Linux IP Masquerade mini HOWTO 中譯版                                       作者: Ambrose Au, [1]ambrose@writeme.com;David Ranch, [2]dranch@trinnet.net譯者: [3]黃志偉 [4]cwhuang@linux.org.tw   v1.50, 7 February 1999 翻譯日期: 17-31 March 1999     _________________________________________________________________      這份文件描述如何在一臺 Linux 主機(jī)上起動 IP Masquerade 功能，允許沒有注   冊網(wǎng)際網(wǎng)路 IP 位址的連線電腦經(jīng)由你的 Linux 機(jī)器連接網(wǎng)際網(wǎng)路。     _________________________________________________________________   1. 簡介     * 1.1 簡介     * 1.2 前言，回饋 & 參考資訊     * 1.3 版權(quán) & 宣告       2. 背景知識     * 2.1 什麼是 IP Masquerade?     * 2.2 現(xiàn)況     * 2.3 誰可以從 IP Masquerade 中獲益?     * 2.4 誰不需要 IP Masquerade?     * 2.5 IP Masquerade 是如何運(yùn)作的?     * 2.6 在 Linux 2.2.x 上使用 IP Masquerade 的需求     * 2.7 在 Linux 2.0.x 上使用 IP Masquerade 的需求       3. IP Masquerade 的設(shè)定     * 3.1 編譯核心加入 IP Masquerade 的支援     * 3.2 指定私用網(wǎng)路的 IP 位址     * 3.3 配置其它機(jī)器     * 3.4 配置 IP 轉(zhuǎn)送(Forwarding)的方式     * 3.5 測試 IP Masquerade       4. 其它 IP Masquerade 的問題及軟體支援     * 4.1 IP Masquerade 的問題     * 4.2 進(jìn)入系統(tǒng)的服務(wù)(incoming services)     * 4.3 已支援的客戶端軟體以及其它設(shè)定方面的注意事項     * 4.4 IP 防火墻管理 (ipfwadm)      * 4.5 IP 防火墻鏈 (ipchains)     * 4.6 IP Masquerade 以及需求式撥接(Demand-Dial-Up)     * 4.7 IPautofw 封包轉(zhuǎn)送程式     * 4.8 CU-SeeMe 與 Linux IP-Masquerade 的簡短說明     * 4.9 其它相關(guān)工具       5. 常見問題解答     * 5.1 IP Masquerade 能否和動態(tài)配置的 IP 共同運(yùn)作?     * 5.2 我能使用數(shù)據(jù)機(jī)，DSL, 衛(wèi)星連線等來連接網(wǎng)際網(wǎng)路并使用 IP       Masquerade 嗎?     * 5.3 IP Masquerade 支援什麼應(yīng)用程式?     * 5.4 我如何在 Redhat, Debian, Slackware 等使用 IP Masquerade 呢?     * 5.5 我升級到 2.2.x 的核心，為什麼 IP Masquerade 不能用了?     * 5.6 我已經(jīng)升級到 2.0.30 後的核心，為什麼 IP Masquerade 還不能用?     * 5.7 我無法讓 IP Masquerade 運(yùn)作! 有 Windows 平臺的選擇嗎?     * 5.8 我檢查過我所有的設(shè)定了，仍無法讓 IP Masquerade 工作。我該怎麼       辦?     * 5.9 我如何加入 IP Masquerade 通信論壇?     * 5.10 我想?yún)f(xié)助 IP Masquerade 的發(fā)展。我該怎麼做?     * 5.11 在那里可找到更多 IP Masquerade 的資訊?     * 5.12 我想翻譯本文件成其它語言，我該怎麼做?     * 5.13 這文件有點(diǎn)過時了，你還有在維護(hù)嗎?     * 5.14 我終於讓 IP Masquerade 能動了，好棒! 我想謝謝你們，我該怎麼       做?       6. 其它     * 6.1 有用的資源     * 6.2 Linux IP Masquerade 資源     * 6.3 感謝     * 6.4 參考資料     _________________________________________________________________   1. 簡介1.1 簡介   這份文件描述如何在一臺 Linux 主機(jī)上起動 IP Masquerade 功能，允許沒有注   冊網(wǎng)際網(wǎng)路 IP 位址的連線電腦經(jīng)由你的 Linux 機(jī)器連接網(wǎng)際網(wǎng)路。你的機(jī)器可   能是以乙太網(wǎng)路連接 Linux, 也可能是其它種類，像是撥接的點(diǎn)對點(diǎn)(ppp) 連線   。這份文件將會強(qiáng)調(diào)乙太網(wǎng)路連線的情況，因為這應(yīng)該是最常見的案例。        這份文件目的是給 2.2.x 及 2.0.x 穩(wěn)定版核心的使用者參考。舊版的核心如     1.2.x 并不包含在內(nèi)。     1.2 前言，回饋 & 參考資訊   我發(fā)現(xiàn)新手在較新的核心上，像是 2.x 核心，設(shè)定 IP Masquerade 時非常困惑   。雖然有份常見問答集(FAQ) 與通信論壇(mailing list)，然而沒有一份這方面   的專門文件；而且在通信論壇上有些對於這樣一份說明文件(HOWTO) 的請求。所   以，我決定撰寫它給所有新手作為一個起點(diǎn)，并且希望能拋磚引玉，作為那些非   常了解它的使用者建立文件的基礎(chǔ)。如果你認(rèn)為我做的不好，不要在意告訴我，   這樣我能把它做得更好。      這份文件很多是以原先 Ken Eves 的常見問答集以及 IP Masquerade 通信論壇里   許多有幫助的訊息作為基礎(chǔ)。特別感謝 Mr. Matthew Driver 在通信論壇中的訊   息引發(fā)我設(shè)立 IP Masquerade 的靈感以及最後撰寫了這份文件。      如果我的任何資訊有誤或遺漏任何資訊，請別介意把任何回饋或意見寄到   [5]ambrose@writeme.com 及 [6]dranch@trinnet.net 來。你的無價回饋將影響   這份說明文件的未來!      這份說明文件是想作為讓你的 IP Masquerade 能在最短時間內(nèi)運(yùn)作的快速指引。   因為我不是一位專門作家，你可能會發(fā)現(xiàn)本文件的資訊并非如你想的那麼一般及   客觀。 最新的消息以及資訊可以在我所維護(hù)的 [7]IP Masquerade Resource 網(wǎng)   頁上找到。 如果你有任何關(guān)於 IP Masquerade 的技術(shù)問題，請加入 IP   Masquerade 通信論壇而別寄電子郵件給我，因為我的時間有限，而且 IP   Masquerade 的發(fā)展者們更有能力回答你的問題。      這份文件最新的版本可以在 [8]IP Masquerade Resource 上找到，里面也有   HTML 以及 postscript 的版本:     * [9]http://ipmasq.cjb.net/     * [10]http://ipmasq2.cjb.net/     * 請參考 [11]IP Masquerade Resource 映射站臺列表 以找到其它的映射站臺       。       1.3 版權(quán) & 宣告   這份文件版權(quán)屬於 Ambrose Au 1999, 而且是免費(fèi)的文件。你可以在 GNU 的通用   公開授權(quán)方式下散播它。      這份文件中的資訊跟其它內(nèi)容都已經(jīng)盡了我最大的努力。無論如何，IP   Masquerade 是實(shí)驗性的，而且我也可能會犯些錯誤；所以你應(yīng)該自己決定是不是   要照著這份文件中的資訊做。      沒有人會為使用這份文件中的資訊所造成的電腦損壞或其它損失負(fù)責(zé)。也就是說   ，        作者及維護(hù)者不對依照這份文件內(nèi)容動作所造成的損害負(fù)責(zé)。        原文      This document is copyright(c) 1996 Ambrose Au, and it's a free   document. You can redistribute it under the terms of the GNU General   Public License.      The information and other contents in this document are to the best of   my knowledge. However, ip_masq is experimental, and there is chance   that I make mistakes as well; so you should determine if you want to   follow the information in this document.      Nobody is responsible for any damage on your computers and any other   losses by using the information on this document. i.e.        THE AUTHOR AND MAINTAINERS ARE NOT RESPONSIBLE FOR ANY DAMAGES     INCURRED DUE TO ACTIONS TAKEN BASED ON THE INFORMATION IN THIS     DOCUMENT.     2. 背景知識2.1 什麼是 IP Masquerade?   IP Masquerade 是 Linux 的一項網(wǎng)路功能。如果一臺 Linux 主機(jī)使用 IP   Masquerade 功能連線到網(wǎng)際網(wǎng)路上，那麼接上它的電腦（不論是在同一個區(qū)域網(wǎng)   路上或藉由數(shù)據(jù)機(jī)連線）也可以接觸網(wǎng)際網(wǎng)路，即使它們沒有獲得正式指定的   IP 位址。      這使得一些電腦可以隱藏在閘道(gateway) 系統(tǒng)後面存取網(wǎng)際網(wǎng)路而不被發(fā)現(xiàn)，   看起來就像只有這個系統(tǒng)在使用網(wǎng)際網(wǎng)路。突破設(shè)定良好的偽裝(masquerade)系   統(tǒng)之安全防護(hù)應(yīng)該會比突破良好的封包過濾式防火墻(packet filter firewall)   來得更加困難（假設(shè)兩者之中都沒有錯誤）。   2.2 現(xiàn)況   IP Masquerade 已經(jīng)發(fā)展多年而趨於成熟，因此已正式并入 Linux 2.2.x 的核心   中。 從 1.3.x 版的核心開始已經(jīng)內(nèi)建這項支援。許多個人甚至公司正在使用它   ，而有滿意的結(jié)果。      瀏覽網(wǎng)頁以及遠(yuǎn)端簽入(telnet)已經(jīng)有回報表示可以在 IP Masquerade 上運(yùn)作。   檔案傳輸(FTP)，網(wǎng)路交談(IRC) 以及聆聽 Real Audio 現(xiàn)在可以載入某些模組配   合。其它的網(wǎng)路資料流音訊 (streaming audio) 像是 True Speech 以及   Internet Wave 也能運(yùn)作。一些通信論壇中的使用夥伴甚至還嘗試過視訊會議軟   體。 Ping 現(xiàn)在配合新近可以取得的網(wǎng)際網(wǎng)路控制訊息協(xié)定(ICMP)修補(bǔ)檔也能運(yùn)   作。      更完整的支援軟體列表請參考 4.3 節(jié)。      IP Masquerade 在數(shù)種不同的作業(yè)系統(tǒng)及平臺上與 '客戶端機(jī)器' 配合良好。 成   功的案例有使用 Unix, Windows95, Windows NT, Windows for Workgroup   (with TCP/IP package), OS/2, Macintosh System's OS with Mac TCP, Mac   Open Transport, DOS with NCSA Telnet package, VAX, Alpha with Linux, 甚   至 Amiga with AmiTCP 或 AS225-stack 的系統(tǒng)。 這列表還在不斷增加當(dāng)中。重   點(diǎn)就是，只要你的系統(tǒng)使用 TCP/IP 協(xié)定，它就應(yīng)該能和 IP Masquerade 一起工   作。   2.3 誰可以從 IP Masquerade 中獲益?     * 如果你有臺連接網(wǎng)際網(wǎng)路的 Linux 主機(jī)，而且     * 如果你有一些執(zhí)行 TCP/IP 連接到 Linux 機(jī)器的電腦在區(qū)域網(wǎng)路上，以及/       或是     * 如果你的 Linux 主機(jī)有一個以上的數(shù)據(jù)機(jī)并且作為 PPP 或 SLIP 伺服器連       接其它電腦，它們     * 這些其它機(jī)器沒有正式指定的 IP 位址。（這些機(jī)器從這里開始以後就稱為       其它機(jī)器）     * 而且當(dāng)然，如果你希望這些其它機(jī)器不必花額外的費(fèi)用就能連上網(wǎng)際網(wǎng)路       :)       2.4 誰不需要 IP Masquerade?     * 如果你的機(jī)器是單獨(dú)一臺(stand-alone) 連接網(wǎng)際網(wǎng)路的 Linux 主機(jī)，那麼       執(zhí)行 IP Masquerade 沒什麼意義，或者     * 如果你的其它機(jī)器擁有正式指定的 IP 位址，那麼你就不需要 IP       Masquerade     * 而且當(dāng)然，如果你不喜歡免費(fèi)使用(free ride) 這個主意的話。       2.5 IP Masquerade 是如何運(yùn)作的?   節(jié)自 Ken eves 的 IP Masquerade FAQ:  這是大部分簡單的設(shè)定草圖:     SLIP/PPP         +------------+                         +-------------+     to provider      |  Linux     |       SLIP/PPP          | Anybox      |    <---------- modem1|            |modem2 ----------- modem |             |      111.222.333.444 |            |           192.168.1.100 |             |                      +------------+                         +-------------+          上面的草圖中一臺安裝并執(zhí)行 ip_masquerading  的 Linux      機(jī)器使用 modem1 經(jīng)由 SLIP/or/PPP  連接網(wǎng)際網(wǎng)路。