Linux network инструкция администратора

         

Настройка ядра для IP Masquerade


Ядра ряда 2.4 больше не предлагают поддержку IP masquerade как опцию при сборке ядра. Вместо этого, Вы должны выбрать фильтрацию сетевых пакетов:

Networking options ---> [M] Network packet filtering (replaces ipchains)

В ядрах серии 2.2 будет создан ряд специфических для протоколов модулей в течение сборки ядра. Некоторые протоколы начинаются с исходящего запроса на одном порте, а затем ожидают входящее подключение на другом. Обычно они не могут быть masqueraded, так как нет способа логически связать оба соединения без работы напрямую с пакетами и понимания логики протокола. Модули делают именно это: они фактически смотрят внутрь пакетов и позволяют masquerading работать для поддержанных протоколов. Такие модули называют также модулями-помощниками. Поддерживаемые протоколы:

Модуль

Протокол

ip_masq_ftp FTP ip_masq_irc IRC ip_masq_raudio

RealAudio ip_masq_cuseeme CU-See-Me ip_masq_vdolive For VDO Live ip_masq_quake IdSoftware's Quake

Вы должны загрузить эти модули вручную, используя команду insmod, чтобы выполнить их. Обратите внимание, что эти модули не могут быть загружены демоном kerneld. Каждый из модулей принимает параметр определяющий, на каких портах он будет слушать. Для модуля RealAudio Вы могли бы использовать:

# insmod ip_masq_raudio.o ports=7070,7071,7072

Порты, которые Вы должны определить, зависят от протокола. IP masquerade mini-HOWTO (автор: Ambrose Au) объясняет подробности о модулях IP masquerade и как конфигурировать их.

Пакет netfilter включает модули, которые выполняют подобные функции. Например, чтобы обеспечить работу сеансов FTP, используйте модули ip_conntrack_ftp и

ip_nat_ftp.o.



Содержание раздела