巧妙利用Linux系統(tǒng)IP偽裝防黑
防火墻可分為幾種不同的安全等級(jí)。在Linux中,由于有許多不同的防火墻軟件可供選擇,安全性可低可高,最復(fù)雜的軟件可提供幾乎無(wú)法滲透的保護(hù)能力。不過(guò),Linux核心本身內(nèi)建了一種稱作“偽裝”的簡(jiǎn)單機(jī)制,除了最專門的黑客攻擊外,可以抵擋住絕大部分的攻擊行動(dòng)。
當(dāng)我們撥號(hào)接連上Internet后,我們的計(jì)算機(jī)會(huì)被賦給一個(gè)IP地址,可讓網(wǎng)上的其他人回傳資料到我們的計(jì)算機(jī)。黑客就是用你的IP來(lái)存取你計(jì)算機(jī)上的資料。Linux所用的“IP偽裝”法,就是把你的IP藏起來(lái),不讓網(wǎng)絡(luò)上的其他人看到。有幾組IP地址是特別保留給本地網(wǎng)絡(luò)使用的,Internet骨干路由器并不能識(shí)別。像作者計(jì)算機(jī)的IP是192.168.1.127,但如果你把這個(gè)地址輸入到你的瀏覽器中,相信什么也收不到,這是因?yàn)镮nternet骨干是不認(rèn)得192.168.X.X這組IP的。在其他 Intranet上有數(shù)不清的計(jì)算機(jī),也是用同樣的IP,由于你根本不能存取,當(dāng)然不能侵入或破解了。
那么,解決Internet上的安全問(wèn)題,看來(lái)似乎是一件簡(jiǎn)單的事,只要為你的計(jì)算機(jī)選一個(gè)別人無(wú)法存取的IP地址,就什么都解決了。錯(cuò)!因?yàn)楫?dāng)你瀏覽Internet時(shí),同樣也需要服務(wù)器將資料回傳給你,否則你在屏幕上什么也看不到,而服務(wù)器只能將資料回傳給在Internet骨干上登記的合法IP地址。
“IP偽裝”就是用來(lái)解決此兩難困境的技術(shù)。當(dāng)你有一部安裝Linux的計(jì)算機(jī),設(shè)定要使用“IP偽裝”時(shí),它會(huì)將內(nèi)部與外部?jī)蓚€(gè)網(wǎng)絡(luò)橋接起來(lái),并自動(dòng)解譯由內(nèi)往外或由外至內(nèi)的IP地址,通常這個(gè)動(dòng)作稱為網(wǎng)絡(luò)地址轉(zhuǎn)換。
實(shí)際上的"IP偽裝"要比上述的還要復(fù)雜一些。基本上,“IP偽裝”服務(wù)器架設(shè)在兩個(gè)網(wǎng)絡(luò)之間。如果你用模擬的撥號(hào)調(diào)制解調(diào)器來(lái)存取Internet上的資料,這便是其中一個(gè)網(wǎng)絡(luò);你的內(nèi)部網(wǎng)絡(luò)通常會(huì)對(duì)應(yīng)到一張以太網(wǎng)卡,這就是第二個(gè)網(wǎng)絡(luò)。若你使用的是DSL調(diào)制解調(diào)器或纜線調(diào)制解調(diào)器(Cable Modem),那么系統(tǒng)中將會(huì)有第二張以太網(wǎng)卡,代替了模擬調(diào)制解調(diào)器。而Linux可以管理這些網(wǎng)絡(luò)的每一個(gè)IP地址,因此,如果你有一部安裝 Windows的計(jì)算機(jī)(IP為192.168.1.25),位于第二個(gè)網(wǎng)絡(luò)上(Ethernet eth1)的話,要存取位于Internet(Ethernet eth0)上的纜線調(diào)制解調(diào)器(207.176.253.15)時(shí),Linux的“IP偽裝”就會(huì)攔截從你的瀏覽器所發(fā)出的所有TCP/IP封包,抽出原本的本地地址(192.168.1.25),再以真實(shí)地址(207.176.253.15)取代。接著,當(dāng)服務(wù)器回傳資料到207.176.253.15 時(shí),Linux也會(huì)自動(dòng)攔截回傳封包,并填回正確的本地地址(192.168.1.25)。
Linux可管理數(shù)臺(tái)本地計(jì)算機(jī)(如Linux的“IP偽裝”示意圖中的 192.168.1.25與192.168.1.34),并處理每一個(gè)封包,而不致發(fā)生混淆。作者有一部安裝SlackWare Linux的老486計(jì)算機(jī),可同時(shí)處理由四部計(jì)算機(jī)送往纜線調(diào)制解調(diào)器的封包,而且速度不減少。
在第二版核心前,“IP偽裝”是以IP發(fā)送管理模塊(IPFWADM,IP fw adm)來(lái)管理。第二版核心雖然提供了更快、也更復(fù)雜的IPCHAINS,但仍舊提供了IPFWADM wrapper來(lái)保持向下兼容性,因此,作者在本文中會(huì)以IPFWADM為例,來(lái)解說(shuō)如何設(shè)定“IP偽裝”(您可至http: //metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html查詢使用IPCHAINS的方法,該頁(yè)并有“IP偽裝”更詳盡的說(shuō)明)。
另外,某些應(yīng)用程序如RealAudio與CU-SeeME所用的非標(biāo)準(zhǔn)封包,則需要特殊的模塊,您同樣可從上述網(wǎng)站得到相關(guān)信息。
作者的服務(wù)器有兩張以太網(wǎng)卡,在核心激活過(guò)程中,分別被設(shè)定在eth0與eth1。這兩張卡均為SN2000式無(wú)跳腳的ISA適配卡,而且絕大多數(shù)的Linux都認(rèn)得這兩張卡。作者的以太網(wǎng)絡(luò)初始化步驟在rc.inet1中設(shè)定,指令如下:
IPADDR="207.175.253.15"
#換成您纜線調(diào)制解調(diào)器的IP地址。
NETMASK="255.255.255.0"
#換成您的網(wǎng)絡(luò)屏蔽。
NETWORK="207.175.253.0"
#換成您的網(wǎng)絡(luò)地址。
BROADCAST="207.175.253.255"
#換成您的廣播地址。
GATEWAY="207.175.253.254"
#換成您的網(wǎng)關(guān)地址。
#用以上的宏來(lái)設(shè)定您的纜線調(diào)制解調(diào)器以太網(wǎng)卡
/sbin/ifconfig eth0 $ broadcast $ netmask $
#設(shè)定IP路由表
/sbin/route add -net $ netmask $ eth0
#設(shè)定intranet以太網(wǎng)絡(luò)卡eth1,不使用宏指令
/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1
#接著設(shè)定IP fw adm初始化
/sbin/ipfwadm -F -p deny #拒絕以下位置之外的存取 #打開來(lái)自192.168.1.X的傳送需求
/sbin/ipfwadm -F -a m -S 192.168.1.0/24 -D 0.0.0.0/0
/sbin/ipfwadm -M -s 600 30 120
#p#就是這樣!您系統(tǒng)的"IP偽裝"現(xiàn)在應(yīng)該可以正常工作了。如果您想得到更詳細(xì)的信息,可以參考上面所提到的HOWTO,或是至http://albali.aquanet.com.br/howtos/Bridge+ Firewall-4.html參考MINI HOWTO。另外關(guān)于安全性更高的防火墻技術(shù),則可在ftp: //sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO中找到資料。
半年來(lái),56K模擬數(shù)據(jù)卡的價(jià)格突然跌降了不少。不過(guò),大多數(shù)新的數(shù)據(jù)卡,其實(shí)是拿掉了板子上的控制用微處理器,因此會(huì)對(duì)系統(tǒng)的主CPU造成額外的負(fù)荷,而Linux并不支持這些“WinModem”卡。雖然Linux核心高手們,還是有能力為WinModem卡撰寫驅(qū)動(dòng)程序,但他們也很明白,為了省10元美金而對(duì)系統(tǒng)效能造成影響,絕對(duì)不是明智之舉。
