IP Masquerade mini HOWTO

2024-07-26 00:31:24

字體：大中小

來源：轉載

供稿：網友

作者:　Ambrose　Au　[email protected]　
譯者:　Asd　L.　Chen　[email protected]
v1.20,　10　November　1997　翻譯日期:　19　November　1997　

--------------------------------------------------------------------------------
這份文件描述如何在一臺　linux　主機上起動　ip　Masquerade　功能，允許沒有注冊網際網路　IP　位址的連線電腦經由你的　Linux　機器連接網際網路．　
--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

1.　簡介

1.1　簡介　
這份文件描述如何在一臺　Linux　主機上起動　IP　Masquerade　功能，允許沒有注冊網際網路　IP　位址的連線電腦經由你的　Linux　機器連接網際網路．你的機器可能是以乙太網路連接　Linux,　也可能是其它種類，像是撥接的點對點(ppp)　連線．這份文件將會強調乙太網路連線的情況，因為這應該是最常見的案例．　

這份文件傾向給使用　2.0.x　核心的使用者參考，不包含發展中的　2.1.x　核心．　

1.2　前言，回饋　&　參考資訊　

我發現新手在較新的核心上，像是　2.x　核心，設定　IP　Masguerade　時非常困惑．雖然有份常見問答集(FAQ)　與郵遞列表(mailing　list)，然而沒有一份這方面的專門文件；而且在郵遞列表上有些對於這樣一份說明文件(HOWTO)　的請求．所以，我決定撰寫它給所有新手作為一個起點，并且希望能拋磚引玉，作為那些非常了解它的使用者建立文件的基礎．如果你認為我做的不好，不要在意告訴我，這樣我能把它做得更好．　

這份文件很多是以原先　Ken　Eves　的常見問答集以及　IP　Masquerade　郵遞列表里許多有幫助的訊息作為基礎．特別感謝　Mr.　Matthew　Driver　在郵遞列表中的訊息引發我設立　IP　Masquerade　的靈感以及最後撰寫了這份文件．　

如果我的任何資訊有誤或遺漏任何資訊，請別介意把任何回饋或意見寄到　[email protected]　來．你的無價回饋將影響未來的這份說明文件!　

這份說明文件是想作為讓你的　IP　Masquerade　能在最短時間內運作的快速指引．因為我不是一位專門作家，你可能會發現本文件的資訊并非如你想的那麼一般及客觀．最新的消息以及資訊可以在我所維護的　IP　Masquerade　Resource　網頁上找到．如果你有任何關於　IP　Masquerade　的技術問題，請加入　IP　Masquerade　郵遞列表而別寄電子郵件給我，因為我的時間有限，而且　IP　Masquerade　的發展者們更有能力回答你的問題．　

這份文件最新的版本可以在　IP　Masquerade　Resource　上找到，里面也有　HTML　以及　postscript　的版本:　

http://ipmasq.home.ml.org/　
請參考　IP　Masquerade　Resource　映射站臺列表　以找到其它的映射站臺．　

1.3　版權　&　宣告　
這份文件版權屬於　Ambrose　Au,　而且是免費的文件．你可以在　GNU　的通用公開授權方式下散播它．　

這份文件中的資訊跟其它內容都已經盡了我最大的努力．無論如何，IP　Masquerade　是實驗性的，而且我也可能會犯些錯誤；所以你應該自己決定是不是要照著這份文件中的資訊做．　

沒有人會為使用這份文件中的資訊所造成的電腦損壞或其它損失負責．也就是說，　

作者不對依照這份文件內容動作所造成的損害負責．　
原文　

This　document　is　copyright(c)　1996　Ambrose　Au,　and　it's　a　free　document.　You　can　redistribute　it　under　the　terms　of　the　GNU　General　Public　License.　

The　information　and　other　contents　in　this　document　are　to　the　best　of　my　knowledge.　However,　ip_masq　is　experimental,　and　there　is　chance　that　I　make　mistakes　as　well;　so　you　should　determine　if　you　want　to　follow　the　information　in　this　document.　

Nobody　is　responsible　for　any　damage　on　your　computers　and　any　other　losses　by　using　the　information　on　this　document.　i.e.　

THE　AUTHOR　IS　NOT　RESPONSIBLE　FOR　ANY　DAMAGES　INCURRED　DUE　TO　ACTIONS　TAKEN　BASED　ON　THE　INFORMATION　IN　THIS　DOCUMENT.　

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

2.　背景知識

2.1　什麼是　IP　Masquerade?　
IP　Masquerade　是　Linux　發展中的一種網路功能．如果一臺　Linux　主機使用　IP　Masquerade　功能連線到網際網路上，那麼接上它的電腦（不論是在同一個區域網路上或藉由數據機連線）也可以接觸網際網路，即使它們沒有獲得正式指定的　IP　位址．　

這使得一些電腦可以隱藏在閘道(gateway)　系統後面存取網際網路而不被發現，看起來就像只有這個系統在使用網際網路．突破設定良好的偽裝(masquerade)系統之安全防護應該會比突破良好的封包過濾式防火墻(packet　filter　firewall)來得更加困難（假設兩者之中都沒有錯誤）．　

2.2　現況　
IP　Masquerade　仍然在實驗階段．無論如何，核心從　1.3.x　開始已經內建這項支援．許多個人甚至公司正在使用它，而有滿意的結果．　

瀏覽網頁以及遠端簽入(telnet)已經有回報表示可以在　IP　Masquerade　上運作．檔案傳輸(FTP)，網路交談(IRC)　以及聆聽　Real　Audio　現在可以載入某些模組配合．其它的網路資料流音訊　(streaming　audio)　像是　True　Speech　以及　Internet　Wave　也能運作．一些郵遞列表中的使用夥伴甚至還嘗試過視訊會議軟體．　Ping　現在配合新近可以取得的網際網路控制訊息協定(ICMP)修補檔也能運作．　

更完整的支援軟體列表請參考　4.3　節．　

IP　Masquerade　在數種不同的作業系統及平臺上與　'客戶端機器'　配合良好．成功的案例有使用　Unix,　Windows95,　Windows　NT,　Windows　for　Workgroup　(with　TCP/IP　package),　OS/2,　Macintosh　System's　OS　with　Mac　TCP,　Mac　Open　Transport,　DOS　with　NCSA　Telnet　package,　VAX,　Alpha　with　Linux,　甚至　Amiga　with　AmiTCP　或　AS225-stack　的系統．　

2.3　誰可以從　IP　Masquerade　中獲益?　

如果你有臺連接網際網路的　Linux　主機，而且　
如果你有一些執行　TCP/IP　連接到　Linux　機器的電腦在區域網路上，以及/或是　
如果你的　Linux　主機有一個以上的數據機并且作為　PPP　或　SLIP　伺服器連接其它電腦，它們　
這些其它機器沒有正式指定的　IP　位址．（這些機器從這里開始以後就稱為其它機器）　
而且當然，如果你希望這些其它機器不必花額外的費用就能連上網際網路　:)　

2.4　誰不需要　IP　Masquerade?　

