現(xiàn)在，因?yàn)槭褂镁€纜和DSL的Internet連接速度已經(jīng)超過(guò)了T1（傳輸速率可達(dá)1.544Mb/s的通訊線路），所以這兩種連接方式已經(jīng)在商業(yè)領(lǐng)域得到了廣泛的應(yīng)用。對(duì)于DSL和線纜連接來(lái)說(shuō)，使用Linux來(lái)做路由器，是一個(gè)非常經(jīng)濟(jì)的解決方案。特別是和一些高端商家（比如Cisco）的解決方案相比，這種優(yōu)勢(shì)尤為明顯。

    使用Linux路由器作為一個(gè)現(xiàn)有的、已經(jīng)成熟的網(wǎng)絡(luò)的一個(gè)部分，將會(huì)有一個(gè)比較特殊的問(wèn)題。如果我們使用Linux服務(wù)器作為DSL或者線纜連接的NAT（網(wǎng)絡(luò)地址轉(zhuǎn)換）服務(wù)器，那么我們將可通過(guò)Linux路由器對(duì)外提供服務(wù)。但是，對(duì)于大多數(shù)已經(jīng)成熟的企業(yè)網(wǎng)絡(luò)基礎(chǔ)構(gòu)架，這種方式卻不一定實(shí)用，也不一定可行。比如，如果你的公司在現(xiàn)有的內(nèi)部HTTP和SMTP服務(wù)上已經(jīng)投入了可觀的資金，或者在一個(gè)HTTP服務(wù)器上使用了負(fù)載平衡以支持電腦商務(wù)交易，那么你的公司將不太可能把這些服務(wù)移植到Linux服務(wù)器上。但是，如果公司想尋找一種經(jīng)濟(jì)的途徑來(lái)同時(shí)控制一些Internet服務(wù)，那么基于Linux的路由器將是一個(gè)很好的選擇。

NAT的使用
    讓我們來(lái)看一看公司的DSL/線纜連接只有一個(gè)IP地址的情況。我們?nèi)绾尾拍馨堰@個(gè)只有一個(gè)IP地址的流入數(shù)據(jù)包映射到內(nèi)部主機(jī)呢？事實(shí)上，Linux已經(jīng)把這一功能內(nèi)建到了自己的內(nèi)核中，所以我們只需幾個(gè)免費(fèi)的軟件工具就可以來(lái)管理這個(gè)功能。
    在數(shù)據(jù)包流出內(nèi)部網(wǎng)時(shí)，我們使用一個(gè)叫做IP偽裝的功能來(lái)提供NAT解決辦法，它可以讓眾多的內(nèi)部網(wǎng)主機(jī)共享一個(gè)IP地址。而對(duì)于外部連接來(lái)說(shuō)，似乎所有的得到的信息都來(lái)自同一個(gè)IP地址。在Linux里，具有NAT功能的組件是一個(gè)比較容易搞混的功能，它可以在端口級(jí)別執(zhí)行入站數(shù)據(jù)包的翻譯（有進(jìn)也叫反向NAT或者解除偽裝）。Linux路由器會(huì)監(jiān)聽(tīng)端口80（HTTP服務(wù)使用的默認(rèn)端口）的所有連接請(qǐng)求，并且當(dāng)檢測(cè)到一個(gè)連接請(qǐng)求時(shí)，它會(huì)自動(dòng)地把數(shù)據(jù)包轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)對(duì)應(yīng)的主機(jī)上。
    事實(shí)上，之所以我們對(duì)反向NAT功能不太了解，是因?yàn)樵谥髁鞯腖inux發(fā)行版本中，一般沒(méi)有包括對(duì)該功能的配置工具。一個(gè)最一般的，也是用得最廣泛的用于管理這一功能的應(yīng)用程序是“ipmasqadm”。要檢查你是否安裝了這一應(yīng)用程序，你可以以系統(tǒng)管理員的身份登錄，并在shell提示符下輸入“ipmasqadm”，如果得到“Command not found”的錯(cuò)誤信息，那么你可以從網(wǎng)上下載最新的RPM安裝包（比如：rpmfind.net就有）。

