用IPCHAINS替代SYGATE

张安东

摘  要：

     如何把一个局域网带入INTERNETR？其实方法有很多，很多人都会选择WINDOWS 98/2000+SYGATE/WINGATE，但是这种方式也有许多不便这处。管理不是很方便且安全性不太好。而LINUX给人们留下的映像一直就是安全性好，稳定性强。在LINUX中很多功能强大的防火墙，以RED HAT LINUX 7.2为例，在RED HAT LINUX 7.2中具有IPCHAINS和IPTABLE。本文就以RED HAT LINUX 7.2中IPCHAINS为例来叙述一下如何利用IP伪装实现整个局域网共享上网。

关键字：    IP伪装、IP转发、规则链

实现步骤：

1.准备活动

   1.把所有的计算机连成的一个局域网

   2.安装LINUX服务器（eth0接INTERNET的211.162.11.8/255.255.255.128,eth1地址192.168.0.1/255.255.255.0）

   3.为服务器添加默认网关

      方法一：route add default gw 211.162.11.1(网关是ISP所给的网关服务器)

      方法二：使用linuxconf工具来设置

2.安装DHCP服务器

    为了使网络管理更方便可以实现动态分配IP地址，所以必须要把的服务器做成一个DHCP服务器具体如下：

   (1.)安装DHCP的RPM包

       rpm -ivh dhcp-2.0pl5-8.i386.rpm

  ( 2.)在/etc下编辑dhcpd.conf

           内容如下：

           subnet 192.168.0.0 netmask 255.255.255.0

           {

             option routers 192.168.0.1;

             option domain-name-servers  211.162.0.10;

             range 192.168.0.2 192.168.0.254;

           }

          subnet 211.162.11.0  netmask 255.255.255.128

           {

           }

           DHCP的注意事项：

　　　　　(1). 必须要指定默认网关服务器(option routers 192.168.0.1;)

          (2). 必须指定DNS服务器（option domain-name-servers 211.162.11.4;） 

          (3). 要建立与eth0相同的网络号的空范围的作用域(subnet 211.162.11.0 netmask 255.255.255.128 {})

　　　　　(4). 把DHCP服务邦定到接LAN的网卡上

3.配置IP转发

    所谓IP转发是可以简单说成IP包从一个网段发送到另一个网段(既从eth1转到eth0).在一些低版本的LINUX中不支持IP转发，在这些版本中要重新编译内核才行.但RED HAT LINUX 7.2支持IP转发只要如下配置：

     编辑/etc/sysconfig/network内容：

    NETWORK="yes"

    HOSTNAME="linux.xh.edu.cn"

    GATEWAY="211.162.11.1" //用于指定网关为211.162.11.1(211.162.11.1为ISP所给的网关服务器)

   GATEDEV="eth0"         //用于指定网关设备为eth0(指定应该为接INTERNET的网卡)

    FORWARD_IPV4="yes"      //支持IP转发(这一行必不可少)

4.配置IPCHAINS

    RED HAT LINUX 7.2的内核支持IPCHAINS服务，可以利用ntsysv启动IPCHAINS。IPCHAINS只是一种防火墙，如何设置防火墙才能支持IP伪装。首先要了解IPCHAINS的使用方法，在IPCHAINS中最重要的是规则链，所谓规则链就是规定防火规则，既在规则链上定义一些规则，如：是否允许某个网段向发送信息.IPCHAINS中的有四种规则链:input链、output链、forward链、用户自定义链。至于IPCHAINS的具体的操作方法在这里就不详细介绍，读者可以查找其它的一些资料。这里我们只给大家介绍如何配置IPCHAINS的各条链以实现IP伪装和网络安全。

   具体如下：

可以把IPCHAINS的配置编写为一个SHELL脚本程序，本文把所有的IPCHAINS配置编写是的系统启动自动运行的脚本，其它的脚本要手工运行)

/etc/rc.d/rc.local中(rc.local

    /sbin/ipchains  -P forward DENY

    /sbin/ipchains  -A forward -s 192.168.1.0/255.255.255.0 -j MASQ

    /sbin/ipchains  -F input

    /sbin/ipchains  -F output

    注：以上几行是用于设置IPCHAINS防火墙的基本规则，第二行就是用于设置IP伪装(本例中设置了可以对192.168.1.0/255.255.255.0子网内主机进行IP转发和伪装).如果你对网络进行管理可以修改rc.local.如:不让别人聊QQ可以在rc.local中加上以下几行:

    /sbin/ipchains -A input -j DENY -s www.tencent.com

/sbin/ipchains -A input -j DENY -s sz6.tencent.com

/sbin/ipchains -A input -j DENY -s sz2.tencent.com

    /sbin/ipchains -A input -j DENY -s sz3.tencent.com

    /sbin/ipchains -A input -j DENY -s sz4.tencent.com

    /sbin/ipchains -A input -j DENY -s sz5.tencent.com

    /sbin/ipchains -A input -j DENY -s sz.tencent.com

    只要你能灵活使用IPCHAINS你就可以方使的去管理整个网络.

5.总结

IPCHAINS是一个功能强大的防火墙，要灵活的使用就可以很方便管理网络且你的网络会更安全。但是在LINUX中IPCHAINS不是最好的防火墙，LINUX中还有很多其它的防火墙如：IPTABLE和FILTRATER。现在IPTABLE用的也比较多，因为它的速度比IPCHAINS要快、管理机制也简单，在后续的文章中再作介绍。