巧妙利用Linux系统IP伪装防黑
防火墙可分为几种不同的安全等级.在Linux中,有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力.不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动. 当我们拨号接连上Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机.黑客就是用你的IP来存取你计算机上的资料.Linux所用的“IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到.有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别.像作者计算机的IP是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是Internet骨干是不认得192.168.X.X这组IP的.在其他 Intranet上有数不清的计算机,也是用同样的IP,你根本不能存取,当然不能侵入或破解了. 那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了.错!当你浏览Internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在Internet骨干上登记的合法IP地址. “IP伪装”就是用来解决此两难困境的技术.当你有一部安装Linux的计算机,设定要使用“IP伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换. 实际上的"IP伪装"要比上述的还要复杂一些.基本上,“IP伪装”服务器架设在两个网络之间.如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络.若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器.而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装 Windows的计算机(IP为192.168.1.25),位于第二个网络上(Ethernet eth1)的话,要存取位于Internet(Ethernet eth0)上的缆线调制解调器(207.176.253.15)时,Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代.接着,当服务器回传资料到207.176.253.15 时,Linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25). Linux可管理数台本地计算机(如Linux的“IP伪装”示意图中的 192.168.1.25与192.168.1.34),并处理每一个封包,而不致发生混淆.作者有一部安装SlackWare Linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,速度不减少. 在第二版核心前,“IP伪装”是以IP发送管理模块(IPFWADM,IP fw adm)来管理.第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADM wrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定“IP伪装”(您可至http: //metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS的方法,该页并有“IP伪装”更详尽的说明). 另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息. 作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1.这两张卡均为SN2000式无跳脚的ISA适配卡,绝大多数的Linux都认得这两张卡.作者的以太网络初始化步骤在rc.inet1中设定,指令如下: IPADDR="207.175.253.15" #换成您缆线调制解调器的IP地址. NETMASK="255.255.255.0" #换成您的网络屏蔽. NETWORK="207.175.253.0" #换成您的网络地址. BROADCAST="207.175.253.255" #换成您的 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |