Ipfwadm 已經(jīng)無法在 2.2.x 版的核心中處理 IP 封包的偽裝規(guī)則，請改用   ipchains。   ipchains -P forward DENYipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ   其中 x 視你的子網(wǎng)路而定，為下列數(shù)字之一，而 yyy.yyy.yyy.yyy 則是你的網(wǎng)   路位址。   netmask         | x  | Subnet~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~255.0.0.0       | 8  | Class A255.255.0.0     | 16 | Class B255.255.255.0   | 24 | Class C255.255.255.255 | 32 | Point-to-point   你也可以使用這種格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx, 其中   xxx.xxx.xxx.xxx 指定你的子網(wǎng)路遮罩，如 255.255.255.0。      例如，如果我是在一個 class C 子網(wǎng)路上，我得輸入:   ipchains -P forward DENYipchains -A forward -s 192.168.1.0/24 -j MASQ   或   ipchains -P forward DENYipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ   你也可以分別對每臺機器設定。 例如，如果我想讓 192.168.1.2 及   192.168.1.8 能夠存取網(wǎng)際網(wǎng)路，但不允許其它機器使用的話，我得輸入:   ipchains -P forward DENYipchains -A forward -s 192.168.1.2/32 -j MASQipchains -A forward -s 192.168.1.8/32 -j MASQ   不要把你的預設方式(policy)定為偽裝(masquerading) － 否則可以操控他們的   遞送路徑(routing) 的人將能夠直接穿過(tunnel)你的閘道，以此偽裝他們的身   分!      同樣地，你可以把這些加入 /etc/rc.d/rc.local 檔案，任何一個你比較喜歡的   rc 檔案，或是在每次你需要 IP Masquerade 時手動執(zhí)行之。      關於 ipchains 的詳細使用方法，請參考 [44]Linux IPCHAINS HOWTO     Linux 2.0.x 核心  ipfwadm -F -p denyipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0   或   ipfwadm -F -p denyipfwadm -F -a masquerade -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0   其中 x 視你的子網(wǎng)路而定，為下列數(shù)字之一，而 yyy.yyy.yyy.yyy 則是你的網(wǎng)   路位址。   netmask         | x  | Subnet~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~255.0.0.0       | 8  | Class A255.255.0.0     | 16 | Class B255.255.255.0   | 24 | Class C255.255.255.255 | 32 | Point-to-point   你也可以使用這種格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx, 其中   xxx.xxx.xxx.xxx 指定你的子網(wǎng)路遮罩，如 255.255.255.0。      例如，如果我是在一個 class C 子網(wǎng)路上，我得輸入:   ipfwadm -F -p denyipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0   因為 bootp 請求封包沒有合法的 IP's ，客戶端并不知道它的位址，對於在偽   裝/防火墻上執(zhí)行 bootp 伺服器的人必須在 deny 之前執(zhí)行下列指令:   ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp   你也可以分別對每臺機器設定。 例如，如果我想讓 192.168.1.2 及   192.168.1.8 能夠存取網(wǎng)際網(wǎng)路，但不允許其它機器使用的話，我得輸入:   ipfwadm -F -p denyipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0   常見的錯誤是像這樣的第一行指令ipfwadm -F -p masquerade   不要把你的預設方式(policy)定為偽裝(masquerading) － 否則可以操控他們的   遞送路徑(routing) 的人將能夠直接穿過(tunnel)你的閘道，以此偽裝他們的身   分!      同樣地，你可以把這些加入 /etc/rc.d/rc.local 檔案，任何一個你比較喜歡的   rc 檔案，或是在每次你需要 IP Masquerade 時手動執(zhí)行之。      請閱讀 4.4 節(jié)有關 Ipfwadm 的詳細指引。   3.5 測試 IP Masquerade   在這些工作完成後，現(xiàn)在是試試看的時候了。確定你的 Linux 主機到網(wǎng)際網(wǎng)路的   連線是通的。      你可以在其它機器上試著瀏覽一些'網(wǎng)際網(wǎng)路!!!' 上的網(wǎng)頁，看是否能見到。我   建議第一次嘗試時使用 IP 位址而不要用主機名稱，因為你的 DNS 設定有可能并   不正確。      例如，你可以使用 [45]http://152.19.254.81/mdw/linux.html 來存取 Linux   文件計畫網(wǎng)頁 http://metalab.unc.edu/mdw/linux.html      如果你看見 The Linux Documentation Project 的字樣，那麼恭喜! 它可以運作   了! 接著你可以使用主機名稱試試看，然後是 telnet, ftp, RealAudio, True   Speech，以及任何 IP Masquerade 支援的東西。      到目前為止，我還不曾在上面的設定上發(fā)生過問題，而那些花下時間讓這個絕妙   功能運作的人完全同意這些設定。   4. 其它 IP Masquerade 的問題及軟體支援4.1 IP Masquerade 的問題   某些協(xié)定現(xiàn)在無法配合 masquerading 使用，因為它們不是假設有關埠號的一些   事情，就是在位址及埠號的資料流里編碼資料 － 後面這些協(xié)定需要在   masquerading 程式碼里建立特定的代理程式使它們能運作。   4.2 進入系統(tǒng)的服務(incoming services)   Masquerading 完全不能處理外界的服務請求 (incoming services)。 只有極少   方法能允許它們，但這完全與 masquerading 無關，而且實在是標準的防火墻方   式。      如果你并不要求高度的安全性那麼你可以簡單地重導(redirect)這些埠。 有幾種   不同的方法可以做這件事 － 我使用一只修改過的 redir 程式(我希望這只程式   很快就能從 sunsite 及其 mirrors 取得)。 