Наши партнеры








Книги по Linux (с отзывами читателей)

Библиотека сайта rus-linux.net

Настройка ядра для IP Masquerade

Чтобы использовать IP masquerade, ваше ядро должно компилироваться с поддержкой masquerade. Вы должны выбрать следующие параметры при конфигурировании ядра ряда 2.2:
Networking options  --->
        [*] Network firewalls
        [*] TCP/IP networking
        [*] IP: firewalling
        [*] IP: masquerading
        --- Protocol-specific masquerading support will be built as modules.
        [*] IP: ipautofw masq support
        [*] IP: ICMP masquerading
Обратите внимание, что часть поддержки masquerade доступна только как модуль ядра. Это означает, что Вы должны гарантировать выполнение команды make modules в дополнение к обычной make zImage при сборке ядра.
Ядра ряда 2.4 больше не предлагают поддержку IP masquerade как опцию при сборке ядра. Вместо этого, Вы должны выбрать фильтрацию сетевых пакетов:
Networking options  --->
    [M] Network packet filtering (replaces ipchains)
В ядрах серии 2.2 будет создан ряд специфических для протоколов модулей в течение сборки ядра. Некоторые протоколы начинаются с исходящего запроса на одном порте, а затем ожидают входящее подключение на другом. Обычно они не могут быть masqueraded, так как нет способа логически связать оба соединения без работы напрямую с пакетами и понимания логики протокола. Модули делают именно это: они фактически смотрят внутрь пакетов и позволяют masquerading работать для поддержанных протоколов. Такие модули называют также модулями-помощниками. Поддерживаемые протоколы:
Модуль Протокол
ip_masq_ftp FTP
ip_masq_irc IRC
ip_masq_raudio RealAudio
ip_masq_cuseeme CU-See-Me
ip_masq_vdolive For VDO Live
ip_masq_quake IdSoftware's Quake
Вы должны загрузить эти модули вручную, используя команду insmod, чтобы выполнить их. Обратите внимание, что эти модули не могут быть загружены демоном kerneld. Каждый из модулей принимает параметр определяющий, на каких портах он будет слушать. Для модуля RealAudio Вы могли бы использовать:
# insmod ip_masq_raudio.o ports=7070,7071,7072

Порты, которые Вы должны определить, зависят от протокола. IP masquerade mini-HOWTO (автор: Ambrose Au) объясняет подробности о модулях IP masquerade и как конфигурировать их.

Пакет netfilter включает модули, которые выполняют подобные функции. Например, чтобы обеспечить работу сеансов FTP, используйте модули ip_conntrack_ftp и ip_nat_ftp.o.