Linux IP Masquerade mini HOWTO 中译版
                                       
作者: Ambrose Au, [1]ambrose@writeme.com;
David Ranch, [2]dranch@trinnet.net
译者: [3]黄志伟 [4]cwhuang@linux.org.tw

   v1.50, 7 February 1999 翻译日期: 17-31 March 1999
     _________________________________________________________________
   
   这份文件描述如何在一台 Linux 主机上起动 IP Masquerade 功能，允许没有注
   册网际网路 IP 位址的连线电脑经由你的 Linux 机器连接网际网路。
     _________________________________________________________________
   
1. 简介

     * 1.1 简介
     * 1.2 前言，回馈 & 参考资讯
     * 1.3 版权 & 宣告
       
2. 背景知识

     * 2.1 什麽是 IP Masquerade?
     * 2.2 现况
     * 2.3 谁可以从 IP Masquerade 中获益?
     * 2.4 谁不需要 IP Masquerade?
     * 2.5 IP Masquerade 是如何运作的?
     * 2.6 在 Linux 2.2.x 上使用 IP Masquerade 的需求
     * 2.7 在 Linux 2.0.x 上使用 IP Masquerade 的需求
       
3. IP Masquerade 的设定

     * 3.1 编译核心加入 IP Masquerade 的支援
     * 3.2 指定私用网路的 IP 位址
     * 3.3 配置其它机器
     * 3.4 配置 IP 转送(Forwarding)的方式
     * 3.5 测试 IP Masquerade
       
4. 其它 IP Masquerade 的问题及软体支援

     * 4.1 IP Masquerade 的问题
     * 4.2 进入系统的服务(incoming services)
     * 4.3 已支援的客户端软体以及其它设定方面的注意事项
     * 4.4 IP 防火墙管理 (ipfwadm) 
     * 4.5 IP 防火墙链 (ipchains)
     * 4.6 IP Masquerade 以及需求式拨接(Demand-Dial-Up)
     * 4.7 IPautofw 封包转送程式
     * 4.8 CU-SeeMe 与 Linux IP-Masquerade 的简短说明
     * 4.9 其它相关工具
       
5. 常见问题解答

     * 5.1 IP Masquerade 能否和动态配置的 IP 共同运作?
     * 5.2 我能使用数据机，DSL, 卫星连线等来连接网际网路并使用 IP
       Masquerade 吗?
     * 5.3 IP Masquerade 支援什麽应用程式?
     * 5.4 我如何在 Redhat, Debian, Slackware 等使用 IP Masquerade 呢?
     * 5.5 我升级到 2.2.x 的核心，为什麽 IP Masquerade 不能用了?
     * 5.6 我已经升级到 2.0.30 後的核心，为什麽 IP Masquerade 还不能用?
     * 5.7 我无法让 IP Masquerade 运作! 有 Windows 平台的选择吗?
     * 5.8 我检查过我所有的设定了，仍无法让 IP Masquerade 工作。我该怎麽
       办?
     * 5.9 我如何加入 IP Masquerade 通信论坛?
     * 5.10 我想协助 IP Masquerade 的发展。我该怎麽做?
     * 5.11 在那里可找到更多 IP Masquerade 的资讯?
     * 5.12 我想翻译本文件成其它语言，我该怎麽做?
     * 5.13 这文件有点过时了，你还有在维护吗?
     * 5.14 我终於让 IP Masquerade 能动了，好棒! 我想谢谢你们，我该怎麽
       做?
       
6. 其它

     * 6.1 有用的资源
     * 6.2 Linux IP Masquerade 资源
     * 6.3 感谢
     * 6.4 参考资料
     _________________________________________________________________
   
1. 简介

1.1 简介

   这份文件描述如何在一台 Linux 主机上起动 IP Masquerade 功能，允许没有注
   册网际网路 IP 位址的连线电脑经由你的 Linux 机器连接网际网路。你的机器可
   能是以乙太网路连接 Linux, 也可能是其它种类，像是拨接的点对点(ppp) 连线
   。这份文件将会强调乙太网路连线的情况，因为这应该是最常见的案例。
   
     这份文件目的是给 2.2.x 及 2.0.x 稳定版核心的使用者参考。旧版的核心如
     1.2.x 并不包含在内。
     
1.2 前言，回馈 & 参考资讯

   我发现新手在较新的核心上，像是 2.x 核心，设定 IP Masquerade 时非常困惑
   。虽然有份常见问答集(FAQ) 与通信论坛(mailing list)，然而没有一份这方面
   的专门文件；而且在通信论坛上有些对於这样一份说明文件(HOWTO) 的请求。所
   以，我决定撰写它给所有新手作为一个起点，并且希望能抛砖引玉，作为那些非
   常了解它的使用者建立文件的基础。如果你认为我做的不好，不要在意告诉我，
   这样我能把它做得更好。
   
   这份文件很多是以原先 Ken Eves 的常见问答集以及 IP Masquerade 通信论坛里
   许多有帮助的讯息作为基础。特别感谢 Mr. Matthew Driver 在通信论坛中的讯
   息引发我设立 IP Masquerade 的灵感以及最後撰写了这份文件。
   
   如果我的任何资讯有误或遗漏任何资讯，请别介意把任何回馈或意见寄到
   [5]ambrose@writeme.com 及 [6]dranch@trinnet.net 来。你的无价回馈将影响
   这份说明文件的未来!
   
   这份说明文件是想作为让你的 IP Masquerade 能在最短时间内运作的快速指引。
   因为我不是一位专门作家，你可能会发现本文件的资讯并非如你想的那麽一般及
   客观。 最新的消息以及资讯可以在我所维护的 [7]IP Masquerade Resource 网
   页上找到。 如果你有任何关於 IP Masquerade 的技术问题，请加入 IP
   Masquerade 通信论坛而别寄电子邮件给我，因为我的时间有限，而且 IP
   Masquerade 的发展者们更有能力回答你的问题。
   
   这份文件最新的版本可以在 [8]IP Masquerade Resource 上找到，里面也有
   HTML 以及 postscript 的版本:
     * [9]http://ipmasq.cjb.net/
     * [10]http://ipmasq2.cjb.net/
     * 请参考 [11]IP Masquerade Resource 映射站台列表 以找到其它的映射站台
       。
       
1.3 版权 & 宣告

   这份文件版权属於 Ambrose Au 1999, 而且是免费的文件。你可以在 GNU 的通用
   公开授权方式下散播它。
   
   这份文件中的资讯跟其它内容都已经尽了我最大的努力。无论如何，IP
   Masquerade 是实验性的，而且我也可能会犯些错误；所以你应该自己决定是不是
   要照著这份文件中的资讯做。
   
   没有人会为使用这份文件中的资讯所造成的电脑损坏或其它损失负责。也就是说
   ，
   
     作者及维护者不对依照这份文件内容动作所造成的损害负责。
     
   原文
   
   This document is copyright(c) 1996 Ambrose Au, and it's a free
   document. You can redistribute it under the terms of the GNU General
   Public License.
   
   The information and other contents in this document are to the best of
   my knowledge. However, ip_masq is experimental, and there is chance
   that I make mistakes as well; so you should determine if you want to
   follow the information in this document.
   
   Nobody is responsible for any damage on your computers and any other
   losses by using the information on this document. i.e.
   
     THE AUTHOR AND MAINTAINERS ARE NOT RESPONSIBLE FOR ANY DAMAGES
     INCURRED DUE TO ACTIONS TAKEN BASED ON THE INFORMATION IN THIS
     DOCUMENT.
     
2. 背景知识

2.1 什麽是 IP Masquerade?

   IP Masquerade 是 Linux 的一项网路功能。如果一台 Linux 主机使用 IP
   Masquerade 功能连线到网际网路上，那麽接上它的电脑（不论是在同一个区域网
   路上或藉由数据机连线）也可以接触网际网路，即使它们没有获得正式指定的
   IP 位址。
   
   这使得一些电脑可以隐藏在闸道(gateway) 系统後面存取网际网路而不被发现，
   看起来就像只有这个系统在使用网际网路。突破设定良好的伪装(masquerade)系
   统之安全防护应该会比突破良好的封包过滤式防火墙(packet filter firewall)
   来得更加困难（假设两者之中都没有错误）。
   
2.2 现况

   IP Masquerade 已经发展多年而趋於成熟，因此已正式并入 Linux 2.2.x 的核心
   中。 从 1.3.x 版的核心开始已经内建这项支援。许多个人甚至公司正在使用它
   ，而有满意的结果。
   
   浏览网页以及远端签入(telnet)已经有回报表示可以在 IP Masquerade 上运作。
   档案传输(FTP)，网路交谈(IRC) 以及聆听 Real Audio 现在可以载入某些模组配
   合。其它的网路资料流音讯 (streaming audio) 像是 True Speech 以及
   Internet Wave 也能运作。一些通信论坛中的使用夥伴甚至还尝试过视讯会议软
   体。 Ping 现在配合新近可以取得的网际网路控制讯息协定(ICMP)修补档也能运
   作。
   
   更完整的支援软体列表请参考 4.3 节。
   
   IP Masquerade 在数种不同的作业系统及平台上与 '客户端机器' 配合良好。 成
   功的案例有使用 Unix, Windows95, Windows NT, Windows for Workgroup
   (with TCP/IP package), OS/2, Macintosh System's OS with Mac TCP, Mac
   Open Transport, DOS with NCSA Telnet package, VAX, Alpha with Linux, 甚
   至 Amiga with AmiTCP 或 AS225-stack 的系统。 这列表还在不断增加当中。重
   点就是，只要你的系统使用 TCP/IP 协定，它就应该能和 IP Masquerade 一起工
   作。
   
2.3 谁可以从 IP Masquerade 中获益?

     * 如果你有台连接网际网路的 Linux 主机，而且
     * 如果你有一些执行 TCP/IP 连接到 Linux 机器的电脑在区域网路上，以及/
       或是
     * 如果你的 Linux 主机有一个以上的数据机并且作为 PPP 或 SLIP 伺服器连
       接其它电脑，它们
     * 这些其它机器没有正式指定的 IP 位址。（这些机器从这里开始以後就称为
       其它机器）
     * 而且当然，如果你希望这些其它机器不必花额外的费用就能连上网际网路
       :)
       
2.4 谁不需要 IP Masquerade?

     * 如果你的机器是单独一台(stand-alone) 连接网际网路的 Linux 主机，那麽
       执行 IP Masquerade 没什麽意义，或者
     * 如果你的其它机器拥有正式指定的 IP 位址，那麽你就不需要 IP
       Masquerade
     * 而且当然，如果你不喜欢免费使用(free ride) 这个主意的话。
       
2.5 IP Masquerade 是如何运作的?

   节自 Ken eves 的 IP Masquerade FAQ:
  这是大部分简单的设定草图:

     SLIP/PPP         +------------+                         +-------------+
     to provider      |  Linux     |       SLIP/PPP          | Anybox      |
    <---------- modem1|            |modem2 ----------- modem |             |
      111.222.333.444 |            |           192.168.1.100 |             |
                      +------------+                         +-------------+

          上面的草图中一台安装并执行 ip_masquerading  的 Linux
      机器使用 modem1 经由 SLIP/or/PPP  连接网际网路。它有一个
      指定的 IP 位址 111.222.333.444。它设定 modem2 允许拨接者
      签入并起始 SLIP/or/PPP  连结。

          第二个系统（不必是执行 Linux  的系统）拨接进入 Linux
      机器并起始 SLIP/or/PPP  连结。它在网际网路上并没有指定的
      IP  位址所以它使用 192.168.1.100。（参阅下述）

          配合 ip_masquerade  及适当递送配置(routing configured)
      Anybox  这台机器可以跟网际网路交流就如同它真的连在上面般
      （除了少数例外）。

  节录 Pauline Middelink:
      别忘记提到 ANYBOX 应该把 Linux  机器当作它的闸道（无论是
      预设递送路径或只是个子网路都没关系）。如果 ANYBOX 不能够
      这样设， Linux  机器应该为所有要递送的位址做代理位址解析
      析协定(proxy arp) 服务，但代理位址解析的设定超过这份文件
      的□围。

  下面节录自 comp.os.linux.networking 的一篇布告并且稍加编辑以
  符合上述□例的用词:

  。我告诉 ANYBOX 这台机器跑 slip 的 linux  机器是它的闸道。
  。当一个封包从 ANYBOX 进入 linux  机器时，它会指定新的来源埠
    号(source port number)，把它自己的 ip 位址塞入封包的标头并
    储存原来的。然後它将会藉由 SLIP/or/PPP  界面把修改过的封包
    送上网际网路。
  。当一个封包从网际网路来到 linux  机器时，如果埠号是上面指定
    的其中一个，它将会取出原来的埠号以及 ip 位址，把它们放回封
    包的标头，并且把封包送往 ANYBOX 。
  。送出封包的主机将永远不知道其中的差别。

   一个 IP Masquerading 的例子:
   
   下面的图示是典型的例子:-

    +----------+
    |          |  Ethernet
    | abox     |::::::
    |          |2    :192.168.1.x
    +----------+     :
                     :   +----------+   PPP
    +----------+     :  1|  Linux   |   link
    |          |     ::::| masq-gate|:::::::::// Internet
    | bbox     |::::::   |          |
    |          |3    :   +----------+
    +----------+     :
                     :
    +----------+     :
    |          |     :
    | cbox     |::::::
    |          |4
    +----------+


    <-Internal Network->

   在这个例子中我们考虑四台电脑系统（想必遥远的右方还有些东西让你到网际网
   路的 IP 连线能够连接，以及一些（远超过这一页）在网际网路上你有兴趣交换
   资讯的东西）。 这个 Linux 系统 masq-gate 是 abox, bbox, cbox 内部网路机
   器连接网际网路的伪装闸道。 内部网路使用指定的私用(private) 网路位址，在
   这个案例中是 class C 网路 192.168.1.0, Linux 机器拥有位址 192.168.1.1
   而其它系统也拥有此网路上的位址。
   
   这三台机器 abox, bbox 以及 cbox (它们可以执行任何作业系统 － 像是
   Windows 95, Macintosh MacTCP 或甚至是另一台 Linux 机器，只要它们能了解
   IP)可以连线到网际网路上的其它机器去，然而这个伪装系统闸道 masq-gate 转
   换它们所有的连线所以这些连线看起来像是原本即从伪装闸道 masq-gate 本身发
   出的，而且还安排伪装连线传回的资料转回原先的系统 － 所以在内部网路上的
   系统看到的是直接通往网际网路的递送路径而且不知道他们的资料被伪装过。
   
2.6 在 Linux 2.2.x 上使用 IP Masquerade 的需求

     ** 请参考 [12]IP Masquerade Resource 以获得最新资讯。**
     
     * 2.2.x 版核心的原始程式码可从 [13]http://www.kernel.org/ 取得。
       (大部份现代的发行套件如 Red Hat 5.2 - 配备了 2.0.36 的核心 - 已有了
       模组化的核心，且所有 IP Masquerade 所需的选项都已打开。 这种情形下
       ，已没有必要再自行编译。如果你自己升级核心，你应注意你需要什麽，在
       文件稍後会提到。)
     * 可载入的核心模组，最好是 2.1.121 或以後的版本
     * 设定良好的 TCP/IP 网路
       相关文件在 [14]Linux NET-3 HOWTO 及 [15]Network Administrator's
       Guide
       也请参考 [16]Trinity OS Doc, 是一份非常完整的 Linux 网路参考指引。
     * 将你的 Linux 主机连上网际网路
       相关文件有 [17]Linux ISP Hookup HOWTO, [18]Linux PPP HOWTO,
       [19]Linux DHCP mini-HOWTO 及 [20]Linux Cable Modem mini-HOWTO
     * IP Chains 1.3.8 或更新的版本。可从
       [21]http://www.rustcorp.com/linux/ipchains/ 取得。
       版本需求的更多资讯也在 [22]Linux IP Firewalling Chains page。
     * 其它的资讯，请见 [23]Linux IP Masquerade Resource
       
2.7 在 Linux 2.0.x 上使用 IP Masquerade 的需求

     ** 请参考 [24]IP Masquerade Resource 以获得最新资讯。**
     
     * 核心 2.0.x 的原始程式码可以从这里取得 [25]http://www.kernel.org/
       (大部份现代的发行套件如 Red Hat 5.2 - 配备了 2.0.36 的核心 - 已有了
       模组化的核心，且所有 IP Masquerade 所需的选项都已打开。 这种情形下
       ，已没有必要再自行编译。如果你自己升级核心，你应注意你需要什麽，在
       文件稍後会提到。)
     * 可载入核心模组，最好是 2.0.0 或更新的版本，可以从这里取得
       [26]http://www.pi.se/blox/modules/modules-2.0.0.tar.gz
       (至少需要 modules-1.3.57)
     * 设定好的 TCP/IP 网路
       相关文件在 [27]Linux NET-3 HOWTO 及 [28]Network Administrator's
       Guide
       也请参考 [29]Trinity OS Doc, 是一份非常完整的 Linux 网路参考指引。
     * 将你的 Linux 主机连上网际网路
       相关文件 [30]Linux ISP Hookup HOWTO, [31]Linux PPP HOWTO,
       [32]Linux DHCP mini-HOWTO 及 [33]Linux Cable Modem mini-HOWTO
     * Ipfwadm 2.3 或更新的版本可以从这里取得
       [34]ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.tar.gz 在 Linux
       Ipfwadm 网页上有更多关於版本的资讯 [35]Linux IPFWADM page
     * 你可以选择性地加上一些 IP Masquerade 修补档以增加其它功能。 从这里
       可以取的更多资讯， [36]IP Masquerade Resources (这些修补档适用於所
       有的 2.0.x 核心)
       
3. IP Masquerade 的设定

     如果你的私用网路里有任何重要的资讯，在使用 IP Masquerade 之前请三思
     。这可能成为你通往网际网路的闸道，反之亦然，也可能成为另一边的世界进
     入你私用网路的途径。
     
3.1 编译核心加入 IP Masquerade 的支援

     如果你的 Linux 发行套件已经将下面将提到的所需特性及模组编译进去的
     话(大部份模组化的核心有你所需的东西)，那麽你不需要重新编译核心。 不
     过仍十分建议你读一读此节，因为它包含了其它有用的资讯。
     
  Linux 2.2.x 版核心
  
     * 首先，你需要 2.2.x 版核心的原始程式码。
     * 如果这是你第一次编译核心，不要害怕。 事实上，这非常容易而且涵盖於
       [37]Linux Kernel HOWTO。
     * 以这个指令: tar xvzf linux-2.2.x.tar.gz -C /usr/src 将核心原始码解
       开至 /usr/src/, 其中 x 是 2.2 之後的修补层级(确定有一叫 linux 的目
       录或符号连结)。
     * 加上适当的修补。因为新的修补档不断出来，所以细节不会包含在这里。 最
       新的资讯请参考 [38]IP Masquerade Resources。
     * 有关编译核心更进一步的介绍请参考 Kernel HOWTO 以及核心原始程式码目
       录里的 README 档案。
     * 这里是你要编译进去的选项:
       下列选项要回答 YES:
       
  * Prompt for development and/or incomplete code/drivers
    CONFIG_EXPERIMENTAL
    - 这将让你能选择把实验性的 IP Masquerade 程式码编译到核心里去

  * Enable loadable module support
    CONFIG_MODULES
    - 让你能够载入 ipmasq 相关模组如 ip_masq_ftp.o

  * Networking support
    CONFIG_NET

  * Network firewalls
    CONFIG_FIREWALL

  * TCP/IP networking
    CONFIG_INET

  * IP: forwarding/gatewaying
    CONFIG_IP_FORWARD

  * IP: firewalling
    CONFIG_IP_FIREWALL

  * IP: masquerading
    CONFIG_IP_MASQUERADE

  * IP: ipportfw masq support
    CONFIG_IP_MASQUERADE_IPPORTFW
    - 建议加入

  * IP: ipautofw masquerade support
    CONFIG_IP_MASQUERADE_IPAUTOFW
    - 可选用

  * IP: ICMP masquerading
    CONFIG_IP_MASQUERADE_ICMP
    - 支援伪装 ICMP 封包，建议加入

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG
    - 高度建议使用

  * Dummy net driver support
    CONFIG_DUMMY
    - 建议加入

  * IP: ip fwmark masq-forwarding support
    CONFIG_IP_MASQUERADE_MFW
    - 可选用

       注意: 这只不过是你跑 IP Masquerade 所需的项目，其它的按照你所需的来
       选择。
     * 在编译完核心之後，你需要编译及安装模组:
       
make modules; make modules_install

     * 然後把下面几行加到你的 /etc/rc.d/rc.local 档案 (或其它你认为适当的
       档案)中以便於每次重开机时自动载入位於 /lib/modules/2.2.x/ipv4/ 的模
       组:
       
        .
        .
        .
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
(以及其它的模组如 ip_masq_cuseeme, ip_masq_vdolive,
如果你有加上这些修补的话)
        .
        .
        .