它有一個      指定的 IP 位址 111.222.333.444。它設(shè)定 modem2 允許撥接者      簽入并起始 SLIP/or/PPP  連結(jié)。          第二個系統(tǒng)（不必是執(zhí)行 Linux  的系統(tǒng)）撥接進(jìn)入 Linux      機(jī)器并起始 SLIP/or/PPP  連結(jié)。它在網(wǎng)際網(wǎng)路上并沒有指定的      IP  位址所以它使用 192.168.1.100。（參閱下述）          配合 ip_masquerade  及適當(dāng)遞送配置(routing configured)      Anybox  這臺機(jī)器可以跟網(wǎng)際網(wǎng)路交流就如同它真的連在上面般      （除了少數(shù)例外）。  節(jié)錄 Pauline Middelink:      別忘記提到 ANYBOX 應(yīng)該把 Linux  機(jī)器當(dāng)作它的閘道（無論是      預(yù)設(shè)遞送路徑或只是個子網(wǎng)路都沒關(guān)系）。如果 ANYBOX 不能夠      這樣設(shè)， Linux  機(jī)器應(yīng)該為所有要遞送的位址做代理位址解析      析協(xié)定(proxy arp) 服務(wù)，但代理位址解析的設(shè)定超過這份文件      的□圍。  下面節(jié)錄自 comp.os.linux.networking 的一篇布告并且稍加編輯以  符合上述□例的用詞:  。我告訴 ANYBOX 這臺機(jī)器跑 slip 的 linux  機(jī)器是它的閘道。  。當(dāng)一個封包從 ANYBOX 進(jìn)入 linux  機(jī)器時，它會指定新的來源埠    號(source port number)，把它自己的 ip 位址塞入封包的標(biāo)頭并    儲存原來的。然後它將會藉由 SLIP/or/PPP  界面把修改過的封包    送上網(wǎng)際網(wǎng)路。  。當(dāng)一個封包從網(wǎng)際網(wǎng)路來到 linux  機(jī)器時，如果埠號是上面指定    的其中一個，它將會取出原來的埠號以及 ip 位址，把它們放回封    包的標(biāo)頭，并且把封包送往 ANYBOX 。  。送出封包的主機(jī)將永遠(yuǎn)不知道其中的差別。   一個 IP Masquerading 的例子:      下面的圖示是典型的例子:-    +----------+    |          |  Ethernet    | abox     |::::::    |          |2    :192.168.1.x    +----------+     :                     :   +----------+   PPP    +----------+     :  1|  Linux   |   link    |          |     ::::| masq-gate|:::::::::// Internet    | bbox     |::::::   |          |    |          |3    :   +----------+    +----------+     :                     :    +----------+     :    |          |     :    | cbox     |::::::    |          |4    +----------+    <-Internal Network->   在這個例子中我們考慮四臺電腦系統(tǒng)（想必遙遠(yuǎn)的右方還有些東西讓你到網(wǎng)際網(wǎng)   路的 IP 連線能夠連接，以及一些（遠(yuǎn)超過這一頁）在網(wǎng)際網(wǎng)路上你有興趣交換   資訊的東西）。 這個 Linux 系統(tǒng) masq-gate 是 abox, bbox, cbox 內(nèi)部網(wǎng)路機(jī)   器連接網(wǎng)際網(wǎng)路的偽裝閘道。 內(nèi)部網(wǎng)路使用指定的私用(private) 網(wǎng)路位址，在   這個案例中是 class C 網(wǎng)路 192.168.1.0, Linux 機(jī)器擁有位址 192.168.1.1   而其它系統(tǒng)也擁有此網(wǎng)路上的位址。      這三臺機(jī)器 abox, bbox 以及 cbox (它們可以執(zhí)行任何作業(yè)系統(tǒng) － 像是   Windows 95, Macintosh MacTCP 或甚至是另一臺 Linux 機(jī)器，只要它們能了解