ip-masquerade-howto-2.html

Linux初学者最好的老师就是howto了。相当于函数man。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
 <META NAME="GENERATOR" CONTENT="ZH-SGML-Tools 1.0.9">
 <TITLE>Linux IP Masquerade mini HOWTO 中译版: 背景知识</TITLE>
 <LINK HREF="IP-Masquerade-HOWTO-3.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-3.html" REL=next>
 <LINK HREF="IP-Masquerade-HOWTO-1.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-1.html" REL=previous>
 <LINK HREF="IP-Masquerade-HOWTO.html#toc2" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc2" REL=contents>
<SCRIPT src="menu.js"> function BeginPage() {} function EndPage() {} </SCRIPT> </HEAD> <BODY bgcolor=#FFFFFF MARGINHEIGHT=0 MARGINWIDTH=0> 
<A HREF="IP-Masquerade-HOWTO-3.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-3.html"><IMG SRC="next.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/next.gif" ALT="Next"></A>
<A HREF="IP-Masquerade-HOWTO-1.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-1.html"><IMG SRC="prev.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/prev.gif" ALT="Previous"></A>
<A HREF="IP-Masquerade-HOWTO.html#toc2" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc2"><IMG SRC="toc.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/toc.gif" ALT="Contents"></A>
<HR>
<H2><A NAME="s2">2. 背景知识</A></H2>

<P>
<H2><A NAME="ss2.1">2.1 什么是 IP Masquerade?</A>
</H2>

<P>IP Masquerade 是 Linux 的一项网络功能。如果一台 Linux 主机使用 IP Masquerade 功能连线到网际网路上，那麽接上它的电脑（不论是在同一个区域网路上或藉由数据机连线）也可以接触网际网路，即使它们<EM>没有获得正式指定的 IP 位址</EM>。
<P>这使得一些电脑可以<EM>隐藏</EM>在闸道(gateway) 系统後面存取网际网路而不被发现，看起来就像只有这个系统在使用网际网路。突破设定良好的伪装(masquerade)系统之安全防护应该会比突破良好的封包过滤式防火墙(packet filter firewall)来得更加困难（假设两者之中都没有错误）。
<P>
<H2><A NAME="ss2.2">2.2 现况</A>
</H2>

<P>IP Masquerade 已经发展多年而趋于成熟，因此已正式并入 Linux 2.2.x 的核心中。
从 1.3.x 版的核心开始已经内建这项支持。许多个人甚至公司正在使用它，而有满意的结果。
<P>浏览网页以及远端签入(telnet)已经有回报表示可以在 IP Masquerade 上运作。档案传输(FTP)，网络交谈(IRC) 以及聆听 Real Audio 现在可以载入某些模块配合。其它的网络资料流音讯 (streaming audio) 像是 True Speech  以及 Internet Wave  也能运作。一些通信论坛中的使用夥伴甚至还尝试过视讯会议软件。 <CODE>Ping</CODE> 现在配合新近可以取得的网际网路控制讯息协定(ICMP)修补档也能运作。
<P>更完整的支持软件列表请参考 4.3 节。
<P>IP Masquerade 在数种不同的操作系统及平台上与 '客户端机器' 配合良好。
成功的案例有使用 Unix, Windows95, Windows NT, Windows for Workgroup (with TCP/IP package), OS/2, Macintosh System's OS with Mac TCP, Mac Open Transport, DOS with NCSA Telnet package, VAX, Alpha with Linux, 甚至 Amiga with AmiTCP 或 AS225-stack 的系统。
这列表还在不断增加当中。重点就是，只要你的系统使用 TCP/IP 协定，它就应该能和 IP Masquerade 一起工作。
<P>
<H2><A NAME="ss2.3">2.3 谁可以从 IP Masquerade 中获益?</A>
</H2>