       重要: IP 转送功能在 2.2.x 版核心中预设是关闭的，请确定你以此指令将
       其打开:
       
echo "1" > /proc/sys/net/ipv4/ip_forwarding

       对於 Red Hat 的使用者来说，你可以把 /etc/sysconfig/network 中的
       FORWARD_IPV4=false 改成 FORWARD_IPV4=true。
     * 重新启动 Linux 主机。
       
  Linux 2.0.x Kernels
  
     * 首先，你需要核心的原始程式码(最好是最新的 2.0.36 或以上的版本)。
     * 如果这是你第一次编译核心，不要害怕。 事实上，这非常容易而且涵盖於
       [39]Linux Kernel HOWTO。
     * 以这个指令: tar xvzf linux-2.0.x.tar.gz -C /usr/src 将核心原始码解
       开至 /usr/src/, 其中 x 是 2.0 之後的修补层级(确定有一叫 linux 的目
       录或符号连结)。
     * 加上适当的修补。因为新的修补档不断出来，所以细节不会包含在这里。 最
       新的资讯请参考 [40]IP Masquerade Resources。
     * 有关编译核心更进一步的介绍请参考 Kernel HOWTO 以及核心原始程式码目
       录里的 README 档案。
     * 这里是你要编译进去的选项:
       下列选项要回答 YES:
       
  * Prompt for development and/or incomplete code/drivers
    CONFIG_EXPERIMENTAL
    - 这将让你能选择把实验性的 IP Masquerade 程式码编译到核心里去

  * Enable loadable module support
    CONFIG_MODULES
    - 让你能够载入模组

  * Networking support
    CONFIG_NET

  * Network firewalls
    CONFIG_FIREWALL

  * TCP/IP networking
    CONFIG_INET

  * IP: forwarding/gatewaying
    CONFIG_IP_FORWARD

  * IP: firewalling
    CONFIG_IP_FIREWALL

  * IP: masquerading (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE
    - 这虽然是实验性的，但却是 *必须* 的

  * IP: ipautofw masquerade support (EXPERIMENTAL)
    CONFIG_IP_MASQUERADE_IPAUTOFW
    - 建议加入

  * IP: ICMP masquerading
    CONFIG_IP_MASQUERADE_ICMP
    - 支援伪装 ICMP 封包，可选用

  * IP: always defragment
    CONFIG_IP_ALWAYS_DEFRAG
    - 高度建议使用

  * Dummy net driver support
    CONFIG_DUMMY
    - 建议加入

       注意: 这只不过是你跑 IP Masquerade 所需的项目，其它的按照你所需的来
       选择。
     * 在编译完核心之後，你需要编译及安装模组:
       
make modules; make modules_install

     * 然後把下面几行加到你的 /etc/rc.d/rc.local 档案 (或其它你认为适当的
       档案)中以便於每次重开机时自动载入位於 /lib/modules/2.0.x/ipv4/ 的模
       组:
       
        .
        .
        .
/sbin/depmod -a
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_raudio
/sbin/modprobe ip_masq_irc
(以及其它的模组如 ip_masq_cuseeme, ip_masq_vdolive,
如果你有加上这些修补的话)
        .
        .
        .

       重要: IP 转送功能在 2.0.34 之後的核心中预设是关闭的，请确定你以此指
       令将其打开:
       
echo "1" > /proc/sys/net/ipv4/ip_forwarding

       对於 Red Hat 的使用者来说，你可以把 /etc/sysconfig/network 中的
       FORWARD_IPV4=false 改成 FORWARD_IPV4=true。
     * 重新启动 Linux 主机。
       
3.2 指定私用网路的 IP 位址

   因为所有其它机器都没有正式指定的位址，必须有个正确的方式来分配位址给这
   些机器。
   
   节自 IP Masquerade FAQ:
   
   有份 RFC (#1597, 现在可能已过时了) 是有关没有与外界连线的网路该使用什麽
   IP 位址。有三个数字区块是特别为这个目的而保留的。其中一个我使用的是
   192.168.1.n 到 192.168.255.n 之间的 255 Class-C 子网路。
   
节自 RFC 1597:

第三节: 私用位址空间

      网际网路位址指定当局(IANA: Internet Assigned Numbers Authority)
      已经保留下列三个区块的 IP 位址空间给私用网路:

                     10.0.0.0        -   10.255.255.255
                     172.16.0.0      -   172.31.255.255
                     192.168.0.0     -   192.168.255.255

      我们将称第一个区块为 "24位元区块"，第二个为 "20位元区块"，
      而第三个则称为 "16位元区块"。注意到第一个区块就只是个
      class A  网路号码，第二个区块则是连续的 16 个 class B 网路
      号码，而第三个区块是一组 255  个连续的 class C 网路号码。

   所以，如果你要使用一个 class C 网路的话，那麽你的机器应该以
   192.168.1.1, 192.168.1.2, 192.168.1.3, ..., 192.168.1.x 来名之。
   
   192.168.1.1 通常是闸道这台机器，在此即你连上网际网路的 Linux 主机。注意
   192.168.1.0 以及 192.168.1.255 分别为网路以及广播位址，是保留的。避免在
   你的机器上使用这些位址。
   
3.3 配置其它机器

   除了为每台机器设定适当的 IP 位址之外，你也应该设定适当的闸道。一般说来
   ，这是非常直接了当的。你只需简单地输入 Linux 主机的位址(通常是
   192.168.1.1)作为闸道位址。
   
   关於领域名称服务，你可以加入任何 DNS 系统。最可能的应该是你 Linux 使用
   的那一个。你也可以选择性地加上任何网域字尾(domain suffix) 。
   
   在你重新配置这些 IP 位址之後，记得重新启动适当的服务或是重新开机。
   
   下面的配置□例假设你使用一个 Class C 网路并且以 192.168.1.1 作为 Linux
   主机的位址。请注意 192.168.1.0 及 192.168.1.255 是保留的。
   
  配置 Windows 95
  
    1. 如果你还没有安装网路卡以及界面驱动程式，现在做。
    2. 到 '控制台/网路' 里去。
    3. 如果你的网路配置里没有 'TCP/IP 协定' 则加进去。
    4. 在'TCP/IP 内容'中，选择'IP 位址'并且把 IP 位址设定为
       192.168.1.x,(1<x<255) ，并且把子网路遮罩设为 255.255.255.0
    5. 在'通讯闸'中加入 192.168.1.x 作为你的闸道。
    6. 在'DNS 配置'/'DNS 伺服器'下加入你的 Linux 主机使用的 DNS (通常可以
       在 /etc/resolv.conf 里找到)。你可以选择性地加入适当的网域字尾搜寻顺
       序。
    7. 不要变更原先的其它设定，除非你知道自己在做什麽。
    8. 在所有的对话盒中按下'确定'并且重新启动系统。
    9. 测试网路连线，Ping 你的 linux 主机: 从'开始/执行'，输入 ping
       192.168.1.1
       (这只是区域网路连线测试，你现在还不能 ping 外面的世界。)
   10. 你可以在 windows 目录下选择性地建立一个 HOSTS 档案，如此你可以使用
       区域网路里的机器名称。在 windows 目录里有个称为 HOSTS.SAM 的□例。
       
  配置 Windos for Workgroup 3.11
  
    1. 如果你还没有安装网路卡以及界面驱动程式，现在做。
    2. 如果你还未安装 TCP/IP 32b 套件的话就装吧。
    3. 在 'Main'/'Windows Setup'/'Network Setup', 按下 'Drivers'。
    4. 将 'Network Drivers' 里的 'Microsoft TCP/IP-32 3.11b' 反白，按下
       'Setup'。
    5. 设定 IP 位址於 192.168.1.x (1 < x < 255), 然後设定 Subnet Mask 为
       255.255.255.0 以及 Default Gateway 为 192.168.1.1。
    6. 不要开启 'Automatic DHCP Configuration' 并在 'WINS Server' 中放入任
       何东西，除非你在一 Windows NT 网域中而且你知道你在做什麽。
    7. 按下 'DNS', 填入在 3.3.1 小节中步骤六提到的资讯，然後在你完成後按下
       'OK' 钮。
    8. 按下 'Advanced', 如果你使用类似 3.3.1 小节步骤十中提到主机档案，勾
       选 'Enable DNS for Windows Name Resolution' 及 'Enable LMHOSTS
       lookup'。
    9. 在所有对话盒中按 'OK' 并重新启动系统。
   10. Ping 一下你的 Linux 主机以测试网路连接: 在 'File/Run' 输入: ping
       192.168.1.1
       (这只不过是区域网路的连接测试，你还不能 ping 到外面的世界)。
       
  Configuring Windows NT
  
    1. 如果你还没有安装网路卡以及界面驱动程式，现在做。
    2. 到 'Main'/'Control Panel'/'Network'。
    3. 如果你还没装 TCP/IP 服务的话从 'Add Software' 选单中加入 TCP/IP 协
       定及相关的部份。
    4. 在 'Network Software and Adapter Cards' 里将 'Installed Network
       Software' 选择盒中的 'TCP/IP 协定' 反白。
    5. 在 'TCP/IP Configuration'，选择适当的界面驱动程式，例如，[1]Novell
       NE2000 Adapter。然後设定 IP 位址於 192.168.1.x (1 < x < 255)，然後
       设定 Subnet Mask 为 255.255.255.0 以及 Default Gateway 为
       192.168.1.1。
    6. 不要开启 'Automatic DHCP Configuration' 并在 'WINS Server' 中放入任
       何东西，除非你在一 Windows NT 网域中而且你知道你在做什麽。
    7. 按下 'DNS', 填入在 3.3.1 小节中步骤六提到的资讯，然後在你完成後按下
       'OK' 钮。
    8. 按下 'Advanced', 如果你使用类似 3.3.1 小节步骤十中提到主机档案，勾
       选 'Enable DNS for Windows Name Resolution' 及 'Enable LMHOSTS
       lookup'。
    9. 在所有对话盒中按 'OK' 并重新启动系统。
   10. Ping 一下你的 Linux 主机以测试网路连接: 在 'File/Run' 输入: ping
       192.168.1.1
       (这只不过是区域网路的连接测试，你还不能 ping 到外面的世界)。
       
  配置 UNIX 系列的系统
  
    1. 如果你还未安装你的网路卡并以适当的界面驱动程式重新编译你的核心，现
       在就做吧。
    2. 安装 TCP/IP 网路，像是 nettools 套件，如果你还没装的话。
    3. 将 IPADDR 设为 192.168.1.x (1 < x < 255), 然後将 NETMASK 设为
       255.255.255.0, GATEWAY 设为 192.168.1.1, 以及 BROADCAST 设为
       192.168.1.255。
       例如，在 Red Hat Linux 系统上你可以编辑
       /etc/sysconfig/network-scripts/ifcfg-eth0，或直接从 Control Panel
       里做。
       (在 SunOS, BSDi, Slackware Linux, 等中都不相同...)
    4. 将你的名称伺服器及领域搜寻字尾加到 /etc/resolv.conf。
    5. 依据你的设定你可能要更新你的 /etc/networks 档案。
    6. 重新启动适当的服务，或简单的重新开机。
    7. 发出 ping 指令: ping 192.168.1.1 以测试到你的 gateway 机器的连接性
       。
       (这只不过是区域网路的连接测试，你还不能 ping 到外面的世界)。
       
  配置使用 NCSA Telnet 套件的 DOS 机器
  
    1. 如果你还没有安装网路卡，现在做。
    2. 载入适当的封包驱动程式。对於 NE2000 卡来说，如果你的卡设定为 IRQ
       10 及硬体位址於 0x300，用 nwpd 0x60 10 0x300。
    3. 建立一新目录，然後解开 NCSA Telnet 套件: pkunzip tel2308b.zip
    4. 使用文字编辑器打开 config.tel 档案。
    5. 设定 myip=192.168.1.x (1 < x < 255), 以及 netmask=255.255.255.0。
    6. 在本例子中，你应该设定 hardware=packet, interrupt=10, ioaddr=60。
    7. 你至少要有一单独的机器设定为 gateway，也就是 Linux 主机:
       
name=default
host=yourlinuxhostname
hostip=192.168.1.1
gateway=1

    8. 还要有另外一个指定领域名称服务:
       
name=dns.domain.com ; hostip=123.123.123.123; nameserver=1

       注意: 用你 Linux 主机使用的 DNS 的适当资讯来取代。
    9. 储存你的 config.tel 档案。
   10. Telnet 到你的 Linux 主机以测试网路连接: telnet 192.168.1.1
       
  配置执行 MacTCP 的 MacOS 机器
  
    1. 如果你还没为你的乙太网路转接器安装适当的驱动程式，最好现在就作。
    2. 打开 MacTCP control panel，选择适当的网路驱动程式(Ethernet, 而非
       EtherTalk) 并按下 'More...' 钮。
    3. 在 'Obtain Address:', 按 'Manually'。
    4. 在 'IP Address:' 下，从弹出选单中选择 class C。忽略对话盒中的其它部
       份。
    5. 在 'Domain Name Server Information:' 中填入适当资讯。
    6. 在 'Gateway Address:' 中，填入 192.168.1.1。
    7. 按下 'OK' 以储存设定。在 MacTCP control panel 的主视窗中，在 'IP
       Address:' 盒中填入你 Mac 的 IP 位址 (192.168.1.x, 1 < x < 255)。
    8. 关闭 MacTCP control panel。如果有的弹出视窗提醒你重新开机，那就做吧
       。
    9. 你可以 ping 一下你的 Linux 主来来测试网路连线。如果你有 MacTCP
       Watcher 免费程式，按下 'Ping' 钮，然後在弹出的对话盒中键入你的
       Linux 主机的地址(192.168.1.1)。(这只不过是区域网路的连接测试，你还
       不能 ping 到外面的世界。)
   10. 你可选择性地在 System Folder 中建立一 Hosts 档案以便你可以使用你区
       域网路里机器的主机名称。 这个档案可能已经存在於你的 System Folder
       里，而且它应该会包含一些(注解掉的)□例项目而你可以根据你的需要来修
       改。
       
  配置执行 Open Transport 的 MacOS 系统
  
    1. 如果你还没为你的乙太网路转接器安装适当的驱动程式，最好现在就作。
    2. 打开 TCP/IP Control Panel 然後从 Edit 选单中选择 'User Mode ...'。
       确定使用者模式至少是 'Advanced' 然後按下 'OK' 钮。
    3. 从 File 选单中选择 'Configurations...'。选择 'Default' 配置并按下
       'Duplicate...' 钮。在 'Duplicate Configuration' 对话盒中键入 'IP
       Masq' (或是其它能让你知道这是个特殊配置的字眼)，它可能会说像是
       'Deafault copy' 什麽的。然後按下 'OK' 钮，以及 'Make Active' 钮。
    4. 从 'Connect via:' 弹出式选单中选择 'Ethernet'。
    5. 从 'Configure:' 弹出式选单选择适当的项目。如果你不知道应该选什麽，
       你可能应该重新选择你的 'Default' 配置然後离开。我用的是 'Manually'
       。
    6. 在 'IP Address:' 盒中输入你的 Mac 的 IP 位址 (192.168.1.x, 1 < x <
       255)。
    7. 在 'Subnet mask:' 盒中输入 255.255.255.0。
    8. 在 'Router address:' 盒中输入 192.168.1.1 。
    9. 在 'Name server addr.:' 盒中输入你的领域名称伺服器 IP 位址。
   10. 在 'Implicit Search Path:' 里的 'Starting domain name' 输入你的网际
       网路领域名称(例如 'microsoft.com')。
   11. 接下来的步骤是选择性的。不正确的值可能导致严重的错误行为。如果你不
       确定，最好留下空白，不要勾选。如果需要的话，除去那些栏位中的任何资
       讯。就我目前所知没有办法在 TCP/IP 对话视窗中告诉系统不要使用以前选
       过的另一 "Hosts" 档案。如果你知道的话，我很有兴趣了解。如果你的网路
       需要 802.3 框架的话就勾选 '802.3'。
   12. 按下 'Options...' 以确定 TCP/IP 有作用。我使用 'Load only when
       needed' 选项。如果你执行并结束 TCP/IP 应用程式许多次而未重新启动你
       的机器，你将发现不选 'Load only when needed' 会抑制/降低你机器的记
       忆体管理效能。不选此项目将使 TCP/IP 协定总是被载入便於使用。如果勾
       选了，TCP/IP 协定会自动在需要时载入并在不需要时释放。载入与释放的过
       程可能使你机器的记忆体变的碎裂。
   13. 你可以 ping 一下你的 Linux 主来来测试网路连线。如果你有 MacTCP
       Watcher 免费程式，按下 'Ping' 钮，然後在弹出的对话盒中键入你的
       Linux 主机的地址(192.168.1.1)。(这只不过是区域网路的连接测试，你还
       不能 ping 到外面的世界。)
   14. 你可以在 System Folder 中建立一 Hosts 档案以便你可以使用你区域网路
       里机器的主机名称。这个档案可能已经或还未存在於你的 System Folder 里
       。如果有的话，它应该会包含一些(注解掉的)□例项目而你可以根据你的需
       要来修改。如果还没有的话，你可以从一部正在运作 MacTCP 的系统中取回
       ，或自己建一个(它遵循 Unix 的 /etc/hosts 档案格式，在 RFC 952 中描
       述)。一旦你建立了这个档案，打开 TCP/IP control panel，按下 'Select
       Hosts File...' 钮，然後打开 Hosts 档案。
   15. 关闭对话盒或从 File 选单中选择 'Close' 或 'Quit' 然後按下 'Save' 以
       储存你所做的改变。
   16. 这些改变会立刻生效，但重新开机也无害。
       
  配置使用 DNS 的 Novell 网路
  
    1. 如果你还没为你的乙太网路转接器安装适当的驱动程式，最好现在就作。
    2. 从 [41]ftp.novell.com/pub/updates/unixconn/lwp5 取回 tcpip16.exe。
    3.
编辑 c:\nwclient\startnet.bat
       : (here is a copy of mine)
SET NWLANGUAGE=ENGLISH
LH LSL.COM
LH KTC2000.COM
LH IPXODI.COM
LH tcpip
LH VLM.EXE
F:
    4.
编辑 c:\nwclient\net.cfg
       : (将驱动程式改为你的， i.e. NE2000)
Link Driver KTC2000
        Protocol IPX 0 ETHERNET_802.3
        Frame ETHERNET_802.3
        Frame Ethernet_II
        FRAME Ethernet_802.2

NetWare DOS Requester
           FIRST NETWORK DRIVE = F
           USE DEFAULTS = OFF
           VLM = CONN.VLM
           VLM = IPXNCP.VLM
           VLM = TRAN.VLM
           VLM = SECURITY.VLM
           VLM = NDS.VLM
           VLM = BIND.VLM
           VLM = NWP.VLM
           VLM = FIO.VLM
           VLM = GENERAL.VLM
           VLM = REDIR.VLM
           VLM = PRINT.VLM
           VLM = NETX.VLM

Link Support
        Buffers 8 1500
        MemPool 4096

Protocol TCPIP
        PATH SCRIPT     C:\NET\SCRIPT
        PATH PROFILE    C:\NET\PROFILE
        PATH LWP_CFG    C:\NET\HSTACC
        PATH TCP_CFG    C:\NET\TCP
        ip_address      xxx.xxx.xxx.xxx
        ip_router       xxx.xxx.xxx.xxx
    5. 最後建立
c:\bin\resolv.cfg
       :
SEARCH DNS HOSTS SEQUENTIAL
NAMESERVER 207.103.0.2
NAMESERVER 207.103.11.9
    6. 我希望这些某些使用 Novell 网路的人有帮助。还有，这对 Netware 3.1x
       或 4.x 都有用。
       
  配置 OS/2 Warp
  
    1. 如果你还没为你的乙太网路转接器安装适当的驱动程式，最好现在就作。
    2. 如果你还没装 TCP/IP 通讯协定的话现在就装。
    3. 开启 Programms/TCP/IP (LAN) / TCP/IP 设定
    4. 在 'Network' 栏位加上你的 TCP/IP 位址并设定你的 netmask
       (255.255.255.0)
    5. 在 'Routing' 栏位按下 'Add'。将 Type 栏位设定为 'default' 并在
       'Router Address' 栏位中键入你的 Linux 主机的 IP 位址 (192.168.1.1)
       。
    6. 将 'Hosts' 栏位设定与你的 Linux 主机使用相同的 DNS (名称伺服器)位址
       。
    7. 关闭 TCP/IP 控制台。在接下来的问题中回答 yes。
    8. 重新启动你的系统
    9. 你可以 ping 你的 Linux 主机以测试网路配置。在 'OS/2 命令视窗' 上键
       入 'ping 192.168.1.1'。如果收到 ping 封包一切就没问题。
       
  配置其它系统
  
   相同的逻辑应可适用於配置其它的平台。查阅上述的小节的说明。 如果你有兴趣
   写关於其它的作业系统的配置， 请送详细的建立指引到
   [42]ambrose@writeme.com 及 [43]dranch@trinnet.net。
   
3.4 配置 IP 转送(Forwarding)的方式

   到目前为止，你应该已经安装好核心以及其它需要的套件，也载入了你的模组。
   同时，其它机器的 IP 位址，闸道，以及　DNS 也该全都设定完成。
   
   现在，唯一剩下要做的事是使用 IP 防火墙工具来转送适当的封包给适当的机
   器:
   
     ** 这可以用许多不同的方式来达成。下列的建议与例子对我来说能用，但你
     可能有不同的主意，详节部份请参考 4.4 节及 ipchains(2.2.x) /
     ipfwadm(2.0.x) 的线上手册。 **
     
     ** 本节仅提供你建立 IP 伪装功能所需的最少规则，一些安全的考量并未包
     含进去。 强烈建议你花一些时间去研究适当的防火墙规则来加强安全性。
     **
     
  Linux 2.2.x 核心
  
   Ipfwadm 已经无法在 2.2.x 版的核心中处理 IP 封包的伪装规则，请改用
   ipchains。
   
ipchains -P forward DENY
ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ

   其中 x 视你的子网路而定，为下列数字之一，而 yyy.yyy.yyy.yyy 则是你的网
   路位址。
   
netmask         | x  | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0       | 8  | Class A
255.255.0.0     | 16 | Class B
255.255.255.0   | 24 | Class C
255.255.255.255 | 32 | Point-to-point

   你也可以使用这种格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx, 其中
   xxx.xxx.xxx.xxx 指定你的子网路遮罩，如 255.255.255.0。
   
   例如，如果我是在一个 class C 子网路上，我得输入:
   
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/24 -j MASQ

   或
   
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ

   你也可以分别对每台机器设定。 例如，如果我想让 192.168.1.2 及
   192.168.1.8 能够存取网际网路，但不允许其它机器使用的话，我得输入:
   
ipchains -P forward DENY
ipchains -A forward -s 192.168.1.2/32 -j MASQ
ipchains -A forward -s 192.168.1.8/32 -j MASQ

   不要把你的预设方式(policy)定为伪装(masquerading) － 否则可以操控他们的
   递送路径(routing) 的人将能够直接穿过(tunnel)你的闸道，以此伪装他们的身
   分!
   
   同样地，你可以把这些加入 /etc/rc.d/rc.local 档案，任何一个你比较喜欢的
   rc 档案，或是在每次你需要 IP Masquerade 时手动执行之。
   
   关於 ipchains 的详细使用方法，请参考 [44]Linux IPCHAINS HOWTO
   
  Linux 2.0.x 核心
  
ipfwadm -F -p deny
ipfwadm -F -a m -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0

   或
   
ipfwadm -F -p deny
ipfwadm -F -a masquerade -S yyy.yyy.yyy.yyy/x -D 0.0.0.0/0

   其中 x 视你的子网路而定，为下列数字之一，而 yyy.yyy.yyy.yyy 则是你的网
   路位址。
   
netmask         | x  | Subnet
~~~~~~~~~~~~~~~~|~~~~|~~~~~~~~~~~~~~~
255.0.0.0       | 8  | Class A
255.255.0.0     | 16 | Class B
255.255.255.0   | 24 | Class C
255.255.255.255 | 32 | Point-to-point

   你也可以使用这种格式 yyy.yyy.yyy.yyy/xxx.xxx.xxx.xxx, 其中
   xxx.xxx.xxx.xxx 指定你的子网路遮罩，如 255.255.255.0。
   
   例如，如果我是在一个 class C 子网路上，我得输入:
   
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0

   因为 bootp 请求封包没有合法的 IP's ，客户端并不知道它的位址，对於在伪
   装/防火墙上执行 bootp 伺服器的人必须在 deny 之前执行下列指令:
   
ipfwadm -I -a accept -S 0/0 68 -D 0/0 67 -W bootp_clients_net_if_name -P udp

   你也可以分别对每台机器设定。 例如，如果我想让 192.168.1.2 及
   192.168.1.8 能够存取网际网路，但不允许其它机器使用的话，我得输入:
   
ipfwadm -F -p deny
ipfwadm -F -a m -S 192.168.1.2/32 -D 0.0.0.0/0
ipfwadm -F -a m -S 192.168.1.8/32 -D 0.0.0.0/0

   常见的错误是像这样的第一行指令
ipfwadm -F -p masquerade

   不要把你的预设方式(policy)定为伪装(masquerading) － 否则可以操控他们的
   递送路径(routing) 的人将能够直接穿过(tunnel)你的闸道，以此伪装他们的身
   分!
   
   同样地，你可以把这些加入 /etc/rc.d/rc.local 档案，任何一个你比较喜欢的
   rc 档案，或是在每次你需要 IP Masquerade 时手动执行之。
   
   请阅读 4.4 节有关 Ipfwadm 的详细指引。
   
3.5 测试 IP Masquerade

   在这些工作完成後，现在是试试看的时候了。确定你的 Linux 主机到网际网路的
   连线是通的。
   
   你可以在其它机器上试著浏览一些'网际网路!!!' 上的网页，看是否能见到。我
   建议第一次尝试时使用 IP 位址而不要用主机名称，因为你的 DNS 设定有可能并
   不正确。
   
   例如，你可以使用 [45]http://152.19.254.81/mdw/linux.html 来存取 Linux
   文件计画网页 http://metalab.unc.edu/mdw/linux.html
   
   如果你看见 The Linux Documentation Project 的字样，那麽恭喜! 它可以运作
   了! 接著你可以使用主机名称试试看，然後是 telnet, ftp, RealAudio, True
   Speech，以及任何 IP Masquerade 支援的东西。
   
   到目前为止，我还不曾在上面的设定上发生过问题，而那些花下时间让这个绝妙
   功能运作的人完全同意这些设定。
   
4. 其它 IP Masquerade 的问题及软体支援

4.1 IP Masquerade 的问题

   某些协定现在无法配合 masquerading 使用，因为它们不是假设有关埠号的一些
   事情，就是在位址及埠号的资料流里编码资料 － 後面这些协定需要在
   masquerading 程式码里建立特定的代理程式使它们能运作。
   
4.2 进入系统的服务(incoming services)

   Masquerading 完全不能处理外界的服务请求 (incoming services)。 只有极少
   方法能允许它们，但这完全与 masquerading 无关，而且实在是标准的防火墙方
   式。
   
   如果你并不要求高度的安全性那麽你可以简单地重导(redirect)这些埠。 有几种
   不同的方法可以做这件事 － 我使用一只修改过的 redir 程式(我希望这只程式
   很快就能从 sunsite 及其 mirrors 取得)。 如果你希望能够对外界进入系统的
   服务请求有某种程度的身分验认(authorisation) 那麽你可以在 redir 的顶
   层(0.7 or above) 使用 TCP wrappers 或是 Xinetd 来允许特定 IP 位址通过，
   或使用其它的工具。TIS 防火墙工具集是寻找工具及资讯的好地方。
   
   更多的详节可在 [46]IP Masquerade Resource 找到。
   
   将会加上一小节更多关於转送服务的的资讯。
   
4.3 已支援的客户端软体以及其它设定方面的注意事项

     ** 下面的列表将不再被维护了。可经由 Linux IP masquerading 运作的应用
     程式请参考 [47]这里 和 [48]IP Masquerade Resource 以取得进一步的细节
     。 **
     
   一般说来，使用传输控制协定(TCP) 或是使用者定义资料协定 (UDP)的应用程式
   应该都能运作。 如果你有任何关於应用程式与 IP Masquerade 相容的建议，提
   示或问题，请拜访由 Lee Nevo 维护的 [49]可与 Linux IP masquerading 运作
   的应用程式 网页。
   
  可以使用的客户端软体
  
   一般客户端软体
   
   HTTP
          所有有支援的平台，浏览网页
          
   POP & SMTP
          所有有支援的平台，电子邮件软体
          
   Telnet
          所有有支援的平台，远端签入作业
          
   FTP
          所有有支援的平台，配合 ip_masq_ftp.o 模组(不是所有站台都能配合各
          种客户端软体；例如某些不能使用 ws_ftp32 触及的站台却能使用
          netscape 进入)
          
   Archie
          所有有支援的平台，档案搜寻软体(并非所有 archie 客户端软体都支
          援)
          
   NNTP (USENET)
          所有有支援的平台，网路新闻软体
          
   VRML
          Windows (可能所有有支援的平台都可以)，虚拟实境浏览
          
   traceroute
          主要是 UNIX 系列的平台，某些变种可能无法运作
          
   ping
          所有平台，配合 ICMP 修补档
          
   anything based on IRC
          所有有支援的平台，配合 ip_masq_irc.o 模组
          
   Gopher client
          所有有支援的平台
          
   WAIS client
          所有有支援的平台
          
   多媒体客户端软体
   
   Real Audio Player
          Windows, 网路资料流音讯，配合载入 ip_masq_raudio 模组
          
   True Speech Player 1.1b
          Windows, 网路资料流音讯
          
   Internet Wave Player
          Windows, 网路资料流音讯
          
   Worlds Chat 0.9a
          Windows, 客户－伺服端立体交谈(3D chat) 程式
          
   Alpha Worlds
          Windows, Windows, 客户－伺服端立体交谈(3D chat) 程式
          
   Powwow
          Windows, 点对点文字声音白板通讯，如果你呼叫别人，人们可以与你交
          谈，但是他们不能呼叫你。
          
   CU-SeeMe
          所有有支援的平台，配合载入 cuseeme 模组，详细细节请参 阅 [50]IP
          Masquerade Resource
          
   VDOLive
          Windows, 配合 vdolive 修补档
          
   注意: 即使不是由你呼叫别人，使用 ipautofw 套件某些客户端软体像是
   IPhone 以及 Powwow 可能还是可以运作(参阅 4.6 节)
   
   其它客户端软体
   
   NCSA Telnet 2.3.08
          DOS, 包含 telnet, ftp, ping 等等的一组套件。
          
   PC-anywhere for windows 2.0
          MS-Windows, 经由 TCP/IP 远端遥控 PC ，只有在作为客户端而非主机端
          的情形下才能运作
          
   Socket Watch
          使用 ntp － 网路时间协定
          
   Linux net-acct package
          Linux, 网路帐号管理套件
          
  无法使用的客户端软体
  
   Intel Internet Phone Beta 2
          可以连上但声音只能单向(往外)传送
          
   Intel Streaming Media Viewer Beta 1
          无法连上伺服器
          
   Netscape CoolTalk
          无法连接对方
          
   talk,ntalk
          这将不会运作 － 需要撰写一份核心代理程式。
          
   WebPhone
          目前无法运作(它做了不合法的位址假设)。
          
   X
          没有测试过，但我想除非有人建立一套 X 代理程式否则它无法运作，这
          可能是 masquerading 程式码之外的一个外部程式。一个让它运作的方式
          是使用 ssh 作为链结并且使用其内部的 X 代理功能来执行!
          
  已测试过可以作为其它机器的平台/作业系统
  
     * Linux
     * Solaris
     * Windows 95
     * Windows NT (both workstation and server)
     * Windows For Workgroup 3.11 (with TCP/IP package)
     * Windows 3.1 (with Chameleon package)
     * Novel 4.01 Server
     * OS/2 (including Warp v3)
     * Macintosh OS (with MacTCP or Open Transport)
     * DOS (with NCSA Telnet package, DOS Trumpet works partially)
     * Amiga (with AmiTCP or AS225-stack)
     * VAX Stations 3520 and 3100 with UCX (TCP/IP stack for VMS)
     * Alpha/AXP with Linux/Redhat
     * SCO Openserver (v3.2.4.2 and 5)
     * IBM RS/6000 running AIX
       
   基本上，所有支援 TCP/IP 而且允许你指定匣道器/路由器(gateway/router)的作
   业系统都应该能和 IP Masquerade 一起工作。
   
4.4 IP 防火墙管理 (ipfwadm)

   这一节提供关於 ipfwadm 更深入的使用指引。
   
   这是一个给在固定 PPP 位址之 PPP 连线後面的防火墙/伪装系统使用的设定。信
   赖(trusted) 界面为 192.168.255.1, PPP 界面已经修改过以避免犯错 :) 。我
   分别列出每一个进入(incoming)以及送出(outgoing)界面来抓出变更递送路
   径(stuffed routing) 以及/或是伪装(masquerading)等等这些个 IP spoofing
   技巧。同时任何没有明确允许的东西都是禁止的!
   
#!/bin/sh
#
# /etc/rc.d/rc.firewall,  定义防火墙配置，从 rc.local 执行。
#

PATH=/sbin:/bin:/usr/sbin:/usr/bin

