Linux下共享宽带上网.docVIP

Linux下共享宽带上网 　　摘要：随着Internet不断的普及。越来越多的中小单位已经通过各种方式把自己接入了Internet。方法有很多种，但基本上还是申请1个或几个外网地址，然履局域网内的用户共享这个地址防问Interrret，大部分都是采用网关机加代理服务，用Windows系列作为操作系统。本文将介绍另外一种共享上网模式一Unux下的共享上网。 　　关键词：Linux；共享Iptable网络 　　 　　现阶段大部分中小单位采用宽带通10-100M上网。如果使用硬件方式共享上网。虽然速度比较快。但投资较大。而如果采用软件方式，用代理服务器类与网关类软件实现(如WinRoute、WinGate、syrGate+windows操作系统)。虽然也比较方便，但众所周知的原因使得系统非常容易死机，造成大面积不能上网，系统管理员的工作非常被动。但如果使用Linux操作系统+iptables或PF，来共享宽带上网，速度非常快，对主机的要求也不高。特别称道的是整个系统非常稳定，长年开机，系统也不会死机，极大地减少了系统管理员的负担。 　　 　　1　共享上网的原理机制 　　 　　首先，给大家提一下这种机制的原理：一般来说，中小单位上网，只能申请到几个真实的IP地址(其中一个来做WEB服务器)，而单位里往往有几十台，甚至上百台计算机，由于没有这么多真实的IP地址，它们只能使用私有IP地址(如10.0.0.0、192.168.1.0等)，因此它们是不能上网的，但是我们可以先通过有合法外网地址的主机，把内网IP地址转化为合法的外网IP地址，这也就是我们常说的网络地址转化(Network Address Translation)，简称NAT，所以在WIN2000下我们使用的代理服务器(如sygate或winroute等)都是通过这种机制来共享上网的，而在Linux下，使用IP伪装(英文为masquerade)来共享上网，它比Windows下的那些代理软件更好用、更快速。 　　IP伪装，实际上是Linux系统的一种网络功能，如果一台Linux主机使用IP伪装功能连接到互联网上，那么其他计算机，只要连接到这个Linux主机上，就可以共享上网，即使它们没有获得正式指定的IP地址。这样就可以将一些计算机隐藏在网关后面连接互联网，而不被发现，看起来就像只有一台Linux系统主机与互联网相连。因此降低了上网费用，同时也增加了安全性。从某些方面来看，其功能像是一个防火墙，因为外界网络无法连接非正式分配的IP地址。而其安全功能比数据包过滤式防火墙要强。随着IP地址的减少。IP伪装在网络上的应用会越来越广泛。 　　假设你现在有一台Unux主机已经连接到Internet上，有自己的IP和域名。同时还与50台工作站通过交换机连接，你现在完全可以通过IP伪装来实现这50台工作站同时上网。 　　 　　2　具体操作方法 　　 　　现在我们看一下具体操作： 　　(1)找一台普通的计算机，内存大一点(最好2G以上)，硬盘不必太大(40G就可以了)，双网卡(不要太生僻的网卡就可以，笔者使用的是D-LINK530TX)。其他通通没有要求。正常安装Linux(如redhat.安装非常方便)。安装的服务越少越好。但是对于组件iptables一定要安装。 　　(2)配置好你的双网卡，比如笔者的机器，ethO为外网网卡，IP为211.90.171.*(隐去)，子网掩码为255.255.255.0.eth1为内网网卡，IP为192.168.1.1，子网掩码为255.255.255.0，下面各个办公室的计算机为联想启天2800，IP为192.168.1.*(可以指定，也可以用DHCP来自动分配之)。 　　(3)具体配置如下：在这台Linux主机下，我们进入到／etc／rc.d目录下，我们使用vi下面的三条命令加在rc.local文件的最后，这样只要一开机，机器就能自动执行它，完成内网地址到外网地址的转化，这三条命令为： 　　echo 1＞／Droc／sys／net／ipv4／ip_forward ###打开转发机制echo-F-tnat #@#清空nat表 　　iptables-t nat-A POSTROUTING-s 192.168.1.0／24-o etho _j SNAT-to-source 211.90.171.*(隐去)###关键命令，完成IP地址转化 　　这样，就完成了所有的设置工作，但有些文章把这个配置写的过于复杂，我个人认为在某些情况下完全没有必要，因为这个配置越复杂，每一个包通过这台Linux机器所消耗的时间就越多，那么上网的速度自然就会较慢，在要求速度，而不太关注安全的情况下，以上三条命令就非常好了。 　　对于单位中各个办公室计