因为所有'其它'机器都没有正式指定的位址，必须有个正确的方式来分配位址给这些机器。

节自 IP Masquerade FAQ:

有份 RFC(#1597) 是有关没有与外界连线的网路该使用什麽 IP 位址。有三个数字区块是特别为这个目的而保留的。其中一个我使用的是192.168.1.n 到 192.168.255.n 之间的 255 Class-C 子网路。

节自 RFC 1597:

第三节: 私用位址空间

网际网路位址指定当局(IANA: Internet Assigned Numbers Authority)已经保留下列三个区块的 IP 位址空间给私用网路:

10.0.0.0 - 10.255.255.255

172.16.0.0 - 172.31.255.255

192.168.0.0 - 192.168.255.255

我们将称第一个区块为”24位元区块”，第二个为”20位元区块”，而第三个则称为”16位元区块”。注意到第一个区块就只是个 class A 网路号码，第二个区块则是连续的 16 个 class B网路号码，而第三个区块是一组 255 个连续的 class C 网路号码。

所以，如果你要使用一个 class C 网路的话，那麽你的机器应该以192.168.1.1, 192.168.1.2, 192.168.1.3, ..., 192.168.1.x 来名之。

192.168.1.1 通常是闸道这台机器，在此即你连上网际网路的 Linux主机。注意 192.168.1.0 以及 192.168.1.x 分别为网路以及广播位址，是保留的。避免在你的机器上使用这些位址。

3.3. 配置”其它”机器

除了为每台机器设定适当的 IP 位址之外，你也应该设定适当的闸道。一般说来，这是非常直接了当的。你只需简单地输入 Linux 主机的位址（通常是 192.168.1.1）作为闸道位址。

关於领域名称服务，你可以加入任何 DNS 系统。最可能的应该是你Linux 使用的那一个。你也可以选择性地加上任何网域字尾( domain suffix) 。

在你重新配置这些 IP 位址之後，记得重新启动适当的服务或是重新开机。

下面的配置□例假设你使用一个 Class C 网路并且以 192.168.1.1作为 Linux 主机的位址。请注意 192.168.1.0 及 192.168.1.255是保留的。

3.3.1. 配置 Windows 95

1.如果你还没有安装网路卡以及界面驱动程式，现在做。

2.到'控制台／网路'里去。

3.如果你的网路配置里没有'TCP/IP 协定'则加进去。

4.在'TCP/IP 内容'中，选择'IP 位址'并且把 IP 位址设定为192.168.1.x,(1 VDOLive Windows, 配合 vdolive 修补档

注意: 即使不是由你呼叫别人，使用 ipautofw 套件某些客户端软体像是 IPhone 以及 Powwow 可能还是可以运作（参阅 4.6 节）

其它客户端软体

NCSA Telnet 2.3.08

DOS, 包含 telnet, ftp, ping 等等的一组套件。

PC-anywhere for windows 2.0

MS-Windows, 经由 TCP/IP 远端控制 PC ，只有在作为客户端而非主机端的情形下才能运作

Socket Watch

使用 ntp － 网路时间协定

Linux net-acct package

Linux, 网路帐号管理套件

4.3.2. 无法使用的客户端软体

Intel Internet Phone Beta 2

可以连上但声音只能单向（往外）传送

Intel Streaming Media Viewer Beta 1

无法连上伺服器

Netscape CoolTalk

无法连接对方

talk,ntalk

这将不会运作 － 需要撰写一份核心代理程式。

WebPhone

目前无法运作（它做了不合法的位址假设）。

X 没有测试过，但我想除非有人建立一套 X 代理程式否则它无法运作，这可能是 masquerading 程式码之外的一个外部程式。一个让它运作的方式是使用 ssh 作为链结并且使用其内部的 X 代理功能来执行!

4.3.3. 已测试过可以作为”其它”机器的平台／作业系统

Linux  。 Solaris  。 Windows 95  。 Windows NT (both workstation and server)

Windows For Workgroup 3.11 (with TCP/IP package)  。 Windows 3.1 (with Chameleon package)

Novel 4.01 Server  。 OS/2 (including Warp v3)  。 Macintosh OS (with MacTCP or Open Transport)

DOS (with NCSA Telnet package, DOS Trumpet works partially)

Amiga (with AmiTCP or AS225-stack)  。 VAX Stations 3520 and 3100 with UCX (TCP/IP stack for VMS)

Alpha/AXP with Linux/Redhat  。 SCO Openserver (v3.2.4.2 and 5)

IBM RS/6000 running AIX  （谁还测试过其它平台? ）

4.4. IP Firewall Administration(ipfwadm)

这一节提供关於 ipfwadm 更深入的使用指引

这是一个给在固定 PPP 位址之 PPP 连线後面的防火墙／伪装系统使用的设定。信赖(trusted) 界面为 192.168.255.1, PPP 界面已经修改过以避免犯错 :) 。我分别列出每一个进入(incoming)以及送出
(outgoing)界面来抓出变更递送路径(stuffed routing) 以及／或是伪装(masquerading)等等这些个 IP spoofing 技巧。同时任何没有明确允许的东西都是禁止的。

