如何配置Linux中的IP Masq防火墙?

来源：李伟革郝丽蓉作者：佚名出处：巧巧读书 2006-08-08 进入讨论组

关键词：dos icq ipv4 ip地址 linux

　　本文向读者介绍如何使用Linux下的IP Masquerade（简称IP Masq）防火墙功能。

使用IP Masq可以实现NAT功能，这是网络防火墙的主要功能之一，用于中小型企、事业单位、居民生活小区通过单个注册的IP实现共享上网服务，特别是随着宽带网的普及，大量的用户需要使用Internet，为了解决IP地址短缺问题，使用Linux下的IP Masq是一种较理想的解决方案。要实现Linux下的IP Masq需要解决两个问题，即网络双网卡的正确安装和IP Masq的正确设置。
　　
　　一、 Linux下双网卡的正确安装
　　
　　1．设备环境
　　①IBM兼容PC机一台，IDE硬盘一块。
　　② Turbo Linux操作系统6.0。
　　③ 3Com ISA以太网卡3C509B-TPO两块。
　　2．安装过程
　　① 在DOS系统下，使用3C509B网卡驱动程序中所带3c5x9cfg.exe调试程序配置、测试两块3Com ISA网卡参数（主要是IRQ中断号和I/O内存地址),保证两块网卡能够正常运行。
　　② 在计算机系统中，安装Turbo Linux操作系统，配置第一块网卡（IO=0x300），系统自动缺省识别网卡IOBASE=0x300，使用ping命令测试网卡状态。
　　③ 为了减少启动时可能出现的问题，Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡，对于已经将网卡的驱动编译进内核中的系统，则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息; 而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统，应该在“conf.modules”文件中进行相应的配置。
　　④ 安装第二块网卡，在“/etc/lilo.conf”中增加配置信息，其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡，编辑“/etc/lilo.conf”文件，增加如下内容：ether=10,0x320,0,0,eth1。
　　前四个参数是数字，最后一个参数是设备的名称。所有的数字变量都可以自由选择，如果用户忽略或是设置成0，那么核心会自动检测该设备的参数变量或使用默认值。第一个参数代表分配给设备的中断请求通道，默认情况下核心会自动检测设备的IRQ通道; 第二个参数变量用来指定设备的基本I/O地址，同样，如果这里是0，就意味着核心会自动检测该设备的I/O地址；剩下的两个参数变量对于不同的设备有不同的含义，对于共享内存的网卡，它们用来定义共享内存区域的起始点和结束点，对于其他网卡来说，它们使用第一个参数来设置信息的调试等级，数字1到7代表调试等级逐渐增加，而数字8表示关闭信息调试，0表示使用默认值。
　　⑤ 重新启动机器。
　　⑥ 通过Turbonetcfg增加eth1，并配置该网卡网络参数，如IP地址、网关等。
　　⑦ 重新启动机器，使用ping命令测试网卡状态。
　　⑧ 通过Ifconfig命令显示Interface接口状态。
　　
　　二、 IP Masq的正确设置　
　　
　　1．检查Linux 系统内核是否支持IP Masq
　　检查Linux系统内核是否支持IP Masquerade。如果你手中的Linux版本支持如下特征：
　　IPFWADM/IPCHAINS、IP forwarding 、IP masquerading 、IP Firewalling
　　则你不需要重新编译Linux内核，如果你不太确信，可运行如下命令进行测试检查：
　　# ls /proc/sys/net/ipv4
　　如果如下文件存在，则Linux已支持IP Masquerade:“ip_forward”、“ip_masq_debug”、“ip_masq_udp_dloose”、“ip_always_defrag”。
　　2．为内网分配私网IP地址
　　私网地址用于企业内部基于TCP/IP技术的联网需要，它由The Internet Assigned Numbers Authority (IANA)分配，笔者采用了以下地址： 192.168.0.0/24。
　　3 创建文件 /etc/rc.d/rc.firewall，编辑管理规则
　　# rc.firewall - Initial SIMPLE IP Masquerade test for 2.1.x and 2.2.x kernels
　　# FORWARD_IPV4=true
　　echo “1” > /proc/sys/net/ipv4/ip_forward
　　#CRITICAL: Enable automatic IP defragmenting since it is disabled by default
　　# in 2.2.x kernels. This used to be a compile-time option but the behavior was changed in 2.2.12
　　echo “1” > /proc/sys/net/ipv4/ip_always_defrag
　　# MASQ timeouts 2 hrs timeout for TCP session timeouts
　　# 10 sec timeout for traffic after the TCP/IP “FIN” packet is received
　　# 160 sec timeout for UDP traffic (Important for Masq ’ed ICQ users)
　　/sbin/ipchains -M -S 7200 10 160
　　# Enable simple IP forwarding and Masquerading
　　/sbin/ipchains -P forward DENY
　　/sbin/ipchains -A forward -i eth0 -s 192.168.0.0/24 -j MASQ
　　*注释 interface eth0为公网IP地址(Registered IP Address);
　　编辑/etc/rc.d/rc.firewall文件的规则后，改变其文件权限为可执行如下命令：# chmod 700 /etc/rc.d/rc.firewall。
　　4．将Firewall加载到启动脚本中
　　当Firewall规则指定完毕后，需要重新启动计算机系统。你可以手工运行，也可以在系统中修改系统启动脚本使其自动执行。
　　手动的方式是在系统命令提示符下，执行如下命令：#/etc/rc.d/rc.firewall。
　　编辑启动脚本的方法是在/etc/rc.d/init.d文件中增加如下内容：/etc/rc.d/rc.firewall。
　　运行IP Masq后，使用ping命令测试NAT的网络功能，检查IP Masq是否正常运行。
　　下面是Linux IP Masq正常运行后的系统路由表。
　　Linux IP Masq正常运行后的系统路由表