红联Linux门户
Linux帮助

如何配置Linux中的IP Masq防火墙

发布时间:2006-08-20 00:18:22来源:红联作者:莫奕
  本文向读者介绍如何使用Linux下的IP Masquerade(简称IP Masq)防火墙功能。使用IP Masq可以实现NAT功能,这是网络防火墙的主要功能之一,用于中小型企、事业单位、居民生活小区通过单个注册的IP实现共享上网服务,特别是随着宽带网的普及,大量的用户需要使用Internet,为了解决IP地址短缺问题,使用Linux下的IP Masq是一种较理想的解决方案。要实现Linux下的IP Masq需要解决两个问题,即网络双网卡的正确安装和IP Masq的正确设置。
  
  一、 Linux下双网卡的正确安装
  
  1.设备环境

  ① IBM兼容PC机一台,IDE硬盘一块。
  ② Turbo Linux操作系统6.0。
  ③ 3Com ISA以太网卡3C509B-TPO两块。

  2.安装过程

  ① 在DOS系统下,使用3C509B网卡驱动程序中所带3c5x9cfg.exe调试程序配置、测试两块3Com ISA网卡参数(主要是IRQ中断号和I/O内存地址),保证两块网卡能够正常运行。
  ② 在计算机系统中,安装Turbo Linux操作系统,配置第一块网卡(IO=0x300),系统自动缺省识别网卡IOBASE=0x300,使用ping命令测试网卡状态。
  ③ 为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息; 而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在“conf.modules”文件中进行相应的配置。
  ④ 安装第二块网卡,在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“/etc/lilo.conf”文件,增加如下内容:ether=10,0x320,0,0,eth1。
  前四个参数是数字,最后一个参数是设备的名称。所有的数字变量都可以自由选择,如果用户忽略或是设置成0,那么核心会自动检测该设备的参数变量或使用默认值。第一个参数代表分配给设备的中断请求通道,默认情况下核心会自动检测设备的IRQ通道; 第二个参数变量用来指定设备的基本I/O地址,同样,如果这里是0,就意味着核心会自动检测该设备的I/O地址;剩下的两个参数变量对于不同的设备有不同的含义,对于共享内存的网卡,它们用来定义共享内存区域的起始点和结束点,对于其他网卡来说,它们使用第一个参数来设置信息的调试等级,数字1到7代表调试等级逐渐增加,而数字8表示关闭信息调试,0表示使用默认值。
  ⑤ 重新启动机器。
  ⑥ 通过Turbonetcfg增加eth1,并配置该网卡网络参数,如IP地址、网关等。
⑦ 重新启动机器,使用ping命令测试网卡状态。
  ⑧ 通过Ifconfig命令显示Interface接口状态。
  
  二、 IP Masq的正确设置 
  
  1.检查Linux 系统内核是否支持IP Masq

  检查Linux系统内核是否支持IP Masquerade。如果你手中的Linux版本支持如下特征:
  IPFWADM/IPCHAINS、IP forwarding 、IP masquerading 、IP Firewalling
  则你不需要重新编译Linux内核,如果你不太确信,可运行如下命令进行测试检查:
  # ls /proc/sys/net/ipv4
  如果如下文件存在,则Linux已支持IP Masquerade:“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”。

  2.为内网分配私网IP地址

  私网地址用于企业内部基于TCP/IP技术的联网需要,它由The Internet Assigned Numbers Authority (IANA)分配,笔者采用了以下地址: 192.168.0.0/24。

  3.创建文件 /etc/rc.d/rc.firewall,编辑管理规则

  # rc.firewall - Initial SIMPLE IP Masquerade test for 2.1.x and 2.2.x kernels
  # FORWARD_IPV4=true
  echo “1” > /proc/sys/net/ipv4/ip_forward
  #CRITICAL: Enable automatic IP defragmenting since it is disabled by default
  # in 2.2.x kernels. This used to be a compile-time option but the behavior was changed in 2.2.12
  echo “1” > /proc/sys/net/ipv4/ip_always_defrag
  # MASQ timeouts 2 hrs timeout for TCP session timeouts
  # 10 sec timeout for traffic after the TCP/IP “FIN” packet is received
  # 160 sec timeout for UDP traffic (Important for Masq ’ed ICQ users)
  /sbin/ipchains -M -S 7200 10 160
  # Enable simple IP forwarding and Masquerading
  /sbin/ipchains -P forward DENY
  /sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ
  *注释 interface eth0为公网IP地址(Registered IP Address);
  编辑/etc/rc.d/rc.firewall文件的规则后,改变其文件权限为可执行如下命令:# chmod 700 /etc/rc.d/rc.firewall。

  4.将Firewall加载到启动脚本中

  当Firewall规则指定完毕后,需要重新启动计算机系统。你可以手工运行,也可以在系统中修改系统启动脚本使其自动执行。
  手动的方式是在系统命令提示符下,执行如下命令:#/etc/rc.d/rc.firewall。
  编辑启动脚本的方法是在/etc/rc.d/init.d文件中增加如下内容:/etc/rc.d/rc.firewall。
运行IP Masq后,使用ping命令测试NAT的网络功能,检查IP Masq是否正常运行。
文章评论

共有 2 条评论

  1. 丁丁 于 2006-08-20 20:04:26发表:

    编这些规则是不是用的脚本阿!!!!----------我是菜鸟

  2. 丁丁 于 2006-08-20 20:03:13发表:

    晕了!!但是要坚持