本教程假设您已经配置了内核以支持 IP 地址伪装。请参阅下面的参考资料,了解有关为 Linux 防火墙配置内核的信息。
此设置使用星型/中心型配置。它将建立从机器 A 到机器 B 的 cipe 连接,以及从机器 A 到机器 C 的另一个连接。
Machine A
eth0: 192.168.1.1
eth1: real ip 1
/ \
/ \
Machine B Machine C
eth0: 192.168.2.1 eth0:192.168.3.1
eth1: real ip 2 eth1: real ip 3
eth0 is the local network (fake address)
eth1 is the internet address (real address)
Port A is any valid port you would like to choose
Port B is any other valid port you would like to choose
Key A is any valid key you would like to choose (read cipe doc for info)
Key B is any valid key you would like to choose
ip-up 脚本目前仅允许 C 类流量通过 cipe 接口。如果您希望机器 B 与机器 C 通信,则需要更改相应的 ip-up 和 ip-down 脚本。具体来说,您需要更改 ptpaddr 和 myaddr 网络掩码。有两个 ip-up 脚本,一个用于 ipchains,另一个用于 ipfwadm。ip-down 脚本也是如此。将相应的传入、传出和转发 cipe 接口防火墙规则网络掩码从 /24 更改为 /16。对于您在 ip-up 中为 ipfwadm 所做的任何 cipe 防火墙规则更改,请确保 ip-down 脚本反映了该更改,以便在接口关闭时将其从列表中正确删除。对于 ipchains 文件,在链中添加的任何内容都不需要 ip-down 反射,因为 ip-down 将刷新用户定义的链中的所有规则。
您还需要在机器 B 和 C 的 rc.cipe 中取消注释网络路由,该路由将彼此的网络添加到其路由表中。