<P>
<UL>
<LI>如果你有台连接网际网路的 Linux 主机，而且</LI>
<LI>如果你有一些执行 TCP/IP 连接到 Linux 机器的电脑在区域网络上，以及/或是</LI>
<LI>如果你的 Linux 主机有一个以上的数据机并且作为 PPP 或 SLIP 服务器连接其它电脑，它们</LI>
<LI>这些<B>其它</B>机器没有正式指定的 IP 位址。（这些机器从这里开始以後就称为<B>其它</B>机器）</LI>
<LI>而且当然，如果你希望这些<B>其它</B>机器不必花额外的费用就能连上网际网路 :)</LI>
</UL>
<P>
<H2><A NAME="ss2.4">2.4 谁不需要 IP Masquerade?</A>
</H2>

<P>
<UL>
<LI>如果你的机器是单独一台(stand-alone) 连接网际网路的 Linux 主机，那麽执行 IP Masquerade 没什么意义，或者</LI>
<LI>如果你的<B>其它</B>机器拥有正式指定的 IP 位址，那麽你就不需要 IP Masquerade</LI>
<LI>而且当然，如果你不喜欢免费使用(free ride) 这个主意的话。</LI>
</UL>
<P>
<H2><A NAME="ss2.5">2.5 IP Masquerade 是如何运作的?</A>
</H2>

<P>节自 Ken eves 的 IP Masquerade FAQ:
<PRE>
  这是大部分简单的设定草图:

     SLIP/PPP         +------------+                         +-------------+
     to provider      |  Linux     |       SLIP/PPP          | Anybox      |
    &lt;---------- modem1|            |modem2 ----------- modem |             |
      111.222.333.444 |            |           192.168.1.100 |             |
                      +------------+                         +-------------+

          上面的草图中一台安装并执行 ip_masquerading  的 Linux
      机器使用 modem1 经由 SLIP/or/PPP  连接网际网路。它有一个
      指定的 IP 位址 111.222.333.444。它设定 modem2 允许拨接者
      签入并起始 SLIP/or/PPP  连结。

          第二个系统（不必是执行 Linux  的系统）拨接进入 Linux
      机器并起始 SLIP/or/PPP  连结。它在网际网路上并没有指定的
      IP  位址所以它使用 192.168.1.100。（参阅下述）

          配合 ip_masquerade  及适当递送配置(routing configured)
      Anybox  这台机器可以跟网际网路交流就如同它真的连在上面般
      （除了少数例外）。

  节录 Pauline Middelink:
      别忘记提到 ANYBOX 应该把 Linux  机器当作它的闸道（无论是
      预设递送路径或只是个子网络都没关系）。如果 ANYBOX 不能够
      这样设， Linux  机器应该为所有要递送的位址做代理位址解析
      析协定(proxy arp) 服务，但代理位址解析的设定超过这份文件
      的□围。

  下面节录自 comp.os.linux.networking 的一篇布告并且稍加编辑以
  符合上述□例的用词:

  。我告诉 ANYBOX 这台机器跑 slip 的 linux  机器是它的闸道。
  。当一个封包从 ANYBOX 进入 linux  机器时，它会指定新的来源埠
    号(source port number)，把它自己的 ip 位址塞入封包的标头并
    储存原来的。然後它将会藉由 SLIP/or/PPP  界面把修改过的封包
    送上网际网路。
  。当一个封包从网际网路来到 linux  机器时，如果埠号是上面指定
    的其中一个，它将会取出原来的埠号以及 ip 位址，把它们放回封
    包的标头，并且把封包送往 ANYBOX 。
  。送出封包的主机将永远不知道其中的差别。
</PRE>
<P>
<P><B>一个 IP Masquerading 的例子:</B>
<P>下面的图示是典型的例子:-
<PRE>

    +----------+
    |          |  Ethernet
    | abox     |::::::
    |          |2    :192.168.1.x
    +----------+     :
                     :   +----------+   PPP   
    +----------+     :  1|  Linux   |   link
    |          |     ::::| masq-gate|:::::::::// Internet
    | bbox     |::::::   |          |