如何用IPCHAINS替代SYGATE

摘要：如何把一个局域网带入INTERNETR？其实方法有很多，很多人都会选择WINDOWS 98/2000+SYGATE/WINGATE，但是这种方式也有许多不便这处。管理不是很方便且安全性不太好。而LINUX给人们留下的映像一直就是安全性好，稳定性强。在LINUX中很多功能强大的防火墙，以RED HAT LINUX 7.2为例，在RED HAT LINUX 7.2中具有IPCHAINS和IPTABLE。本文就以RED HAT LINUX 7.2中IPCHAINS为例来叙述一下如何利用IP伪装实现整个局域网共享上网。
关键字：IP伪装、IP转发、规则链

Abstract: how to bring into a local area network INTERNETR? In fact, there are a lot of ways, many people will choose WINDOWS 98/2000 + SYGATE / WINGATE, but this way there are many inconveniences, this place is. Management is not easy and not very good security. LINUX and to the left of the image has been security, and stability. LINUX in a lot of powerful firewall to RED HAT LINUX 7.2, for example, in RED HAT LINUX 7.2 has IPCHAINS and IPTABLE. This article by RED HAT LINUX 7.2 in IPCHAINS described as an example how to camouflage the use of IP throughout the local area network to share Internet access. 
Keywords: IP camouflage, IP forwarding, and the rules of chain

实现步骤：

1.准备活动

   1.把所有的计算机连成的一个局域网

   2.安装LINUX服务器（eth0接INTERNET的211.162.11.8/255.255.255.128,eth1地址192.168.0.1/255.255.255.0）

   3.为服务器添加默认网关

      方法一：route add default gw 211.162.11.1(网关是ISP所给的网关服务器)

      方法二：使用linuxconf工具来设置

2.安装DHCP服务器

    为了使网络管理更方便可以实现动态分配IP地址，所以必须要把的服务器做成一个DHCP服务器具体如下：

   (1.)安装DHCP的RPM包

       rpm -ivh dhcp-2.0pl5-8.i386.rpm

  ( 2.)在/etc下编辑dhcpd.conf

           内容如下：

           subnet 192.168.0.0 netmask 255.255.255.0

           {

             option routers 192.168.0.1;

             option domain-name-servers  211.162.0.10;

             range 192.168.0.2 192.168.0.254;

           }

          subnet 211.162.11.0  netmask 255.255.255.128

           {

           }

           DHCP的注意事项：

　　　　　(1). 必须要指定默认网关服务器(option routers 192.168.0.1;)

          (2). 必须指定DNS服务器（option domain-name-servers 211.162.11.4;）  

          (3). 要建立与eth0相同的网络号的空范围的作用域(subnet 211.162.11.0 netmask 255.255.255.128 {})

　　　　　(4). 把DHCP服务邦定到接LAN的网卡上

3.配置IP转发

    所谓IP转发是可以简单说成IP包从一个网段发送到另一个网段(既从eth1转到eth0).在一些低版本的LINUX中不支持IP转发，在这些版本中要重新编译内核才行.但RED HAT LINUX 7.2支持IP转发只要如下配置：
　　[8]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0424/fontbr />

     编辑/etc/sysconfig/network内容：

    NETWORK="yes"

    HOSTNAME="linux.xh.edu.cn"

    GATEWAY="211.162.11.1" //用于指定网关为211.162.11.1(211.162.11.1为ISP所给的网关服务器)

   GATEDEV="eth0"         //用于指定网关设备为eth0(指定应该为接INTERNET的网卡)

    FORWARD_IPV4="yes"      //支持IP转发(这一行必不可少)

4.配置IPCHAINS

    RED HAT LINUX 7.2的内核支持IPCHAINS服务，可以利用ntsysv启动IPCHAINS。IPCHAINS只是一种防火墙，如何设置防火墙才能支持IP伪装。首先要了解IPCHAINS的使用方法，在IPCHAINS中最重要的是规则链，所谓规则链就是规定防火规则，既在规则链上定义一些规则，如：是否允许某个网段向发送信息.IPCHAINS中的有四种规则链:input链、output链、forward链、用户自定义链。至于IPCHAINS的具体的操作方法在这里就不详细介绍，读者可以查找其它的一些资料。这里我们只给大家介绍如何配置IPCHAINS的各条链以实现IP伪装和网络安全。

   具体如下：

可以把IPCHAINS的配置编写为一个SHELL脚本程序，本文把所有的IPCHAINS配置编写是的系统启动自动运行的脚本，其它的脚本要手工运行)

/etc/rc.d/rc.local中(rc.local

    /sbin/ipchains  -P forward DENY

    /sbin/ipchains  -A forward -s 192.168.1.0/255.255.255.0 -j MASQ

    /sbin/ipchains  -F input

    /sbin/ipchains  -F output 

    注：以上几行是用于设置IPCHAINS防火墙的基本规则，第二行就是用于设置IP伪装(本例中设置了可以对192.168.1.0/255.255.255.0子网内主机进行IP转发和伪装).如果你对网络进行管理可以修改rc.local.如:不让别人聊QQ可以在rc.local中加上以下几行:

    /sbin/ipchains -A input -j DENY -s www.tencent.com

/sbin/ipchains -A input -j DENY -s sz6.tencent.com

/sbin/ipchains -A input -j DENY -s sz2.tencent.com

    /sbin/ipchains -A input -j DENY -s sz3.tencent.com

    /sbin/ipchains -A input -j DENY -s sz4.tencent.com

    /sbin/ipchains -A input -j DENY -s sz5.tencent.com

    /sbin/ipchains -A input -j DENY -s sz.tencent.com

    只要你能灵活使用IPCHAINS你就可以方使的去管理整个网络.

5.总结

IPCHAINS是一个功能强大的防火墙，要灵活的使用就可以很方便管理网络且你的网络会更安全。但是在LINUX中IPCHAINS不是最好的防火墙，LINUX中还有很多其它的防火墙如：IPTABLE和FILTRATER。现在IPTABLE用的也比较多，因为它的速度比IPCHAINS要快、管理机制也简单，在后续的文章中再作介绍。
　　[8]电大学习网.免费论文网[EB/OL]. /d/file/p/2024/0424/fontbr />