網(wǎng)絡(luò)資源的分享是非常重要的，而建立起一個(gè)網(wǎng)關(guān)來(lái)進(jìn)行網(wǎng)絡(luò)分享是一個(gè)比較好的解決方案。在Linux系統(tǒng)中創(chuàng)建和設(shè)置網(wǎng)關(guān)非常簡(jiǎn)單，成本低廉，而且性能可靠。

1 Linux網(wǎng)絡(luò)設(shè)置

假定我們要處理的Linux有如下的配置：

NIC1: eth0, ip: 192.168.0.1，連接到局域網(wǎng)(LAN)

NIC2: eth1, ip: 1.2.3.4, 連接到公網(wǎng)

現(xiàn)在我們希望將分享這臺(tái)機(jī)器的網(wǎng)絡(luò)連接給LAN網(wǎng)絡(luò)上的其他電腦(ip: 192.168.0.0/16)

2 設(shè)置網(wǎng)關(guān)

下面提到的所有操作都需要root權(quán)限來(lái)執(zhí)行。

2.1 操作IP路由表

ip route add 192.168.0.0/16 dev eth0

# or 
# route add -net 192.168.0.0/16 dev eth0

2.2 啟用Linux IP 轉(zhuǎn)發(fā)(IP Forwarding)

sysctl -w net.ipv4.ip.forward=1

# or
# echo 1 > /proc/sys/net/ipv4/ip_forward

你也可以直接編輯/etc/sysctl.conf來(lái)持久化這一設(shè)置：

net.ipv4.ip_forward = 1

2.3 通過(guò)iptables設(shè)置源地址映射(SNAT)

將（其他電腦發(fā)送的）包的源地址修改為網(wǎng)關(guān)的源地址。iptables會(huì)自動(dòng)將響應(yīng)包的目的地址替換成正確的IP地址。

iptables -t nat -A POSTROUTING ! -d 192.168.0.0/16 -o eth1 -j SNAT --to-source 1.2.3.4

除了使用SNAT，也可以使用MASQUERADE:

iptables -t nat -A POSTROUTING ! -d 192.168.0.0/16 -o eth1 -j MASQUERADE

注意，對(duì)于靜態(tài)IP而言，SNAT的方式要更好一些。根據(jù)iptables man page:

This target is only valid in the nat table, in the POSTROUTING chain. It should only be used with dynamically assigned IP (dialup) connections: if you have a static IP address, you should use the SNAT target. Masquerading is equivalent to specifying a mapping to the IP address of the interface the packet is going out, but also has the effect that connections are forgotten when the interface goes down. This is the correct behavior when the next dialup is unlikely to have the same interface address (and hence any established connections are lost anyway).

你還需要確保其他iptables不會(huì)阻攔對(duì)應(yīng)的連接。如果你有這方面的問(wèn)題，可以嘗試：

iptables -F
iptables -t nat -F
iptables -t nat -A POSTROUTING ! -d 192.168.0.0/16 -o eth1 -j SNAT --to-source 1.2.3.4

上面的代碼可以允許所有的接入連接。不過(guò)這會(huì)存在一些安全性問(wèn)題。

3 客戶端配置

客戶端配置主要是把網(wǎng)關(guān)設(shè)置成192.168.0.1。例如如下命令

ip route add default via 192.168.0.1 dev eth0

# or
# route add default gw 192.168.0.1 eth0