典型的網(wǎng)絡(luò)配置
    下圖描述的是一個(gè)線纜連接中使用Linux作為路由器的典型的網(wǎng)絡(luò)結(jié)構(gòu)圖。其中一個(gè)以太網(wǎng)端口（eth0）為線纜調(diào)制解調(diào)器提供了物理連接，另外一個(gè)端口（eth1）把路由器連接到LAN。此外，我們還可以使用第三個(gè)以太網(wǎng)端口eth2，雖然這不是必需的，但是使用它來(lái)提供一個(gè)獨(dú)立的DMZ (demilitarized zone，即非軍事區(qū))。DMZ是放置公共信息的最佳位置，這樣用戶、潛在用戶和外部訪問(wèn)者都可以直接獲得他們所需的關(guān)于公司的一些信息，而不用通過(guò)內(nèi)網(wǎng)。你公司中的機(jī)密的和私人的信息可以安全地存放在內(nèi)網(wǎng)中，即DMZ的后面。DMZ服務(wù)器上的破壞最多只可能造成在你恢復(fù)服務(wù)器時(shí)的一段中斷服務(wù)。這樣通過(guò)使用獨(dú)立的NIC（網(wǎng)卡）把服務(wù)器隔離，我們就把他們所有的活動(dòng)和企業(yè)局域網(wǎng)其它的部分分開(kāi)。一般來(lái)說(shuō)，我們使用DMZ來(lái)提供更好的防火墻保護(hù)，但是不管有無(wú)DMZ，在Linux服務(wù)器上的端口轉(zhuǎn)發(fā)都不會(huì)受到影響。

 

圖1 典型的網(wǎng)絡(luò)結(jié)構(gòu)圖

端口轉(zhuǎn)發(fā)的配置
端口轉(zhuǎn)發(fā)的功能很簡(jiǎn)單：與Sendmail、Apache響應(yīng)SMTP和HTTP信息不同，我們使用“ipmasqadm portfw”來(lái)轉(zhuǎn)發(fā)所有的信息。
在激活端口轉(zhuǎn)發(fā)之前，要確保所有相關(guān)的內(nèi)核都已加載。和端口轉(zhuǎn)發(fā)服務(wù)相關(guān)的有三個(gè)模塊，具體命令是（以root身分執(zhí)行）：

# insmod ip_masq_autofw.o
# insmod ip_masq_portfw.o
# insmod ip_masq_mfw.o

一旦運(yùn)行了這些命令，Linux路由器就開(kāi)始準(zhǔn)備處理端口轉(zhuǎn)發(fā)請(qǐng)求。來(lái)看下面的指令：

# ipmasqadm portfw -f

其中-f選項(xiàng)告訴Linux路由器刷新端口轉(zhuǎn)發(fā)規(guī)則表。執(zhí)行這個(gè)命令不是必需的，只不過(guò)如果當(dāng)前的表有多余或者錯(cuò)誤條目時(shí)，這是一個(gè)好辦法。
接下來(lái)的一系列命令將建立起Linux路由器轉(zhuǎn)發(fā)信息的規(guī)則。語(yǔ)法如下所示：

# ipmasqadm portfw -a -P PROTO -L LADDR LPORT -R RADDR RPORT [-p PREF]

其中-a參數(shù)指示這條規(guī)則應(yīng)該被加入規(guī)則表中；-P PROTO參數(shù)告訴Linux路由器轉(zhuǎn)發(fā)到哪一個(gè)IP地址（該選項(xiàng)只對(duì)TCP和UDP有效）；-L參數(shù)指示要監(jiān)控的IP地址和端口（默認(rèn)的IP地址和Internet網(wǎng)卡端口）；-R參數(shù)告訴路由器把數(shù)據(jù)包送到哪兒（IP地址和端口）。
在上述例子中，要路由流入的SMTP和HTTP的信息，我們使用如下指令：

# ipmasqadm portfw -a -P tcp -L 172.16.1.1 25 -R 192.168.1.1 25
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.2 80

第一行設(shè)置一個(gè)規(guī)則，告訴Linux路由器監(jiān)聽(tīng)對(duì)IP地址為172.16.1.1，端口為25的連接請(qǐng)求。并且把這些請(qǐng)求路由到內(nèi)部網(wǎng)中IP地址為192.168.1.1的電子郵件服務(wù)器的25端口上。同樣，第二條規(guī)則告訴路由器監(jiān)聽(tīng)端口80的連接請(qǐng)求，并將其路由到IP地址為192.168.1.2的HTTP服務(wù)器的端口80上。
好了，現(xiàn)在所有在端口25和80的連接請(qǐng)求，都會(huì)被自動(dòng)地轉(zhuǎn)發(fā)到應(yīng)的內(nèi)部網(wǎng)主機(jī)上了。并且，任何時(shí)候，我們都可以使用“ipmasqadm portfw -l”命令來(lái)查看正在起作用的端口轉(zhuǎn)發(fā)規(guī)則：

prot localaddr rediraddr lport rport pcnt pref
TCP 172.16.1.1 192.168.1.2 80 80 10 10
TCP 172.16.1.1 192.168.1.1 25 25 10 10

