文本Tag：防火墙

　　【IT168学院】防火墙可分为几种不同的安全等级。在Linux中，由于有许多不同的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的能力。不过，Linux核心本身内建了一种称装的简单机制，除了最专门的黑客外，可以抵挡住绝大部分的行动。

　　当我们拨号接连上Internet后，我们的计算机会被赋给一个IP地址，可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的IP伪装法，就是把你的IP藏起来，不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的，Internet路由器并不能识别。像作者计算机的IP是192.168.1.127，但如果你把这个地址输入到你的浏览器中，相信什么也收不到，这是因为Internet是不认得192.168.X.X这组IP的。在其他Intranet上有数不清的计算机，也是用同样的IP，由于你根本不能存取，当然不能侵入或破解了。

　　那么，解决Internet上的安全问题，看来似乎是一件简单的事，只要为你的计算机选一个别人无法存取的IP地址，就什么都解决了。错！因为当你浏览Internet时，同样也需要服务器将资料回传给你，否则你在屏幕上什么也看不到，而服务器只能将资料回传给在Internet上登记的IP地址。

　　IP伪装就是用来解决此两难困境的技术。当你有一部安装Linux的计算机，设定要使用IP伪装时，它会将内部与外部两个网络桥接起来，并自动解译由内往外或由外至内的IP地址，通常这个动作称为网络地址转换。

　　实际上的IP伪装要比上述的还要复杂一些。基本上，IP伪装服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料，这便是其中一个网络；你的内部网络通常会对应到一张以太网卡，这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(CableModem)，那么系统中将会有第二张以太网卡，代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址，因此，如果你有一部安装Windows的计算机（IP为192.168.1.25），位于第二个网络上（Etherneteth1）的话，要存取位于Internet（Etherneteth0）上的缆线调制解调器（207.176.253.15）时，Linux的IP伪装就会拦截从你的浏览器所发出的所有TCP/IP封包，抽出原本的本地地址（192.168.1.25），再以真实地址（207.176.253.15）取代。接着，当服务器回传资料到207.176.253.15时，Linux也会自动拦截回传封包，并填回正确的本地地址（192.168.1.25）。

　　Linux可管理数台本地计算机（如Linux的IP伪装示意图中的192.168.1.25与192.168.1.34），并处理每一个封包，而不致发生混淆。作者有一部安装SlackWareLinux的老486计算机，可同时处理由四部计算机送往缆线调制解调器的封包，而且速度不减少。

　　在第二版核心前，IP伪装是以IP发送管理模块（IPFWADM，IPfwadm）来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS，但仍旧提供了IPFWADMwrapper来保持向下兼容性，因此，作者在本文中会以IPFWADM为例，来解说如何设定IP伪装（您可至http：//metalab.unc.edu/mdw/HOWTO/IPCHAINS－HOWTO.html查询使用IPCHAINS的方法，该页并有IP伪装更详尽的说明）。

　　另外，某些应用程序如RealAudio与CU－SeeME所用的非标准封包，则需要特殊的模块，您同样可从上述网站得到相关信息。

　　作者的服务器有两张以太网卡，在核心激活过程中，分别被设定在eth0与eth1。这两张卡均为SN2000式无跳脚的ISA适配卡，而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定，指令如下：

　　IPADDR=207.175.253.15

　　＃换成您缆线调制解调器的IP地址。

　　NETMASK=255.255.255.0

　　＃换成您的网络屏蔽。

　　NETWORK=207.175.253.0

　　＃换成您的网络地址。

　　BROADCAST=207.175.253.255

　　＃换成您的地址。

　　GATEWAY=207.175.253.254

　　＃换成您的网关地址。

　　＃用以上的宏来设定您的缆线调制解调器以太网卡

　　/sbin/ifconfigeth0＄{IPADDR}broadcast＄{BROADCAST}netmask＄{NETMASK}

　　＃设定IP路由表

　　/sbin/routeadd－net＄{NETWORK}netmask＄{NETMASK}eth0

　　＃设定intranet以太网络卡eth1，不使用宏指令

　　/sbin/ifconfigeth1192.168.1.254broadcast192.168.1.255netmask255.255.255.0

　　/sbin/routeadd－net192.168.1.0netmask255.255.255.0eth1

　　＃接着设定IPfwadm初始化

　　/sbin/ipfwadm－F－pdeny＃以下之外的存取＃打开来自192.168.1.X的传送需求

　　/sbin/ipfwadm－F－am－S192.168.1.0/24－D0.0.0.0/0

　　/sbin/ipfwadm－M－s60030120

　　就是这样！您系统的IP伪装现在应该可以正常工作了。如果您想得到更详细的信息，可以参考所提到的HOWTO，或是至http：//albali.aquanet.com.br/howtos/Bridge＋Firewall－4.html参考MINIHOWTO。另外关于安全性更高的防火墙技术，则可在ftp：//sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall－HOWTO中找到资料。

　　半年来，56K模拟数据卡的价格突然跌降了不少。不过，大多数新的数据卡，其实是拿掉了上的控制用微处理器，因此会对系统的主CPU造成额外的负荷，而Linux并不支持这些WinModem卡。虽然Linux核心高手们，还是有能力为WinModem卡撰写驱动程序，但他们也很明白，为了省10元美金而对系统效能造成影响，绝对不是明智之举。

　　请确定您所使用的Modem卡，有跳脚可用来设定COM1、COM2、COM3与COM4，如此一来，这些数据卡才可在Linux下正常工作。您可在http：//～gromitkc/winmodem.html中找到与Linux兼容的数据卡的完整列表。

　　当作者在撰写本篇文章时，曾花了点时间测试各种不同的数据卡。Linux支持即插即用装置，所以我买了一块由Amjet生产的无跳脚数据卡，才又发现另一个令人困扰的问题。

　　作者测试用的PC是一部老旧的486，用的是1994年版的AMIBIOS。在插上这块即插即用数据卡后，计算机便无法开机了，画面上出现的是主硬盘发生故障（Primaryharddiskilure）。经检查，发现即插即用的BIOS居然将原应保留给硬盘控制器的15号中断，配给了数据卡。最后作者放弃了在旧计算机上使用即插即用产品，因为不值得为这些事花时间。所以，请您注意在购买数据卡之前，先看清楚是否有调整COM1到COM4的跳脚。