作者:李振华
一、如何设置IP伪装
IP伪装是当一个计算机访问Internet时能将其自身的IP地址伪成其他机器的IP地址。如果连接到Internet上的一个Linux主机具有IP伪装功能,那么与之相连的计算机,无论是在同一个局域网上或是通过Modem连接的,尽管它们没有正式的IP地址,但都可与Internet相连。
在Turbo Linux下是通过使用如下命令设置IP伪装的:
#/sbin/ipchains ?P forward DENY
#/sbin/ipchains ?A forward ?s xxx.xxx.xxx.xxx/y ?j MASQ
其中y是根据子网的级别而确定的数字,xxx.xxx.xxx.xxx是网络地址。下表列出了不同子网下的y值。
二、设置IP伪装举例
我们以如下网络结构图为例:(假定与Internet相连的网络为192.168.100.0/24)
在该网络结构图中,防火墙左边为私有网络,网络为192.168.1.0/24,地址用黑体表示。
防火墙与一个PPP服务器通过电话线相连,接口设备为ppp0,PPP服务器IP为192.168.100.200。
我们要使私有网络的所有主机通过防火墙进行IP伪装,那么可以在防火墙主机上使用如下脚本命令:
echo “1”
/proc/sys/net/ipv4/ip_forward
/sbin/modprobe ip_masq_cuseeme.o
/sbin/modprobe ip_masq_ftp.o
/sbin/modprobe ip_masq_irc.o
/sbin/modprobe ip_masq_quake.o
/sbin/modprobe ip_masq_user.o
/sbin/modprobe ip_masq_vdolive.o
/sbin/ipchains ?P forward DENY
/sbin/ipchains ?A forward ?j MASQ ?i ppp0 ?s 192.168.1.0/24
在该脚本程序中,增加了用于使用IP伪装的FTP、CUSeeMe、IRC、RealAudio、Quake等模块,在转发链中增加了私有网络的IP伪装规则。将上面的脚本程序放在/etc/rc.d/rc.local文件中,可在系统启动时进行IP伪装设置。