安全等级
在Linux中
由于有许多区别防火墙软件Software可供选择安全性可低可高最复杂软件Software可提供几乎无法渗透保护能力不过Linux核心本身内建了
种称作“伪装”简单机制除了最专门黑客攻击外可以抵挡住绝大部分攻击行动当我们拨号接连上Internet后
我们计算机会被赋给个IP地址可让网上其他人回传资料到我们计算机黑客就是用你IP来存取你计算机上资料Linux所用“IP伪装”法就是把你IP藏起来不让网络上其他人看到有几组IP地址是特别保留给本地网络使用Internet骨干路由器并不能识别像作者计算机IP是192.168.1.127但如果你把这个地址输入到你浏览器中相信什么也收不到这是
Internet骨干是不认得192.168.X.X这组IP在其他Intranet上有数不清计算机也是用同样IP由于你根本不能存取当然不能侵入或破解了那么
解决Internet上安全问题看来似乎是件简单事只要为你计算机选个别人无法存取IP地址就什么都解决了错!当你浏览Internet时同样也需要服务器将资料回传给你否则你在屏幕上什么也看不到而服务器只能将资料回传给在Internet骨干上登记合法IP地址“IP伪装”就是用来解决此两难困境
技术当你有部安装Linux计算机设定要使用“IP伪装”时它会将内部和外部两个网络桥接起来并自动解译由内往外或由外至内IP地址通常这个动作称为网络地址转换实际上
"IP伪装"要比上述还要复杂些基本上“IP伪装”服务器架设在两个网络的间如果你用模拟拨号调制解调器来存取Internet上资料这便是其中个网络;你内部网络通常会对应到张以太网卡这就是第 2个网络若你使用是DSL调制解调器或缆线调制解调器(Cable Modem)那么系统中将会有第 2张以太网卡代替了模拟调制解调器而Linux可以管理这些网络每个IP地址因此如果你有部安装Windows计算机(IP为192.168.1.25)位于第 2个网络上(Ethernet eth1)话要存取位于Internet(Ethernet eth0)上缆线调制解调器(207.176.253.15)时Linux“IP伪装”就会拦截从你浏览器所发出所有TCP/IP封包抽出原本本地地址(192.168.1.25)再以真实地址(207.176.253.15)取代接着当服务器回传资料到207.176.253.15时Linux也会自动拦截回传封包并填回正确本地地址(192.168.1.25)Linux可管理数台本地计算机(如Linux
“IP伪装”示意图中192.168.1.25和192.168.1.34)并处理每个封包而不致发生混淆作者有部安装SlackWare Linux老486计算机可同时处理由 4部计算机送往缆线调制解调器封包而且速度不减少在第 2版核心前
“IP伪装”是以IP发送管理模块(IPFWADMIP fw adm)来管理第 2版核心虽然提供了更快、也更复杂IPCHAINS但仍旧提供了IPFWADM wrapper来保持向下兼容性因此作者在本文中会以IPFWADM为例来解说如何设定“IP伪装”(您可至http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS思路方法该页并有“IP伪装”更详尽介绍说明)另外
某些应用
如RealAudio和CU-SeeME所用非标准封包则需要特殊模块您同样可从上述网站WebSite得到相关信息作者
服务器有两张以太网卡在核心激活过程中分别被设定在eth0和eth1这两张卡均为SN2000式无跳脚ISA适配卡而且绝大多数Linux都认得这两张卡作者以太网络
化步骤在rc.inet1中设定指令如下:IPADDR="207.175.253.15"
#换成您缆线调制解调器
IP地址NETMASK="255.255.255.0"
#换成您
网络屏蔽NETWORK="207.175.253.0"
#换成您
网络地址BROADCAST="207.175.253.255"
#换成您
广播地址GATEWAY="207.175.253.254"
#换成您
网关地址#用以上
宏来设定您缆线调制解调器以太网卡/sbin/
config eth0 ${IPADDR} broadcast $ {BROADCAST} netmask ${NETMASK}#设定IP路由表
/sbin/route add -net ${NETWORK} netmask $ {NETMASK} eth0
#设定
ranet以太网络卡eth1不使用宏指令/sbin/
config eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1
#接着设定IP fw adm
化/sbin/ipfwadm -F -p deny #拒绝以下位置的外
存取 #打开来自192.168.1.X传送需求/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -M -s 600 30 120
就是这样!您系统
"IP伪装"现在应该可以正常工作了如果您想得到更详细信息可以参考上面所提到HOWTO或是至http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html参考MINI HOWTO另外有关安全性更高防火墙技术则可在ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到资料半年来
56K模拟数据卡价格突然跌降了不少不过大多数新数据卡其实是拿掉了板子上控制用微处理器因此会对系统主CPU造成额外负荷而Linux并不支持这些“WinModem”卡虽然Linux核心高手们还是有能力为WinModem卡撰写驱动但他们也很明白为了省10元美金而对系统效能造成影响绝对不是明智的举请确定您所使用
Modem卡有跳脚可用来设定COM1、COM2、COM3和COM4如此来这些数据卡才可在Linux下正常工作您可在http://www.o2.net/~gromitkc/winmodem.html中找到和Linux兼容数据卡完整列表当作者在撰写本篇文章时
曾花了点时间测试各种区别数据卡Linux支持即插即用装置所以我买了块由Amjet生产无跳脚数据卡才又发现另个令人困扰问题作者测试用
PC是部老旧486用是1994年版AMI BIOS在插上这块即插即用数据卡后计算机便无法开机了画面上出现是“主硬盘发生故障”(Primary hard disk failure)经检查发现即插即用BIOS居然将原应保留给硬盘控制器15号中断配给了数据卡最后作者放弃了在旧计算机上使用即插即用产品不值得为这些事花时间所以请您注意在购买数据卡的前先看清楚是否有调整COM1到COM4跳脚在作者
布告板(http://trevormarshall.com/BYTE/)上看到有几位朋友询问是否可以用多条拨号线来改善Internet上网速度这里最好例子是128K ISDN它同时运用两条56K通道以达到128K速度当ISP提供这样服务时其实会配置两条独立线路连到同个IP上您可以看到
虽然Linux上有EQL这类模块可让您在计算机上同时使用两块数据卡但除非ISP对两组拨号连线提供同个IP否则这两块数据卡也只是对送出资料有帮助而已如果您拨接
是般ISP PPP线路那么您会得到个IP地址从服务器回传封包才能在数百万台计算机中找到您;而您每次拨入ISP时都会得到个区别IP地址你
浏览器所送出封包中也包含供服务器资料回传本地IP地址EQL可将这些外传封包分散到区别ISP线路上但当资料回传时却只能通过个IP地址接收也就是浏览器认为正在使用那个地址若是使用ISDN那么ISP会处理这个问题;些ISP会为多组线路拨号接入提供相应IP地址但价钱非常昂贵在追求速度时
请别忽略了Linux防火墙效率在作者办公室有 6位使用者通过“IP伪装”防火墙去存取部56K模拟调制解调器工作情况十分良好只有在有人下载大文件时速度才会变慢在您决定要加装多条ISP拨号线的前可以先架设部"IP伪装"服务器试试Windows处理多重IP方式并非十分有效率而将Windows网络和调制解调器隔开效能增进将会让您惊讶不已简而言的
Linux所用“IP伪装”法就是把你IP藏起来不让网络上其他人看到
最新评论