其它系统</H3>

<P>相同的逻辑应可适用于配置其它的平台。查阅上述的小节的说明。
如果你有兴趣写关于其它的操作系统的配置，
请送详细的建立指引到
<A HREF="mailto:ambrose@writeme.com">ambrose@writeme.com</A> 及
<A HREF="mailto:dranch@trinnet.net">dranch@trinnet.net</A>。
<P>
<P>
<H2><A NAME="ss3.4">3.4 配置 IP 转送(Forwarding)的方式</A>
</H2>

<P>到目前为止，你应该已经安装好核心以及其它需要的套件，也载入了你的模块。同时，<B>其它</B>机器的 IP 位址，闸道，以及　DNS 也该全都设定完成。
<P>现在，唯一剩下要做的事是使用 IP 防火墙工具来转送适当的封包给适当的机器:
<P>
<BLOCKQUOTE>
<B>** 这可以用许多不同的方式来达成。下列的建议与例子对我来说能用，但你可能有不同的主意，详节部份请参考 4.4 节及 ipchains(2.2.x) / ipfwadm(2.0.x) 的线上手册。 **</B>
</BLOCKQUOTE>
<P>
<BLOCKQUOTE>
<B>** 本节仅提供你建立 IP 伪装功能所需的最少规则，一些安全的考量并未包含进去。
强烈建议你花一些时间去研究适当的防火墙规则来加强安全性。 **</B>
</BLOCKQUOTE>
<P>
<H3>Linux 2.2.x 核心</H3>

<P>
<P><B>Ipfwadm 已经无法在 2.2.x 版的核心中处理 IP 封包的伪装规则，请改用 ipchains。</B>
<P>
<BLOCKQUOTE><CODE>
<PRE>
ipchains -P forward DENY
ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ
</PRE>
</CODE></BLOCKQUOTE>

其中 x 视你的子网络而定，为下列数字之一，而 yyy.yyy.yyy.yyy 则是你的网络位址。
<BLOCKQUOTE><CODE>
<PRE>
netmask         | x  | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0       | 8  | Class A
255.255.0.0     | 16 | Class B
255.255.255.0   | 24 | Class C
255.255.255.255 | 32 | Point-to-point
</PRE>
</CODE></BLOCKQUOTE>
<P>你也可以使用这种格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx,
其中 xxx.xxx.xxx.xxx 指定你的子网络遮罩，如 255.255.255.0。
<P>例如，如果我是在一个 class C 子网络上，我得输入:
<BLOCKQUOTE><CODE>
<PRE>
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/24 -j MASQ
</PRE>
</CODE></BLOCKQUOTE>

或
<BLOCKQUOTE><CODE>
<PRE>
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P>你也可以分别对每台机器设定。
例如，如果我想让 192.168.1.2 及 192.168.1.8 能够存取网际网路，但不允许其它机器使用的话，我得输入:
<BLOCKQUOTE><CODE>
<PRE>
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2/32 -j MASQ
ipchains -A forward -s 192.168.1.8/32 -j MASQ
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P><B>不要</B>把你的预设方式(policy)定为伪装(masquerading) － 否则可以操控他们的递送路径(routing) 的人将能够直接穿过(tunnel)你的闸道，以此伪装他们的身分!
<P>
<P>
<P>同样地，你可以把这些加入 <CODE>/etc/rc.d/rc.local</CODE> 档案，任何一个你比较喜欢的 rc 档案，或是在每次你需要 IP Masquerade 时手动执行之。
<P>关于 ipchains 的详细使用方法，请参考
<A HREF="javascript:if(confirm('http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html'" tppabs="http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html">Linux IPCHAINS HOWTO</A><P>
<H3>Linux 2.0.x 核心</H3>

<P>
<P>
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -F -p deny
ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0
</PRE>
</CODE></BLOCKQUOTE>

或
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -F -p deny
ipfwadm -F -a masquerade -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0
</PRE>
</CODE></BLOCKQUOTE>

其中 x 视你的子网络而定，为下列数字之一，而 yyy.yyy.yyy.yyy 则是你的网络位址。
<BLOCKQUOTE><CODE>
<PRE>
netmask         | x  | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0       | 8  | Class A
255.255.0.0     | 16 | Class B
255.255.255.0   | 24 | Class C
255.255.255.255 | 32 | Point-to-point
</PRE>
</CODE></BLOCKQUOTE>
<P>你也可以使用这种格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx,
其中 xxx.xxx.xxx.xxx 指定你的子网络遮罩，如 255.255.255.0。
<P>例如，如果我是在一个 class C 子网络上，我得输入:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
</PRE>
</CODE></BLOCKQUOTE>
<P>因为 bootp 请求封包没有合法的 IP's ，客户端并不知道它的位址，对于在伪装/防火墙上执行 bootp 服务器的人必须在 deny 之前执行下列指令:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P>你也可以分别对每台机器设定。
例如，如果我想让 192.168.1.2 及 192.168.1.8 能够存取网际网路，但不允许其它机器使用的话，我得输入:
<BLOCKQUOTE><CODE>
<PRE>
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0
</PRE>
</CODE></BLOCKQUOTE>
<P>
<P>常见的错误是像这样的第一行指令
<PRE>
ipfwadm -F -p masquerade
</PRE>

<B>不要</B>把你的预设方式(policy)定为伪装(masquerading) － 否则可以操控他们的递送路径(routing) 的人将能够直接穿过(tunnel)你的闸道，以此伪装他们的身分!
<P>同样地，你可以把这些加入 <CODE>/etc/rc.d/rc.local</CODE> 档案，任何一个你比较喜欢的 rc 档案，或是在每次你需要 IP Masquerade 时手动执行之。
<P>请阅读 4.4  节有关 Ipfwadm 的详细指引。
<P>
<P>
<H2><A NAME="ss3.5">3.5 测试 IP Masquerade</A>
</H2>

<P>在这些工作完成後，现在是试试看的时候了。确定你的 Linux  主机到网际网路的连线是通的。
<P>你可以在<B>其它</B>机器上试著浏览一些<EM>'网际网路!!!'</EM> 上的网页，看是否能见到。我建议第一次尝试时使用 IP 位址而不要用主机名称，因为你的 DNS  设定有可能并不正确。
<P>例如，你可以使用 
<A HREF="javascript:if(confirm('http://152.19.254.81/mdw/linux.html  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://152.19.254.81/mdw/linux.html'" tppabs="http://152.19.254.81/mdw/linux.html">http://152.19.254.81/mdw/linux.html</A> 来存取 Linux 文件计划网页 http://metalab.unc.edu/mdw/linux.html
<P>如果你看见 The Linux Documentation Project 的字样，那麽恭喜! 它可以运作了! 接著你可以使用主机名称试试看，然後是 telnet, ftp, RealAudio, True Speech，以及任何 IP Masquerade 支持的东西。
<P>到目前为止，我还不曾在上面的设定上发生过问题，而那些花下时间让这个绝妙功能运作的人完全同意这些设定。
<P>
<P>
<HR>
<A HREF="IP-Masquerade-HOWTO-4.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-4.html"><IMG SRC="next.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/next.gif" ALT="Next"></A>
<A HREF="IP-Masquerade-HOWTO-2.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-2.html"><IMG SRC="prev.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/prev.gif" ALT="Previous"></A>
<A HREF="IP-Masquerade-HOWTO.html#toc3" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc3"><IMG SRC="toc.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/toc.gif" ALT="Contents"></A>
  </BODY>
</HTML>