使用Linux系統架設安全的網關

服務器上有兩塊網卡，eth0使用*.*.*.*IP地址連接Internet，eth1連接LAN，則其/etc/network/interfaces的設置如下：

以下為引用的內容：

        auto lo

　　iface lo inet loopback

　　auto eth0

　　iface eth0 inet static

　　address *.*.*.*

　　netmask 255.255.255.0

　　gateway *.*.*.254

　　auto eth1

　　iface eth1 inet static

　　address 192.168.0.1

　　network 192.168.0.0

　　netmask 255.255.255.0

　　broadcast 192.168.0.255

　　當然也可以使用ifconfig進行配置：

　　$ ifconfig eth0 *.*.*.* netmask 255.255.255.0

　    $ route add default gw *.*.*.254

　　$ ifconfig eth1 192.168.0.1 netmask 255.255.255.0

　　dns在/etc/resolv.conf中設置，修改或添加nameserver字段：

　　nameserver 202.120.2.101

　　如果ip地址是與mac綁定的，還要修改mac地址：

　　$ ifconfig eth0 down

　　$ ifconfig eth0 hw ether *:*:*:*:*:*

　　$ ifconfig eth0 up

 2、IP偽裝（IP-masquerade）

這時將lan內主機網關改為192.168.0.1，應該能ping通該網關，但是還是連不上internet。要實現LAN內的機器通過共享一個單獨的可訪問外網的IP地址來訪問Internet資源，還需要在網關上安裝ipmasq。

以下為引用的內容：
         $ sudo apt-get install ipmasq 

會提示進行一些設置，都默認即可。之后lan內主機應該就能連上internet了。

3、端口映射

假設lan內有一ftp192.168.0.2，要從internet上訪問該ftp，需要在網關主機上進行一定的端口映射�？墒褂胕ptables完成。下面是具體實現的腳本例子：

以下為引用的內容：
      #!/bin/sh

　   /sbin/modprobe iptable_filter

　   /sbin/modprobe ip_tables

　　/sbin/modprobe iptable_nat

　　/sbin/modprobe ip_nat_ftp

　　/sbin/modprobe ip_conntrack

　　/sbin/modprobe ip_conntrack_ftp

　　iptables -F

　　iptables -P INPUT ACCEPT

　　iptables -P FORWARD ACCEPT

　　iptables -P OUTPUT ACCEPT

　　iptables -F -t nat

　　iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 21 -j DNAT --to 192.168.123.6:21

　　iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 2345 -j DNAT --to 192.168.123.116:3389

　　iptables -t nat -A POSTROUTING -s 192.168.123.0/24 -o eth0 -j SNAT --to 202.120.16.34

　　echo 1 > /proc/sys/net/ipv4/ip_forward 

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]