# 测试用，等待一段时间然後清除所有的防火墙规则。
# 如果你希望防火墙十分钟之後自动关闭就取消下列几行的注解。
# (sleep 600; \
# ipfwadm -I -f; \
# ipfwadm -I -p accept; \
# ipfwadm -O -f; \
# ipfwadm -O -p accept; \
# ipfwadm -F -f; \
# ipfwadm -F -p accept; \
# ) &

# 进入伪装闸道的设定，更新以及设定拒绝的策略(policy)。事实上
# 预设的策略没什麽关系，因为原先就希望拒绝以及记录所有规则
ipfwadm -I -f
ipfwadm -I -p deny
# 伪装闸道的本地(local) 界面，区域网路里的机器，允许连往任何
# 地方
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
# 伪装闸道的远端(remote)界面，声称是区域网路里的机器，IP spoofing
# 拒绝
ipfwadm -I -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# 伪装闸道的远端界面，任何来源，允许送往固定 (permanent) PPP
# 位址
ipfwadm -I -a accept -V your.static.PPP.address -S 0.0.0.0/0 -D your.static.PPP
.address/32
# 回授(loopback)界面是允许的
ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# 捕捉所有规则，任何其它的进入方式都会被拒绝并记录。可惜没有
# 记录用的选项但这可以代替
ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# 送出伪装闸道的设定，更新以及设定拒绝的策略(policy)。事实上
# 预设的策略没什麽关系，因为原先就希望拒绝以及记录所有规则
ipfwadm -O -f
ipfwadm -O -p deny
# 本地界面，允许任何来源送出至区域网路
ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16
# 远端界面送出至区域网路，stuffed routing ，拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# 区域网路的机器从远端界面送出，stuffed masquerading，拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/0 -o
# 区域网路的机器从远端界面送出，stuffed masquerading，拒绝
ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/16 -o
# 任何其它远端界面送出的东西都是允许的
ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/32 -
D 0.0.0.0/0
# 回授(loopback)界面是允许的
ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0
# 捕捉所有规则，任何其它的送出方式都会被拒绝并记录。可惜没有
# 记录用的选项但这可以代替
ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

# 伪装闸道的转送设定，更新以及设定拒绝的策略(policy)。事实上
# 预设的策略没什麽关系，因为原先就希望拒绝以及记录所有规则
ipfwadm -F -f
ipfwadm -F -p deny
# 伪装区域网路的机器从本地界面送出至任何地方的资料
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
# 捕捉所有规则，任何其它的转送方式都会被拒绝并记录。可惜没有
# 记录用的选项但这可以代替
ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

   你可以使用 -I, -O 或是 -F 来控制到某特定节点的流量。记得这些规则集是由
   上往下扫描的而 -a 代表"附加(append)"到目前现有的规则集中所以任何限制必
   须在全域(global)规则之前出现。例如(没测试过) :-
   
   使用 -I 规则。可能是速度最快的但是它只能阻止区域网路里的机器，防火墙本
   身仍然可以存取"禁止"的节点。当然你可能想允许这样的组合。
   
... start of -I rules ...
# 拒绝并记录本地界面，区域网路里的机器通往 204.50.10.13
ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# 本地界面，区域网路里的机器，允许通往任何地方
ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0
... end of -I rules ...

   使用 -O 规则。最慢，因为封包首先经过伪装但这个规则阻止防火墙存取禁止的
   节点。
   
... start of -O rules ...
# 拒绝并记录送出至 204.50.10.13 的资料
ipfwadm -O -a reject -V your.static.PPP.address -S your.static.PPP.address/32 -
D 204.50.10.13/32 -o
# 允许任何其它远端界面送出的东西
ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/32 -
D 0.0.0.0/0
... end of -O rules ...

   使用 -F 规则。可能比 -I 慢而这仍然只能阻止伪装的机器(例如内部的机器)，
   防火墙仍然可以取得禁止的节点。
   
... start of -F rules ...
# 拒绝并记录 PPP  界面送出从区域网路到 204.50.10.13 的资料。
ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o
# 伪装本地界面从区域网路送出至任何地方的资料。
ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0
... end of -F rules ...

   不需要有个特定的规则来允许 192.168.0.0/16 通往 204.50.11.0, 这涵盖於全
   域规则中。
   
   有一种以上的方法可以对界面设定上述规则。例如可以使用 -W eth0 来取代 -V
   192.168.255.1，可以使用 -W ppp0 来取代 -V your.static.PPP.address。个人
   的选择最重要。
   
4.5 IP 防火墙链 (ipchains)

   这个主要是给 2.2.x 核心使用的防火墙规则管理工具(加上一个修补档後也可在
   2.0.x 上运作)。
   
   我们会尽快更新此节，给一些使用 ipchains 的□例。
   
   细节请参考 [51]Linux IP Firewalling Chains page 以及 [52]Linux
   IPCHAINS HOWTO。
   
4.6 IP Masquerade 以及需求式拨接(Demand-Dial-Up)

    1. 如果你想把网路设定成自动拨接上网际网路，那麽 diald demand 拨接套件
       将会是很棒的工具。
    2. 要设定 diald, 请查看 [53]Setting Up Diald for Linux Page 网页
    3. 一旦 diald 以及 IP masq 设定完成，你可以在任何客户端机器上启动
       web, telnet 或是 ftp 连线。
    4. Diald 将会侦测到进入系统的请求，然後拨接到你的 ISP 并建立连线。
    5. 第一次连线将会发生逾时(timeout) 的情形。如果你使用类比式的数据机那
       这是无可避免的。 建立数据机连结以及 PPP 连线所花费的时间将会使你的
       客户端软体不耐。 如果你使用 ISDN 连线那这是可以避免的。你得做的只是
       结束客户端软体现行的程序再重新启动即可。
       
4.7 IPautofw 封包转送程式

   [54]IPautofw 是一个给 Linux masquerading 使用的一般性 TCP 及 UDP 转送程
   式。一般使用需要 UDP 的套件的时候，需要载入特定的 ip_masq 模组
   ；ip_masq_raudio, ip_masq_cuseeme,... Ipautofw 以更一般化的方式运作，它
   将会转送包含这些应用程式特定模组都不会转送的任何资料流型态。如果没有正
   确地管理这可能造成安全上的漏洞。
   
4.8 CU-SeeMe 与 Linux IP-Masquerade 的简短说明

   由 [55]Michael Owings 所提供。
   
  简介
  
     本节解释让 CU-SeeMe (包括 Cornell 及 White Pine 版本) 与 Linux 的
     IP 伪装功能一起运作的方法。
     
   CU-SeeMe 是一个桌上视讯会议的软体，有 Windows 及 Macintosh 两种客户端。
   一个免费的版本可从 [56]Cornell University 取得。商业的加强版可从
   [57]White Pine Software 取得。
   
   IP 伪装允许一部或更多部在区域网路上的工作站"伪装"在一部连接到网际网路的
   Linux 主机之後。 区域网路内的工作站可以几乎透通地取用网际网路，即使它没
   有合法的 IP 地址。 Linux 主机重写从内部网路到网际网路的外送封包，使它们
   看起来就像是从这部 Linux 机器发出的一样。 送进来的回应封包也被改写并转
   送至内部网路的正确工作站上。 这项安排使得许多网际网路的应用程式可以透通
   地从内部网路的工作站上执行。 然而，对某些应用程式来说(像 CU-SeeMe),
   Linux 的伪装程式需要一些小技巧的辅助才能使得封包转送得以正确运作。 这些
   辅助技巧通常来自於某些特殊的核心可载入模组。 关於 IP-Masquerading 的更
   多资讯，请参考 [58]The Linux IP Masquerading Website。
   
  让它运作
  
   首先你需要适当地配置核心。你应该加入 IP-Masquerading 及 IP
   AutoForwarding 的完整支援。IP Autoforwarding 出现在 2.0.30 及其後的核心
   选项 -- 更早的核心你需要修补档。 参见 [59]Linux IP Masquerade Resource
   关於 IP-Autoforwarding 的资讯指引。
   
   接下来，你要取得最新版本的 ip_masq_cuseeme.c。 这可经由匿名 FTP 从
   [60]ftp://ftp.swampgas.com/pub/cuseeme/ip_masq_cuseeme.c 取得。 这个新
   的模组也已经加入 2.0.31 的核心之中。你可以用新的版本来取代核心中的版本
   。 ip_masq_cuseeme.c 通常位於 Linux 核心原始码的 net/ipv4 目录中。 你必
   须编译并安装此模组。
   
   接下来，你必须建立 UDP 埠号 7648-7649 的自动转送如下:
   
ipautofw -A -r udp 7648 7649 -c udp 7648 -u

   或
   
ipautofw -A -r udp 7648 7649 -h www.xxx.yyy.zzz

   第一个形式允许呼叫利用埠号 7648 (主要的 cu-seeme 埠号)进出工作站。 第二
   个使用 ipautofw 的方式仅允计 cu-seeme 进出 www.xxx.yyy.zzz。 我较喜欢前
   面这种形式，因为它更有弹性而且没有必要指定一个特别的工作站 IP。 然而，
   这个方式会要求一工作站能收到呼叫前先送出呼叫。
   
   注意这两种方式都将客户端机器的 UDP 埠号 7648-7649 开放给外界 -- 虽然这
   不至於有严重的安全危险，你还是应特别小心。
   
   最後，以下法载入新的 ip_masq_cuseeme 模组:
   
modprobe ip_masq_cuseeme

   现在你可以从你区域网路上一部被伪装的机器上执行 CU-SeeMe 并连接到远端的
   回应器(reflector)上，或另一个 CU-SeeMe 的使用者。 你应该也可以收到呼叫
   。注意外界的呼叫者必须使用你 Linux 匣道器的 IP, 而不是被伪装工作站的
   IP。
   
  限制/警告
  
  密码保护的回应器
  
   目前没有任何办法使用。 White Pine 使用来源 IP (由客户端程式计算)在传送
   前将密码编码保护。 因为我们改写了位址，回应器使用错误的来源 IP 来解码，
   因此得到不正确的密码。 除非 White Pine 改变他们密码编码的策略(我已经建
   议过了)，或是他们愿意开放他们密码编码的公式以便让我能加到
   ip_masq_cuseeme。 由於後面一个办法的可能性很小，因此我非常鼓励看到这份
   文件的人与 White Pine 联络并建议他们采用前一种作法。 因为本页的流量相当
   满高的，我怀疑我们能否产生足够的电子邮件以使此问题能进入 White Pine 的
   优先处理名单中。
   
   感谢 Thomas Griwenka 提醒我这件事。
   
  执行回应器
  
   你不能尝试在你跑 ip_masq_cuseeme 及 ipautoforwarding 埠号 7648 的相同机
   器上执行回应器(reflector)。 这没有用，因为两者都需要配置埠号 7648。 或
   者用另一部可直达网际网路的主机来执行，或是在执行回应器前卸下 CU-SeeMe
   的客户端支援。
   
  多 CU-SeeMe 使用者
  
   你不能一次有多位 CU-SeeMe 使用者同时在一个区域网路上面。 这是由於
   CU-SeeMe 顽固地坚持使用埠号 7648, 使得在区域网路内一次仅能有一台工作站
   能(容易地)被重导向。
   
   使用 -c (control port) 来呼叫 ipautofw, 你可以避免指定一固定的工作站位