如果你的機器是單獨一臺(stand-alone)　連接網際網路的　Linux　主機，那麼執行　IP　Masquerade　沒什麼意義，或者　
如果你的其它機器擁有正式指定的　IP　位址，那麼你就不需要　IP　Masquerade　
而且當然，如果你不喜歡免費使用(free　ride)　這個主意的話．　

2.5　IP　Masquerade　是如何運作的?　
節自　Ken　eves　的　IP　Masquerade　FAQ:　

　　這是大部分簡單的設定草圖:

　　　　　SLIP/PPP　　　　　　　　　+------------+　　　　　　　　　　　　　　　　　　　　　　　　　+-------------+
　　　　　to　PRovider　　　　　　|　　Linux　　　　　|　　　　　　　SLIP/PPP　　　　　　　　　　|　Anybox　　　　　　|
　　　　<----------　modem1|　　　　　　　　　　　　|modem2　-----------　modem　|　　　　　　　　　　　　　|
　　　　　　111.222.333.444　|　　　　　　　　　　　　|　　　　　　　　　　　192.168.1.100　|　　　　　　　　　　　　　|
　　　　　　　　　　　　　　　　　　　　　　+------------+　　　　　　　　　　　　　　　　　　　　　　　　　+-------------+

　　　　　　　　　　上面的草圖中一臺安裝并執行　ip_masquerading　　的　Linux
　　　　　　機器使用　modem1　經由　SLIP/or/PPP　　連接網際網路．它有一個
　　　　　　指定的　IP　位址　111.222.333.444．它設定　modem2　允許撥接者
　　　　　　簽入并起始　SLIP/or/PPP　　連結．

　　　　　　　　　　第二個系統（不必是執行　Linux　　的系統）撥接進入　Linux
　　　　　　機器并起始　SLIP/or/PPP　　連結．它在網際網路上并沒有指定的
　　　　　　IP　　位址所以它使用　192.168.1.100．（參閱下述）

　　　　　　　　　　配合　ip_masquerade　　及適當遞送配置(routing　configured)
　　　　　　Anybox　　這臺機器可以跟網際網路交流就如同它真的連在上面般
　　　　　　（除了少數例外）．

　　節錄　Pauline　Middelink:
　　　　　　別忘記提到　ANYBOX　應該把　Linux　　機器當作它的閘道（無論是
　　　　　　預設遞送路徑或只是個子網路都沒關系）．如果　ANYBOX　不能夠
　　　　　　這樣設，　Linux　　機器應該為所有要遞送的位址做代理位址解析
　　　　　　析協定(proxy　arp)　服務，但代理位址解析的設定超過這份文件
　　　　　　的□圍．

　　下面節錄自　comp.os.linux.networking　的一篇布告并且稍加編輯以
　　符合上述□例的用詞:

　　。我告訴　ANYBOX　這臺機器跑　slip　的　linux　　機器是它的閘道．
　　。當一個封包從　ANYBOX　進入　linux　　機器時，它會指定新的來源埠
　　　　號(source　port　number)，把它自己的　ip　位址塞入封包的標頭并
　　　　儲存原來的．然後它將會藉由　SLIP/or/PPP　　界面把修改過的封包
　　　　送上網際網路．
　　。當一個封包從網際網路來到　linux　　機器時，如果埠號是上面指定
　　　　的其中一個，它將會取出原來的埠號以及　ip　位址，把它們放回封
　　　　包的標頭，并且把封包送往　ANYBOX　．
　　。送出封包的主機將永遠不知道其中的差別．

一個　IP　Masquerading　的例子:　

下面的圖示是典型的例子:-　

　　　　+----------+
　　　　|　　　　　　　　　　|　　Ethernet
　　　　|　abox　　　　　|::::::
　　　　|　　　　　　　　　　|2　　　　:192.168.1.x
　　　　+----------+　　　　　:
　　　　　　　　　　　　　　　　　　　　　:　　　+----------+　　　PPP　　　
　　　　+----------+　　　　　:　　1|　　Linux　　　|　　　link
　　　　|　　　　　　　　　　|　　　　　::::|　masq-gate|::::::::://　Internet
　　　　|　bbox　　　　　|::::::　　　|　　　　　　　　　　|
　　　　|　　　　　　　　　　|3　　　　:　　　+----------+
　　　　+----------+　　　　　:
　　　　　　　　　　　　　　　　　　　　　:
　　　　+----------+　　　　　:
　　　　|　　　　　　　　　　|　　　　　:
　　　　|　cbox　　　　　|::::::
　　　　|　　　　　　　　　　|4　　　　
　　　　+----------+　　
　　　　　　　　　　　　　　　　

　　　　<-Internal　Network->

在這個例子中我們考慮四臺電腦系統（想必遙遠的右方還有些東西讓你到網際網路的　IP　連線能夠連接，以及一些（遠超過這一頁）在網際網路上你有興趣交換資訊的東西）．這個　Linux　系統　masq-gate　是　abox,　bbox,　cbox　內部網路機器連接網際網路的偽裝閘道．內部網路使用指定的私用(private)　網路位址，在這個案例中是　class　C　網路　192.168.1.0,　Linux　機器擁有位址　192.168.1.1　而其它系統也擁有此網路上的位址．　
這三臺機器　abox,　bbox　以及　cbox　(它們可以執行任何作業系統　－　像是　Windows　95,　Macintosh　MacTCP　或甚至是另一臺　Linux　機器，只要它們能了解　IP)可以連線到網際網路上的其它機器去，然而這個偽裝系統閘道　masq-gate　轉換它們所有的連線所以這些連線看起來像是原本即從偽裝閘道　masq-gate　本身發出的，而且還安排偽裝連線傳回的資料轉回原先的系統　－　所以在內部網路上的系統看到的是直接通往網際網路的遞送路徑而且不知道他們的資料被偽裝過．　

2.6　在　Linux　2.x　上使用　IP　Masquerade　的需求　

**　請參考　IP　Masquerade　Resource　以獲得最新資訊，因為經常更新這份　HOWTO　是滿困難的．　**　

核心　2.0.x　的原始程式碼可以從這里取得　ftp://ftp.funet.fi/pub/Linux/kernel/src/v2.0/
(是的，你將得配合加入一些支援來編譯你的核心....　建議最新的穩定版本)　
可載入核心模組，最好是　2.0.0　或更新的版本，可以從這里取得　http://www.pi.se/blox/modules/modules-2.0.0.tar.gz
(至少需要　modules-1.3.57)　
設定良好的　TCP/IP　網路
涵蓋於　Linux　NET-2　HOWTO　及網路管理者指引(Network　Administrator's　Guide)　Network　Administrator's　Guide　
你的　Linux　主機的網際網路連線
涵蓋於　Linux　ISP　Hookup　HOWTO,　Linux　PPP　HOWTO　以及　Linux　PPP-over-ISDN　mini-HOWTO　
Ipfwadm　2.3　或更新的版本可以從這里取得
ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz　在　Linux　Ipfwadm　網頁上有更多關於版本的資訊　Linux　Ipfwadm　page　
你可以選擇性地加上一些　IP　Masquerade　修補檔以增加其它功能．從這里可以取的更多資訊，　IP　Masquerade　Resources　(這些修補檔適用於所有的　2.0.x　核心)　

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

3.　IP　Masquerade　的設定

如果你的私用網路里有任何重要的資訊，在使用　IP　Masquerade　之前請三思．這可能成為你通往網際網路的閘道，反之亦然，也可能成為另一邊的世界進入你私用網路的途徑．　

3.1　編譯核心加入　IP　Masquerade　的支援　

**　請參考　IP　Masquerade　Resource　以獲得最新資訊，因為經常更新這份　HOWTO　是滿困難的．　**　

首先，你需要核心的原始程式碼(最好是穩定的　2.0.0　版或以上的核心)　
如果這是你第一次編譯核心，不要害怕．事實上，這非常容易而且涵蓋於　Linux　Kernel　HOWTO　
使用指令:　tar　xvzf　linux-2.0.x.tar.gz　-C　/usr/src　把核心的原始程式碼解至　/usr/src/，其中　x　是　2.0　之後的修補層級
(確定有個稱為　linux　的目錄或符號鏈結)　
加上適當的修補．因為新的修補檔不斷出來，所以細節不會包含在這里．最新的資訊請參考　IP　Masquerade　Resources　
有關編譯核心更進一步的介紹請參考　Kernel　HOWTO　以及核心原始程式碼目錄里的　README　檔案　
這里是你要編譯進去的選項:　
下列選項要回答　YES:　

　　*　Prompt　for　development　and/or　incomplete　code/drivers　
　　　　CONFIG_EXPERIMENTAL　
　　　　-　這將讓你能選擇把實驗性的　IP　Masquerade　程式碼編譯到核心里去

　　*　Enable　loadable　module　support　
　　　　CONFIG_MODULES　
　　　　-　讓你能夠載入模組

　　*　Networking　support　
　　　　CONFIG_NET　

　　*　Network　firewalls　
　　　　CONFIG_FIREWALL　

　　*　TCP/IP　networking　
　　　　CONFIG_INET　

　　*　IP:　forwarding/gatewaying　
　　　　CONFIG_IP_FORWARD　

　　*　IP:　firewalling　
　　　　CONFIG_IP_FIREWALL　

　　*　IP:　masquerading　(EXPERIMENTAL)　
　　　　CONFIG_IP_MASQUERADE　
　　　　-　這雖然是實驗性的，但卻是　*必須*　的

　　*　IP:　ipautofw　masquerade　support　(EXPERIMENTAL)
　　　　CONFIG_IP_MASQUERADE_IPAUTOFW
　　　　-　建議使用

　　*　IP:　ICMP　masquerading
　　　　CONFIG_IP_MASQUERADE_ICMP
　　　　-　支援　ICMP　封包偽裝，可選用

　　*　IP:　always　defragment
　　　　CONFIG_IP_ALWAYS_DEFRAG　
　　　　-　高度建議使用

　　*　Dummy　net　driver　support
　　　　CONFIG_DUMMY　
　　　　-　建議使用

注意:　這些只是　IP　Masquerade　所需要的，你還需選擇其它任何你的設定需要的選項．　

編譯核心之後，你應該編譯并安裝模組:　
make　modules　modules_install

然後你應該在　/etc/rc.d/rc.local　(或任何你認為合適的檔案)里加上幾行以便每次啟動時自動載入　/lib/modules/2.0.x/ipv4/　里所需的模組:　
　　　　　　　　.
　　　　　　　　.
　　　　　　　　.
/sbin/depmod　-a
/sbin/modprobe　ip_masq_ftp
/sbin/modprobe　ip_masq_raudio
/sbin/modprobe　ip_masq_irc
(以及其它像是　ip_masq_cuseeme,　ip_masq_vdolive　等模組，如果你有加上適當的修補)
　　　　　　　　.
　　　　　　　　.
　　　　　　　　.

注意:　你也可以在使用　ip_masq　之前手動地載入它，但是不要使用　kerneld　來載入，這是不行的!　

3.2　指定私用網路的　IP　位址　
因為所有其它機器都沒有正式指定的位址，必須有個正確的方式來分配位址給這些機器．　

節自　IP　Masquerade　FAQ:　

有份　RFC　(#1597)　是有關沒有與外界連線的網路該使用什麼　IP　位址．有三個數字區塊是特別為這個目的而保留的．其中一個我使用的是　192.168.1.n　到　192.168.255.n　之間的　255　Class-C　子網路．　

節自　RFC　1597:

第三節:　私用位址空間

　　　　　　網際網路位址指定當局(IANA:　Internet　Assigned　Numbers　Authority)
　　　　　　已經保留下列三個區塊的　IP　位址空間給私用網路:

　　　　　　　　　　　　　　　　　　　　　10.0.0.0　　　　　　　　-　　　10.255.255.255
　　　　　　　　　　　　　　　　　　　　　172.16.0.0　　　　　　-　　　172.31.255.255
　　　　　　　　　　　　　　　　　　　　　192.168.0.0　　　　　-　　　192.168.255.255

　　　　　　我們將稱第一個區塊為　"24位元區塊"，第二個為　"20位元區塊"，
　　　　　　而第三個則稱為　"16位元區塊"．注意到第一個區塊就只是個　
　　　　　　class　A　　網路號碼，第二個區塊則是連續的　16　個　class　B　網路
　　　　　　號碼，而第三個區塊是一組　255　　個連續的　class　C　網路號碼．

所以，如果你要使用一個　class　C　網路的話，那麼你的機器應該以　192.168.1.1,　192.168.1.2,　192.168.1.3,　...,　192.168.1.x　來名之．　
192.168.1.1　通常是閘道這臺機器，在此即你連上網際網路的　Linux　主機．注意　192.168.1.0　以及　192.168.1.255　分別為網路以及廣播位址，是保留的．避免在你的機器上使用這些位址．　

3.3　配置其它機器　
除了為每臺機器設定適當的　IP　位址之外，你也應該設定適當的閘道．一般說來，這是非常直接了當的．你只需簡單地輸入　Linux　主機的位址(通常是　192.168.1.1)作為閘道位址．　

關於領域名稱服務，你可以加入任何　DNS　系統．最可能的應該是你　Linux　使用的那一個．你也可以選擇性地加上任何網域字尾(domain　suffix)　．　

在你重新配置這些　IP　位址之後，記得重新啟動適當的服務或是重新開機．　

下面的配置□例假設你使用一個　Class　C　網路并且以　192.168.1.1　作為　Linux　主機的位址．請注意　192.168.1.0　及　192.168.1.255　是保留的．　

配置　Windows　95

如果你還沒有安裝網路卡以及界面驅動程式，現在做．　
到　'控制臺/網路'　里去．　
如果你的網路配置里沒有　'TCP/IP　協定'　則加進去．　
在'TCP/IP　內容'中，選擇'IP　位址'并且把　IP　位址設定為　192.168.1.x,(1在'通訊閘'中加入　192.168.1.x　作為你的閘道．　
在'DNS　配置'/'DNS　伺服器'下加入你的　Linux　主機使用的　DNS　(通常可以在　/etc/resolv.conf　里找到)．你可以選擇性地加入適當的網域字尾搜尋順序．　
不要變更原先的其它設定，除非你知道自己在做什麼．　
在所有的對話盒中按下'確定'并且重新啟動系統．　
測試網路連線，Ping　你的　linux　主機:　從'開始/執行'，輸入　ping　192.168.1.1
(這只是區域網路連線測試，你現在還不能　ping　外面的世界．)　
你可以在　windows　目錄下選擇性地建立一個　HOSTS　檔案，如此你可以使用區域網路里的機器名稱．在　windows　目錄里有個稱為　HOSTS.SAM　的□例．　

配置　Windos　for　Workgroup　3.11

如果你還沒有安裝網路卡以及界面驅動程式，現在做．　
如果你還未安裝　TCP/IP　32b　套件的話就裝吧．　
在　'Main'/'Windows　Setup'/'Network　Setup',　按下　'Drivers'．　
將　'Network　Drivers'　里的　'Microsoft　TCP/IP-32　3.11b'　反白，按下　'Setup'．　
設定　IP　位址於　192.168.1.x　(1　<　x　<　255),　然後設定　Subnet　Mask　為　255.255.255.0　以及　Default　Gateway　為　192.168.1.1．　
不要開啟　'Automatic　DHCP　Configuration'　并在　'WINS　Server'　中放入任何東西，除非你在一　Windows　NT　網域中而且你知道你在做什麼．　
按下　'DNS',　填入在　3.3.1　小節中步驟六提到的資訊，然後在你完成後按下　'OK'　鈕．　
按下　'Advanced',　如果你使用類似　3.3.1　小節步驟十中提到主機檔案，勾選　'Enable　DNS　for　Windows　Name　Resolution'　及　'Enable　LMHOSTS　lookup'．　
在所有對話盒中按　'OK'　并重新啟動系統．　
Ping　一下你的　Linux　主機以測試網路連接:　在　'File/Run'　輸入:　ping　192.168.1.1　
(這只不過是區域網路的連接測試，你還不能　ping　到外面的世界)．　

