ip-masquerade-howto-4.html

Linux初学者最好的老师就是howto了。相当于函数man。

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
 <META NAME="GENERATOR" CONTENT="ZH-SGML-Tools 1.0.9">
 <TITLE>Linux IP Masquerade mini HOWTO 中译版: 其它 IP Masquerade 的问题及软体支援</TITLE>
 <LINK HREF="IP-Masquerade-HOWTO-5.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-5.html" REL=next>
 <LINK HREF="IP-Masquerade-HOWTO-3.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-3.html" REL=previous>
 <LINK HREF="IP-Masquerade-HOWTO.html#toc4" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc4" REL=contents>
<SCRIPT src="menu.js"> function BeginPage() {} function EndPage() {} </SCRIPT> </HEAD> <BODY bgcolor=#FFFFFF MARGINHEIGHT=0 MARGINWIDTH=0> 
<A HREF="IP-Masquerade-HOWTO-5.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-5.html"><IMG SRC="next.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/next.gif" ALT="Next"></A>
<A HREF="IP-Masquerade-HOWTO-3.html" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO-3.html"><IMG SRC="prev.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/prev.gif" ALT="Previous"></A>
<A HREF="IP-Masquerade-HOWTO.html#toc4" tppabs="http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html#toc4"><IMG SRC="toc.gif" tppabs="http://www.linux.org.tw/CLDP/gb/img/toc.gif" ALT="Contents"></A>
<HR>
<H2><A NAME="s4">4. 其它 IP Masquerade 的问题及软件支持</A></H2>

<P>
<P>
<H2><A NAME="ss4.1">4.1 IP Masquerade 的问题</A>
</H2>

<P>某些协定现在无法配合 masquerading 使用，因为它们不是假设有关埠号的一些事情，就是在位址及埠号的资料流里编码资料 － 後面这些协定需要在 masquerading 程序码里建立特定的代理程序使它们能运作。
<P>
<H2><A NAME="ss4.2">4.2 进入系统的服务(incoming services)</A>
</H2>

<P>Masquerading 完全不能处理外界的服务请求 (incoming services)。
只有极少方法能允许它们，但这完全与 masquerading 无关，而且实在是标准的防火墙方式。
<P>如果你并不要求高度的安全性那麽你可以简单地重导(redirect)这些埠。
有几种不同的方法可以做这件事 － 我使用一只修改过的 redir 程序(我希望这只程序很快就能从 sunsite  及其 mirrors 取得)。
如果你希望能够对外界进入系统的服务请求有某种程度的身分验认(authorisation) 那麽你可以在 redir 的顶层(0.7 or above) 使用 TCP wrappers 或是 Xinetd 来允许特定 IP 位址通过，或使用其它的工具。TIS 防火墙工具集是寻找工具及信息的好地方。
<P>更多的详节可在 
<A HREF="javascript:if(confirm('http://ipmasq.cjb.net/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://ipmasq.cjb.net/'" tppabs="http://ipmasq.cjb.net/">IP Masquerade Resource</A> 找到。
<P>将会加上一小节更多关于转送服务的的信息。
<P>
<P>
<H2><A NAME="ss4.3">4.3 已支持的客户端软件以及其它设定方面的注意事项</A>
</H2>

<P>
<BLOCKQUOTE>
<B>** 下面的列表将不再被维护了。可经由 Linux IP masquerading 运作的应用程序请参考
<A HREF="javascript:if(confirm('http://dijon.nais.com/~nevo/masq/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://dijon.nais.com/~nevo/masq/'" tppabs="http://dijon.nais.com/~nevo/masq/">这里</A> 和 
<A HREF="javascript:if(confirm('http://ipmasq.cjb.net/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://ipmasq.cjb.net/'" tppabs="http://ipmasq.cjb.net/">IP Masquerade Resource</A> 以取得进一步的细节。 **</B>
</BLOCKQUOTE>
<P>一般说来，使用传输控制协定(TCP) 或是使用者定义资料协定 (UDP)的应用程序应该都能运作。
如果你有任何关于应用程序与 IP Masquerade 兼容的建议，提示或问题，请拜访由 Lee Nevo 维护的
<A HREF="javascript:if(confirm('http://dijon.nais.com/~nevo/masq/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://dijon.nais.com/~nevo/masq/'" tppabs="http://dijon.nais.com/~nevo/masq/">可与 Linux IP masquerading 运作的应用程序</A> 网页。
<P>
<H3>可以使用的客户端软件</H3>

