代理服务器和防火墙

cbc

代理服务器和防火墙

2.防火墙初探

　

防火墙来自汽车工业上的一个术语,原指汽车上的隔离引擎和乘客的装置，用以在引擎起
火时保护乘客，但并不妨碍驾驶员对引擎的控制。

　

计算机领域中的防火墙指得是用来保护内部网络不受外部网络(整个Internet)非法侵入
的设备。

　

从现在开始，我们把“防火墙计算机”简称为“防火墙”，指的是可同时访问内部网
Internet的计算机.内部网络是不允许直接访问internet，反之亦然。

　

内部网的使用者要想访问internet，必须先登录到防火墙，才能进行访问。

　

最简单的防火墙形式是一个连结两个网络的系统。如果你能 *完全信任你的所有用户*，
可以简单地安装一个linux（编译内核时 *关掉* IP forwarding/gatewaying选项开关）
并分配给每个用户帐号，他们便可以登录进来并进行telnet,ftp,读取信件,或进行其它
你所允许的internet访问.根据这种配置,在你的内部网中唯一具有完全Internet连接能
力的是防火墙.而内部网中的其余部分甚至可以不必设置缺省路由.

　

但在此必须强调的是:你能够 *完完全全信任你的所有用户* ----我不推荐这种方案.

　

2.1 防火墙的缺点

　

"过滤型"防火墙很大程度上限制了外界对内部网的访问,因为只有那些没被过滤掉的服才
能接受访问.而对于代理防火墙,外部用户可先登录到代理服务器,再对内部网进行他们所
允许的各种访问.

　

同时,随着各种新网络客户和服务器类型的不断涌现,在使用它们之前,你必须找到控制访
问的新方法.

　

2.2 防火墙的类型

　

有两种类型:

　

1.IP或过滤防火墙---只允许指定的网络传输.

　

2.代理服务器----为你代理网络连接.

　

2.2.1 IP 过滤防火墙

　

IP过滤防火墙运作在网络传输包这一层。它通过对每个包所带的源，目的地址，端口号及
包的类型这些信息来控制对其的传输。

　

这种类型的防火墙相当安全，但缺少跟踪记录手段。它可以有效阻止外部用户的非法访
问,但却不能给你任何信息关于谁在访问你内部网络的公共系统及谁通过内部网络访问
Internet.

　

过滤防火墙是纯粹意义上的过滤器。使用过滤防火墙，你无法做到只让特定的人来访问
你的内部服务器----除非你一下子给所有人(来自同一IP的人:译注)同样的访问权.

　

Linux从核心1.3.x起提供了对包过滤的支持.

　

2.2.2 代理服务器(防火墙)

　

代理服务器允许通过防火墙间接访问INTERNET.一个很形象的比方,你可以先telnet到一
台机器上,再从那里telnet别的机器.唯一区别是代理服务器自动的.当你的客户程序访问
防火墙时,代理服务器启动自己的客户程序,替你传输数据.

　

正因为通过代理服务器复制了所有的通讯信息,它能够记录下所做的一切.

　

对于这种类型的防火墙,最了不起的是,只要配置正确,它们是绝对安全的.它们不会让有些
人通过。 因为这种防火墙没有直接的IP路由.

　

3.防火墙的安装

　

3.1 硬件要求

　

一台16M内存的486-6/DX,并具有500M的Linux分区的计算机.装有两块网卡,分别接到我们
的专有局域网和一个我们称之为"非军事化区(DMZ)"的局域网.同时DMZ可通过一个路由器
连到Internet.

　

这是很典型的防火墙计算机配置.也可以用一块网卡加一个PPP拨号接入Internet的MODEM.
关键在于,防火墙必须具有两个IP地址.