   址去使用 CU-SeeMe -- 第一部使用控制埠号 7648 送出任何东西的工作站会被指
   定为接收来自埠号 7648-7649 的流量。 如果经过五分钟左右这部工作站不再使
   用埠号 7648, 另一部工作站就可接著使用。
   
  协助设定 CU-SeeMe
  
   若有任何评论或问题请写信到 [61]mikey@swampgas.com。 或者如果你愿意的话
   ，你可以 [62]透过 CU-SeeMe 来呼叫我。
   
4.9 其它相关工具

   我们会尽快更新此节加上更多其它伪装相关的工具如 ipportfw 以及 masqadmin
   。
   
5. 常见问题解答

   如果你想到任何有用的常见问题与解答，请写信到 [63]ambrose@writeme.com 及
   [64]dranch@trinnet.net。 请清楚地说明问题并附上适当的解答。谢谢!
   
5.1 IP Masquerade 能否和动态配置的 IP 共同运作?

   是的，它能和你 ISP 动态配置的 IP, 通常是由一部 DHCP 伺服器分配的位址一
   起运作。 只要你有一个合法的网际网路位址，它就能运作。当然，固定的 IP 一
   样没问题。
   
5.2 我能使用数据机，DSL, 卫星连线等来连接网际网路并使用 IP Masquerade 吗?

   当然，只要 Linux 支援该网路界面，它就能运作。
   
5.3 IP Masquerade 支援什麽应用程式?

   要保持一份"能用的应用程式"列表是相当困难的。 不过，大部分正常的网际网路
   应用程式都被支援，例如浏□器(Netscape, MSIE 等), ftp (像 WS_FTP), Real
   Audio, telnet, SSH, POP3 (收信程式 - Pine, Outlook 等), SMTP(送信程
   式), 等等。
   
   使用复杂协定或特殊连线方式的应用程式，例如视讯会议软体就需要特别的辅助
   工具。
   
   进一步的细节，请参考 Lee Nevo 维护的 [65]applications that work thru
   Linux IP masquerading。
   
5.4 我如何在 Redhat, Debian, Slackware 等使用 IP Masquerade 呢?

   不论你使用何种发行套件，本文件中描述的方法都应该能适用。 某些套件可能包
   含了 GUI 或是特别的设定档案能简化配置的步骤。 我们是尽力让这份文件写得
   适用最一般化的情形。
   
5.5 我升级到 2.2.x 的核心，为什麽 IP Masquerade 不能用了?

   假设你的 Linux 主机已经适当地连上网际网路与你的内部网路，有几件事你必需
   检查:
   
     * 确定你已编译并载入必要的特性与模组。参见前面章节的说明。
     * 检查 /usr/src/linux/Documentation/Changes 并确定你安装了最低需求的
       网路工具。
     * 确定你打开了 IP 转送机制。试著执行
       
echo "1" > /proc/sys/net/ipv4/ip_forwarding

     * 你必须使用 [66]ipchains 来处理 IP 伪装及防火墙规则。
     * 将整个设定配置的过程再做一次! 很多时候只是打错字或是你忽略了一个愚
       蠢的错误。
       
5.6 我已经升级到 2.0.30 後的核心，为什麽 IP Masquerade 还不能用?

   假设你的 Linux 主机已经适当地连上网际网路与你的内部网路，有几件事你必需
   检查:
   
     * 确定你已编译并载入必要的特性与模组。参见前面章节的说明。
     * 检查 /usr/src/linux/Documentation/Changes 并确定你安装了最低需求的
       网路工具。
     * 确定你打开了 IP 转送机制。试著执行
       
echo "1" > /proc/sys/net/ipv4/ip_forwarding

     * 你必须使用 [67]ipfwadm 来处理 IP 伪装及防火墙规则。要在 2.0.x 使用
       ipchains 的话你必须加上修补。
     * 将整个设定配置的过程再做一次! 很多时候只是打错字或是你忽略了一个愚
       蠢的错误。
       
5.7 我无法让 IP Masquerade 运作! 有 Windows 平台的选择吗?

   所以你要放弃一个可在最低硬体需求使用的免费，可靠，高效率的解决方案，而
   想花钱在某个需要更高硬体，低效率且不可靠的未来? (嗯，是的，我真的遇过这
   样的经验 ;-) )
   
   好吧，那是你的事。用搜寻引擎找找 MS Proxy Server, Wingate, 或看看
   www.winfiles.com。 别说是我告诉你。
   
5.8 我检查过我所有的设定了，仍无法让 IP Masquerade 工作。我该怎麽办?

     * 冷静一下。给你自己一杯咖啡并休息一下，然後试试下面的建议。
     * 看一下 [68]IP Masquerade Mailing List Archive, 大部份你要的答案已经
       在等著你了。
     * 把你的问题送到 IP Masquerade 通信论坛上，细节请看下一则问题。 请仅
       有在你无法找到答案时才这麽做。
     * 在 Linux 的网路相关讨论群中发问。
     * 写信到 [69]ambrose@writeme.com 及 [70]dranch@trinnet.net。 同时送信
       给我们你会有较佳的机会得到回应。David 回信的情况较佳，至於我的回应
       时间嘛，不予置评。
     * 再次检查你的设定 :-)
       
5.9 我如何加入 IP Masquerade 通信论坛?

   要加入 IP Masquerade 通信论坛的话，写信到
   [71]masq-subscribe@indyramp.com。
   
   标题与信件内容将被忽略。这可使得你收到来自论坛的每一个讯息。 如果你需要
   的话，欢迎你使用此方式。但如果可以的话，请改用精华区(digest)。 使用精华
   区可减轻伺服器的负载。注意你只能使用你用来订阅的帐号/位址发送信件。
   
   想得到更多指令的说明，写信到 [72]masq-help@tori.indyramp.com。
   
5.10 我想协助 IP Masquerade 的发展。我该怎麽做?

   写信到 [73]masq-dev-subscribe@tori.indyramp.com (或是精华区形式，使用
   [74]masq-dev-digest-subscribe@tori.indyramp.com)。 加入 IP
   Masquerading DEVELOPERS 的通信论坛并请教那边伟大的开发者。
   
   别在那边询问与 IP Masquerade 发展无关的问题!!!!
   
5.11 在那里可找到更多 IP Masquerade 的资讯?

   你可在 David 及我提过的 [75]Linux IP Masquerade Resource 找到更多 IP
   Masquerade 的资讯。参见 6.2 小节。
   
   你也可在 Indyramp Consulting 维护的 [76]The Semi-Original Linux IP
   Masquerading Web Site 找到更多资讯。这也是提供 IP Masquerade 通信论坛的
   地方。
   
5.12 我想翻译本文件成其它语言，我该怎麽做?

   请先确定你想翻译的语言还没有其它人做过。 一份可取得的翻译文件列表可从
   [77]Linux IP Masquerade Resource 得到。
   
   写信给我到 [78]ambrose@writeme.com, 我会寄最新版的 SGML 原始档给你。
   
5.13 这文件有点过时了，你还有在维护吗?你能加进更多 ... 的资讯吗? 有任何改善的计
划吗?

   是的，本文件有被维护。因为两份工作使我太忙而没有太多时间放在这边使我感
   到内疚，我很抱歉。 然而，有了 David Ranch 加入本文件的维护，情况应有改
   善。
   
   如果你觉得某一主题应被加到文件中，请写信给我及 David。 最好你可以提供该
   资讯。如果合适的话我及 David 会把这资讯加到文件中。非常感谢你的贡献。
   
   我们也有一些新的点子与计划来改进这份文件，像是包含不同网路设定的案例探
   讨， 更多关於安全性，ipchains 的使用，ipfwadm/ipchains 规则□例，更多的
   常见问题与解答， 以及包含更多协定与埠号转送的工具像是 masqadmin 等等。
   如果你觉得你可以帮忙的话，请尽管做。谢谢。
   
5.14 我终於让 IP Masquerade 能动了，好棒! 我想谢谢你们，我该怎麽做?

   感谢这些发展者并感激他们所投入的时间与努力。写信给我们并让我们知道你有
   多快乐。 向其它人介绍 Linux 并帮他们解决问题。
   
6. 其它

6.1 有用的资源

     * [79]IP Masquerade Resource page 应有更多建立 IP Masquerade 的资讯。
     * [80]IP masquerade mailing list archive 包含最近送到通信论坛上的信件
       。
     * 给核心 2.2.x 与 2.0.x 的 [81]Linux IP Masquerade mini HOWTO。
     * 如果你用更旧的核心，请看 [82]IP Masquerade HOWTO for kernel 1.2.x
     * [83]IP masquerade FAQ 有某些一般的资讯。
     * [84]Linux IPCHAINS HOWTO 及
       [85]http://www.rustcorp.com/linux/ipchains/ 有许多关於 ipchains 使
       用的资讯，并有 ipchains 的原始码及二进位执行档。
     * [86]X/OS Ipfwadm page 包含 ipfwadm 套件的原始码，执行档，文件及其它
       的资讯。
     * 由 Lee Nevo 所维护的网页 [87]可与 Linux IP masquerading 运作的应用
       程式 提供提示与技巧使得应用程式能与 IP Masquerade 运作。
     * The [88]LDP Network Administrator's Guide 这是新手尝试设定网路的必
       要资讯。
     * [89]Trinity OS Doc, 一份关於 Linux 网路相当容易理解的指引。
     * [90]Linux NET-3 HOWTO 也有许多关於 Linux 网路方面有用的资讯。
     * [91]Linux ISP Hookup HOWTO 以及 [92]Linux PPP HOWTO 给你如何把
       Linux 主机连上网际网路的相关资讯。
     * [93]Linux Ethernet-Howto 有关设定执行乙太网路的区域网路很棒的资讯来
       源。
     * 你也可能对 [94]Linux Firewalling and Proxy Server HOWTO 有兴趣。
     * [95]Linux Kernel HOWTO 将会指引你编译核心的过程。
     * 其它的 [96]Linux HOWTOs 像是 Kernel HOWTO。
     * 张贴到这个 USENET 新闻群组: [97]comp.os.linux.networking
       
6.2 Linux IP Masquerade 资源

   [98]Linux IP Masquerade Resource 是一专门用来提供 Linux IP Masquerade
   资讯的站台，也是由 David Ranch 及我来维护。 这边有关於 IP Masquerade 最
   新的资讯，可能也有未包含在本文件的其它资讯。
   
   你可在下列地点找到 Linux IP Masquerade Resource:
     * [99]http://ipmasq.cjb.net/, 主站台，重导至
       [100]http://www.tor.shaw.wave.ca/~ambrose/
     * [101]http://ipmasq2.cjb.net/, 第二分站, 重导至
       [102]http://www.geocities.com/SiliconValley/Heights/2288/
       
6.3 感谢

     * David Ranch, dranch@trinnet.net
       协助维护本文件及 Linux IP Masquerade 资源网页, ..., 族繁不及备载
       :-)
     * Michael Owings, mikey@swampgas.com
       提供关於 CU-SeeMe 的简短说明文件。
     * Gabriel Beitler, gbeitler@aciscorp.com
       on providing section 3.3.8 (setting up Novel)
     * Ed Doolittle, dolittle@math.toronto.edu
       建议在 ipfwadm 加上 -V 选项以增加安全性。
     * Matthew Driver, mdriver@cfmeu.asn.au
       on helping extensively on this HOWTO, and providing section 3.3.1
       (setting up Windows 95)
     * Ken Eves, ken@eves.com
       on the FAQ that provides invaluable information for this HOWTO
     * Ed. Lott, edlott@neosoft.com
       for a long list of tested system and software
     * Nigel Metheringham, Nigel.Metheringham@theplanet.net
       on contributing his version of IP Packet Filtering and IP
       Masquerading HOWTO, which make this HOWTO a better and technical
       in-depth document
       section 4.1, 4.2, and others
     * Keith Owens, kaos@ocs.com.au
       on providing an excellent guide on ipfwadm section 4.2
       on correction to ipfwadm -deny option which avoids a security
       hole, and clarified the status of ping over IP Masquerade
     * Rob Pelkey, rpelkey@abacus.bates.edu
       on providing section 3.3.6 and 3.3.7 (setting up MacTCP and Open
       Transport)
     * Harish Pillay, h.pillay@ieee.org
       on providing section 4.5 (dial-on-demand using diald)
     * Mark Purcell, purcell@rmcs.cranfield.ac.uk
       on providing section 4.6 (IPautofw)
     * Ueli Rutishauser, rutish@ibm.net
       on providing section 3.3.9 (setting up OS/2 Warp)
     * John B. (Brent) Williams, forerunner@mercury.net
       on providing section 3.3.7 (setting up Open Transport)
     * Enrique Pessoa Xavier, enrique@labma.ufrj.br
       on the bootp setup suggestion
     * developers of IP Masquerade for this great feature
       
          + Delian Delchev, delian@wfpa.acad.bg
          + Nigel Metheringham, Nigel.Metheringham@theplanet.net
          + Keith Owens, kaos@ocs.com.au
          + Jeanette Pauline Middelink, middelin@polyware.iaf.nl
          + David A. Ranch, trinity@value.net
          + Miquel van Smoorenburg, miquels@q.cistron.nl
          + Jos Vos, jos@xos.nl
          + Paul Russell, Paul.Russell@rustcorp.com.au
          + 还有其它我忘了提的(请让我知道)
            
     * 所有送回馈及建议到通信论坛上的使用者，特别是那些报告文件上的错误以
       及已支援与未支援的客户端的。
     * 如果我没有包括某些使用者送给我的资讯我感到抱歉。有如此多的建议与想
       法送到我这里，但我只是没有足够的时间去确定或者我不小心丢了。 我正尽
       我最大的努力整合所有送给我的资讯到这份文件里。感谢你的辛劳，而我也
       希望你能体谅我的情况。
       
6.4 参考资料

     * Ken Eves 的 IP masquerade 常见问答集
     * Indyramp Consulting 之 IP masquerade 通信论坛
     * X/OS 的 Ipfwadm 网页
     * 各个关於网路的 Linux HOWTOs

References

   1. mailto:ambrose@writeme.com
   2. mailto:dranch@trinnet.net
   3. http://www.phys.ntu.edu.tw/~cwhuang/pub/
   4. mailto:cwhuang@linux.org.tw
   5. mailto:ambrose@writeme.com
   6. mailto:dranch@trinnet.net
   7. http://ipmasq.cjb.net/
   8. http://ipmasq.cjb.net/
   9. http://ipmasq.cjb.net/
  10. http://ipmasq2.cjb.net/
  11. http://ipmasq.cjb.net/index.html#mirror
  12. http://ipmasq.cjb.net/
  13. http://www.kernel.org/
  14. http://metalab.unc.edu/mdw/HOWTO/NET-3-HOWTO.html
  15. http://metalab.unc.edu/mdw/LDP/nag/nag.html
  16. http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS.wri
  17. http://metalab.unc.edu/mdw/HOWTO/ISP-Hookup-HOWTO.html
  18. http://metalab.unc.edu/mdw/HOWTO/PPP-HOWTO.html
  19. http://metalab.unc.edu/mdw/HOWTO/mini/DHCP.html
  20. http://metalab.unc.edu/mdw/HOWTO/mini/Cable-Modem.html
  21. http://www.rustcorp.com/linux/ipchains/
  22. http://www.rustcorp.com/linux/ipchains/
  23. http://ipmasq.cjb.net/
  24. http://ipmasq.cjb.net/
  25. http://www.kernel.org/
  26. http://www.pi.se/blox/modules/modules-2.0.0.tar.gz
  27. http://metalab.unc.edu/mdw/HOWTO/NET-3-HOWTO.html
  28. http://metalab.unc.edu/mdw/LDP/nag/nag.html
  29. http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS.wri
  30. http://metalab.unc.edu/mdw/HOWTO/ISP-Hookup-HOWTO.html
  31. http://metalab.unc.edu/mdw/HOWTO/PPP-HOWTO.html
  32. http://metalab.unc.edu/mdw/HOWTO/mini/DHCP.html
  33. http://metalab.unc.edu/mdw/HOWTO/mini/Cable-Modem.html
  34. ftp://ftp.xos.nl/pub/linux/ipfwadm/ipfwadm-2.3.0.tar.gz
  35. http://www.xos.nl/linux/ipfwadm/
  36. http://ipmasq.cjb.net/
  37. file://localhost/tmp/Kernel-HOWTO.html
  38. http://ipmasq.cjb.net/
  39. file://localhost/tmp/Kernel-HOWTO.html
  40. http://ipmasq.cjb.net/
  41. file://localhost/tmp/zh-sgmltools.30455/ftp.novell.com/pub/updates/unixconn/lwp5
  42. mailto:ambrose@writeme.com
  43. mailto:dranch@trinnet.net
  44. http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html
  45. http://152.19.254.81/mdw/linux.html
  46. http://ipmasq.cjb.net/
  47. http://dijon.nais.com/~nevo/masq/
  48. http://ipmasq.cjb.net/
  49. http://dijon.nais.com/~nevo/masq/
  50. http://ipmasq.cjb.net/
  51. http://www.rustcorp.com/linux/ipchains/
  52. http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html
  53. http://home.pacific.net.sg/~harish/diald.config.html
  54. ftp://ftp.netis.com/pub/members/rlynch/ipautofw.tar.gz
  55. mailto:mikey@swampgas.com
  56. http://cu-seeme.cornell.edu/
  57. http://www.wpine.com/
  58. http://www.indyramp.com/masq/
  59. http://ipmasq.cjb.net/
  60. ftp://ftp.swampgas.com/pub/cuseeme/ip_masq_cuseeme.c
  61. mailto:mikey@swampgas.com
  62. http://www.swampgas.com/vc/vc.htm
  63. mailto:ambrose@writeme.com
  64. mailto:dranch@trinnet.net
  65. http://dijon.nais.com/~nevo/masq/
  66. http://www.rustcorp.com/linux/ipchains/
  67. http://www.xos.nl/
  68. http://home.indyramp.com/lists/masq/
  69. mailto:ambrose@writeme.com
  70. mailto:dranch@trinnet.net
  71. mailto:masq-subscribe@indyramp.com
  72. mailto:masq-help@tori.indyramp.com
  73. mailto:masq-dev-subscribe@tori.indyramp.com
  74. mailto:masq-dev-digest-subscribe@tori.indyramp.com
  75. http://ipmasq.cjb.net/
  76. http://www.indyramp.com/masq/
  77. http://ipmasq.cjb.net/
  78. mailto:ambrose@writeme.com
  79. http://ipmasq.cjb.net/
  80. http://www.indyramp.com/masq/list/
  81. http://ipmasq.cjb.net/ipmasq-HOWTO.html
  82. http://ipmasq.cjb.net/ipmasq-HOWTO-1.2.x.txt
  83. http://www.indyramp.com/masq/ip_masquerade.txt
  84. http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html
  85. http://www.rustcorp.com/linux/ipchains/
  86. http://www.xos.nl/linux/ipfwadm/
  87. http://dijon.nais.com/~nevo/masq/
  88. http://metalab.unc.edu/mdw/LDP/nag/nag.html
  89. http://www.ecst.csuchico.edu/~dranch/LINUX/TrinityOS.wri
  90. http://metalab.unc.edu/mdw/HOWTO/NET-3-HOWTO.html
  91. http://metalab.unc.edu/mdw/HOWTO/ISP-Hookup-HOWTO.html
  92. http://metalab.unc.edu/mdw/HOWTO/PPP-HOWTO.html
  93. http://metalab.unc.edu/mdw/HOWTO/Ethernet-HOWTO.html
  94. http://metalab.unc.edu/mdw/HOWTO/Firewall-HOWTO.html
  95. http://metalab.unc.edu/mdw/HOWTO/Kernel-HOWTO.html
  96. http://metalab.unc.edu/mdw/HOWTO/HOWTO-INDEX-3.html
  97. news:comp.os.linux.networking
  98. http://ipmasq.cjb.net/
  99. http://ipmasq.cjb.net/
 100. http://www.tor.shaw.wave.ca/~ambrose/
 101. http://ipmasq2.cjb.net/
 102. http://www.geocities.com/SiliconValley/Heights/2288/