IP偽裝之ipchains快速指南

　　上個月,我和兄弟想在家里建一個小型網絡，以便在一個modem一條電話線的情況下讓更多的計算機能聯上互聯網。我的機子聯著modem，運行Linux，用作服務器；兄弟的機子運行Win95作客戶機。我在網上到處查找關于這種小型網絡的資料文檔，最后決定使用IP偽裝的技術來達到目的。
IP偽裝技術是通過指派內部網的IP地址(在本例中我的機子IP為 10.0.0.1 客戶機IP為10.0.0.2)使其他的客戶機在沒有外部IP地址時共享服務器的互聯網連接。我看了許多有關的文檔，的確弄懂了ipchains的原理和配置過程，但就是不能正常地運行在我的機子上。于是我就進入了在Undernet.org的#Linux IRC頻道，并得到了一個自稱Mongoose的同好的幫助。
他給了我一個他寫的"用ipchains來實現IP偽裝"的快速教程的網頁地址。

*Ipchains是一個用來設置防火墻和IP偽裝的軟件，隨RedHat 6.0 捆綁發行。(譯注：ipchains也是自由軟件，在網上可自由下載，主頁在：

看了Mongoose的快速教程后，我用不到十分鐘就搞定了我的網絡。這也是我繼續與他聯系， 并得到他同意在Linux公報上發表他的教程的原因。

下面就是他的教程：

----------------------------------------
注意：
----------------------------------------
以下IP地址的含義為:

0.0.0.0 互聯網的網關.
10.0.0.1 作網關機子的網卡捆綁IP地址.
10.0.0.2 作客戶機 client0 的網卡IP地址.
10.0.0.3 作客戶機 client1 的網卡IP地址.

網絡網關設置
----------------------------------------
1.載入網卡模塊(如果需要的話)

/sbin/modprobe ne2k-pci
(不同網卡的模塊名也不同)

2.激活網卡并配置路由
(在/etc/rc.d/rc.local中加入以下腳本)

/sbin/ifconfig eth0 10.0.0.1 netmask 255.255.255.0 up
/sbin/route add -net 10.0.0.0 netmask 255.255.255.0 eth0
/sbin/route add default gw 0.0.0.0 eth0

3.允許客戶機使用你的網絡。
A. 在 /etc/hosts.allow 的尾部加入以下腳本:

ALL:10.0.0.2
ALL:10.0.0.3

B. 在其他需要配置的地方加入所需配置：
i. 因為速度的原因我建議使用squid作ftp/http的proxy.

網絡客戶機設置 ( 10.0.0.2 client0 )
----------------------------------------
1.載入網卡模塊(如果需要的話)

/sbin/modprobe ne2k-pci

2.激活網卡并配置路由
(在/etc/rc.d/rc.local中加入以下腳本)

/sbin/ifconfig eth0 10.0.0.2 netmask 255.255.255.0 up
/sbin/route add -net 10.0.0.0 netmask 255.255.255.0 eth0
/sbin/route add default gw 10.0.0.1 eth0

網絡測試
----------------------------------------
1. 從客戶機 ping 10.0.0.1 ，并反向測試。

2. 使用 /sbin/ifconfig 來觀察包傳輸情況。

3. 此時你應該能從客戶機使用服務器的telnet/ftp服務。
A. 如果你在客戶機上不能telnet到服務器，請檢查 hosts.allow文件.

IP MASQ GATEWAY IP MASQ SETUP

IP偽裝網關設置
----------------------------------------
1. IP轉發設置(IP forwarding setup).
A. 為IP偽裝網關加載IP轉發。

echo "1" > proc/sys/net/ipv4/ip_forward
B.在每次機子啟動時加載IP轉發:
i.在RedHat中如下修改 /etc/sysconfig/network

FORWARD_IPV4=true

ii.在其他版本中在 /etc/rc.d/rc.local 的結尾加入：

echo "1" > proc/sys/net/ipv4/ip_forward
C.確保你的rc.local文件中沒有如下內容：

echo "1" > /proc/sys/net/ipv4/tcp_syncookies

2.現在設置路由。 把以下內容加入到 rc.local中，讓機子啟動時自動裝載。
A.在默認狀況下拒絕所有 ip 轉發。

/sbin/ipchains -P forward DENY

B. 允許你的子網計算機 (10.0.0.2 和 10.0.0.3)使用ip轉發。

/sbin/ipchains -A forward -s 10.0.0.2/24 -j MASQ
/sbin/ipchains -A forward -s 10.0.0.3/24 -j MASQ

C.增加你需要的偽裝模塊。

/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user
/sbin/modprobe ip_masq_raudio
...

--------------------------------------------------------------------------------

只要按以上步驟，網絡應該能配置好。我遇到的一個問題是設置好了我的IP偽裝后，客戶機只能通過IP地址訪問互聯網，此時你應該在/etc/resolv.conf中設置好你的DNS，并且讓named守護程序運行，問題就解決。

好了，現在你的網絡就弄好了。如你想了解更多有關IP偽裝和防火墻的知識，參見HOWTO文檔：

原文轉自：http://www.kjueaiud.com