- 论坛徽章:
- 0
|
我不是什么高手根据自己通过使用LINUX给大家写了点我的个人心得给大家看看仅供参考
维护网络安全性最简单的办法是保证网络中的主机不会接触外界,也不被外界接触,最容易的办法是从不将自己的网络连接到公共网络上,例如INTERNET.这种通过隔离达到的安全性策略在许多情况下是不能接受的。使用私有IP地址是一种简单可行的方法.可以避免黑客进入到用户的私人计算机.
RFC1918规定了能够用于本地TCP/IP网络使用的IP地址.这些IP地址不会被路由器处理.因为这些IP不会在INTERNET上路由,因此不必注册.通过在该范围分配IP地址,可以有效的将网络流量现在在本地网络内.这是一种拒绝外部计算机访问而允许内部计算机之间的数据流同的快速有效的方法.所有有关互联网的官方标准为RFC(REQUEST FOR COMMENT)来发行
私有IP不能在INTERNET上路由,因此使用私有IP地址的系统无法访问INTERNET但通过建立一个IP伪装的服务器(一台LINUX服务器)可解决这一问题.当数据包离开计算机时,包含有它自身的IP地址作为源地址,在数据抱经过LINUX服务器发送到外不世界时回敬国一个转换.服务器同时记录哪个源地址的数据包发送到LNTERNET上的哪个目标IP地址.当数据包发送到INTERNET上之后,他能够到达起目标地址获得其响应.
这种设置有一个问题.因为数据包的源地址为服务器的IP,而不是服务器后面利用户计算机的IP地址所以,来自外部计算机的响应将发送到服务器.因此,威力完整数据包传输,LINUX服务器必须搜索到一个表,以便确定该数据包属于哪个计算机.然后讲述具保的源地址设置为私有用户私有用户计算机的 地址,并发送到该计算机.显然来自私有IP地址计算机的数据包现在能够在INTERNET上传输了.因此,IP伪装也也诚挚为网络地址转换.
默认情况下,LINUX内核内设置有IP伪装功能.但是,如果已经从内核中删除了这一功能,或者使用一个没有内置IP伪装功能的内核,则需要重新编译内核,然后设置数据包过滤规则以便允许转换的进行,为了让IP伪装能够工作,则需要打开服务器的IP转换服务.大家可以通过将/etc/sysconfig/network文件中的FORWARD_IPV4设置为YES而打开IP转换.
为了将内部网络连接到外部世界,需要在IP伪装服务器上有两个网络接口.一个借口用语连接到内部网络,而里一个借口用来将服务器连接到外部世界 例如:
/sbin/ifconfig.ethl inet 211.123.1.1 netmask 255.255.255.0
将你的计算机IP地址培植为192.168.1.2到192.168.1.254,并将所有用户的计算机的网管设置为192.168.1.1网络掩码为255.255.255.0 这是 所有的计算机能够相互通信,
/sbin/ipchains-A forward -j MASQ 192.168.1.0/24 -d0.0.0.0/0
/sbin/ipchains-p forward DENY
第一条命令对其目标地址不是192.168.1.0网络的 IP数据报打开了IP伪装功能服务.他将转换它最初来自192.168.1.0网络的 经过为装的IP数据包,并竟发到另一个网络接口锁链界的网络的默认路由器.第二条将默认的转发策略设置为拒绝所有非内部网络的数据包.可将上述的民令放在/etc/rc.d/rc.local zai引导服务器时,就能够启动IP为状功能.
由于时间仓促写的可能不全有点杂乱望大家见晾.
中国E安联盟 潇湘夜雨发布如要转载请写明文章的出处 http://www.cnean.e-org.org/
|
|
免费注册
发表于 2001-12-01 22:29
发表于 2004-04-24 11:52