Configuring　Windows　NT

如果你還沒有安裝網路卡以及界面驅動程式，現在做．　
到　'Main'/'Control　Panel'/'Network'．　
如果你還沒裝　TCP/IP　服務的話從　'Add　Software'　選單中加入　TCP/IP　協定及相關的部份．　
在　'Network　Software　and　Adapter　Cards'　里將　'Installed　Network　Software'　選擇盒中的　'TCP/IP　協定'　反白．　
在　'TCP/IP　Configuration'，選擇適當的界面驅動程式，例如，[1]Novell　NE2000　Adapter．然後設定　IP　位址於　192.168.1.x　(1　<　x　<　255)，然後設定　Subnet　Mask　為　255.255.255.0　以及　Default　Gateway　為　192.168.1.1．　
不要開啟　'Automatic　DHCP　Configuration'　并在　'WINS　Server'　中放入任何東西，除非你在一　Windows　NT　網域中而且你知道你在做什麼．　
按下　'DNS',　填入在　3.3.1　小節中步驟六提到的資訊，然後在你完成後按下　'OK'　鈕．　
按下　'Advanced',　如果你使用類似　3.3.1　小節步驟十中提到主機檔案，勾選　'Enable　DNS　for　Windows　Name　Resolution'　及　'Enable　LMHOSTS　lookup'．　
在所有對話盒中按　'OK'　并重新啟動系統．　
Ping　一下你的　Linux　主機以測試網路連接:　在　'File/Run'　輸入:　ping　192.168.1.1　
(這只不過是區域網路的連接測試，你還不能　ping　到外面的世界)．　

配置　UNIX　系列的系統

如果你還未安裝你的網路卡并以適當的界面驅動程式重新編譯你的核心，現在就做吧．　
安裝　TCP/IP　網路，像是　nettools　套件，如果你還沒裝的話．　
將　IPADDR　設為　192.168.1.x　(1　<　x　<　255),　然後將　NETMASK　設為　255.255.255.0,　GATEWAY　設為　192.168.1.1,　以及　BROADCAST　設為　192.168.1.255．
例如，在　Red　Hat　Linux　系統上你可以編輯　/etc/sysconfig/network-scripts/ifcfg-eth0，或直接從　Control　Panel　里做．
(在　SunOS,　BSDi,　Slackware　Linux,　等中都不相同...)　
將你的名稱伺服器及領域搜尋字尾加到　/etc/resolv.conf．　
依據你的設定你可能要更新你的　/etc/networks　檔案．　
重新啟動適當的服務，或簡單的重新開機．　
發出　ping　指令:　ping　192.168.1.1　以測試到你的　gateway　機器的連接性．
(這只不過是區域網路的連接測試，你還不能　ping　到外面的世界)．　

配置使用　NCSA　Telnet　套件的　DOS　機器

如果你還沒有安裝網路卡，現在做．　
載入適當的封包驅動程式．對於　NE2000　卡來說，如果你的卡設定為　IRQ　10　及硬體位址於　0x300，用　nwpd　0x60　10　0x300．　
建立一新目錄，然後解開　NCSA　Telnet　套件:　pkunzip　tel2308b.zip　
使用文字編輯器打開　config.tel　檔案．　
設定　myip=192.168.1.x　(1　<　x　<　255),　以及　netmask=255.255.255.0．　
在本例子中，你應該設定　hardware=packet,　interrupt=10,　ioaddr=60．　
你至少要有一單獨的機器設定為　gateway，也就是　Linux　主機:　
name=default
host=yourlinuxhostname
hostip=192.168.1.1
gateway=1

還要有另外一個指定領域名稱服務:　
name=dns.domain.com　;　hostip=123.123.123.123;　nameserver=1

注意:　用你　Linux　主機使用的　DNS　的適當資訊來取代．　
儲存你的　config.tel　檔案．　
Telnet　到你的　Linux　主機以測試網路連接:　telnet　192.168.1.1　

配置執行　MacTCP　的　MacOS　機器

如果你還沒為你的乙太網路轉接器安裝適當的驅動程式，最好現在就作．　
打開　MacTCP　control　panel，選擇適當的網路驅動程式(Ethernet,　而非　EtherTalk)　并按下　'More...'　鈕．　
在　'Obtain　Address:',　按　'Manually'．　
在　'IP　Address:'　下，從彈出選單中選擇　class　C．忽略對話盒中的其它部份．　
在　'Domain　Name　Server　Information:'　中填入適當資訊．　
在　'Gateway　Address:'　中，填入　192.168.1.1．　
按下　'OK'　以儲存設定．在　MacTCP　control　panel　的主視窗中，在　'IP　Address:'　盒中填入你　Mac　的　IP　位址　(192.168.1.x,　1　<　x　<　255)．　
關閉　MacTCP　control　panel.　如果有的彈出視窗提醒你重新開機，那就做吧．　
你可以　ping　一下你的　Linux　主來來測試網路連線．如果你有　MacTCP　Watcher　免費程式，按下　'Ping'　鈕，然後在彈出的對話盒中鍵入你的　Linux　主機的地址(192.168.1.1)．(這只不過是區域網路的連接測試，你還不能　ping　到外面的世界．)　
你可選擇性地在　System　Folder　中建立一　Hosts　檔案以便你可以使用你區域網路里機器的主機名稱．這個檔案可能已經存在於你的　System　Folder　里，而且它應該會包含一些(注解掉的)□例項目而你可以根據你的需要來修改．　

