分享
 
 
 

用Linux防火墙伪装抵住黑客攻击

王朝system·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

防火墙可分为几种不同的安全等级。在Linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高, 最复杂的软件可提供几乎无法渗透的保护能力。不过,Linux核心本身内建了一种称作“伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。

当我们拨号连接Internet后,我们的计算机会被赋给一个IP地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的“IP伪装”法,就是把你的IP藏起来,不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的,Internet骨干路由器并不能识别。像 作者计算机的IP是192.168.127.1,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他 Internet上有数不清的计算机,也是用同样的IP,由于你根本不能存取,当然不能侵入或破解了。

那么,解决Internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的IP地址,就什么都解决了。错!因为当你浏览Internet 时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给Internet骨干上登记的合法IP地址。

“IP伪装”,就是用来解决此两难困境的技术。当你有一部安装Linux的计算机,设定要使用“IP伪装”时,它会将内部与两网络桥接起来,并自动解译由内往外或由外至内的IP地址,通常这个动作称为网络地址转换。

实际上的“IP伪装”要比上述的还要复杂一些。基本上,“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem),那么系统 中将会有第二张以太网卡,代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址,因此,如果你有一部安装Windows的计算机(IP为192.168.1.25)位于第二个网络上(Ethernet eth1)的话,要存取位于Internet(Ethernet eth0)上的缆线调制解调器(207.176.253.15)时,Linux的“IP伪装”就会拦截 从你的浏览器所发出的所有TCP/IP封包,抽出原本的本地地十(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到 207.176.253.15时,Linux也会自动拦截回传封包,并填回正解的本地地址(192.168.1.25)。

Linux可管理数台本地计算机并处理每一个封包,而不致发生混淆。作者有一部安装 SlackWare Linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。

在第二版核心前,“IP伪装”是以IP发送管理模块(IPFWADM,Ip fw adm)来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS,但仍旧提供了IPFWADM wrapper来保持向下兼容性,因此,作者在本文中会以IPFWADM为例,来解说如何设定“IP伪装(您可至 http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询使用IPCHAINS的方法,该页并有“IP伪装”更详尽的说明)。

另外,某些应用程序如RealAudio与CU-SeeME所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。

作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1。 这两张卡均为SN2000式无跳脚的ISA适配卡,而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在 rc.inetl中设定,指令如下:

IPADDR=“207.175.253.15”

#换成您缆线调制解调器的IP地址。

NETMASK=“255.255.255.0""

#换成您的网络屏蔽。

NETWORK=“207.175.253.0""

#换成您的网络地址。

BROADCAST=“207.175.253.255""

#换成你的广播地址.

GATEWAY=""207.175.253.254""

#换成您的网关地址.

#用以上的宏来设定您的缆线调制解调器以太网卡

/sbin/ifconfig eth0 $ {IPADDR} broadcast ${BROADCAST}netmask

${NETMASK}

#设定IP路由表

/sbin/route add -net ${NETWORK} netmask $ {NETMASK}eth0

#设定intrang 以太网络卡eth1,不宏指令

/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255.netmask

255.255.255.0

/sbin/route add -net 192.168.1.0 netmask 255.255.255.0eth1

#接着设定IP fw adm初始化

/sbin/ipfwadm -F-p deny

#拒绝以下位置之外的存取

#打开来自192.168.1.X的传送需求

/sbin/ipfwadm -F-a m -S 192.168.1.0./24-D 0.0.0.0/0

/sbin/ipfwadm -M -s 600 30 120

就是这样!您系统的“IP伪装”现在应该正常工作了。如果您想得到更详细的信 息,可以参考上面所提到的HOWTO,或是至 http://albali.aquanet.com.br/howtos/Bridge +Firewall-4.html参考MINI HOWTO。另外关于安全性更高的防火墙技术,则可在 ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到资料。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有