Безопасность и оптимизация Linux.Редакция для Red Hat
Создание ядра с поддержкой маскарада и форвардинга. - часть 2
[root@deep /]# /etc/rc.d/init.d/network restart Bringing up interface lo [ OK ] Bringing up interface eth0 [ OK ] Bringing up interface eth1 [ OK ]
Лично я предпочитаю второй способ включения форвардинга.
Под Red Hat 6.2:
Редактируйте файл “/etc/sysctl.conf” и добавьте следующую строку:
# Enable packet forwarding
net.ipv4.ip_forward = 1
Вы должны перезагрузить ваши сетевые установки, чтобы изменения вступили в силу.
[root@deep /]# /etc/rc.d/init.d/network restart Setting network parameters [ OK ] Bringing up interface lo [ OK ] Bringing up interface eth0 [ OK ] Bringing up interface eth1 [ OK ]
ЗАМЕЧАНИЕ. Строка IP forwarding, введенная выше, нужна только если вы ответили “Yes” на вопрос “IP:Masquerading (CONFIG_IP_MASQUERADE)” при конфигурировании ядра и решили сделать из сервера шлюз с маскарадингом для вашей внутренней сети.
Если вы включили IP Masquerading, тогда будут автоматически скомпилированы модули ip_masq_ftp.o (для обмена файлов по протоколу ftp), ip_masq_irc.o (для irc чатов), ip_masq_quake.o (догадайтесь сами для чего он), ip_masq_vdolive.o (для VDOLive видео), ip_masq_cuseeme.o (для CU-SeeMe broadcasts) и ip_masq_raudio.o (для RealAudio). Они нужны, чтобы работал маскарадинг для этих протоколов. Вам нужно будет создать модульное ядро, ответив Yes на вопрос “Enable loadable module support (CONFIG_MODULES)”, вместо монолитного, чтобы разрешить использование функции маскарадинга и модулей подобных ip_masq_ftp.o.
Основной код маскарадинга, включаемый опцией "IP: masquerading", обрабатывает только TCP или UDP пакеты (и ICMP ошибки для существующих соединений). Опция IP:ICMP Masquerading включает дополнительную поддержку для маскарадинга ICMP пакетов, таких как ping или исследований проводимых программой tracer из Windows 95.
ЗАМЕЧАНИЕ. Помните, что у других серверов, например, Веб или почтового, эти опции включать не надо, так как они имеют постоянно присвоенный им IP адрес или не выступают в роли Шлюза для внутренней сети.
Некоторые моменты для обсуждения.
Вы можете спокойно предполагать, что находитесь в постоянной опасности, если подключены к Интернет. Ваш шлюз в Интернет – основной источник тревоги, так что я рекомендую следующее:
