Chinaunix

标题: LINUX网络安全文献 [打印本页]

作者: 潇湘夜雨 时间: 2001-12-01 22:29
标题: LINUX网络安全文献
我不是什么高手根据自己通过使用LINUX给大家写了点我的个人心得给大家看看仅供参考
维护网络安全性最简单的办法是保证网络中的主机不会接触外界,也不被外界接触,最容易的办法是从不将自己的网络连接到公共网络上,例如INTERNET.这种通过隔离达到的安全性策略在许多情况下是不能接受的。使用私有IP地址是一种简单可行的方法.可以避免黑客进入到用户的私人计算机.
RFC1918规定了能够用于本地TCP/IP网络使用的IP地址.这些IP地址不会被路由器处理.因为这些IP不会在INTERNET上路由,因此不必注册.通过在该范围分配IP地址,可以有效的将网络流量现在在本地网络内.这是一种拒绝外部计算机访问而允许内部计算机之间的数据流同的快速有效的方法.所有有关互联网的官方标准为RFC(REQUEST FOR COMMENT)来发行
  私有IP不能在INTERNET上路由,因此使用私有IP地址的系统无法访问INTERNET但通过建立一个IP伪装的服务器(一台LINUX服务器)可解决这一问题.当数据包离开计算机时,包含有它自身的IP地址作为源地址,在数据抱经过LINUX服务器发送到外不世界时回敬国一个转换.服务器同时记录哪个源地址的数据包发送到LNTERNET上的哪个目标IP地址.当数据包发送到INTERNET上之后,他能够到达起目标地址获得其响应.
  这种设置有一个问题.因为数据包的源地址为服务器的IP,而不是服务器后面利用户计算机的IP地址所以,来自外部计算机的响应将发送到服务器.因此,威力完整数据包传输,LINUX服务器必须搜索到一个表,以便确定该数据包属于哪个计算机.然后讲述具保的源地址设置为私有用户私有用户计算机的地址,并发送到该计算机.显然来自私有IP地址计算机的数据包现在能够在INTERNET上传输了.因此,IP伪装也也诚挚为网络地址转换.
  默认情况下,LINUX内核内设置有IP伪装功能.但是,如果已经从内核中删除了这一功能,或者使用一个没有内置IP伪装功能的内核,则需要重新编译内核,然后设置数据包过滤规则以便允许转换的进行,为了让IP伪装能够工作,则需要打开服务器的IP转换服务.大家可以通过将/etc/sysconfig/network文件中的FORWARD_IPV4设置为YES而打开IP转换.
  为了将内部网络连接到外部世界,需要在IP伪装服务器上有两个网络接口.一个借口用语连接到内部网络,而里一个借口用来将服务器连接到外部世界例如:
/sbin/ifconfig.ethl inet  211.123.1.1  netmask  255.255.255.0
将你的计算机IP地址培植为192.168.1.2到192.168.1.254,并将所有用户的计算机的网管设置为192.168.1.1网络掩码为255.255.255.0 这是所有的计算机能够相互通信,
  /sbin/ipchains-A forward -j MASQ 192.168.1.0/24 -d0.0.0.0/0
  /sbin/ipchains-p forward DENY
第一条命令对其目标地址不是192.168.1.0网络的 IP数据报打开了IP伪装功能服务.他将转换它最初来自192.168.1.0网络的经过为装的IP数据包,并竟发到另一个网络接口锁链界的网络的默认路由器.第二条将默认的转发策略设置为拒绝所有非内部网络的数据包.可将上述的民令放在/etc/rc.d/rc.local zai引导服务器时,就能够启动IP为状功能.
  由于时间仓促写的可能不全有点杂乱望大家见晾.
中国E安联盟潇湘夜雨发布如要转载请写明文章的出处  http://www.cnean.e-org.org/

作者: 开心笑一笑 时间: 2001-12-03 14:42
标题: LINUX网络安全文献
好文章,这才有水平之作!不过下次要先排好版面!看起来有点乱!
以后跟妳学吧!呵呵!!!!!

作者: cooleye 时间: 2001-12-27 12:09
提示: 作者被禁止或删除内容自动屏蔽

作者: dxp 时间: 2002-01-02 19:52
标题: LINUX网络安全文献
厉害，我要拜你为师，别拒绝。。
能告诉我怎样隐藏IP吗？
谢谢。

作者: cooleye 时间: 2002-01-04 20:51
提示: 作者被禁止或删除内容自动屏蔽

作者: lonelykiller 时间: 2002-01-05 13:27
标题: LINUX网络安全文献
写的不错,但太累赘了.

作者: zero-B 时间: 2004-04-24 11:52
标题: LINUX网络安全文献
楼主就是瀟湘夜雨？
我就是拜他所赐才能来到CU的，谢谢哦!

作者: 盛冰 时间: 2004-04-26 14:16
标题: LINUX网络安全文献
好，我顶

作者: hailanlan1223 时间: 2006-06-11 08:59
好帖顶............

作者: lengi 时间: 2006-06-11 11:19
恩，但是这里有几个问题要问一下。
1、如何保障高可用性（如果对外流量达到3G，请问放台linux来做防火墙是不是跑不上3G）
2、如何保障高可靠性（做集群？大家知道服务器因为硬件的故障冗机概率高于专业的网络设备的）

作者: @哭@ 时间: 2006-06-14 17:34
楼上的意见在具体中可以参考，楼主吧楼上的建议加进去吧，虽然你的只是谈的你的那块但不全，你的这东西我看的有点晕，怎么说得这复杂啊，能改简单点吗？在配个图就好了

作者: uuhs_hiei 时间: 2006-06-23 15:59
没搞明白要干吗

作者: cjf0304 时间: 2010-11-01 16:35

作者: ulovko 时间: 2012-07-25 21:20
不错的文章排版稍微乱了点感谢分享 ^_^

作者: beyondfly 时间: 2012-09-21 20:38
回复 14# ulovko

你是考古专业人员啊

作者: ulovko 时间: 2012-09-22 08:53
回复 15# beyondfly

哈哈我俩天生一对有空切磋一下

作者: liu2g 时间: 2012-09-22 17:54
这个文章放在04年确实是好文，但现在把它挖出来是何用意？？？

作者: wsp0108 时间: 2012-09-24 13:56
好像是用linux做一个代理服务器的问题啊。

作者: 花花人 时间: 2012-09-29 16:13
写的很好，顶起啊！！

作者: yizhengming 时间: 2012-10-02 20:44
顶一个。。。。

作者: 惟吾无为 时间: 2013-03-22 19:48
想当年，iptables还叫ipchains

作者: cgweb 时间: 2013-03-26 10:17
楼主是CU的元老级人物了

作者: wfw52749 时间: 2013-09-14 17:40
弱弱的问下，这就是传说中的NAT么？

作者: zhuhuifeng 时间: 2014-07-29 19:44
写的不错，希望能经常看到类似好文

作者: 840700597 时间: 2014-08-12 11:52
学习学习，做做安全工作

作者: 840700597 时间: 2014-08-12 11:53
为什么不能下载了呀

作者: beyondfly 时间: 2014-08-13 21:27
这个文章发表真早

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)