Настройка маскарадинга

Прекрасно! Все приготовления окончены, наконец мы займемся волшебством. IP-маскарадинг - это один из настоящих волшебных сервисов, возможных при помощи Linux. Существуют, правда, коммерческие продукты, делающие то же самое, но не так эффективно: античная 386 машина может при помощи Linux предоставлять сервисы IP-маскарадинга целому офису средних размеров, но на нем нельзя запустить нормальным образом Windows 95, чтобы использовать эти коммерческие продукты. (Надо добавить, что я читал несколько очерков, где утверждалось, что Windows 2000 будет поддерживать "совместное использование соединений" без дополнительных программ. Это выглядит так, как будто опять Microsoft поглотил сферу деятельности фирм, продававших программы использования совместных соединений. Однако, я бы не рекомендовал запускать Windows 2000 на 386-ой машине.)

В Linux встроены очень разносторонние возможности firewall, и мы будем использовать самые простые и понятные. Если вы хотите быть экспертом firewall-ов, то вам надо прочитать "Firewalling HOWTO" для понимания теории и "" для получения подробных инструкций по использованию утилиты ipchains, поставляемой вместе с ядром Linux версий 2.2.X (в комплекте дистрибутивов Red Hat 6.X). Теперь есть еще и достаточно полный "IP Masquerading HOWTO", описывающий в деталях возможности IP-маскарадинга.

Настроить простой маскарадинг очень просто после настройки вашей сети. Откройте файл /etc/rc.d/rc.local и добавьте в его конце следующие строки:

# 1) Очищаем все таблицы правил. /sbin/ipchains -F input /sbin/ipchains -F forward /sbin/ipchains -F output # 2) Задаем времена задержек MASQ и разрешаем вход пакетам для конфигурирования DHCP. /sbin/ipchains -M -S 7200 10 60 /sbin/ipchains -A input -j ACCEPT -i eth0 -s 0/0 68 -d 0/0 67 -p udp # 3) Отключаем любую пересылку пакетов, кроме идущих с внутренней сети. # Такие пакеты маскируем. /sbin/ipchains -P forward DENY /sbin/ipchains -A forward -s 192.168.1.0/24 -j MASQ # 4) Загружаем модули, предназначенные для специальных сервисов. /sbin/modprobe ip_masq_ftp /sbin/modprobe ip_masq_raudio

Последние две строки загружают модули ядра, позволяющие компьютерам внутренней сети работать с FTP и RealAudio. Вы также можете загрузить другие модули для использования специальных сервисов:

Теперь вы готовы испытать маскарадинг! Запустите скрипт rc.local командой /etc/rc.d/rc.local, и у вас все готово! Сядьте за один из ваших компьютеров во внутренней сети и попробуйте походить по web. Если вам повезет, то все будет оки-доки.