|
现在正值校园网改造, 许多教研组都接入了校园网, 但有个常见的问题是IP地址不够,
这时用Linux的IP-Masquerade技术很不错. 可以实现子网内没有合法IP的机器透明
访问Internet(FTP/HTTP/Email等). 许多地方已经在用Linux做IP-Masq了, 我写这篇
文章主要是向一些还不太熟悉的同志介绍一下. 装好了Linux, 可以当router, DNS/FTP
/HTTP/Email/telnet/xdm... Server, 而对机器配置的要求很低, 还算是个"性价比"
高的解决方案吧 :-)
一般来说进入屋内的就是Hub/Switch上出来的一根网线, 接入方法大致有两种:
(1) 网线接router机器的网卡上,采用路由方法将局域网连入校园网, 这样屋内的局域
网与外面是隔离的
(2) 网线接Hub上, 采用Hub级连方式连入校园网, 这样屋内的局域网并入外面的子网
1. 通过Linux Router连入校园网
装一台有两块网卡的机器(486/586都行), 装Linux做router, 跑IP-Masquerade.
这种接入方法有firewall的功能, 外面的机器无法直接访问屋内子网. 推荐使用
RedHat Linux(下面的示范用RedHat), 安装配置简单, 易学易用. 关于Linux的
获取,安装请参见Linux版相关文章. 装好后进行以下配置:
首先当然要Linux Kernel能找到两块网卡了, 一般在/etc/lilo.conf中加上这么一句
append="ether=irq,io,eth1" 就可以找到第二块网卡了(irq,io填网卡的IRQ,IO,
若填0,0可以自动测试). 另外好多PCI的网卡kernel都能自动测到, 无需加内核参数.
然后运行lilo更新一下LILO就可以重起试验了.
接下来就是配IP地址和网关等东西:
/etc/sysconfig/network 下面是设gateway的地方,
NETWORKING=yes
FORWARD_IPV4=yes
HOSTNAME=host.your.domain.name
DOMAINNAME=your.domain.name
GATEWAYDEV=eth0
GATEWAY=166.111.68.1(for example)
GATEWAYDEV是指可以上 Internet那块网卡, GATEWAY是指你们的网关
/etc/sysconfig/network-scripts/
下面有针对每块网卡的配置文件
ifcfg-lo, ifcfg-eh0, ifcfg-eth1
里面可以设你的IP地址, 广播地址, 网络号等, 设对了之后系统boot时就会自动建立正确
的静态路由表. 一般一块网卡接外面校园网, 有合法的IP地址, 另一块网卡接内部的
Intranet, 使用192.168等内部IP地址. 举个例子, 对外的eth0网卡地址为166.111.68.x,
对内设为192.168.1.1(eth1), 并给子网内的机器分配192.168.x.x的伪IP地址, 将它们的
gateway设为192.168.1.1就行了
然后就是要建立IP-Masquerade了, 这几句可以加在/etc/rc.d/rc.local的最后
echo "Starting IP-Masquerade service: ipfwadm"
ipfwadm -F -p deny 缺省不进行IP包的forward
ipfwadm -F -a m -S 192.168.0.0/16 -D 0.0.0.0/0
对192.168子网进行NAT(Network Address Translation)
insmod ip_masq_ftp 加入ftp模块, 使子网能够透明访问外面的ftp
这样就行了, Linux对192.168.0.0子网上的IP包会自动进行IP地址转换操作, 具体说就
是在192.168.x.x往外发IP包时Linux kernel自动将source IP替换为Linux的valid IP,
并选一个新的source port, 这个source port就对应了原来的机器, kernel会造一个
masquerade表. 而等到对方的机器回应后Linux机器根据返回IP包的port查masquerade
表找出源机器, 然后将该包送回给子网内的机器, 这样就实现了子网内的假IP地址对外
面Internet的透明访问. 现在Linux的IP-Masquerade已经实现了TCP,UDP和ICMP的
masquerade.
这样做的缺陷是所有连接应该由子网内首先发起, 因为由外面的机器发起的连接无法访
问子网内的机器. 因此在一些服务上可能有问题, 如ftp, 而这就要通过相应的module
来实现,insmod ip_masq_ftp加入ftp module模块后就可以实现ftp访问了, 这是通过检
测IP包来自动替换相应协议的某些地址来实现的. 类似的module还有ip_masq_irc.o,
ip_masq_raudio.o等, 都是针对相应协议的.
这种方式比用proxy的好处在于它是"透明"地访问外面的Internet, 无需对子网内机器
进行什么特别设置(就是设一下gateway/DNS就行了), 可以省出Netscape/IE等的proxy
地方. 假如还要进行计费的话, 可以去找
[1] [2] 下一页
|
