红联Linux门户
Linux帮助

红旗LINUX下路由的实现

发布时间:2005-07-27 00:25:35来源:红联作者:linux_
转:
1.安装双网卡,建议网卡芯片最好采用RTL8139系列,因为红旗Linux 2.0对这类芯片支持较好。我用的是红旗Linux2.5高级服务器版,内网卡为eth1,ip地址为:172.16.10.1/24
外网卡为eth0,ip地址为:192.168.1.68/24。
2. 安装红旗Linux 2.5系统。
  (1)最好选用图形安装方式(默认方式),选用字符和专家模式比较麻烦。
  (2)硬盘选用定制分区较为方便,先确定交换分区(swap),大小一般为物理内存的2倍(如服务器内存为64MB,swap分区则为128MB)。再确定主分区(整个系统的基础),这也是必须的。其余的分区可以视情况来定,也可以不分。
  (3)其余的安装按提示进行即可。
3. 在/etc目录下建立一个ip.start文件。文件内容如下:(里面的中文是说明,无需输入:)-p)
#!/bin/sh

  echo "Starting ipchains firewall rules..."

  # refresh all firewall rules

  /sbin/ipchains -F forward

  /sbin/ipchains -F input

  /sbin/ipchains -F output

  # setup default firewall rules(缺省防火墙设置)

  /sbin/ipchains -P forward ACCEPT

  /sbin/ipchains -P input ACCEPT

  /sbin/ipchains -P output ACCEPT

  # setup Loopback interface

  /sbin/ipchains -A input -j ACCEPT -i lo

  /sbin/ipchains -A output -j ACCEPT -i lo

  # disabling IP spoofing(禁止IP欺骗)

  /sbin/ipchains -A input -j DENY -i eth1 -s 192.168.0.0/16

  /sbin/ipchains -A input -j DENY -i eth1 -d 192.168.0.0/16

  /sbin/ipchains -A output -j DENY -i eth1 -s 192.168.1.0/16

  /sbin/ipchains -A output -j DENY -i eth1 -d 192.168.1.0/16

#refuse packets claiming to be to or from the loopback interface

  /sbin/ipchains -A input -j DENY -i eth1 -s 127.0.0.0/8

  /sbin/ipchains -A input -j DENY -i eth1 -d 127.0.0.0/8

  /sbin/ipchains -A output -j DENY -i eth1 -s 127.0.0.0/8

  /sbin/ipchains -A output -j DENY -i eth1 -d 127.0.0.0/8

  #refuse broadcast address source packets(禁止广播包)

  /sbin/ipchains -A input -j DENY -i eth1 -s 255.255.255.255

  /sbin/ipchains -A input -j DENY -i eth1 -d 0.0.0.0

  #refuse multicast/anycast/broadcast address

  /sbin/ipchains -A input -j DENY -i eth1 -s 240.0.0.0/3

  #forwarding all internal traffic(转发内部包)

  /sbin/ipchains -A forward -j ACCEPT -i eth0 -s 192.168.1.0/24 -d 192.168.1.0/24

  #setup IP Masquerading rules(设置I P伪装规则)

   echo 1 > /proc/sys/net/ipv4/ip_forward

   depmod -a

   /sbin/modprobe ip_masq_ftp

   /sbin/modprobe ip_masq_irc

   /sbin/modprobe ip_masq_portfw

   /sbin/modprobe ip_masq_user

   /sbin/modprobe ip_masq_autofw

   /sbin/modprobe ip_masq_quake

   /sbin/modprobe ip_masq_vdolive

   /sbin/modprobe ip_masq_cuseeme

   /sbin/modprobe ip_masq_mfw

   ipchains -p forward DENY

  #starting IP masquerading (设置I P伪装)

   ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ
此文件中的字母大小写是有区别的,其含义大家可以查阅有关资料。此文件可以只有以下三行:

  echo 1>proc/sys/net/ipv4/ip_forword

  depmod -a

  ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ
4. 给文件的所有者赋予可执行权

  #chmod u+x /etc/ip.start

5. 使计算机启动时自动加载ip.start文件
#vi /etc/rc.d/rc.local
在rc.local文件最后加上
/etc/ip.start
存盘退出,重新启动计算机。
文章评论

共有 4 条评论

  1. HYCOG 于 2006-07-19 11:11:27发表:

    顶上

  2. reing 于 2005-10-27 00:19:18发表:

    支持

  3. 爱的边缘 于 2005-09-21 00:08:12发表:

    不错

  4. cha 于 2005-08-05 00:22:05发表:

    不错,支持