!/bin/sh

 /etc/rc.d/rc.firewall, 定义防火墙配置，从 rc.local 执行。

PATH=/sbin:/bin:/usr/sbin:/usr/bin

测试用，等待一段时间然後清除所有的防火墙规则。如果你希望防火墙十分钟之後自动关闭就取消下列几行的注解。

(sleep 600; \

ipfwadm -I -f; \

ipfwadm -I -p accept; \

ipfwadm -O -f; \

ipfwadm -O -p accept; \

ipfwadm -F -f; \

ipfwadm -F -p accept; \

进入伪装闸道的设定，更新以及设定拒绝的策略(policy)。事实上预设的策略没什麽关系，因为原先就希望拒绝以及记录所有规则

ipfwadm -I -f

ipfwadm -I -p deny

伪装闸道的本地(local) 界面，区域网路里的机器，允许连往任何地方

ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0

伪装闸道的远端(remote)界面，声称是区域网路里的机器，IP spoofing

拒绝

ipfwadm -I -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/0 -o

伪装闸道的远端界面，任何来源，允许送往固定 (permanent) PPP

位址

ipfwadm -I -a accept -V your.static.PPP.address -S 0.0.0.0/0 -D

your.static.PPP.address/32

 回授(loopback)界面是允许的

ipfwadm -I -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0

捕捉所有规则，任何其它的进入方式都会被拒绝并记录。可惜没有记录用的选项但这可以代替

ipfwadm -I -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

送出伪装闸道的设定，更新以及设定拒绝的策略(policy)。事实上预设的策略没什麽关系，因为原先就希望拒绝以及记录所有规则

ipfwadm -O -f

ipfwadm -O -p deny

本地界面，允许任何来源送出至区域网路

ipfwadm -O -a accept -V 192.168.255.1 -S 0.0.0.0/0 -D 192.168.0.0/16

远端界面送出至区域网路，stuffed routing ，拒绝

ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/16 -o

区域网路的机器从远端界面送出，stuffed masquerading，拒绝

ipfwadm -O -a deny -V your.static.PPP.address -S 192.168.0.0/16 -D 0.0.0.0/0 -o

区域网路的机器从远端界面送出，stuffed masquerading，拒绝

ipfwadm -O -a deny -V your.static.PPP.address -S 0.0.0.0/0 -D 192.168.0.0/16 -o

任何其它远端界面送出的东西都是允许的

ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/32 -D

0.0.0.0/0

回授(loopback)界面是允许的

ipfwadm -O -a accept -V 127.0.0.1 -S 0.0.0.0/0 -D 0.0.0.0/0

捕捉所有规则，任何其它的送出方式都会被拒绝并记录。可惜没有记录用的选项但这可以代替

ipfwadm -O -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

 伪装闸道的转送设定，更新以及设定拒绝的策略(policy)。事实上预设的策略没什麽关系，因为原先就希望拒绝以及记录所有规则

ipfwadm -F -f

ipfwadm -F -p deny

伪装区域网路的机器从本地界面送出至任何地方的资料

ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0

 捕捉所有规则，任何其它的转送方式都会被拒绝并记录。可惜没有记录用的选项但这可以代替

ipfwadm -F -a deny -S 0.0.0.0/0 -D 0.0.0.0/0 -o

你可以使用 -I, -O 或是 -F 来控制到某特定节点的流量。记得这些规则集是由上往下扫描的而 -a 代表”附加(append)”到目前现有的规则集中所以任何限制必须在全域(global)规则之前出现。例如（没测试过）:-

使用 -I 规则。可能是速度最快的但是它只能阻止区域网路里的机器，防火墙本身仍然可以存取”禁止”的节点。当然你可能想允许这样的组合。

 拒绝并记录本地界面，区域网路里的机器通往 204.50.10.13

ipfwadm -I -a reject -V 192.168.255.1 -S 192.168.0.0/16 -D 204.50.10.13/32 -o

本地界面，区域网路里的机器，允许通往任何地方

ipfwadm -I -a accept -V 192.168.255.1 -S 192.168.0.0/16 -D 0.0.0.0/0

使用 -O 规则。最慢，因为封包首先经过伪装但这个规则阻止防火墙存取禁止的节点。

 拒绝并记录送出至 204.50.10.13 的资料

ipfwadm -O -a reject -V your.static.PPP.address -S your.static.PPP.address/32 -D

204.50.10.13/32 -o

允许任何其它远端界面送出的东西

ipfwadm -O -a accept -V your.static.PPP.address -S your.static.PPP.address/32 -D

0.0.0.0/0

 使用 -F 规则。可能比 -I 慢而这仍然只能阻止伪装的机器（例如内部的机器），防火墙仍然可以取得禁止的节点。

 拒绝并记录 PPP 界面送出从区域网路到 204.50.10.13 的资料。

ipfwadm -F -a reject -W ppp0 -S 192.168.0.0/16 -D 204.50.10.13/32 -o

伪装本地界面从区域网路送出至任何地方的资料。

ipfwadm -F -a masquerade -W ppp0 -S 192.168.0.0/16 -D 0.0.0.0/0

不需要有个特定的规则来允许 192.168.0.0/16 通往 204.50.11.0 ,这涵盖於全域规则中。

有一种以上的方法可以对界面设定上述规则。例如可以使用 -W eth0来取代 -V 192.168.255.1 ，可以使用 -W ppp0 来取代 -V your.static.PPP.address。个人的选择最重要。

4.5. IP Masquerade 以及随选拨接(Demand-Dial-Up)

1.如果你想把网路设定成自动拨接上网际网路，那麽 diald demand拨接套件将会是很棒的工具。

2.要设定 diald, 请查看 Setting Up Diald for Linux 网页

3.一但 diald 以及 IP masq 设定完成，你可以在任何客户端机器上启动 web, telnet 或是 ftp 连线。

4.Diald 将会侦测到进入系统的请求，然後拨接到你的 ISP 并建立连线。

5.第一次连线将会发生逾时(timeout) 的情形。如果你使用类比式的数据机那这是无可避免的。建立数据机连结以及 PPP 连线所花费的时间将会使你的客户端软体不耐。如果你使用 ISDN 连线那这是可以避免的。你得做的只是结束客户端软体现行的程序再重新启动即可。

4.6. IPautofw 封包转送程式

IPautofw是