<P>一般客户端软件
<DL>
<DT><B>HTTP</B><DD><P>所有有支持的平台，浏览网页
<DT><B>POP &amp; SMTP</B><DD><P>所有有支持的平台，电子邮件软件
<DT><B>Telnet</B><DD><P>所有有支持的平台，远端签入作业
<DT><B>FTP</B><DD><P>所有有支持的平台，配合 ip_masq_ftp.o 模块(不是所有站台都能配合各种客户端软件；例如某些不能使用 ws_ftp32 触及的站台却能使用 netscape 进入)
<DT><B>Archie</B><DD><P>所有有支持的平台，档案搜寻软件(并非所有 archie 客户端软件都支持)
<DT><B>NNTP (USENET)</B><DD><P>所有有支持的平台，网络新闻软件 
<DT><B>VRML</B><DD><P>Windows (可能所有有支持的平台都可以)，虚拟实境浏览
<DT><B>traceroute</B><DD><P>主要是 UNIX 系列的平台，某些变种可能无法运作
<DT><B>ping</B><DD><P>所有平台，配合 ICMP 修补档
<DT><B>anything based on IRC</B><DD><P>所有有支持的平台，配合 ip_masq_irc.o 模块
<DT><B>Gopher client</B><DD><P>所有有支持的平台
<DT><B>WAIS client</B><DD><P>所有有支持的平台
</DL>
<P>
<P>多媒体客户端软件
<DL>
<DT><B>Real Audio Player</B><DD><P>Windows, 网络资料流音讯，配合载入 ip_masq_raudio 模块  
<DT><B>True Speech Player 1.1b</B><DD><P>Windows, 网络资料流音讯
<DT><B>Internet Wave Player</B><DD><P>Windows, 网络资料流音讯
<DT><B>Worlds Chat 0.9a</B><DD><P>Windows, 客户－伺服端立体交谈(3D chat) 程序
<DT><B>Alpha Worlds</B><DD><P>Windows, Windows, 客户－伺服端立体交谈(3D chat) 程序
<DT><B>Powwow</B><DD><P>Windows, 点对点文字声音白板通讯，如果你呼叫别人，人们可以与你交谈，但是他们不能呼叫你。
<DT><B>CU-SeeMe</B><DD><P>所有有支持的平台，配合载入 cuseeme  模块，详细细节请参 阅 
<A HREF="javascript:if(confirm('http://ipmasq.cjb.net/  \n\nThis file was not retrieved by Teleport Pro, because it is addressed on a domain or path outside the boundaries set for its Starting Address.  \n\nDo you want to open it from the server?'))window.location='http://ipmasq.cjb.net/'" tppabs="http://ipmasq.cjb.net/">IP Masquerade Resource</A><DT><B>VDOLive</B><DD><P>Windows, 配合 vdolive  修补档
</DL>
<P>注意: 即使不是由你呼叫别人，使用 <EM>ipautofw</EM> 套件某些客户端软件像是 IPhone 以及 Powwow 可能还是可以运作(参阅 4.6  节)
<P>
<P>其它客户端软件
<DL>
<DT><B>NCSA Telnet 2.3.08</B><DD><P>DOS, 包含 telnet, ftp, ping  等等的一组套件。
<DT><B>PC-anywhere for windows 2.0</B><DD><P>MS-Windows, 经由 TCP/IP 远端遥控 PC ，只有在作为客户端而非主机端的情形下才能运作
<DT><B>Socket Watch</B><DD><P>使用 ntp － 网络时间协定
<DT><B>Linux net-acct package</B><DD><P>Linux, 网络帐号管理套件
</DL>
<P>
<H3>无法使用的客户端软件</H3>

<P> 
<DL>
<DT><B>Intel Internet Phone Beta 2</B><DD><P>可以连上但声音只能单向(往外)传送
<DT><B>Intel Streaming Media Viewer Beta 1</B><DD><P>无法连上服务器
<DT><B>Netscape CoolTalk</B><DD><P>无法连接对方
<DT><B>talk,ntalk</B><DD><P>这将不会运作 － 需要撰写一份核心代理程序。
<DT><B>WebPhone</B><DD><P>目前无法运作(它做了不合法的位址假设)。
<DT><B>X</B><DD><P>没有测试过，但我想除非有人建立一套 X  代理程序否则它无法运作，这可能是 masquerading 程序码之外的一个外部程序。一个让它运作的方式是使用 ssh 作为链结并且使用其内部的 X 代理功能来执行!
<P>
</DL>
<P>
<H3>已测试过可以作为<B>其它</B>机器的平台/操作系统</H3>

