Linux網絡安全文獻 我不是什麼高手根據自己通過使用LINUX給大家寫了點我的個人心得給大家看看僅供參考 維護網絡安全性最簡單的辦法是保證網絡中的主機不會接觸外界,也不被外界接觸,最容易的辦法是從不將自己的網絡連接到公共網絡上,例如INTERNET.這種通過隔離達到的安全性策略在許多情況下是不能接受的。使用私有IP地址是一種簡單可行的方法.可以避免黑客進入到用戶的私人計算機. RFC1918規定了能夠用於本地TCP/IP網絡使用的IP地址.這些IP地址不會被路由器處理.因為這些IP不會在INTERNET上路由,因此不必注冊.通過在該范圍分配IP地址,可以有效的將網絡流量現在在本地網絡內.這是一種拒絕外部計算機訪問而允許內部計算機之間的數據流同的快速有效的方法.所有有關互聯網的官方標准為RFC(REQUEST FOR COMMENT)來發行 私有IP不能在INTERNET上路由,因此使用私有IP地址的系統無法訪問INTERNET但通過建立一個IP偽裝的服務器(一台LINUX服務器)可解決這一問題.當數據包離開計算機時,包含有它自身的IP地址作為源地址,在數據抱經過LINUX服務器發送到外不世界時回敬國一個轉換.服務器同時記錄哪個源地址的數據包發送到LNTERNET上的哪個目標IP地址.當數據包發送到INTERNET上之後,他能夠到達起目標地址獲得其響應. 這種設置有一個問題.因為數據包的源地址為服務器的IP,而不是服務器後面利用戶計算機的IP地址所以,來自外部計算機的響應將發送到服務器.因此,威力完整數據包傳輸,LINUX服務器必須搜索到一個表,以便確定該數據包屬於哪個計算機.然後講述具保的源地址設置為私有用戶私有用戶計算機的 地址,並發送到該計算機.顯然來自私有IP地址計算機的數據包現在能夠在INTERNET上傳輸了.因此,IP偽裝也也誠摯為網絡地址轉換. 默認情況下,LINUX內核內設置有IP偽裝功能.但是,如果已經從內核中刪除了這一功能,或者使用一個沒有內置IP偽裝功能的內核,則需要重新編譯內核,然後設置數據包過濾規則以便允許轉換的進行,為了讓IP偽裝能夠工作,則需要打開服務器的IP轉換服務.大家可以通過將/etc/sysconfig/network文件中的FORWARD_IPV4設置為YES而打開IP轉換. 為了將內部網絡連接到外部世界,需要在IP偽裝服務器上有兩個網絡接口.一個借口用語連接到內部網絡,而裡一個借口用來將服務器連接到外部世界 例如: /好好學習in/ifconfig.ethl inet 211.123.1.1 netmask 255.255.255.0 將你的計算機IP地址培植為192.168.1.2到192.168.1.254,並將所有用戶的計算機的網管設置為192.168.1.1網絡掩碼為255.255.255.0 這是 所有的計算機能夠相互通信, /好好學習in/ipchains-A forward -j MASQ 192.168.1.0/24 -d0.0.0.0/0 /好好學習in/ipchains-p forward DENY 第一條命令對其目標地址不是192.168.1.0網絡的 IP數據報打開了IP偽裝功能服務.他將轉換它最初來自192.168.1.0網絡的 經過為裝的IP數據包,並竟發到另一個網絡接口鎖鏈界的網絡的默認路由器.第二條將默認的轉發策略設置為拒絕所有非內部網絡的數據包.可將上述的民令放在/etc/rc.d/rc.local zai引導服務器時,就能夠啟動IP為狀功能. 由於時間倉促寫的可能不全有點雜亂望大家見晾. 中國E安聯盟 潇湘夜雨發布