-n標(biāo)記告訴命令不要執(zhí)行DNS查找IP地址，并且只打印出所指定數(shù)量的IP地址。

非默認(rèn)端口的連接
當(dāng)然，我們也可以使用Linux的端口轉(zhuǎn)發(fā)能力來(lái)轉(zhuǎn)發(fā)非默認(rèn)的端口到默認(rèn)的端口，反之亦然。比如下例：

# ipmasqadm portfw -a -P tcp -L 172.16.1.1 11011 -R 192.168.1.1 110
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.2 25044

以上所示的第一行告訴Linux路由器把端口11011的連接請(qǐng)求，轉(zhuǎn)發(fā)到內(nèi)部主機(jī)192.168.1.1的端口110（POP3端口）。如果內(nèi)部主機(jī)是一個(gè)POP3服務(wù)器，那么這個(gè)命令將可以讓遠(yuǎn)程用戶使用非默認(rèn)的端口連接到他們的POP3信箱。這可以阻止一些網(wǎng)絡(luò)黑客試圖使用公共端口入侵POP郵件系統(tǒng)。
以上所示的第二行把Linux路由器上HTTP服務(wù)器標(biāo)準(zhǔn)端口80上的請(qǐng)求轉(zhuǎn)發(fā)到非標(biāo)準(zhǔn)端口25044上。這種情況主要是用于已經(jīng)在默認(rèn)端口上運(yùn)行了Web服務(wù)器，但是又想讓其能夠響應(yīng)其它非默認(rèn)的端口。

負(fù)載平衡
如果公司有一個(gè)高層的電子商務(wù)站點(diǎn)，而同時(shí)又運(yùn)行著一些Web服務(wù)器，那么就可以使用ipmasqadm portfw的 -p PREF參數(shù)來(lái)實(shí)現(xiàn)在這些服務(wù)器中的負(fù)載平衡。
-p的值雖然被稱(chēng)為首選項(xiàng)，事實(shí)上它實(shí)現(xiàn)的是一個(gè)計(jì)數(shù)器的功能。一旦Linux路由器建立起了規(guī)則所指定的相應(yīng)數(shù)目的連接，它就會(huì)跳到下一個(gè)入口。
比如，現(xiàn)在我們來(lái)創(chuàng)建如下所示的端口轉(zhuǎn)發(fā)規(guī)則：

# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.2 80 -p 5
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.3 80 -p 25
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.4 80 -p 10
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.5 80 -p 30

上面的指令說(shuō)明，首先和Linux路由器連接的5個(gè)請(qǐng)求，將被送到IP地址為192.18.1.2的HTTP服務(wù)器；接下去的25個(gè)連接將被送到地址為192.168.1.3的HTTP服務(wù)器；接下去的10個(gè)連接送到192.168.1.4；下30個(gè)連接送到192.168.1.5。一旦30個(gè)連接都被送到192.168.1.5以后，整個(gè)過(guò)程重新開(kāi)始。
這個(gè)轉(zhuǎn)發(fā)順序的規(guī)則說(shuō)明192.168.1.3 和192.168.1.5兩個(gè)服務(wù)器處理連接的能力要強(qiáng)于192.168.1.2 和192.168.1.4。通過(guò)監(jiān)測(cè)這些機(jī)器的服務(wù)器負(fù)載，網(wǎng)絡(luò)管理員就可以調(diào)整服務(wù)器的映射參數(shù)，以使整個(gè)站點(diǎn)保持最佳的響應(yīng)時(shí)間。
總結(jié)
在Linux里，端口轉(zhuǎn)發(fā)是一個(gè)強(qiáng)大的功能，但是相關(guān)的文檔較少。不過(guò)通過(guò)以上的學(xué)習(xí)，我們發(fā)現(xiàn)，其實(shí)這個(gè)功能并不難實(shí)現(xiàn)?，F(xiàn)在，你不僅可以把所有流入的Internet信息轉(zhuǎn)發(fā)到內(nèi)部網(wǎng)中的對(duì)應(yīng)主機(jī)上了，而且還可以使你的整個(gè)網(wǎng)絡(luò)在信息流入和流出時(shí)共享一個(gè)IP地址，這將可以大增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性。

文章錄入：csh    責(zé)任編輯：csh 

最新評(píng)論