配置執行　Open　Transport　的　MacOS　系統

如果你還沒為你的乙太網路轉接器安裝適當的驅動程式，最好現在就作．　
打開　TCP/IP　Control　Panel　然後從　Edit　選單中選擇　'User　Mode　...'．確定使用者模式至少是　'Advanced'　然後按下　'OK'　鈕．　
從　File　選單中選擇　'Configurations...'．選擇　'Default'　配置并按下　'Duplicate...'　鈕．在　'Duplicate　Configuration'　對話盒中鍵入　'IP　Masq'　(或是其它能讓你知道這是個特殊配置的字眼)，它可能會說像是　'Deafault　copy'　什麼的．然後按下　'OK'　鈕，以及　'Make　Active'　鈕．　
從　'Connect　via:'　彈出式選單中選擇　'Ethernet'．　
從　'Configure:'　彈出式選單選擇適當的項目．如果你不知道應該選什麼，你可能應該重新選擇你的　'Default'　配置然後離開．我用的是　'Manually'．　
在　'IP　Address:'　盒中輸入你的　Mac　的　IP　位址　(192.168.1.x,　1　<　x　<　255)．　
在　'Subnet　mask:'　盒中輸入　255.255.255.0．　
在　'Router　address:'　盒中輸入　192.168.1.1　．　
在　'Name　server　addr.:'　盒中輸入你的領域名稱伺服器　IP　位址．　
在　'Implicit　Search　Path:'　里的　'Starting　domain　name'　輸入你的網際網路領域名稱(例如　'microsoft.com')．　
接下來的步驟是選擇性的．不正確的值可能導致嚴重的錯誤行為．如果你不確定，最好留下空白，不要勾選．如果需要的話，除去那些欄位中的任何資訊．就我目前所知沒有辦法在　TCP/IP　對話視窗中告訴系統不要使用以前選過的另一　"Hosts"　檔案．如果你知道的話，我很有興趣了解．如果你的網路需要　802.3　框架的話勾選　'802.3'．　
按下　'Options...'　以確定　TCP/IP　有作用．我使用　'Load　only　when　needed'　選項．如果你執行并結束　TCP/IP　應用程式許多次而未重新啟動你的機器，你將發現不選　'Load　only　when　needed'　會抑制/降低你機器的記憶體管理效能．不選此項目將使　TCP/IP　協定總是被載入便於使用．如果勾選了，TCP/IP　協定會自動在需要時載入并在不需要時釋放．載入與釋放的過程可能使你機器的記憶體變的碎裂．　
你可以　ping　一下你的　Linux　主來來測試網路連線．如果你有　MacTCP　Watcher　免費程式，按下　'Ping'　鈕，然後在彈出的對話盒中鍵入你的　Linux　主機的地址(192.168.1.1)．(這只不過是區域網路的連接測試，你還不能　ping　到外面的世界．)　
你可以在　System　Folder　中建立一　Hosts　檔案以便你可以使用你區域網路里機器的主機名稱．這個檔案可能已經或還未存在於你的　System　Folder　里．如果有的話，它應該會包含一些(注解掉的)□例項目而你可以根據你的需要來修改．如果還沒有的話，你可以從一部正在運作　MacTCP　的系統中取回，或自己建一個(它遵循　Unix　的　/etc/hosts　檔案格式，在　RFC　1035　的第　33　頁中描述)．一旦你建立了這個檔案，打開　TCP/IP　control　panel，按下　'Select　Hosts　File...'　鈕，然後打開　Hosts　檔案．　
關閉對話盒或從　File　選單中選擇　'Close'　或　'Quit'　然後按下　'Save'　以儲存你所做的改變．　
這些改變會立刻生效，但重新開機也無害．　

配置使用　DNS　的　Novell　網路

如果你還沒為你的乙太網路轉接器安裝適當的驅動程式，最好現在就作．　
從　ftp.novell.com/pub/updates/unixconn/lwp5　取回　tcpip16.exe．　
編輯　c:/nwclient/startnet.bat

:　(here　is　a　copy　of　mine)　
SET　NWLANGUAGE=ENGLISH
LH　LSL.COM
LH　KTC2000.COM
LH　IPXODI.COM
LH　tcpip
LH　VLM.EXE
F:

編輯　c:/nwclient/net.cfg

:　(將驅動程式改為你的，　i.e.　NE2000)　
Link　Driver　KTC2000
　　　　　　　　Protocol　IPX　0　ETHERNET_802.3　　　　
　　　　　　　　Frame　ETHERNET_802.3　　　　　
　　　　　　　　Frame　Ethernet_II　　　　　　　　
　　　　　　　　FRAME　Ethernet_802.2

NetWare　DOS　Requester
　　　　　　　　　　　FIRST　NETWORK　DRIVE　=　F
　　　　　　　　　　　USE　DEFAULTS　=　OFF
　　　　　　　　　　　VLM　=　CONN.VLM
　　　　　　　　　　　VLM　=　IPXNCP.VLM
　　　　　　　　　　　VLM　=　TRAN.VLM
　　　　　　　　　　　VLM　=　SECURITY.VLM
　　　　　　　　　　　VLM　=　NDS.VLM
　　　　　　　　　　　VLM　=　BIND.VLM
　　　　　　　　　　　VLM　=　NWP.VLM
　　　　　　　　　　　VLM　=　FIO.VLM
　　　　　　　　　　　VLM　=　GENERAL.VLM
　　　　　　　　　　　VLM　=　REDIR.VLM
　　　　　　　　　　　VLM　=　PRINT.VLM
　　　　　　　　　　　VLM　=　NETX.VLM

Link　Support
　　　　　　　　Buffers　8　1500
　　　　　　　　MemPool　4096

Protocol　TCPIP
　　　　　　　　PATH　SCRIPT　　　　　C:/NET/SCRIPT
　　　　　　　　PATH　PROFILE　　　　C:/NET/PROFILE
　　　　　　　　PATH　LWP_CFG　　　　C:/NET/HSTACC
　　　　　　　　PATH　TCP_CFG　　　　C:/NET/TCP
　　　　　　　　ip_address　　　　　　xxx.xxx.xxx.xxx
　　　　　　　　ip_router　　　　　　　xxx.xxx.xxx.xxx

最後建立　
c:/bin/resolv.cfg

:　
SEARCH　DNS　HOSTS　SEQUENTIAL
NAMESERVER　207.103.0.2
NAMESERVER　207.103.11.9

我希望這些某些使用　Novell　網路的人有幫助．還有，這對　Netware　3.1x　或　4.x　都有用．　

配置　OS/2　Warp

如果你還沒為你的乙太網路轉接器安裝適當的驅動程式，最好現在就作．　
如果你還沒裝　TCP/IP　通訊協定的話現在就裝．　
開啟　Programms/TCP/IP　(LAN)　/　TCP/IP　設定　
在　'Network'　欄位加上你的　TCP/IP　位址并設定你的　netmask　(255.255.255.0)　
在　'Routing'　欄位按下　'Add'.　將　Type　欄位設定為　'default'　并在　'Router　Address'　欄位中鍵入你的　Linux　主機的　IP　位址　(192.168.1.1).　
將　'Hosts'　欄位設定與你的　Linux　主機使用相同的　DNS　(名稱伺服器)位址．　
關閉　TCP/IP　控制臺．在接下來的問題中回答　yes.　
重新啟動你的系統　
你可以　ping　你的　Linux　主機以測試網路配置．在　'OS/2　命令視窗'　上鍵入　'ping　192.168.1.1'.　如果收到　ping　封包一切就沒問題．　

配置其它系統
它們應該按照相同的理論來建立．查閱上述的小節．如果你有興趣寫關於其它的作業系統的配置，請送詳細的建立指示到　[email protected].　

3.4　配置　IP　轉送(Forwarding)的方式　
到目前為止，你應該已經安裝好核心以及其它需要的套件，也載入了你的模組．同時，其它機器的　IP　位址，閘道，以及　DNS　也該全都設定完成．　

現在，唯一剩下要做的事是使用　ipfwadm　轉送適當的封包給適當的機器:　

**　這可以用許多不同的方式來達成．下列的建議與例子對我來說能用，但你可能有不同的主意，詳節部份請參考　4.4　節及　ipfwadm　的線上手冊．　**　

ipfwadm　-F　-p　deny　
ipfwadm　-F　-a　m　-S　yyy.yyy.yyy.yyy/x　-D　0.0.0.0/0　

其中　x　視你的子網路而定，為下列數字之一，而　yyy.yyy.yyy.yyy　則是你的網路位址．　
netmask　　　　　　　　　|　x　　|　Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0　　　　　　　|　8　　|　Class　A
255.255.0.0　　　　　|　16　|　Class　B
255.255.255.0　　　|　24　|　Class　C
255.255.255.255　|　32　|　Point-to-point

例如，如果我是在一個　class　C　子網路上，我得輸入:　

ipfwadm　-F　-p　deny　
ipfwadm　-F　-a　m　-S　192.168.1.0/24　-D　0.0.0.0/0　

因為　bootp　請求封包沒有合法的　IP's　，客戶端并不知道它的位址，對於在偽裝/防火墻上執行　bootp　伺服器的人必須在　deny　之前執行下列指令:　

ipfwadm　-I　-a　accept　-S　0/0　68　-D　0/0　67　-W　bootp_clients_net_if_name　-P　udp

你也可以分別對每臺機器設定．例如，如果我想讓　192.168.1.2　及　192.168.1.8　能夠存取網際網路，但不允許其它機器使用的話，我得輸入:　

ipfwadm　-F　-p　deny　
ipfwadm　-F　-a　m　-S　192.168.1.2/32　-D　0.0.0.0/0　
ipfwadm　-F　-a　m　-S　192.168.1.8/32　-D　0.0.0.0/0　

另外，你可以輸入網路遮罩以取代該值，例如　192.168.1.0/255.255.255.0　

常見的錯誤是像這樣的第一行指令　

ipfwadm　-F　-p　masquerade

不要把你的預設方式(policy)定為偽裝(masquerading)　－　否則可以操控他們的遞送路徑(routing)　的人將能夠直接穿過(tunnel)你的閘道，以此偽裝他們的身分!　