如果你希望能夠?qū)ν饨邕M入系統(tǒng)的   服務請求有某種程度的身分驗認(authorisation) 那麼你可以在 redir 的頂   層(0.7 or above) 使用 TCP wrappers 或是 Xinetd 來允許特定 IP 位址通過，   或使用其它的工具。TIS 防火墻工具集是尋找工具及資訊的好地方。      更多的詳節(jié)可在 [46]IP Masquerade Resource 找到。      將會加上一小節(jié)更多關於轉(zhuǎn)送服務的的資訊。   4.3 已支援的客戶端軟體以及其它設定方面的注意事項     ** 下面的列表將不再被維護了。可經(jīng)由 Linux IP masquerading 運作的應用     程式請參考 [47]這里 和 [48]IP Masquerade Resource 以取得進一步的細節(jié)     。 **        一般說來，使用傳輸控制協(xié)定(TCP) 或是使用者定義資料協(xié)定 (UDP)的應用程式   應該都能運作。 如果你有任何關於應用程式與 IP Masquerade 相容的建議，提   示或問題，請拜訪由 Lee Nevo 維護的 [49]可與 Linux IP masquerading 運作   的應用程式 網(wǎng)頁。     可以使用的客戶端軟體     一般客戶端軟體      HTTP          所有有支援的平臺，瀏覽網(wǎng)頁             POP & SMTP          所有有支援的平臺，電子郵件軟體             Telnet          所有有支援的平臺，遠端簽入作業(yè)             FTP          所有有支援的平臺，配合 ip_masq_ftp.o 模組(不是所有站臺都能配合各          種客戶端軟體；例如某些不能使用 ws_ftp32 觸及的站臺卻能使用          netscape 進入)             Archie          所有有支援的平臺，檔案搜尋軟體(并非所有 archie 客戶端軟體都支          援)             NNTP (USENET)          所有有支援的平臺，網(wǎng)路新聞軟體             VRML          Windows (可能所有有支援的平臺都可以)，虛擬實境瀏覽             traceroute          主要是 UNIX 系列的平臺，某些變種可能無法運作             ping          所有平臺，配合 ICMP 修補檔             anything based on IRC          所有有支援的平臺，配合 ip_masq_irc.o 模組             Gopher client          所有有支援的平臺             WAIS client          所有有支援的平臺             多媒體客戶端軟體      Real Audio Player          Windows, 網(wǎng)路資料流音訊，配合載入 ip_masq_raudio 模組             True Speech Player 1.1b          Windows, 網(wǎng)路資料流音訊             Internet Wave Player          Windows, 網(wǎng)路資料流音訊             Worlds Chat 0.9a          Windows, 客戶－伺服端立體交談(3D chat) 程式             Alpha Worlds          Windows, Windows, 客戶－伺服端立體交談(3D chat) 程式             Powwow          Windows, 點對點文字聲音白板通訊，如果你呼叫別人，人們可以與你交          談，但是他們不能呼叫你。             CU-SeeMe          所有有支援的平臺，配合載入 cuseeme 模組，詳細細節(jié)請參 閱 [50]IP          Masquerade Resource             VDOLive          Windows, 配合 vdolive 修補檔             注意: 即使不是由你呼叫別人，使用 ipautofw 套件某些客戶端軟體像是   IPhone 以及 Powwow 可能還是可以運作(參閱 4.6 節(jié))      其它客戶端軟體      NCSA Telnet 2.3.08          DOS, 包含 telnet, ftp, ping 等等的一組套件。             PC-anywhere for windows 2.0          MS-Windows, 經(jīng)由 TCP/IP 遠端遙控 PC ，只有在作為客戶端而非主機端          的情形下才能運作             Socket Watch          使用 ntp － 網(wǎng)路時間協(xié)定             Linux net-acct package          Linux, 網(wǎng)路帳號管理套件            無法使用的客戶端軟體     Intel Internet Phone Beta 2          可以連上但聲音只能單向(往外)傳送             Intel Streaming Media Viewer Beta 1          無法連上伺服器             Netscape CoolTalk          無法連接對方             talk,ntalk          這將不會運作 － 需要撰寫一份核心代理程式。             WebPhone          目前無法運作(它做了不合法的位址假設)。             X          沒有測試過，但我想除非有人建立一套 X 代理程式否則它無法運作，這          可能是 masquerading 程式碼之外的一個外部程式。一個讓它運作的方式          是使用 ssh 作為鏈結(jié)并且使用其內(nèi)部的 X 代理功能來執(zhí)行!            已測試過可以作為其它機器的平臺/作業(yè)系統(tǒng)       * Linux     * Solaris     * Windows 95     * Windows NT (both workstation and server)     * Windows For Workgroup 3.11 (with TCP/IP package)     * Windows 3.1 (with Chameleon package)     * Novel 4.01 Server     * OS/2 (including Warp v3)     * Macintosh OS (with MacTCP or Open Transport)     * DOS (with NCSA Telnet package, DOS Trumpet works partially)     * Amiga (with AmiTCP or AS225-stack)     * VAX Stations 3520 and 3100 with UCX (TCP/IP stack for VMS)     * Alpha/AXP with Linux/Redhat     * SCO Openserver (v3.2.4.2 and 5)     * IBM RS/6000 running AIX          基本上，所有支援 TCP/IP 而且允許你指定匣道器/路由器(gateway/router)的作   業(yè)系統(tǒng)都應該能和 IP Masquerade 一起工作。   4.4 IP 防火墻管理 (ipfwadm)   這一節(jié)提供關於 ipfwadm 更深入的使用指引。