文章详情

  • 游戏榜单
  • 软件榜单
关闭导航
热搜榜
热门下载
热门标签
php爱好者> php文档>如何配置Linux中的IP Masq防火墙

如何配置Linux中的IP Masq防火墙

时间:2007-02-17  来源:PHP爱好者

本文向读者介绍如何使用Linux下的IP Masquerade(简称IP Masq)防火墙功能。使用IP Masq可以实现NAT功能,这是网络防火墙的主要功能之一,用于中小型企、事业单位、居民生活小区通过单个注册的IP实现共享上网服务,特别是随着宽带网的普及,大量的用户需要使用Internet,为了解决IP地址短缺问题,使用Linux下的IP Masq是一种较理想的解决方案。要实现Linux下的IP Masq需要解决两个问题,即网络双网卡的正确安装和IP Masq的正确设置。

一、 Linux下双网卡的正确安装

1.设备环境
① IBM兼容PC机一台,IDE硬盘一块。
② Turbo Linux操作系统6.0。
③ 3Com ISA以太网卡3C509B-TPO两块。
2.安装过程
① 在DOS系统下,使用3C509B网卡驱动程序中所带3c5x9cfg.exe调试程序配置、测试两块3Com ISA网卡参数(主要是IRQ中断号和I/O内存地址),保证两块网卡能够正常运行。
② 在计算机系统中,安装Turbo Linux操作系统,配置第一块网卡(IO=0x300),系统自动缺省识别网卡IOBASE=0x300,使用ping命令测试网卡状态。
③ 为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息; 而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在“conf.modules”文件中进行相应的配置。
④ 安装第二块网卡,在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“/etc/lilo.conf”文件,增加如下内容:ether=10,0x320,0,0,eth1。
前四个参数是数字,最后一个参数是设备的名称。所有的数字变量都可以自由选择,如果用户忽略或是设置成0,那么核心会自动检测该设备的参数变量或使用默认值。第一个参数代表分配给设备的中断请求通道,默认情况下核心会自动检测设备的IRQ通道; 第二个参数变量用来指定设备的基本I/O地址,同样,如果这里是0,就意味着核心会自动检测该设备的I/O地址;剩下的两个参数变量对于不同的设备有不同的含义,对于共享内存的网卡,它们用来定义共享内存区域的起始点和结束点,对于其他网卡来说,它们使用第一个参数来设置信息的调试等级,数字1到7代表调试等级逐渐增加,而数字8表示关闭信息调试,0表示使用默认值。
⑤ 重新启动机器。
⑥ 通过Turbonetcfg增加eth1,并配置该网卡网络参数,如IP地址、网关等。
⑦ 重新启动机器,使用ping命令测试网卡状态。
⑧ 通过Ifconfig命令显示Interface接口状态。

二、 IP Masq的正确设置 

1.检查Linux 系统内核是否支持IP Masq
检查Linux系统内核是否支持IP Masquerade。如果你手中的Linux版本支持如下特征:
IPFWADM/IPCHAINS、IP forwarding 、IP masquerading 、IP Firewalling
则你不需要重新编译Linux内核,如果你不太确信,可运行如下命令进行测试检查:
# ls /proc/sys/net/ipv4
如果如下文件存在,则Linux已支持IP Masquerade:“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”。
2.为内网分配私网IP地址
私网地址用于企业内部基于TCP/IP技术的联网需要,它由The Internet Assigned Numbers Authority (IANA)分配,笔者采用了以下地址: 192.168.0.0/24。
3.创建文件 /etc/rc.d/rc.firewall,编辑管理规则
# rc.firewall - Initial SIMPLE IP Masquerade test for 2.1.x and 2.2.x kernels
# FORWARD_IPV4=true
echo “1” > /proc/sys/net/ipv4/ip_forward
#CRITICAL: Enable automatic IP defragmenting since it is disabled by default
# in 2.2.x kernels. This used to be a compile-time option but the behavior was changed in 2.2.12
echo “1” > /proc/sys/net/ipv4/ip_always_defrag
# MASQ timeouts 2 hrs timeout for TCP session timeouts
# 10 sec timeout for traffic after the TCP/IP “FIN” packet is received
# 160 sec timeout for UDP traffic (Important for Masq 'ed ICQ users)
/sbin/ipchains -M -S 7200 10 160
# Enable simple IP forwarding and Masquerading
/sbin/ipchains -P forward DENY
/sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ
*注释 interface eth0为公网IP地址(Registered IP Address);
编辑/etc/rc.d/rc.firewall文件的规则后,改变其文件权限为可执行如下命令:# chmod 700 /etc/rc.d/rc.firewall。
4.将Firewall加载到启动脚本中
当Firewall规则指定完毕后,需要重新启动计算机系统。你可以手工运行,也可以在系统中修改系统启动脚本使其自动执行。
手动的方式是在系统命令提示符下,执行如下命令:#/etc/rc.d/rc.firewall。
编辑启动脚本的方法是在/etc/rc.d/init.d文件中增加如下内容:/etc/rc.d/rc.firewall。
运行IP Masq后,使用ping命令测试NAT的网络功能,检查IP Masq是否正常运行。
下面是Linux IP Masq正常运行后的系统路由表。

Eestination
php爱好者站 http://www.phpfans.net PHP|MySQL|javascript|ajax|html.
相关阅读 更多 +
排行榜 更多 +
辰域智控app

辰域智控app

系统工具 下载
网医联盟app

网医联盟app

运动健身 下载
汇丰汇选App

汇丰汇选App

金融理财 下载