再一次，你可以把這些加入　/etc/rc.local　檔案，任何一個你比較喜歡的　rc　檔案，或是在每次你需要　IP　Masquerade　時手動執行之．　

請閱讀　4.4　節有關　Ipfwadm　的詳細指引．　

3.5　測試　IP　Masquerade　
在這些工作完成後，現在是試試看的時候了．確定你的　Linux　主機到網際網路的連線是通的．　

你可以在其它機器上試著瀏覽一些'網際網路!!!'　上的網頁，看是否能見到．我建議第一次嘗試時使用　IP　位址而不要用主機名稱，因為你的　DNS　設定有可能并不正確．　

例如，你可以使用　http://152.2.254.81/mdw/linux.html　來存取　Linux　文件計畫網頁　http://sunsite.unc.edu/mdw/linux.html．　

如果你看見那漂亮的帆船(譯注:　LDP　網頁好像沒有帆船?　:P)，那麼恭喜!　它可以運作了!　接著你可以使用主機名稱試試看，然後是　telnet,　ftp,　RealAudio,　True　Speech，以及任何　IP　Masquerade　支援的東西．　

到目前為止，我還不曾在上面的設定上發生過問題，而那些花下時間讓這個絕妙功能運作的人完全同意這些設定．　

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

4.　其它　IP　Masquerade　的問題及軟體支援

4.1　IP　Masquerade　的問題　
某些協定現在無法配合　masquerading　使用，因為它們不是假設有關埠號的一些事情，就是在位址及埠號的資料流里編碼資料　－　後面這些協定需要在　masquerading　程式碼里建立特定的代理程式使它們能運作．　

4.2　進入系統的服務(incoming　services)　
Masquerading　完全不能處理外界的服務請求　(incoming　services)．只有極少方法能允許它們，但這完全與　masquerading　無關，而且實在是標準的防火墻方式．　

如果你并不要求高度的安全性那麼你可以簡單地重導(redirect)這些埠．有幾種不同的方法可以做這件事　－　我使用一只修改過的　redir　程式(我希望這只程式很快就能從　sunsite　及其　mirrors　取得)．如果你希望能夠對外界進入系統的服務請求有某種程度的身分驗認(authorisation)　那麼你可以在　redir　的頂層(0.7　or　above)　使用　TCP　wrappers　或是　Xinetd　來允許特定　IP　位址通過，或使用其它的工具．TIS　防火墻工具集是尋找工具及資訊的好地方．　

更多的詳節可在　IP　Masquerade　Resource　找到．　

4.3　已支援的客戶端軟體以及其它設定方面的注意事項　

**　下面的列表將不再被維護了．可經由　Linux　IP　masquerading　運作的應用程式請參考　這里　和　IP　Masquerade　Resource　以取得進一步的細節．　**　
一般說來，使用傳輸控制協定(TCP)　或是使用者定義資料協定　(UDP)的應用程式應該都能運作．如果你有任何關於應用程式與　IP　Masquerade　相容的建議，提示或問題，請拜訪由　Lee　Nevo　維護的　可與　Linux　IP　masquerading　運作的應用程式　網頁．　

可以使用的客戶端軟體
一般客戶端軟體　

HTTP
所有有支援的平臺，瀏覽網頁　

POP　&　SMTP
所有有支援的平臺，電子郵件軟體　

Telnet
所有有支援的平臺，遠端簽入作業　

FTP
所有有支援的平臺，配合　ip_masq_ftp.o　模組(不是所有站臺都能配合各種客戶端軟體；例如某些不能使用　ws_ftp32　觸及的站臺卻能使用　netscape　進入)　

Archie
所有有支援的平臺，檔案搜尋軟體(并非所有　archie　客戶端軟體都支援)　

NNTP　(USENET)
所有有支援的平臺，網路新聞軟體　

VRML
Windows　(可能所有有支援的平臺都可以)，虛擬實境瀏覽　

traceroute
主要是　UNIX　系列的平臺，某些變種可能無法運作　

ping
所有平臺，配合　ICMP　修補檔　

anything　based　on　IRC
所有有支援的平臺，配合　ip_masq_irc.o　模組　

Gopher　client
所有有支援的平臺　

WAIS　client
所有有支援的平臺　

多媒體客戶端軟體　

Real　Audio　Player
Windows,　網路資料流音訊，配合載入　ip_masq_raudio　模組　

True　Speech　Player　1.1b
Windows,　網路資料流音訊　

Internet　Wave　Player
Windows,　網路資料流音訊　

Worlds　Chat　0.9a
Windows,　客戶－伺服端立體交談(3D　chat)　程式　

Alpha　Worlds
Windows,　Windows,　客戶－伺服端立體交談(3D　chat)　程式　

Powwow
Windows,　點對點文字聲音白板通訊，如果你呼叫別人，人們可以與你交談，但是他們不能呼叫你．　

CU-SeeMe
所有有支援的平臺，配合載入　cuseeme　模組，詳細細節請參　閱　IP　Masquerade　Resource

VDOLive
Windows,　配合　vdolive　修補檔　

注意:　即使不是由你呼叫別人，使用　ipautofw　套件某些客戶端軟體像是　IPhone　以及　Powwow　可能還是可以運作(參閱　4.6　節)　

其它客戶端軟體　

NCSA　Telnet　2.3.08
DOS,　包含　telnet,　ftp,　ping　等等的一組套件．　

PC-anywhere　for　windows　2.0
MS-Windows,　經由　TCP/IP　遠端遙控　PC　，只有在作為客戶端而非主機端的情形下才能運作　

Socket　Watch
使用　ntp　－　網路時間協定　

Linux　net-acct　package
Linux,　網路帳號管理套件　

無法使用的客戶端軟體

Intel　Internet　Phone　Beta　2
可以連上但聲音只能單向(往外)傳送　

Intel　Streaming　Media　Viewer　Beta　1
無法連上伺服器　

Netscape　CoolTalk
無法連接對方　

talk,ntalk
這將不會運作　－　需要撰寫一份核心代理程式．　

WebPhone
目前無法運作(它做了不合法的位址假設)．　

X
沒有測試過，但我想除非有人建立一套　X　代理程式否則它無法運作，這可能是　masquerading　程式碼之外的一個外部程式．一個讓它運作的方式是使用　ssh　作為鏈結并且使用其內部的　X　代理功能來執行!　