<P> 
<UL>
<LI>Linux </LI>
<LI>Solaris</LI>
<LI>Windows 95 </LI>
<LI>Windows NT (both workstation and server) </LI>
<LI>Windows For Workgroup 3.11 (with TCP/IP package) </LI>
<LI>Windows 3.1 (with Chameleon package) </LI>
<LI>Novel 4.01 Server</LI>
<LI>OS/2 (including Warp v3) </LI>
<LI>Macintosh OS (with MacTCP or Open Transport) </LI>
<LI>DOS (with NCSA Telnet package, DOS Trumpet works partially)</LI>
<LI>Amiga (with AmiTCP or AS225-stack) </LI>
<LI>VAX Stations 3520 and 3100 with UCX (TCP/IP stack for VMS)</LI>
<LI>Alpha/AXP with Linux/Redhat</LI>
<LI>SCO Openserver (v3.2.4.2 and 5)</LI>
<LI>IBM RS/6000 running AIX</LI>
</UL>
<P>基本上，所有支持 TCP/IP 而且允许你指定匣道器/路由器(gateway/router)的操作系统都应该能和 IP Masquerade 一起工作。
<P>
<H2><A NAME="ss4.4">4.4 IP 防火墙管理 (ipfwadm) </A>
</H2>

<P>这一节提供关于 ipfwadm  更深入的使用指引。
<P>这是一个给在固定 PPP 位址之 PPP 连线後面的防火墙/伪装系统使用的设定。信赖(trusted) 界面为 192.168.255.1, PPP 界面已经修改过以避免犯错 :) 。我分别列出每一个进入(incoming)以及送出(outgoing)界面来抓出变更递送路径(stuffed routing) 以及/或是伪装(masquerading)等等这些个 IP spoofing 技巧。同时任何没有明确允许的东西都是禁止的!
<P>
<P>
<PRE>
#!/bin/sh
#
# /etc/rc.d/rc.firewall,  定义防火墙配置，从 rc.local 执行。
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# 测试用，等待一段时间然後清除所有的防火墙规则。
# 如果你希望防火墙十分钟之後自动关闭就取消下列几行的注解。
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &amp;

# 进入伪装闸道的设定，更新以及设定拒绝的策略(policy)。事实上
# 预设的策略没什么关系，因为原先就希望拒绝以及记录所有规则
ipfwadm -I -f
ipfwadm -I -p deny
# 伪装闸道的本地(local) 界面，区域网络里的机器，允许连往任何
# 地方
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
# 伪装闸道的远端(remote)界面，声称是区域网络里的机器，IP spoofing
# 拒绝
ipfwadm -I -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# 伪装闸道的远端界面，任何来源，允许送往固定 (permanent) PPP
# 位址
ipfwadm -I -a accept -V your.static.PPP.address -S 0.0.0.0/0 -D your.static.PPP.address/32
# 回授(loopback)界面是允许的
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# 捕捉所有规则，任何其它的进入方式都会被拒绝并记录。可惜没有
# 记录用的选项但这可以代替
ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# 送出伪装闸道的设定，更新以及设定拒绝的策略(policy)。事实上
# 预设的策略没什么关系，因为原先就希望拒绝以及记录所有规则
ipfwadm -O -f
ipfwadm -O -p deny
# 本地界面，允许任何来源送出至区域网络
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16
# 远端界面送出至区域网络，stuffed routing ，拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# 区域网络的机器从远端界面送出，stuffed masquerading，拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# 区域网络的机器从远端界面送出，stuffed masquerading，拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# 任何其它远端界面送出的东西都是允许的
ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/32 -D 0.0.0.0/0
# 回授(loopback)界面是允许的
ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# 捕捉所有规则，任何其它的送出方式都会被拒绝并记录。可惜没有
# 记录用的选项但这可以代替
ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# 伪装闸道的转送设定，更新以及设定拒绝的策略(policy)。事实上
# 预设的策略没什么关系，因为原先就希望拒绝以及记录所有规则
ipfwadm -F -f
ipfwadm -F -p deny
# 伪装区域网络的机器从本地界面送出至任何地方的资料
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
# 捕捉所有规则，任何其它的转送方式都会被拒绝并记录。可惜没有
# 记录用的选项但这可以代替