dhcp + ipchains 实现上网之配置代理服务器教程

              摘要：dhcp + ipchains 实现上网之配置
摘  要：
     如何把一个局域网带入INTERNETR？其实方法有很多，很多人都会选择WINDOWS 98/2000+SYGATE/WINGATE，但是这种方式也有许多不便这处。管理不是很方便且安全性不太好。而LINUX给人们留下的映像一直就是安全性好，稳定性强。在LINUX中很多功能强大的防火墙，以RED HAT LINUX 7.2为例，在RED HAT LINUX 7.2中具有IPCHAINS和IPTABLE。本文就以RED HAT LINUX 7.2中IPCHAINS为例来叙述一下如何利用IP伪装实现整个局域网共享上网。
关键字：    IP伪装、IP转发、规则链
实现步骤：
1.准备活动
   1.把所有的计算机连成的一个局域网
   2.安装LINUX服务器（eth0接INTERNET的211.162.11.8/255.255.255.128,eth1地址192.168.0.1/255.255.255.0）
   3.为服务器添加默认网关
      方法一：route add default gw 201.160.11.1(网关是ISP所给的网关服务器)
      方法二：使用linuxconf工具来设置
2.安装DHCP服务器
    为了使网络管理更方便可以实现动态分配IP地址，所以必须要把的服务器做成一个DHCP服务器具体如下：
   (1.)安装DHCP的RPM包
       rpm -ivh dhcp-2.0pl5-8.i386.rpm
  ( 2.)在/etc下编辑dhcpd.conf
           内容如下：
           subnet 192.168.0.0 netmask 255.255.255.0
           {
             option routers 192.168.0.1;
             option domain-name-servers  201.160.0.10;
             range 192.168.0.2 192.168.0.254;
           }
          subnet 201.160.11.0  netmask 255.255.255.128
           {
           }
           DHCP的注意事项：
　　　　　(1). 必须要指定默认网关服务器(option routers 192.168.0.1
          (2). 必须指定DNS服务器（option domain-name-servers 201.160.11.4;）  
          (3). 要建立与eth0相同的网络号的空范围的作用域(subnet 201.160.11.0 netmask 255.255.255.128 {})
　　　　　(4). 把DHCP服务邦定到接LAN的网卡上
3.配置IP转发
    所谓IP转发是可以简单说成IP包从一个网段发送到另一个网段(既从eth1转到eth0).在一些低版本的LINUX中不支持IP转发，在这些版本中要重新编译内核才行.但RED HAT LINUX 7.2支持IP转发只要如下配置：
     编辑/etc/sysconfig/network内容：
    NETWORK="yes"
    HOSTNAME="psd.edu.cn"
    GATEWAY="201.160.11.1" //用于指定网关为201.160.11.1(201.160.11.1为ISP所给的网关服务器)
   GATEDEV="eth0"         //用于指定网关设备为eth0(指定应该为接INTERNET的网卡)
    FORWARD_IPV4="yes"      //支持IP转发(这一行必不可少)
4.配置IPCHAINS
    RED HAT LINUX 7.2的内核支持IPCHAINS服务，可以利用ntsysv启动IPCHAINS。IPCHAINS只是一种防火墙，如何设置防火墙才能支持IP伪装。首先要了解IPCHAINS的使用方法，在IPCHAINS中最重要的是规则链，所谓规则链就是规定防火规则，既在规则链上定义一些规则，如：是否允许某个网段向发送信息.IPCHAINS中的有四种规则链:input链、output链、forward链、用户自定义链。至于IPCHAINS的具体的操作方法在这里就不详细介绍，读者可以查找其它的一些资料。这里我们只给大家介绍如何配置IPCHAINS的各条链以实现IP伪装和网络安全。
   具体如下：
可以把IPCHAINS的配置编写为一个SHELL脚本程序，本文把所有的IPCHAINS配置编写是的系统启动自动运行的脚本，其它的脚本要手工运行)
/etc/rc.d/rc.local中(rc.local
    /sbin/ipchains  -P forward DENY
    /sbin/ipchains  -A forward -s 192.168.1.0/255.255.255.0 -j MASQ
    /sbin/ipchains  -F input
    /sbin/ipchains  -F output 
    注：以上几行是用于设置IPCHAINS防火墙的基本规则，第二行就是用于设置IP伪装(本例中设置了可以对192.168.1.0/255.255.255.0子网内主机进行IP转发和伪装).如果你对网络进行管理可以修改rc.local.如:不让别人聊QQ可以在rc.local中加上以下几行:
    /sbin/ipchains -A input -j DENY -s www.tencent.com
/sbin/ipchains -A input -j DENY -s sz6.tencent.com
/sbin/ipchains -A input -j DENY -s sz2.tencent.com
    /sbin/ipchains -A input -j DENY -s sz3.tencent.com
    /sbin/ipchains -A input -j DENY -s sz4.tencent.com
    /sbin/ipchains -A input -j DENY -s sz5.tencent.com
    /sbin/ipchains -A input -j DENY -s sz.tencent.com
    只要你能灵活使用IPCHAINS你就可以方使的去管理整个网络.
5.总结
IPCHAINS是一个功能强大的防火墙，要灵活的使用就可以很方便管理网络且你的网络会更安全。但是在LINUX中IPCHAINS不是最好的防火墙，LINUX中还有很多其它的防火墙如：IPTABLE和FILTRATER。现在IPTABLE用的也比较多，因为它的速度比IPCHAINS要快、管理机制也简单，在后续的文章中再作介绍。

 nnfirst 回复于：2003-07-22 16:11:17我只是觉得还漏了很多没有写喔!还是用IPTABLE吧

 星月无痕 回复于：2003-07-26 00:14:47哦

 jason2003 回复于：2003-07-28 11:57:02bu cuo

 coolbzk 回复于：2003-08-11 19:15:17行不行阿，收藏先