徐 波

摘要：隨著Internet不斷的普及。越來越多的中小單位已經(jīng)通過各種方式把自己接入了Internet。方法有很多種，但基本上還是申請(qǐng)1個(gè)或幾個(gè)外網(wǎng)地址，然履局域網(wǎng)內(nèi)的用戶共享這個(gè)地址防問Interrret，大部分都是采用網(wǎng)關(guān)機(jī)加代理服務(wù)，用Windows系列作為操作系統(tǒng)。本文將介紹另外一種共享上網(wǎng)模式一Unux下的共享上網(wǎng)。

關(guān)鍵詞：Linux；共享Iptable網(wǎng)絡(luò)

現(xiàn)階段大部分中小單位采用寬帶通10-100M上網(wǎng)。如果使用硬件方式共享上網(wǎng)。雖然速度比較快。但投資較大。而如果采用軟件方式，用代理服務(wù)器類與網(wǎng)關(guān)類軟件實(shí)現(xiàn)(如WinRoute、WinGate、syrGate+windows操作系統(tǒng))。雖然也比較方便，但眾所周知的原因使得系統(tǒng)非常容易死機(jī)，造成大面積不能上網(wǎng)，系統(tǒng)管理員的工作非常被動(dòng)。但如果使用Linux操作系統(tǒng)+iptables或PF，來共享寬帶上網(wǎng)，速度非常快，對(duì)主機(jī)的要求也不高。特別稱道的是整個(gè)系統(tǒng)非常穩(wěn)定，長年開機(jī)，系統(tǒng)也不會(huì)死機(jī)，極大地減少了系統(tǒng)管理員的負(fù)擔(dān)。

1共享上網(wǎng)的原理機(jī)制

首先，給大家提一下這種機(jī)制的原理：一般來說，中小單位上網(wǎng)，只能申請(qǐng)到幾個(gè)真實(shí)的IP地址(其中一個(gè)來做WEB服務(wù)器)，而單位里往往有幾十臺(tái)，甚至上百臺(tái)計(jì)算機(jī)，由于沒有這么多真實(shí)的IP地址，它們只能使用私有IP地址(如10.0.0.0、192.168.1.0等)，因此它們是不能上網(wǎng)的，但是我們可以先通過有合法外網(wǎng)地址的主機(jī)，把內(nèi)網(wǎng)IP地址轉(zhuǎn)化為合法的外網(wǎng)IP地址，這也就是我們常說的網(wǎng)絡(luò)地址轉(zhuǎn)化(Network Address Translation)，簡(jiǎn)稱NAT，所以在WIN2000下我們使用的代理服務(wù)器(如sygate或winroute等)都是通過這種機(jī)制來共享上網(wǎng)的，而在Linux下，使用IP偽裝(英文為masquerade)來共享上網(wǎng)，它比Windows下的那些代理軟件更好用、更快速。

IP偽裝，實(shí)際上是Linux系統(tǒng)的一種網(wǎng)絡(luò)功能，如果一臺(tái)Linux主機(jī)使用IP偽裝功能連接到互聯(lián)網(wǎng)上，那么其他計(jì)算機(jī)，只要連接到這個(gè)Linux主機(jī)上，就可以共享上網(wǎng)，即使它們沒有獲得正式指定的IP地址。這樣就可以將一些計(jì)算機(jī)隱藏在網(wǎng)關(guān)后面連接互聯(lián)網(wǎng)，而不被發(fā)現(xiàn)，看起來就像只有一臺(tái)Linux系統(tǒng)主機(jī)與互聯(lián)網(wǎng)相連。因此降低了上網(wǎng)費(fèi)用，同時(shí)也增加了安全性。從某些方面來看，其功能像是一個(gè)防火墻，因?yàn)橥饨缇W(wǎng)絡(luò)無法連接非正式分配的IP地址。而其安全功能比數(shù)據(jù)包過濾式防火墻要強(qiáng)。隨著IP地址的減少。IP偽裝在網(wǎng)絡(luò)上的應(yīng)用會(huì)越來越廣泛。

假設(shè)你現(xiàn)在有一臺(tái)Unux主機(jī)已經(jīng)連接到Internet上，有自己的IP和域名。同時(shí)還與50臺(tái)工作站通過交換機(jī)連接，你現(xiàn)在完全可以通過IP偽裝來實(shí)現(xiàn)這50臺(tái)工作站同時(shí)上網(wǎng)。

2具體操作方法

現(xiàn)在我們看一下具體操作：

(1)找一臺(tái)普通的計(jì)算機(jī)，內(nèi)存大一點(diǎn)(最好2G以上)，硬盤不必太大(40G就可以了)，雙網(wǎng)卡(不要太生僻的網(wǎng)卡就可以，筆者使用的是D-LINK530TX)。其他通通沒有要求。正常安裝Linux(如redhat.安裝非常方便)。安裝的服務(wù)越少越好。但是對(duì)于組件iptables一定要安裝。

(2)配置好你的雙網(wǎng)卡，比如筆者的機(jī)器，ethO為外網(wǎng)網(wǎng)卡，IP為211.90.171.*(隱去)，子網(wǎng)掩碼為255.255.255.0.eth1為內(nèi)網(wǎng)網(wǎng)卡，IP為192.168.1.1，子網(wǎng)掩碼為255.255.255.0，下面各個(gè)辦公室的計(jì)算機(jī)為聯(lián)想啟天2800，IP為192.168.1.*(可以指定，也可以用DHCP來自動(dòng)分配之)。

(3)具體配置如下：在這臺(tái)Linux主機(jī)下，我們進(jìn)入到／etc／rc.d目錄下，我們使用vi下面的三條命令加在rc.local文件的最后，這樣只要一開機(jī)，機(jī)器就能自動(dòng)執(zhí)行它，完成內(nèi)網(wǎng)地址到外網(wǎng)地址的轉(zhuǎn)化，這三條命令為：

echo 1＞／Droc／sys／net／ipv4／ip_forward ###打開轉(zhuǎn)發(fā)機(jī)制echo-F-tnat #@#清空nat表

iptables-t nat-A POSTROUTING-s 192.168.1.0／24-o etho _j SNAT-to-source 211.90.171.*(隱去)###關(guān)鍵命令，完成IP地址轉(zhuǎn)化

這樣，就完成了所有的設(shè)置工作，但有些文章把這個(gè)配置寫的過于復(fù)雜，我個(gè)人認(rèn)為在某些情況下完全沒有必要，因?yàn)檫@個(gè)配置越復(fù)雜，每一個(gè)包通過這臺(tái)Linux機(jī)器所消耗的時(shí)間就越多，那么上網(wǎng)的速度自然就會(huì)較慢，在要求速度，而不太關(guān)注安全的情況下，以上三條命令就非常好了。

對(duì)于單位中各個(gè)辦公室計(jì)算機(jī)的網(wǎng)絡(luò)配置，如果機(jī)器比較少，比如說10幾臺(tái)機(jī)器，可以指定每個(gè)計(jì)算機(jī)的IP地址，如果機(jī)器比較多，就可以在那臺(tái)Linux的eth1上開啟DHCP服務(wù)，自動(dòng)分配給下面各個(gè)辦公室計(jì)算機(jī)的IP地址，這樣網(wǎng)絡(luò)管理員就比較省力了。下面的機(jī)器不用做任何配置就可以上網(wǎng)了。有關(guān)DHCP的配置請(qǐng)參考相關(guān)資料。