　

现在已经有很多家庭小型局域网,通常有两三台机器组成.这时你就可以考虑把所有的
MODEM装到一台Linux机器(可能是个老式的386),同时连接Internet。这样,在一个人使用
时，如果你有两个modem,可能使连接速率加一倍!
:-)

　

　

　

4.防火墙应用软件

　

　

4.1 可供选择的软件包

　

如果你仅需要一个过滤防火墙,则Linux加上基本的网络包就足够了.

　

你所用的Linux发行包中有可能没有随带一个IP Firewall Administration 的软件包.

　

IPFWADM在 :

http://www.xos.nl/linux/ipfwadm/


　

如果你要的是一个代理防火墙,可能得选下面者之一:

　

1.SOCKS

　

2.TIS 防火墙工具包(FWTK)

　

4.2 TIS 防火墙工具包与SOCKS的比较

　

Trusted Information
System(
http://www.tis.com
)出品了一系列实现防火墙的软件.其功能与SOCKS基本类似,
但设计策略不同.SOCKS一个程序就完成所有的INTERNET传输功能.而TIS为每个功能提供
了单独的程序.

　


为进一步区别,我们以www和telnet为例来说明.对于SOCKS,我们只需设置一个配置文件
和守护进程,就可以通过防火墙进行www和telnet-----以及其他任何一些你没有被设置
成禁止的访问.但若使用TIS，你得为www和telnet设置各自的配置文件和守护进程.
　
而其他的INTERNET访问仍是被拒绝,直到你专门地为其作了设置.如果你没对某种特定的
功能(比如talk)设置守护进程,可以使用一个"plug-in(插件)"守护进程,但它既不灵活,
也不象其他工具配置起来那么简单。


SOCKS容易编译和设置,而且非常灵活;但如果你想规范内部用户的管理,TIS提供了更好的
安全性.两者都能绝对禁止外部的非法访问.

　

　

　
5.准备Linux

　

5.1 编译内核

　

先对Linux系统来一次'干净'的安装(我使用的版本是Redhat3.0.3,所有实例都基于该版本.)

　

所装的组件越少,系统的后门,安全漏洞就越少.所以只装一个最小的系统就够了.

　

选择一个稳定的内核.我使用Linux 2.0.14 kernel,本文档的描述也基于其上.

　

下一步是用适当的选项编译内核.这时你可能需要参考Kernel HOWTO,Ethernet
HOWTO,及NET-2 HOWTO.

　

这里是'make config'过程中涉及到的跟网络部分有关的选项

　

1.在'Gernal setup'中

　

1.Networking Support-->On

2.在'Networking Options'中

1.Networkfirewalls--> On

2.TCP/IP Networking--> On

3.IP forwarding/gatewaying-->OFF(除非你选择IP过滤防火墙)

4.IP Firewalling-->On

5.IP packet loggin--> On(不是必须的,却不失为一个好主意)

6.IP masquerading-->OFF(我没有涉及该主题)

7.IP accounting--> ON

8.IP tunneling--> OFF

9.IP aliasing-->OFF

10.PC/TCP compatibility mode-->OFF

11.IP Reverse ARP OFF-->OFF

12.Drop source routed frames-->ON

　

3.在'Network device support'中

1.Network device support-->ON

2. Dummy net driver support--> ON

3.Ethernet (10 or 100Mbit)--> ON

　

4.选择你的网络接口卡.

　

　

现在可以开始重编译了,编译后重新按装内核并reboot,启动时Linux会显示你的网卡,

否则你得再去研究其它的HOWTO.

