在本教程中，我將解釋多個設備怎樣在linux下共享一個網絡連接。目前無線路由器已經成為主流的消費品，從而解決了本文這一問題。這里假設你家中并沒有一臺無線路由器，不過，你卻有一臺已經有"貓"和有線網卡的的linux主機。"貓"是以動態(tài)公有IP地址的模式連接到互聯(lián)網，主機的網卡連接到你的交換機或者集線器。其他設備（如linux或者windows的PC或者筆記本）以網橋的形式連接，并且沒有連接到互聯(lián)網。為了共享linux主機的互聯(lián)網，你必須把主機轉換成網關，以便它能實現(xiàn)從其他設備中傳送和接受信息。

術語字匯

• 私有IP地址（路由不可達地址）是一個被用于本地局域網的IP地址（在互聯(lián)網中不可見）。
• 公用IP地址（路由可達地址）是一個在互聯(lián)網中可見的IP地址。
• IP偽裝是一項允許一系列機器通過MASQ網關連接互聯(lián)網的功能。這些MASQ網關之外的機器在互聯(lián)網中是不可見的。MASQ之后的機器中任何流入或流出的數據必須經過MASQ網關。
• 網絡地址轉換（NAT）是一項通過IP偽裝技術可以使私有IP地址訪問互聯(lián)網的功能。

Hardware Requirements

硬件要求

• 一臺有兩個接口（一個公有IP地址和其他的私有IP地址）的linux主機，這個主機將被用作網關。
• 一臺或者多臺擁有私有IP地址的linux/windows系統(tǒng)的PC或者筆記本。
• 交換機/集線器（可選）。

教程步驟

接下來的過程需要在linux主機（用于共享的網關）上完成。

1、激活IP轉發(fā)

為了設置網絡共享，你需要在linux主機上更改一個內核參數來使能IP轉發(fā)功能。內核啟動參數設定在/etc/sysctl.conf文件中。

打開這個文件，定位到含有"# net.ipv4.ip_forward = 0"的這一行，移除#號（即取消注釋），然后將其值設置為1，改好之后應該和下面的一致。

net.ipv4.ip_forward = 1

你還要使激活IP轉發(fā)功能生效，通過執(zhí)行下面的命令：

$ sudo sysctl -w net.ipv4.ip_forward=1
$ sudo sysctl -p

2、NAT配置

另一個網絡共享的重要部分是NAT配置，這可以通過使用iptables的命令，iptables包含四個防火墻的規(guī)則表：

• FILTER (默認表格)
• NAT
• MANGLE
• RAW

這個教程中我們將僅使用兩個表格：FILTER和NAT表格。

首先，刷新所有活躍的防火墻的規(guī)則。

$ sudo iptables -X
$ sudo iptables -F
$ sudo iptables -t nat -X
$ sudo iptables -t nat -F

在輸入表格中，你需要設置轉發(fā)鏈（FORWARD）成可接受的（ACCEPT）目的地，因此所有通過主機的數據包將會被正確的處理。

$ sudo iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
$ sudo iptables -I FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT

在NAT表中，你必須為你的WAN口啟用IP偽裝功能，我們假設WAN口協(xié)議是ppp0。為了在ppp0接口上使能IP偽造技術，我們使用以下的命令：

$ sudo iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE

3、配置私有IP地址

在linux主機上的所有配置完成后，你需要配置其他設備（linux/windows的PC或筆記本）的DNS服務器以及默認網關，讓它們的數據流可以指向linux主機。注意你不需要在linux主機上設置一個DNS服務器，從其他設備發(fā)出的每一個DNS請求都會通過上游的ISP自動轉發(fā)到linux主機上。

如果你的其他設備上用的系統(tǒng)是linux，你可以通過以下命令來更改他們的默認網關和DNS服務器。假設你的網段是192.168.1.0/24的私有IP地址網段，linux主機上綁定的IP地址是192.168.1.1。

$ sudo ip route del default
$ sudo ip route add default via 192.168.1.1
$ sudo sh -c "echo 'nameserver 192.168.1.1' > /etc/resolv.conf"

如果還有其他的linux設備，那么你可以重復以上命令。

如果你有windows設備，你可以通過控制面板的網絡連接屬性來更改默認網關和DNS服務器。

4、完整的腳本

這是一個在linux主機上設置網絡連接共享的一個完整的腳本。WAN口（ppp0協(xié)議）需要根據你具體的網絡接口協(xié)議來替換。

$ sudo vi /usr/local/bin/ishare

#!/bin/bash
 
## Internet connection shating script
 
sysctl -w net.ipv4.ip_forward=1
sysctl -p
iptables -X
iptables -F
iptables -t nat -X
iptables -t nat -F
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD  -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -t nat -I POSTROUTING -o ppp0 -j MASQUERADE

保存以上的腳本為/usr/local/bin/ishare，然后添加可執(zhí)行權限通過執(zhí)行下面的命令。

$ sudo chmox +x /usr/local/bin/ishare

如果你需要這個腳本開機啟動，你需要在/etc/rc.local文件中執(zhí)行這個腳本，并在該文件中的"exit 0"之前添加下面一行。

/usr/local/bin/ishare

via: http://xmodulo.com/2014/06/internet-connection-sharing-iptables-linux.html

譯者：yujianxuechuan 校對：wxy

本文由 LCTT 原創(chuàng)翻譯，Linux中國 榮譽推出