請(qǐng)確定您所使用的Modem卡,有跳腳可用來(lái)設(shè)定COM1、COM2、 COM3與COM4,如此一來(lái),這些數(shù)據(jù)卡才可在Linux下正常工作。您可在http: //www.o2.net/~gromitkc/winmodem.html中找到與Linux兼容的數(shù)據(jù)卡的完整列表。
當(dāng)作者在撰寫本篇文章時(shí),曾花了點(diǎn)時(shí)間測(cè)試各種不同的數(shù)據(jù)卡。Linux支持即插即用裝置,所以我買了一塊由Amjet生產(chǎn)的無(wú)跳腳數(shù)據(jù)卡,才又發(fā)現(xiàn)另一個(gè)令人困擾的問(wèn)題。
作者測(cè)試用的PC是一部老舊的486,用的是1994年版的AMI BIOS。在插上這塊即插即用數(shù)據(jù)卡后,計(jì)算機(jī)便無(wú)法開機(jī)了,畫面上出現(xiàn)的是“主硬盤發(fā)生故障”(Primary hard disk failure)。經(jīng)檢查,發(fā)現(xiàn)即插即用的BIOS居然將原應(yīng)保留給硬盤控制器的15號(hào)中斷,配給了數(shù)據(jù)卡。最后作者放棄了在舊計(jì)算機(jī)上使用即插即用產(chǎn)品,因?yàn)椴恢档脼檫@些事花時(shí)間。所以,請(qǐng)您注意在購(gòu)買數(shù)據(jù)卡之前,先看清楚是否有調(diào)整COM1到COM4的跳腳。
在作者的布告板(http: //trevormarshall.com/BYTE/)上,看到有幾位朋友詢問(wèn)是否可以用多條撥號(hào)線來(lái)改善Internet的上網(wǎng)速度。這里最好的例子是128K ISDN,它同時(shí)運(yùn)用兩條56K通道,以達(dá)到128K的速度。當(dāng)ISP提供這樣的服務(wù)時(shí),其實(shí)會(huì)配置兩條獨(dú)立的線路連到同一個(gè)IP上。
您可以看到,雖然Linux上有EQL這類模塊,可讓您在計(jì)算機(jī)上同時(shí)使用兩塊數(shù)據(jù)卡,但除非ISP對(duì)兩組撥號(hào)連線提供同一個(gè)IP,否則這兩塊數(shù)據(jù)卡也只是對(duì)送出資料有幫助而已。
如果您撥接的是一般的ISP PPP線路,那么您會(huì)得到一個(gè)IP地址,從服務(wù)器回傳的封包才能在數(shù)百萬(wàn)臺(tái)計(jì)算機(jī)中找到您;而您每次撥入ISP時(shí),都會(huì)得到一個(gè)不同的IP地址。
你的瀏覽器所送出的封包中,也包含供服務(wù)器資料回傳的本地IP地址。EQL 可將這些外傳的封包,分散到不同的ISP線路上,但當(dāng)資料回傳時(shí),卻只能通過(guò)一個(gè)IP地址接收,也就是瀏覽器認(rèn)為正在使用的那個(gè)地址。若是使用ISDN,那么ISP會(huì)處理這個(gè)問(wèn)題;一些ISP會(huì)為多組線路的撥號(hào)接入提供相應(yīng)的IP地址,但價(jià)錢非常昂貴。
在追求速度時(shí),請(qǐng)別忽略了Linux防火墻的效率。在作者辦公室有六位使用者通過(guò)“IP偽裝”防火墻,去存取一部56K模擬調(diào)制解調(diào)器,工作情況十分良好,只有在有人下載大文件時(shí)速度才會(huì)變慢。在您決定要加裝多條ISP撥號(hào)線之前,可以先架設(shè)一部"IP偽裝"服務(wù)器試試。Windows處理多重IP的方式并非十分有效率,而將Windows網(wǎng)絡(luò)與調(diào)制解調(diào)器隔開,效能的增進(jìn)將會(huì)讓您驚訝不已。
簡(jiǎn)而言之,Linux所用的“IP偽裝”法,就是把你的IP藏起來(lái),不讓網(wǎng)絡(luò)上的其他人看到。
【編輯推薦】