　

5.2 配置两块网卡

　

发信人: netiscpu (说不如做), 信区: Unix
标  题: [技术] socks5 proxy的安装和使用
发信站: 紫 丁 香 (Fri Jul 17 08:18:26 1998), 转信

发信人: lenx (冷·枫), 信区: linux
标  题: [技术] socks5 proxy的安装和使用
发信站: BBS 曙光站 (Fri Jan  2 15:39:43 1998)

socks5 proxy简介
  socsk5的主页在
http://www.socks.nec.com/socks5.html

  socks5是一种透明的proxy协议, 而且很好的解决了认证,保密,以及proxy接力等问题
  netscape, ie等可以直接使用这种proxy, 而且可以使用socsk5的client软件使那些
不直接支持socsk5 proxy的internet软件的通过proxy访问internet. 更重要的是,
socks5支持udp协议的proxy, 从而成为很多firewall后面的人使用ICQ不可缺少的东西.

socsk5 server on linux安装简介
  抓回socsk5-v1.0r4.tar.gz ( sepc/pub/linux/collect/network/socks )
  编译并安装, 一般步骤是:
    ./configure
    make
    make install
  然后在/etc/rc.d/rc.local里加上相应的运行命令就可以了, 一般不用加什么
特殊参数. 缺省的是加上
   /usr/local/bin/socks5

socks5 server端配置
  配置文件缺省是/etc/socks5.conf
  这里只介绍一种最简单的情况,proxy没有其他的认证,只是根据ip范围来确认允许
使用与否. 比如只允许111.222.111.xxx 和 111.333.111.23使用此proxy, 那么应该
这么写/etc/socks5.conf:
这么写/etc/socks5.conf:
  permit - - 111.333.111.23 - - -
这么写/etc/socks5.conf:
  permit - - 111.333.111.23 - - -
  permit - - 111.333.111.23 - - -
  permit - - 111.333.111.23 - - -
  permit - - 111.333.111.23 - - -
  permit - - 111.333.111.23 - - -
  permit - - 111.222.111.0/255.255.255.0 - - -
  permit - - 111.222.111.0/255.255.255.0 - - -
其中后面一行也可以写成:
发信人: netiscpu (说不如做), 信区: Unix
标  题: [技术] socks5 proxy的安装和使用
发信站: 紫 丁 香 (Fri Jul 17 08:18:26 1998), 转信

发信人: lenx (冷·枫), 信区: linux
标  题: [技术] socks5 proxy的安装和使用
发信站: BBS 曙光站 (Fri Jan  2 15:39:43 1998)

socks5 proxy简介
  socsk5的主页在
http://www.socks.nec.com/socks5.html

  socks5是一种透明的proxy协议, 而且很好的解决了认证,保密,以及proxy接力等问题
  netscape, ie等可以直接使用这种proxy, 而且可以使用socsk5的client软件使那些
不直接支持socsk5 proxy的internet软件的通过proxy访问internet. 更重要的是,
socks5支持udp协议的proxy, 从而成为很多firewall后面的人使用ICQ不可缺少的东西.

socsk5 server on linux安装简介
  抓回socsk5-v1.0r4.tar.gz ( sepc/pub/linux/collect/network/socks )
  编译并安装, 一般步骤是:
    ./configure
    make
    make install
  然后在/etc/rc.d/rc.local里加上相应的运行命令就可以了, 一般不用加什么
特殊参数. 缺省的是加上
   /usr/local/bin/socks5

socks5 server端配置
  配置文件缺省是/etc/socks5.conf
  这里只介绍一种最简单的情况,proxy没有其他的认证,只是根据ip范围来确认允许
使用与否. 比如只允许111.222.111.xxx 和 111.333.111.23使用此proxy, 那么应该
这么写/etc/socks5.conf:
  permit - - 111.333.111.23 - - -
  permit - - 111.222.111.0/255.255.255.0 - - -
其中后面一行也可以写成:
发信人: netiscpu (说不如做), 信区: Unix
标  题: [技术] socks5 proxy的安装和使用
发信站: 紫 丁 香 (Fri Jul 17 08:18:26 1998), 转信

发信人: lenx (冷·枫), 信区: linux
标  题: [技术] socks5 proxy的安装和使用
发信站: BBS 曙光站 (Fri Jan  2 15:39:43 1998)

socks5 proxy简介
  socsk5的主页在
http://www.socks.nec.com/socks5.html

  socks5是一种透明的proxy协议, 而且很好的解决了认证,保密,以及proxy接力等问题
  netscape, ie等可以直接使用这种proxy, 而且可以使用socsk5的client软件使那些
不直接支持socsk5 proxy的internet软件的通过proxy访问internet. 更重要的是,
socks5支持udp协议的proxy, 从而成为很多firewall后面的人使用ICQ不可缺少的东西.

socsk5 server on linux安装简介
  抓回socsk5-v1.0r4.tar.gz ( sepc/pub/linux/collect/network/socks )
  编译并安装, 一般步骤是:
    ./configure
    make
    make install
  然后在/etc/rc.d/rc.local里加上相应的运行命令就可以了, 一般不用加什么
特殊参数. 缺省的是加上
   /usr/local/bin/socks5

socks5 server端配置
  配置文件缺省是/etc/socks5.conf
  这里只介绍一种最简单的情况,proxy没有其他的认证,只是根据ip范围来确认允许
  抓回socsk5-v1.0r4.tar.gz ( sepc/pub/linux/collect/network/socks )
  编译并安装, 一般步骤是:
发信站: BBS 曙光站 (Fri Jan  2 15:39:43 1998)

socks5 proxy简介
  socsk5的主页在
http://www.socks.nec.com/socks5.html

  socks5是一种透明的proxy协议, 而且很好的解决了认证,保密,以及proxy接力等问题
  netscape, ie等可以直接使用这种proxy, 而且可以使用socsk5的client软件使那些
不直接支持socsk5 proxy的internet软件的通过proxy访问internet. 更重要的是,
socks5支持udp协议的proxy, 从而成为很多firewall后面的人使用ICQ不可缺少的东西.

socsk5 server on linux安装简介
  抓回socsk5-v1.0r4.tar.gz ( sepc/pub/linux/collect/network/socks )
  编译并安装, 一般步骤是:
    ./configure
    make
    make install
  然后在/etc/rc.d/rc.local里加上相应的运行命令就可以了, 一般不用加什么
特殊参数. 缺省的是加上
   /usr/local/bin/socks5

socks5 server端配置
  配置文件缺省是/etc/socks5.conf
  这里只介绍一种最简单的情况,proxy没有其他的认证,只是根据ip范围来确认允许
使用与否. 比如只允许111.222.111.xxx 和 111.333.111.23使用此proxy, 那么应该
这么写/etc/socks5.conf:
  permit - - 111.333.111.23 - - -
  permit - - 111.222.111.0/255.255.255.0 - - -
其中后面一行也可以写成:
  permit - - 111.222.111. - - -

socsk5 client端配置
95/nt下
   netscape, ie, icq 等都可以直接使用socks5 proxy, 但如果要使用wsftp等
就得需要sockscap32, 在sepc/pub/linux/collect/network/socks下抓回sc32r102.exe
安装即可. 使用很简单, 这里不多加描述.
   netscape和ie的proxy设置里, 最好其他的都不要填,只在socks栏填上相应的ip和port
(port缺省是1080)

linux下
  socks5 server包里带了相应的client程序, 有telnet,ftp,ping,finger等, 命令名
分别是rtelnet, rftp, rping rfinger等等, 可以用man socks5_clients查看, 对于
普通的不直接支持socks5 proxy的程序, 也有和sockscap类似的东西, 叫做runsocks
使用也非常简单, 比如要通过proxy来上ncic bbs, 那么用
    runsocks telnet 159.226.43.21
就可以了. 需要注意的是还得写一下/etc/libsocks5.conf, 最简单的情况:
# 走111.222.111.1的socks5 proxy
socks5 - - - - 111.222.111.1

--
Late Expanded aNd eXtended

※ 来源:．BBS 曙光站 bbs.ncic.ac.cn．[IP: 159.226.43.21]



本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/11897/showart_59780.html