已測試過可以作為其它機器的平臺/作業系統

Linux　
Solaris　
Windows　95　
Windows　NT　(both　workstation　and　server)　
Windows　For　Workgroup　3.11　(with　TCP/IP　package)　
Windows　3.1　(with　Chameleon　package)　
Novel　4.01　Server　
OS/2　(including　Warp　v3)　
Macintosh　OS　(with　MacTCP　or　Open　Transport)　
DOS　(with　NCSA　Telnet　package,　DOS　Trumpet　works　partially)　
Amiga　(with　AmiTCP　or　AS225-stack)　
VAX　Stations　3520　and　3100　with　UCX　(TCP/IP　stack　for　VMS)　
Alpha/AXP　with　Linux/Redhat　
SCO　Openserver　(v3.2.4.2　and　5)　
IBM　RS/6000　running　AIX　
(誰還測試過其它平臺?)　

4.4　IP　Firewall　Administration　(ipfwadm)　
這一節提供關於　ipfwadm　更深入的使用指引．　

這是一個給在固定　PPP　位址之　PPP　連線後面的防火墻/偽裝系統使用的設定．信賴(trusted)　界面為　192.168.255.1,　PPP　界面已經修改過以避免犯錯　:)　．我分別列出每一個進入(incoming)以及送出(outgoing)界面來抓出變更遞送路徑(stuffed　routing)　以及/或是偽裝(masquerading)等等這些個　IP　spoofing　技巧．同時任何沒有明確允許的東西都是禁止的!　

#!/bin/sh
#
#　/etc/rc.d/rc.firewall,　　定義防火墻配置，從　rc.local　執行．
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

#　測試用，等待一段時間然後清除所有的防火墻規則．
#　如果你希望防火墻十分鐘之後自動關閉就取消下列幾行的注解．
#　(sleep　600;　/
#　ipfwadm　-I　-f;　/
#　ipfwadm　-I　-p　accept;　/
#　ipfwadm　-O　-f;　/
#　ipfwadm　-O　-p　accept;　/
#　ipfwadm　-F　-f;　/
#　ipfwadm　-F　-p　accept;　/
#　)　&

#　進入偽裝閘道的設定，更新以及設定拒絕的策略(policy)．事實上
#　預設的策略沒什麼關系，因為原先就希望拒絕以及記錄所有規則
ipfwadm　-I　-f
ipfwadm　-I　-p　deny
#　偽裝閘道的本地(local)　界面，區域網路里的機器，允許連往任何
#　地方
ipfwadm　-I　-a　accept　-V　192.168.255.1　-S　192.168.0.0/16　-D　0.0.0.0/0
#　偽裝閘道的遠端(remote)界面，聲稱是區域網路里的機器，IP　spoofing
#　拒絕
ipfwadm　-I　-a　deny　-V　your.static.PPP.address　-S　192.168.0.0/16　-D　0.0.0.0/0　-o
#　偽裝閘道的遠端界面，任何來源，允許送往固定　(permanent)　PPP
#　位址
ipfwadm　-I　-a　accept　-V　your.static.PPP.address　-S　0.0.0.0/0　-D　your.static.PPP.address/32
#　回授(loopback)界面是允許的
ipfwadm　-I　-a　accept　-V　127.0.0.1　-S　0.0.0.0/0　-D　0.0.0.0/0
#　捕捉所有規則，任何其它的進入方式都會被拒絕并記錄．可惜沒有
#　記錄用的選項但這可以代替
ipfwadm　-I　-a　deny　-S　0.0.0.0/0　-D　0.0.0.0/0　-o

#　送出偽裝閘道的設定，更新以及設定拒絕的策略(policy)．事實上
#　預設的策略沒什麼關系，因為原先就希望拒絕以及記錄所有規則
ipfwadm　-O　-f
ipfwadm　-O　-p　deny
#　本地界面，允許任何來源送出至區域網路
ipfwadm　-O　-a　accept　-V　192.168.255.1　-S　0.0.0.0/0　-D　192.168.0.0/16
#　遠端界面送出至區域網路，stuffed　routing　，拒絕
ipfwadm　-O　-a　deny　-V　your.static.PPP.address　-S　0.0.0.0/0　-D　192.168.0.0/16　-o
#　區域網路的機器從遠端界面送出，stuffed　masquerading，拒絕
ipfwadm　-O　-a　deny　-V　your.static.PPP.address　-S　192.168.0.0/16　-D　0.0.0.0/0　-o
#　區域網路的機器從遠端界面送出，stuffed　masquerading，拒絕
ipfwadm　-O　-a　deny　-V　your.static.PPP.address　-S　0.0.0.0/0　-D　192.168.0.0/16　-o
#　任何其它遠端界面送出的東西都是允許的
ipfwadm　-O　-a　accept　-V　your.static.PPP.address　-S　your.static.PPP.address/32　-D　0.0.0.0/0
#　回授(loopback)界面是允許的
ipfwadm　-O　-a　accept　-V　127.0.0.1　-S　0.0.0.0/0　-D　0.0.0.0/0
#　捕捉所有規則，任何其它的送出方式都會被拒絕并記錄．可惜沒有
#　記錄用的選項但這可以代替
ipfwadm　-O　-a　deny　-S　0.0.0.0/0　-D　0.0.0.0/0　-o

#　偽裝閘道的轉送設定，更新以及設定拒絕的策略(policy)．事實上
#　預設的策略沒什麼關系，因為原先就希望拒絕以及記錄所有規則
ipfwadm　-F　-f
ipfwadm　-F　-p　deny
#　偽裝區域網路的機器從本地界面送出至任何地方的資料
ipfwadm　-F　-a　masquerade　-W　ppp0　-S　192.168.0.0/16　-D　0.0.0.0/0
#　捕捉所有規則，任何其它的轉送方式都會被拒絕并記錄．可惜沒有
#　記錄用的選項但這可以代替
ipfwadm　-F　-a　deny　-S　0.0.0.0/0　-D　0.0.0.0/0　-o

你可以使用　-I,　-O　或是　-F　來控制到某特定節點的流量．記得這些規則集是由上往下掃描的而　-a　代表"附加(append)"到目前現有的規則集中所以任何限制必須在全域(global)規則之前出現．例如(沒測試過)　:-　

使用　-I　規則．可能是速度最快的但是它只能阻止區域網路里的機器，防火墻本身仍然可以存取"禁止"的節點．當然你可能想允許這樣的組合．　

...　start　of　-I　rules　...
#　拒絕并記錄本地界面，區域網路里的機器通往　204.50.10.13
ipfwadm　-I　-a　reject　-V　192.168.255.1　-S　192.168.0.0/16　-D　204.50.10.13/32　-o
#　本地界面，區域網路里的機器，允許通往任何地方
ipfwadm　-I　-a　accept　-V　192.168.255.1　-S　192.168.0.0/16　-D　0.0.0.0/0
...　end　of　-I　rules　...

使用　-O　規則．最慢，因為封包首先經過偽裝但這個規則阻止防火墻存取禁止的節點．　

...　start　of　-O　rules　...
#　拒絕并記錄送出至　204.50.10.13　的資料
ipfwadm　-O　-a　reject　-V　your.static.PPP.address　-S　your.static.PPP.address/32　-D　204.50.10.13/32　-o
#　允許任何其它遠端界面送出的東西
ipfwadm　-O　-a　accept　-V　your.static.PPP.address　-S　your.static.PPP.address/32　-D　0.0.0.0/0
...　end　of　-O　rules　...

使用　-F　規則．可能比　-I　慢而這仍然只能阻止偽裝的機器(例如內部的機器)，防火墻仍然可以取得禁止的節點．　

...　start　of　-F　rules　...
#　拒絕并記錄　PPP　　界面送出從區域網路到　204.50.10.13　的資料．
ipfwadm　-F　-a　reject　-W　ppp0　-S　192.168.0.0/16　-D　204.50.10.13/32　-o
#　偽裝本地界面從區域網路送出至任何地方的資料．
ipfwadm　-F　-a　masquerade　-W　ppp0　-S　192.168.0.0/16　-D　0.0.0.0/0
...　end　of　-F　rules　...

不需要有個特定的規則來允許　192.168.0.0/16　通往　204.50.11.0,　這涵蓋於全域規則中．　

有一種以上的方法可以對界面設定上述規則．例如可以使用　-W　eth0　來取代　-V　192.168.255.1，可以使用　-W　ppp0　來取代　-V　your.static.PPP.address．個人的選擇最重要．　

4.5　IP　Masquerade　以及需求式撥接(Demand-Dial-Up)　

如果你想把網路設定成自動撥接上網際網路，那麼　diald　demand　撥接套件將會是很棒的工具．　
要設定　diald,　請查看　Setting　Up　Diald　for　Linux　Page　網頁　
一旦　diald　以及　IP　masq　設定完成，你可以在任何客戶端機器上啟動　web,　telnet　或是　ftp　連線．　
Diald　將會偵測到進入系統的請求，然後撥接到你的　ISP　并建立連線．　
第一次連線將會發生逾時(timeout)　的情形．如果你使用類比式的數據機那這是無可避免的．建立數據機連結以及　PPP　連線所花費的時間將會使你的客戶端軟體不耐．如果你使用　ISDN　連線那這是可以避免的．你得做的只是結束客戶端軟體現行的程序再重新啟動即可．　

4.6　IPautofw　封包轉送程式　
IPautofw　是一個給　Linux　masquerading　使用的一般性　TCP　及　UDP　轉送程式．一般使用需要　UDP　的套件的時候，需要載入特定的　ip_masq　模組；ip_masq_raudio,　ip_masq_cuseeme,...　Ipautofw　以更一般化的方式運作，它將會轉送包含這些應用程式特定模組都不會轉送的任何資料流型態．如果沒有正確地管理這可能造成安全上的漏洞．　

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

5.　其它

5.1　求助　

**　請不要嘗試送電子郵件給我問　IP　Masquerade　的問題．因於個人工作的負擔，我無法保證回覆所有非　website　相關的問題．請將你的問題送到　IP　Masquerade　mailing　list　(我想這是最佳的求助來源)．這點很抱歉，但我不想讓你等幾個星期才收到回信．　**　

IP　Masquerade　Resource　page　應該有足夠的資訊設定　IP　Masquerade．　
加入　IP　masquerade　郵遞列表(建議)
要訂閱的話，寄封標題為　"subscribe"　(不包含引號)的郵件到　[email protected]
要取消訂閱的話，寄封標題為　"unsubscribe"　(不包含引號)的郵件到　[email protected]
要獲得使用這個郵遞列表的協助說明的話，寄封標題為　"archive　help"　或　"archive　dir"　(不包含引號)的郵件到　[email protected]　
IP　masquerade　郵遞列表檔案　包含所有過去送到這個郵遞列表的訊息。　
本文件　Linux　IP　Masquerade　mini　HOWTO　for　kernel　2.x　(如果你使用　1.3.x　or　2.x　的核心)　
IP　Masquerade　HOWTO　for　kernel　1.2.x　如果你使用比較舊的核心　
IP　masquerade　FAQ　有些一般性的資訊　
X/OS　Ipfwadm　page　包含關於　ipfwadm　套件的原始程式碼，執行檔，文件，以及其它資訊　
由　Lee　Nevo　所維護的網頁　可與　Linux　IP　masquerading　運作的應用程式　提供提示與技巧使得應用程式能與　IP　Masquerade　運作．　
LDP　Network　Administrator's　Guide　這是新手嘗試設定網路的必要資訊　
Linux　NET-2　HOWTO　也有許多關於　Linux　網路方面有用的資訊　
Linux　ISP　Hookup　HOWTO　以及　Linux　PPP　HOWTO　給你如何把　Linux　主機連上網際網路的相關資訊　
Linux　Ethernet-Howto　有關設定執行乙太網路的區域網路很棒的資訊來源　
你也可能對　Linux　Firewalling　and　Proxy　Server　HOWTO　有興趣　
Linux　Kernel　HOWTO　將會指引你編譯核心的過程　
其它　Linux　HOWTOs　像是　Kernel　HOWTO　
張貼到這個　USENET　新聞群組:　comp.os.linux.networking　

5.2　感謝　

Gabriel　Beitler,　[email protected]
on　providing　section　3.3.8　(setting　up　Novel)　
Ed　Doolittle,　[email protected]　
on　suggestion　to　-V　option　in　ipfwadm　command　for　improved　security　
Matthew　Driver,　[email protected]
on　helping　extensively　on　this　HOWTO,　and　providing　section　3.3.1　(setting　up　Windows　95)　
Ken　Eves,　[email protected]
on　the　FAQ　that　provides　invaluable　information　for　this　HOWTO　
Ed.　Lott,　[email protected]
for　a　long　list　of　tested　system　and　software　
Nigel　Metheringham,　[email protected]
on　contributing　his　version　of　IP　Packet　Filtering　and　IP　Masquerading　HOWTO,　which　make　this　HOWTO　a　better　and　technical　in-depth　document
section　4.1,　4.2,　and　others　
Keith　Owens,　[email protected]
on　providing　an　Excellent　guide　on　ipfwadm　section　4.2
on　correction　to　ipfwadm　-deny　option　which　avoids　a　security　hole,　and　clarified　the　status　of　ping　over　IP　Masquerade　
Rob　Pelkey,　[email protected]
on　providing　section　3.3.6　and　3.3.7　(setting　up　MacTCP　and　Open　Transport)　
Harish　Pillay,　[email protected]　
on　providing　section　4.5　(dial-on-demand　using　diald)　
Mark　Purcell,　[email protected]
on　providing　section　4.6　(IPautofw)　
Ueli　Rutishauser,　[email protected]
on　providing　section　3.3.9　(setting　up　OS/2　Warp)　
John　B.　(Brent)　Williams,　[email protected]
on　providing　section　3.3.7　(setting　up　Open　Transport)　
Enrique　Pessoa　Xavier,　[email protected]
on　the　bootp　setup　suggestion　
developers　of　IP　Masquerade　for　this　great　feature　
Delian　Delchev,　[email protected]　
Nigel　Metheringham,　[email protected]　
Keith　Owens,　[email protected]　
Jeanette　Pauline　Middelink,　[email protected]　
David　A.　Ranch,　[email protected]　
Miquel　van　Smoorenburg,　[email protected]　
Jos　Vos,　[email protected]　
還有其它我忘了提的(請讓我知道)　
所有送回饋及建議到郵遞列表上的使用者，特別是那些報告文件上的錯誤以及已支援與未支援的客戶端的．　
如果我沒有包括某些使用者送給我的資訊我感到抱歉．有如此多的建議與想法送到我這里，但我只是沒有足夠的時間去確定或者我不小心丟了．我正盡我最大的努力整合所有送給我的資訊到這份文件里．感謝你的辛勞，而我也希望你能諒解我的情況．　

5.3　參考資料　

Ken　Eves　的　IP　masquerade　常見問答集　
Indyramp　Consulting　之　IP　masquerade　郵遞列表　
X/OS　的　Ipfwadm　網頁　
各個關於網路的　Linux　HOWTOs　

--------------------------------------------------------------------------------

上一篇：ISP-Connectivity-mini-HOWTO

下一篇：faxsrv-mini-HOWTO 傳真機服務器