由 jerboa 在 10-19-2002 10:17 发表:
RH8.0下让小局网内的同事上网
自己用宽带上网时间多了,同事们叫嚷着也要上,一直偷懒没有给弄,
今天闲下来,试了试,结果成功了,拿出来博大家一笑。
实际上我想说明的是:用LINUX很简单,不是想象的那么难。好了,说了一下网络结构:
机器原先有一块网卡,是intel EtherExpress Pro 100B的,现在加了一块网卡,是3Com 3C905B TX Fast Etherlink XL PCI卡。
网是用ADSL上网,我不用拨号软件,如PPPOE。路由猫一开电源就自动上网。因此intel卡接ADSL路由猫,网卡地址用DHCP;3Com的设地址为192.168.0.1,找了个八口HUB,接在HUB上。其它接HUB的机器设置地址为:192.168.0.*,网关指向192.168.0.1,DNS设为当地电信部门给的DNS。余下的就是设置RH8.0了。我只用了两条语句,在/etc/rc.d/rc.local中加入如下:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MSQUERADE
重启机器或重起服务即可。因为带的机器不多,也就懒得用代理软件及squid了。:-)
由 yujian715 在 10-19-2002 10:47 发表:
它能带动几台机子呢?
由 jerboa 在 10-19-2002 11:17 发表:
我看了有人用这种方法在网吧里带80-100台机器。不过我没试过。:-(
感觉机器多了最好加上squid。
由 北南南北 在 10-19-2002 14:20 发表:
good idea.....这个方法简单,易用,也得试一下。呵。。。如果有两三个机器,做浩大的工程,也有点大材小用。
===========================
请弟兄们发帖时要写个好标题,多谢!
===========================
每天以1000KM/H的速度在跑,感觉还是时间不够:(
“西学东渐,洋为中用” + 创造 = ?
linux ppc
由 skylove 在 10-19-2002 16:04 发表:
请教
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MSQUERADE
最后 MSQUERADE 这个参数加起来有什么作用的呢?
由 jerboa 在 10-19-2002 18:50 发表:
MSQUERADE
它表示允许数据包通过,同时实现数据包的IP伪装功能。
由 skylove 在 10-19-2002 20:57 发表:
谢谢~
明白了,多谢
由 百战银狼 在 10-19-2002 21:38 发表:
你这酷啊,我把这个帖子加到收藏夹拉。
哇哇,佩服.....再回头看才知道是你
由 百战银狼 在 10-19-2002 21:39 发表:
squid是linux的代理软件吗?
由 北南南北 在 10-20-2002 01:56 发表:
这个是不是支持内置拔号的?如果不支持路由的猫,也就是说ADSL必须用pppoe或者在windows下面设置拔号的的乙太口的猫。我们还能用这种方法吗?
===========================
请弟兄们发帖时要写个好标题,多谢!
===========================
每天以1000KM/H的速度在跑,感觉还是时间不够:(
“西学东渐,洋为中用” + 创造 = ?
linux ppc
由 jerboa 在 10-20-2002 09:08 发表:
如果是ADSL拨号上的话,可以改为这样:
echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
这样只要用PPPOE上去的话,其它人也能上了。
由 skylove 在 10-20-2002 09:25 发表:
想让其他机器上网的iptable命令的实质就是——允许其他 机器通过(我)机器的某个(可连到网络)的设备这样。。。
所以用网卡出去的连eth0,用拨号设备的连ppp0,。。。。以此类推
是这样理解的吧?
由 jerboa 在 10-20-2002 10:32 发表:
是的。
为了进一步说明问题转贴文章如下:
Linux 2.4 内核中的iptables 新增功能指南
一 本文目的
本文主要是探讨 Linux 2.4 内核中的iptables 的各种新增功能和使用方法,如何有效地使用这些新增的功能设置企业的防火墙规则,举例说明了新增功能在企业中的应用。
二 操作环境
Redhat Linux 7.1自带的模块化内核,专线连接互联网,两块网卡的防火墙,内部网段为
10.0.0.0/255.255.255.0, 防火墙外部网卡接口地址为1.2.3.4。
三 iptables与ipchains的不同之处
1. 内置规则的重新定义,简单化规则管理Linux 内核中内置的INPUT,OUTPUT,FORWARD规则在新的iptables中,任何一个包仅仅只
在这三个规则中的任何一个上应用,或者被INPUT规则击中,或者被FORWARD规则或者OUTPUT规则击中,不象在ipchains中任何一个包如果是穿过这台防火墙总要同时击中三个规则。
为了说明这种改变,看下图。 (图一)
Incoming / Outgoing
-->[Routing ]--->|FORWARD|------->
[Decision] _____/ ^
| |
v ____
___ /
/ Linux防火墙 |OUTPUT|
|INPUT| ____/
___/ ^
| |
----> Local Process ----
a. 首先,当一个包进来的时候,也就是从以太网卡进入防火墙,内核首先根据路由表决定包的目标。
b. 如果目标主机就是本机,则如上图直接进入INPUT链,再由本地正在等待该包的进程接收,结束。
c. 否则,如果从以太网卡进来的包目标不是本机,再看是否内核允许转发包(可用echo 1> /proc/sys/net/ipv4/ip_forward 打开转发功能)如果不允许转发,则包被DROP掉,如果允许转发,则送出本机,结束。这当中决不经过INPUT或者OUTPUT链,因为路由后的目标不是本机,只被转发规则应用
d. 最后,该linux防火墙主机本身能够产生包,这种包只经过OUTPUT链出去。
注意: echo 1 > /proc/sys/net/ipv4/ip_forward 和 FORWARD 链的区别
前者的意思是是否打开内核的转发功能,后者是转发链规则只有内核打开转发功能,一个包才可能被送到转发链上去逐项检查规则。
如果一台防火墙没有打开前者的IP转发功能,则根防火墙相连的两边的网络是完全隔离的,如果是一端连到internet上,则只能通过代理防问internet,不可能通过IP伪装的方式防问
这样,任何一个包只可能应用INPUT/OUTPUT/FORWARD中的一个规则,这种巨大的改进同时也简单化了防火墙规则管理。
2. iptables 是有状态的(stateful)。
有状态的意思是指如果一个包是对从防火墙原先发出去的包的回复,则自动不用检查任何规则就立即允许回复包进入并返回给请求者,这样我们不用设置许多规则定义就可实现应有的功能,在新的内核中使用这种有状态的能力是强烈地被推荐的,那么如何打开并使用这种功能呢? 见下图。 (图二)
我们假定某公司有如下图所示的典型的internet连接方案:
10.0.0.2 | |
|PC | (10.0.0.1)eth1| |eth0(1.2.3.4)
B|__| ___________________|防火墙 |---------Internet
(LAN: 10.0.0.0/24) | A |
|_______|
可使用下面的规则集使用iptables的有状态的能力并打开IP伪装功能。
1 modprobe ip_tables
2 echo 1 > /proc/sys/net/ipv4/ip_forward
3 iptables -F INPUT
4 iptables -F FORWARD
5 iptables -F POSTROUTING -t nat
6 iptables -P FORWARD DROP
7 iptables -A FORWARD -s 10.0.0.0/24 -j ACCEPT
8 iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j
ACCEPT
9 iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE
10 iptables -A INPUT -p tcp -i eth0 --syn --dport 80 -j ACCEPT
11 iptables -A INPUT -p tcp -i eth0 --syn -j DROP
注:
1. 当使用redhat 的模块化内核时,装入ip_tables模块后,以后的命令将根据需要自行装入需要的模块。
另外注意,如果你装入了ipchains或者ipfwadm模块,则不能再装入iptables模块,可用rmmod命令移走它 们再装入iptables模块。在redhat下,可用ntsysv移走ipchains和iptables标记重启后运行上面的命令。
或者放入/etc/rc.d/rc.local中自动运行。
2. 第二行打开IP转发功能。
3. 第三四五行清除INPUT,FORWARD和POSTROUTING键规则
4. 第六行设置默认转发策略是DROP,当一个包被转发转则应用但不能应用到任何一条转发规则上则应用默认 规则。
5. 第七行转发本网段的机器到任何地方去的包。
6. 第八行利用了有状态的能力,只要是对先前从防火墙外部接口出去的请求包的回复,允许。
ESTABLISHED是指TCP连接,RELATED是指象主动FTP,ICMP ping请求等,当回复包到达时,实际上是检查文 件 /proc/net/ip_conntrack看是否在里面,如果在表中,则不检查任何链,包允许通过。
7. 第九行打开IP伪装能力,从eth0出去的包被重写源地址后伪装出去,是源地址SNAT的特例。这里要注意的是 -o eth0, 而不是 -i eth0,在iptables中,从一个接口出去的包用 -o,进来的包用 -i
8. 第十行说明如果这台防火墙也是WEB服务器,则允许外部的新建立的请求且目标端口为80的包可以进入
9. 第十一行对不是目标端口是80的所求TCP新的连接请求包,拒绝进入。
注: NAT 与 FORWARD 链的关系
a. 不管执行任何NAT,对包过滤规则看到的源和目的地址是真实的源和目的地址,尽管在执行IP伪装(DNAT)时 会对包进行地址重写,这一点你可以从文件
/proc/net/ip_conntrack中看到。
b. 如果我们没有利用iptables的有状态的能力,象上面的情况,要是允许网段
10.0.0.0/24中的机器可以IP伪装的话,我们不得不加上一条转发规则 iptables -A FORWARD -d 10.0.0.0/24 -j ACCEPT,否则对伪装包的回复不会通过转发链回复给内部机器,因为回复包需要通过转发链。
注: 如何证明仅仅一个规则链被应用了?
在以前的ipchains中一个包要经过input,forward,output链才能从防火墙送出到
internet,现在使用iptables,仅仅一个链被应用,你可以加入下面的规则测试
iptables -A INPUT -s 10.0.0.2/24 -j DROP
上面的这行在iptables中仅仅是指任何本网段的机器当目标就是防火墙时被拒绝,但绝不影响NAT和转发包,
这在以前的ipchains中是不可能的。
3. 透明代理和端口转发功能的轻松实现
a. 端口转发