第七章﹕架设 NAT.docxVIP

忆茶斋软件学习网，打造计算机学习的好平台第七章﹕架设 NAT 当您好不容易把 Linux 机器连上 Internet 之后﹐别以为就只有它一台机器能上网哦。下面教您的法子是如何用一台 Linux 机器让本地网络中所有的机器都能同时上网﹗设定 Proxy我们在“网络基础”中的“防火墙”那边已经知道﹐能做到以上要求的方法很多﹐之一是使用 proxy 。至于它的好处﹐前文已经说了许多﹐这里就不再重复了。假如您只想让其他机器到 Internet 上浏览一下网页或透过 HTTP 下载文件﹐无疑 proxy 是个不错的主意﹐而且要设定这样一个 proxy 也是非常容易的﹐您只需确定squid套件有装好﹑并且能在开机的时候启动(执行 ntsysv 来选择)就行了。然后﹐您要做的只是修改/etc/squid/squid.conf这个档案。虽然这个档案看上去很长﹐但是﹐如果仅是用来做 HTTP proxy 的话﹐您要修改的句子不超过两句﹕# 在第 1163 行下面增加一行﹕acl siyongc src / # 请修改为您自己的实际设定# 然后在第 1197 行下面再增加一行﹕http_access allow siyongc# 请修改为上一行定义的 acl 名称然后重新跑 squid 就好了﹕service squid restart接下来﹐您将其他机器的浏览器上之 proxy 功能打开﹐并将服务器 IP 指向squid 主机﹐同时将 port 设定为 3128 就可以了。如果您用 IE 的话﹐按‘工具’-- ‘Internet 选项’-- ‘联机’ -- ‘局域网络设定’ -- ‘使用 Proxy 服务器’ -- 然后填好‘网址’与‘端口’﹕图一这里只是最单纯的设定而已﹐事实上﹐ squid 的设定非常多样和复杂﹐如果您有兴趣的话﹐可以参考‘ 优客笔记簿 ’中的文件。正如您刚纔发现的﹕在 Linux 上面设定一个简单的 proxy 看来是很容易的事情﹐但毕竟使用 proxy 是非常有限制的﹐例如﹐您要玩 ICQ﹑要使用 telnet﹑要上传 FTP ﹑要使用外面的 POP 信箱﹑要阅览新闻组或 BBS﹑等等﹐恐怕 proxy 就未必能全部应付得来了。不过﹐假如您使用IP Masquerading ( IP 伪装 NAT 的一种)技术又如何呢﹖那情形几乎是﹕您在那台用来上网的 Linux 机器上所使用的 internet 功能﹐在其他机器也一样拥有﹗前提准备要设定NAT ( Network Address Translation )就牵涉到防火墙装置了。老实说﹐要设定一个称职的防火墙并不是一件容易的事情﹐它要求您有非常丰富的 TCP/IP 基础﹑和严密的逻辑头脑﹑还得加上无以复加的细密测试。但是﹐我在这里教您的﹐并不是要真正的设定一个火墙﹐只是想让其他机器上网罢了。如果您真想设定防火墙﹐您可以看看 Firewall﹑IP Masquerade 和 IPchains 这几篇HOWTO文件﹐或许才会有些概念(但未必就设定得来)。而且﹐在阅读的时候﹐要注意文章引用的版本是否和您目前机器使用的相同﹐因为不同的版本所使用的工具和命令格式都相差很远﹐但基本的原理是不变的。首先﹐您要知道﹐在 Linux 上面的防火墙程序都与核心版本非常密切﹕如果您是用2.0.x的核心﹐那您只能使用ipfwadm程序﹔如果是2.2.x的核心﹐则使用ipchains程序﹔如果是2.4.x的核心﹐则使用iptables程序( ipchains 仍可以透过 modules 方式加载使用)。因为 RedHat 7.1 预设是使用 2.4.2 核心﹐所以我们这里打算以 iptables 来做范例。如果您的核心参考 system 系列之‘ 编译核心 ’文章编的﹐那就已经具备防火墙功能了。如果您目前的版本是使用 2.2.x 核心的话﹐请参考 RH6.2 版本的旧文章﹐这里将不再以 ipchains 来作说明了。Tips﹕如果您对 ipchains 比较熟识﹑而决定继续在 2.4.x 核心上面使用 ipchains 的话﹐那也可以执行modprobe ipchains将 ipchains 的模块加载(但无论如何﹐ipchains 与 iptables 模块不能同时加载)。不过﹐2.2.x 核心原来提供的一些模块(如 ip_masq_*.o )就没办法使用了﹐这点请您留意。另外﹐您还可以执行ntsysv将 ipchains 选择起来﹐并将 ipchains 的设定写进/etc/sysconfig/ipchains档案中(可执行setup选择 ‘Firewall Configuration’来设定这个档)﹐那么在开机的时候就会将 ipchains 跑起来了。不过﹐我们这里只打算使用 ipta