仓酷云

标题: 来谈谈:平安技能 使用Linux体系IP假装防黑 [打印本页]

作者: 仓酷云    时间: 2015-1-16 14:10
标题: 来谈谈:平安技能 使用Linux体系IP假装防黑
如果你只是想应付一下操作系统的课程,劝你最好别学,或者说不要指望能用的怎么样。
技能分享使用Linux体系IP假装防黑
  防火墙可分为几种分歧的平安品级。在Linux中,因为有很多分歧的防火墙软件可供选择,平安性可低可高,最庞大的软件可供应几近没法浸透的回护才能。不外,Linux中心自己内建了一种称作“假装”的复杂机制,除最专门的黑客打击外,能够抵御住尽年夜部分的打击举动。
  当我们拨号接连上Internet后,我们的盘算时机被赋给一个IP地点,可以让网上的其别人回传材料到我们的盘算机。黑客就是用你的IP来存取你盘算机上的材料。Linux所用的“IP假装”法,就是把你的IP躲起来,不让收集上的其别人看到。有几组IP地点是出格保存给当地收集利用的,Internet主干路由器其实不能辨认。像作者盘算机的IP是192.168.1.127,但假如你把这个地点输出到你的扫瞄器中,信任甚么也收不到,这是由于Internet主干是不认得192.168.X.X这组IP的。在其他Intranet上无数不清的盘算机,也是用一样的IP,因为你基本不克不及存取,固然不克不及侵进或破解了。
  那末,办理Internet上的平安成绩,看来仿佛是一件复杂的事,只需为你的盘算机选一一般人没法存取的IP地点,就甚么都办理了。错!由于当你扫瞄Internet时,一样也必要服务器将材料回传给你,不然你在屏幕上甚么也看不到,而服务器只能将材料回传给在Internet主干上挂号的正当IP地点。
  “IP假装”就是用来办理此两难窘境的手艺。当你有一部安装Linux的盘算机,设定要利用“IP假装”时,它会将外部与内部两个收集桥接起来,并主动解译由内往外或由外至内的IP地点,一般这个举措称为收集地点转换。
  实践上的"IP假装"要比上述的还要庞大一些。基础上,“IP假装”服务器架设在两个收集之间。假如你用摹拟的拨号调制解调器来存取Internet上的材料,这即是个中一个收集;你的外部收集一般会对应到一张以太网卡,这就是第二个收集。若你利用的是DSL调制解调器或缆线调制解调器(CableModem),那末体系中将会有第二张以太网卡,取代了摹拟调制解调器。而Linux能够办理这些收集的每个IP地点,因而,假如你有一部安装Windows的盘算机(IP为192.168.1.25),位于第二个收集上(Etherneteth1)的话,要存取位于Internet(Etherneteth0)上的缆线调制解调器(207.176.253.15)时,Linux的“IP假装”就会拦阻从你的扫瞄器所收回的一切TCP/IP封包,抽出底本的当地地点(192.168.1.25),再以实在地点(207.176.253.15)代替。接着,当服务器回传材料到207.176.253.15时,Linux也会主动拦阻回传封包,并填回准确的当地地点(192.168.1.25)。
  Linux可办理数台当地盘算机(如Linux的“IP假装”表示图中的192.168.1.25与192.168.1.34),并处置每个封包,而不致产生搅浑。作者有一部安装SlackWareLinux的老486盘算机,可同时处置由四部盘算机送往缆线调制解调器的封包,并且速率不削减。
  在第二版中心前,“IP假装”是以IP发送办理模块(IPFWADM,IPfwadm)来办理。第二版中心固然供应了更快、也更庞大的IPCHAINS,但仍然供应了IPFWADMwrapper来坚持向下兼容性,因而,作者在本文中会以IPFWADM为例,来讲授怎样设定“IP假装”(您可至http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查询利用IPCHAINS的办法,该页并有“IP假装”更细致的申明)。
  别的,某些使用程序如RealAudio与CU-SeeME所用的非尺度封包,则必要特别的模块,您一样可从上述网站失掉相干信息。
  作者的服务器有两张以太网卡,在中心激活过程当中,分离被设定在eth0与eth1。这两张卡均为SN2000式无跳脚的ISA适配卡,并且尽年夜多半的Linux都认得这两张卡。作者的以太收集初始化步骤在rc.inet1中设定,指令以下:
  IPADDR="207.175.253.15"
  #换成您缆线调制解调器的IP地点。
  NETMASK="255.255.255.0"
  #换成您的收集屏障。
  NETWORK="207.175.253.0"
  #换成您的收集地点。
  BROADCAST="207.175.253.255"
  #换成您的播送地点。
  GATEWAY="207.175.253.254"
  #换成您的网关地点。
  #用以上的宏来设定您的缆线调制解调器以太网卡
  /sbin/ifconfigeth0${IPADDR}broadcast${BROADCAST}netmask${NETMASK}
  #设定IP路由表
  /sbin/routeadd-net${NETWORK}netmask${NETMASK}eth0
  #设定intranet以太收集卡eth1,不利用宏指令
  /sbin/ifconfigeth1192.168.1.254broadcast192.168.1.255netmask255.255.255.0
  /sbin/routeadd-net192.168.1.0netmask255.255.255.0eth1
  #接着设定IPfwadm初始化
  /sbin/ipfwadm-F-pdeny#回绝以下地位以外的存取#翻开来自192.168.1.X的传送需求
  /sbin/ipfwadm-F-am-S192.168.1.0/24-D0.0.0.0/0
  /sbin/ipfwadm-M-s60030120
  就是如许!您体系的"IP假装"如今应当能够一般事情了。假如您想失掉更具体的信息,能够参考下面所提到的HOWTO,或是至http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html参考MINIHOWTO。别的关于平安性更高的防火墙手艺,则可在ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到材料。
  半年来,56K摹拟数据卡的代价俄然跌降了很多。不外,年夜多半新的数据卡,实际上是拿失落了板子上的把持用微处置器,因而会对体系的主CPU形成分外的负荷,而Linux其实不撑持这些“WinModem”卡。固然Linux中心妙手们,仍是有才能为WinModem卡撰写驱动程序,但他们也很分明,为了省10元美金而对体系效能形成影响,相对不是明智之举。
  请断定您所利用的Modem卡,有跳脚可用来设定COM1、COM2、COM3与COM4,云云一来,这些数据卡才可在Linux下一般事情。您可在http://www.o2.net/~gromitkc/winmodem.html中找到与Linux兼容的数据卡的完全列表。
  看成者在撰写本篇文章时,曾花了点工夫测试各类分歧的数据卡。Linux撑持即插即用安装,以是我买了一块由Amjet临盆的无跳脚数据卡,才又发明另外一个使人困扰的成绩。
  作者测试用的PC是一部老旧的486,用的是1994年版的AMIBIOS。在插上这块即插即用数据卡后,盘算机便没法开机了,画面上呈现的是“主硬盘产生妨碍”(Primaryharddiskfailure)。经反省,发明即插即用的BIOS竟然将原应保存给硬盘把持器的15号中止,配给了数据卡。最初作者保持了在旧盘算机上利用即插即用产物,由于不值得为这些事花工夫。以是,请您注重在购置数据卡之前,先看分明是不是有调剂COM1到COM4的跳脚。
  在作者的书记板(http://trevormarshall.com/BYTE/)上,看到有几位伴侣扣问是不是能够用多条拨号线来改良Internet的上彀速率。这里最好的例子是128KISDN,它同时使用两条56K通道,以到达128K的速率。当ISP供应如许的服务时,实在会设置两条自力的线路连到统一个IP上。
  您能够看到,固然Linux上有EQL这类模块,可以让您在盘算机上同时利用两块数据卡,但除非ISP对两组拨号连线供应统一个IP,不然这两块数据卡也只是对送出材料有匡助罢了。
  假如您拨接的是一样平常的ISPPPP线路,那末您会失掉一个IP地点,从服务器回传的封包才干在数百万台盘算机中找到您;而您每次拨进ISP时,城市失掉一个分歧的IP地点。
  你的扫瞄器所送出的封包中,也包括供服务器材料回传的当地IP地点。EQL可将这些别传的封包,分离到分歧的ISP线路上,但当材料回传时,却只能经由过程一个IP地点吸收,也就是扫瞄器以为正在利用的谁人地点。如果利用ISDN,那末ISP会处置这个成绩;一些ISP会为多组线路的拨号接进供应响应的IP地点,但代价十分高贵。
  在寻求速率时,请别疏忽了Linux防火墙的效力。在作者办公室有六位利用者经由过程“IP假装”防火墙,往存取一部56K摹拟调制解调器,事情情形非常优秀,只要在有人下载年夜文件时速率才会变慢。在您决意要加装多条ISP拨号线之前,能够先架设一部"IP假装"服务器尝尝。Windows处置多重IP的体例并不是非常无效率,而将Windows收集与调制解调器离隔,效能的促进将会让您惊奇不已。
  简而言之,Linux所用的“IP假装”法,就是把你的IP躲起来,不让收集上的其别人看到

