用Linux+IPChains代替Windows+WinGate

用Linux+IPChains代替Windows+WinGate

任务：办公室有10台电脑，组成局域网，其中1台名为gate的机器配有ISDN卡，可拨号上网，另外9台机器也要上网，由gate机器做代理或网关，共享其ISDN设备。原来的方案是：gate机器上的操作系统是Win98，使用的代理软件是WinGate。现在，gate机器的操作系统换成了Linux，怎么让其它9台机器也能上网？ 

经过尝试，我使用IPChains的IP伪装转发功能成功地做到了这一点。我的配置为：蓝点Linux 2.0，Kernel-2.2.16，isdn4linux v3.1pre1，上海贝尔生产的ISDN内置卡，型号为SBT6021。
下面介绍具体做法。介绍顺序为：内核->ipchains的配置->其它机器的配置。 

0、 前提条件
前提条件当然就是这台配有ISDN卡，安装了Linux的名为gate的机器，本身必须能够顺利拨号上网。我已做到了，具体操作过程写在我的另一篇文章《在Linux下使用ISDN拨号上网》中。 

1、 内核
这个方案的原理是：由于这台gate机器建立拨号连接后，具有真正的IP地址，能够正常地访问Internet，而局域网内其它机器却没有真正的IP地址，不能象gate机器那样正常地访问Internet，解决办法就是由gate机器代劳其它机器的Internet访问请求，假装是它自己的。把这台gate机器作为局域网的网关，当它收到来自局域网内其它机器的请求数据包时，进行伪装，然后再转发出去；相应地，当伪装后发出去的数据包得到响应返回时，先对该响应数据包进行还原，再转交给回局域网内真正发出请求的那台机器。这种做法叫做IP Masquerade（IP伪装）。
要Linux内核支持IP伪装这种功能，在编译内核时，必须选中下列选项： 

Network firewalls
IP: firewalling
IP: masquerading
IP: ipportfw masq support
IP: ipautofw masquerade support
IP: ip fwmark masq-forwarding support
IP: ICMP masquerading 

但我不必急于编译内核，如果现有的内核已经包含这些选项了，我又何必重复一遍呢。那我怎么知道现有内核是否已经包含这些选项了呢？看内核编译配置文件/usr/src/linux/.config（注意：文件名以"."开头的文件是隐藏文件，要用ls -a才可看到。）我看到其中有下面这7行内容，对应于刚才的7个选项： 

CONFIG_FIREWALL=y 
CONFIG_IP_FIREWALL=y
CONFIG_IP_MASQUERADE=y
CONFIG_IP_MASQUERADE_ICMP=y
CONFIG_IP_MASQUERADE_IPAUTOFW=m
CONFIG_IP_MASQUERADE_IPPORTFW=m
CONFIG_IP_MASQUERADE_MFW=m 

"=y"表示内核直接支持（代码已链入内核中），"=m"表示模块支持（代码在另外的内核中，可由内核载入）。于是这就表明，蓝点Linux 2.0的原有内核已包含这些选项了，我就不用重新编译内核啦。
但仍然得做点事情，首先必须命令内核，启动IP转发功能：
echo 1 > /proc/sys/net/ipv4/ip_forward
往/proc/sys/net/ipv4/ip_forward里写入"1"就行了。
有些功能如ftp, irc等的伪装，需要相应的模块支持，这些模块放在/lib/modules/2.2.16/ipv4目录中，装入它们：
depmod -a
modprobe ip_masq_ftp
modprobe ip_masq_irc
modprobe ip_masq_raudio 

2、 ipchains的配置
蓝点Linux 2.0包含的ipchains软件已经足够满足我的要求了，我就不必安装新的，只需配置一下即可。Ipchains是一个包过滤器，功能强大，设置也复杂，但我只想使用其IP伪装转发功能而已，设置得以简化。我这台Linux机器在一个局域网上，局域网的域名为thalia.com，地址为210.96.100.0，这台机器的主机名为gate，地址为210.96.100.10。
对ipchains过滤器进行设置，就是设置各种链及规则。先看看目前情况如何：
ipchains -L
得到类似下面的信息： 

Chain input (policy ACCEPT):
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT): 

没什么规则，3条链的策略都是接受。
由于只是使用伪装转发功能，所以只对forward链进行操作。
ipchains -P forward DENY
把forward链的策略设为DENY，拒绝通过。此后增加可通过的规则，逐渐允许更多的数据包通过，这是一种先紧后松的做法。
ipchains -A forward -s 210.96.100.0/255.255.255.0 -j MASQ
增加1条规则，这条规则说明：对来自210.96.100.0局域网内（网络掩码为255.255.255.0）的数据包（-s 210.96.100.0/255.255.255.0），进行伪装处理（-j MASQ）。
这时候再看一下情况如何：
ipchains -L
得到类似下面的信息： 

Chain input (policy ACCEPT):
Chain forward (policy DENY):
target prot opt source destination ports
MASQ all ------ 210.96.100.0/24 anywhere n/a
Chain output (policy ACCEPT): 

forward链中多了1条MASQ规则。
要简单地实现共享ISDN上网，这已经足够了。 

3、 其它机器的配置
配置局域网上的其它Win98, Win2000机器，要点是把缺省网关设为那台Linux gate机器，DNS域名服务器也设为那台Linux gate机器。应用软件如IE，OutlookExpress等不用做任何设置，想象成ISDN装在本机上就行。
我现在就去设置1台Win98机器试试看。
(1)在“控制面板 | 网络 | 配置”下，选中“TCP/IP->3Com PCI Ethernet Adapter”（这台机器配的是3Com网卡），点击“属性”按钮，弹出TCP/IP属性对话框。
(2)到“IP地址”页中，指定IP地址，IP地址为210.96.100.14，子网掩码为255.255.255.0；到“网关”页中，添加新网关210.96.100.10。
(3)机器重启。
(4)打开IE，浏览http://168.160.224.103（即新浪网sina.com.cn），看到了新浪的首页；但是浏览http://www.sina.com.cn，却不行。这是域名解析的问题。
(5)重复(1)步骤，弹出TCP/IP属性对话框，到“DNS配置”页中，启用DNS，主机名写zzh，添加DNS服务器搜索顺序210.96.100.10。机器重启。打开IE，再次浏览http://www.sina.com.cn，这次好啦。 

4、 形成shell文件
上面对内核和ipchains的配置是逐条命令进行的，已经全部成功通过，现在把它们写成shell文件。
/etc/ppp/ip-masq-start文件内容如下： 

# IP masq
echo 1 > /proc/sys/net/ipv4/ip_forward
depmod -a
modprobe ip_masq_ftp
modprobe ip_masq_irc
modprobe ip_masq_raudio 

ipchains -P forward DENY
ipchains -A forward -s 210.96.100.0/255.255.255.0 -j MASQ 

让它成为可执行文件：
chmod a+x /etc/ppp/ip-masq-start
以后事情就简单了。要开启IP伪装转发功能，下命令/etc/ppp/ip-masq-start。 

参考资料：
黄志伟，IP Masquerade HOWTO中文版，http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html 

张中华(mike_z@21cn.com)，2000.12.02，http://zzh-cn.com 

Copyright ＠ 2007-2012 敏韬网(敏而好学，文韬武略--MinTao.Net)（学习笔记） Inc All Rights Reserved.
闵涛 E_mail:admin@mintao.net(欢迎提供学习资源)

鄂公网安备 42011102001154号

站长：MinTao ICP备案号：鄂ICP备11006601号-18