</p>
要多google,因为我不可能,也不可以给你解答所有内容,我只能告诉你一些关键点,甚至我会故意隐瞒答案,因为在寻找答案的过程中。
作者: 乐观    时间: 2015-1-18 12:19
随着Linux应用的扩展,出现了不少Linux社区。有一些非常优秀的社区往往是Linux高手的舞台,如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。
作者: 兰色精灵    时间: 2015-1-23 05:42
再次,Linux是用C语言编写的,我们有学习C语言的基础,读程序和编写代码方面存在的困难小一点,也是我们能较快掌握的原因之一。?
作者: 活着的死人    时间: 2015-1-31 15:25
为了更好的学习这门课程,我不仅课上认真听讲,课下也努力学习,为此还在自己的电脑上安装了Ubuntu系统。
作者: 柔情似水    时间: 2015-2-6 20:47
现在的linux操作系统如redhat,难点,红旗等,都是用这么一个内核,加上其它的用程序(包括X)构成的。
作者: 冷月葬花魂    时间: 2015-2-18 18:56
其实当你安装了一个完整的Linux系统后其中已经包含了一个强大的帮助,只是可能你还没有发现和使用它们的技巧。
作者: 海妖    时间: 2015-3-6 09:25
硬盘安装及光盘安装,清楚了解安装Linux应注意的有关问题,如安装Linux应在最后一个分区内,至少分二个分区。
作者: 飘飘悠悠    时间: 2015-3-13 00:08
选择交流平台,如QQ群,网站论坛等。
作者: 莫相离    时间: 2015-3-20 07:18
说实话小时候没想过搞IT,也计算机了解也只是一些皮毛,至于什么UNIX,Linux,听过没见过,就更别说用过了。?




欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2