配置网络的Internet连接 精心收集的各类精品文档，欢迎下载使用
扫扫二维码，随身浏览文档
手机或平板扫扫即可继续访问
配置网络的Internet连接
举报该文档为侵权文档。
举报该文档含有违规或不良信息。
反馈该文档无法正常浏览。
举报该文档为重复文档。
推荐理由：
将文档分享至：
分享完整地址
文档地址：
粘贴到BBS或博客
flash地址：
支持嵌入FLASH地址的网站使用
html代码：
&embed src='/DocinViewer-4.swf' width='100%' height='600' type=application/x-shockwave-flash ALLOWFULLSCREEN='true' ALLOWSCRIPTACCESS='always'&&/embed&
450px*300px480px*400px650px*490px
支持嵌入HTML代码的网站使用
您的内容已经提交成功
您所提交的内容需要审核后才能发布，请您等待！
3秒自动关闭窗口|||||| 更多
比特客户端
我们也在这里：
巧设置internet网关组件也能为网络加速 （1）
关键字：Internet
　　DMZ堡垒主机之不能
　　很多时候在家庭组网过程中我们都会遇到一个棘手问题，那就是传输速度过于缓慢，特别是多台机器通过共享上网冲浪时由于所有计算机都处于路由器的保护之下，因此他们都在内网中，于是乎需要网络服务和应用都无法顺利开展，通过BT下载速度提高不了，电驴的ID也是受限制的。虽然有些稍微懂点网络技术的读者会通过设置堡垒主机DMZ的IP地址方法来提高内网计算机的网络服务质量，但是DMZ设置上有很多限制，今天笔者就为各位介绍如何巧设置internet组件来为自己家庭网络办大事，让网络速度殊途同归。
　　一、DMZ堡垒主机之不能：
　　DMZ堡垒主机在中的应用主要是设置上，通过将服务器的IP地址加入堡垒主机从而保证服务器上应用与服务的顺利开展。但是在家庭网络应用过程中常见的和路由器中都只能够针对一台计算机来设置DMZ堡垒主机，这样就算我们通过DMZ设置将一台计算机的网络限制进行了开放也无法让其他内网计算机的速度得到提升。
　　当然目前有一些中高级的家用宽带路由器具备针对某个网段设置DMZ区域的功能，这样我们可以将多个在同一个网段内的主机添加到DMZ区域，从而让多台机器都得到速度方面的提升。不过这样也存在一个问题，那就是这样设置DMZ区域只针对某一个网段，在设置上不太灵活，例如我们想让几台机器速度提升而另外几台机器出于安全考虑针对速度进行限制，由于单网段DMZ区域设置只可以对单个网段进行设置，所以上面的问题就无法彻底解决了。
　　以上两个问题是DMZ堡垒主机所不能解决的，那么我们该如何设置巧妙搞定这个麻烦呢?下面就请各位跟随我一起通过巧设置internet网关组件来提高网络冲浪速度，突破家庭组网内网限制。
　　小提示：
　　一般来说当我们在本机系统中安装了UPNP组件后这个internet网关图标就会出现。
　　internet网关的前世今生
　　二、巧妙设置internet网关让本机实现超越DMZ功能：
　　相信不少读者在使用WindowsXP系统时都会看到在“网上邻居”属性窗口中出现的internet网关图标，他是当前系统与外界网络通讯的桥梁，通过巧妙设置internet网关过滤规则可以让我们本机实现与DMZ堡垒主机一样的功能，这样就大大的弥补了DMZ堡垒主机设置上的不足。
　　internet网关是连接电脑与外部网络的纽带，任何通过计算机网卡的数据都首先通过internet网关中的规则进行判定，必要时进行过滤。下面我们就来手把手设置internet网关让本机上网速度突破限制跨越DMZ堡垒功能。
　　(1)internet网关的前世今生：
　　internet网关是如何存在和出现的呢?说起这个问题首先我们要从服务方面下手去寻根问祖。
　　第一步：我们在网上邻居属性窗口的internet网关图标上点右键选择属性。
　　第二步：之后我们会看到右下角有一个“设置”按钮，点该按钮将打开规则设置窗口。这里我们会看到默认情况下internet网关针对哪些程序哪些端口进行了规则设置。
　　小提示：
　　实际上我们所说的internet网关实际上是通过某服务进行加载的，当我们开启了服务中的SSDPSRV(SSDPDiscoveryservice)后这个图标就会出现，所以日后如果我们不希望internet网关起作用来管理网络通讯的话直接通过services.msc启动服务设置窗口，然后关闭掉SSDPSRV(SSDPDiscoveryservice)的启动即可。
　　第三步：平时我们接触最多的UPNP(universalplugandplaydevicehos)功能广泛用在P2P软件中，相信不好读者在安装BT工具时都会让其自身的UPNP功能启用，不过如果仅仅启动UPNP功能而没有开启SSDPSRV(SSDPDiscoveryservice)服务的话，UPNP是无法工作的，我们从服务中的依存关系也可以清晰的看到这个关联。
相关文章：
[ 责任编辑：徐银泽 ] &&&&
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte已有天涯账号？
这里是所提的问题，您需要登录才能参与回答。
"天涯问答"是天涯社区旗下的问题分享平台。在这里您可以提问，回答感兴趣的问题，分享知识和经历，无论您在何时何地上线都可以访问，此平台完全免费，而且注册非常简单。
如何删除internet网关？
朋友开了一间网吧，用的是路由器共享上网。其中有一台机被人不知如何建立了一个internet网关的连接，导致这台机无法上网（其他机只有本地连接和宽带连接，这台机多了一个网关的连接），我想把它删除了，但右键那个删除的选项是透明的，删除不了，怎么办？
08-12-21 & 发布
三种不同的角色: 网络服务器 (要提供哪些服务) Internet网关 (代理(proxy) 和/或 伪装(masquerading)) Internet主机/服务器 (要提供哪些服务) Linux可以同时扮演这三种角色---尽管就安全和风险评估而言&把所有的蛋放进一个篮子&未必是个好主意. 按常规,你还要考虑机器性能---不过拥有200+Pentium处理器,32M到256M RAM,4Gb到12Gb磁盘空间的典型的现代PC比起5到10年前的Unix已经是相当强大了 . 你知道不知道我能否用一个用于modem的10mbs以太网和一个用于家庭网络的100mbs以太网来设置Linux?应该从哪着手,怎么去做? 我猜想你指的是设一个10Mbps以太网用于cable modem,ISDN路由器(router)(如 Trancell/WebRamp,或Ascend Pipeline系列),或者DSL路由器.这些设备的功能是作 为你购买的cable,ISDN或xDSL服务的路由器,一般提供10Mbps接口. 你完全可以在Linux系统中安装两个或更多以太网卡.若你把任何标准的现代 100Mbps网卡用于10Mbps的局域网,它们会自动处理10Mbps的速率.所以你只管为你的系统安装两块这样的网卡,一块接路由器,另一块接高速HUB. 你通常要把以下这行加进/etc/lilo.conf文件里好让内核识别第二块网卡: append=&ether=0,0,eth1& ... 0,0,表示自动检测这个设备的 IRQ 及I/O基地址.否则你就需要像下面这样指定参数: append=&ether=10,0x300,eth0 ether=11,0x280,eth1& 这一行必须出现在/etc/lilo.conf的每一个Linux&段&中(即每一组引导Linux的选项,分别指向不同的Linux kernel,相应的root文件系统及其它设置). 当然了,你必须运行 /sbin/lilo命令以读入 /etc/lilo.conf 文件中的任何改变,并把它们&编译&进新的引导区和映 像(&maps&). 如果你的系统安装了普通的modem---照样可以用.你可以用PPP(使用pppd程序)通过普通电话线建立Internet连接.Linux还提供了对内置ISDN, T1 &FRADs& (frame relay access devices)和 CSU/DSU (即Codecs --- coder decoder units)的支持. 我还听说用于控制一些类型的内置ISDN卡的ipppd.我想多数其它设备都有相应的驱 动程序使它们&看似&Linux的 modem或以太网设备. 我只想买两块100mbs网卡互相连接...所以我想我并不需要集线器,对吗?我只想让两台机器连在这个简单网络上. 你要么需要一个HUB,要么需要一个&十字交叉&的ethernet patch cord.普通的5个接头(? cat 5)的ethernet patch cord没法正确直接连接两块网卡. 感谢你的每一点帮助,特别是像一些站点链接之类的信息,能让我找到教我怎样一步步设置的资料. 我不知道这样的链接.正如你可能已经知道的,Linux有一百多个HOWTO文件,其中许多和设置各种服务有关. 现在我们回到前面列出的几种不同的角色: 网络服务器(要提供哪些服务) Internet网关(代理(proxy)和/或IP伪装(masquerading)) Internet主机/服务器(要提供哪些服务) 从第一项开始说吧.你有一个平时不连在Internet上的小网络(即没有永久的Internet专线连接).所以你会希望你的系统使用&私人网络地址&.这就是指保留的IP地址 ---它们不会被分配给任何Internet上的主机(所以,使用它们不会导致你的系统在选择路由时产生歧义). 有三类这样的地址: 192.168.*.* --- 255个C类网络 172.16.*.* 到 172.31.*.* --- 15个B类网络 10.*.*.* --- 1个A类网络 ... 我为我家里的网络分配了 192.168.42.* ... 这些地址还可以被防火墙和Internet网关(gateways)后面的系统使用. 就Linux而言,我们可以把一个Linux系统设置成本地服务器和Internet网关.我们的网关的实现可以通过&代理&(使用SOCKS或其它应用层工具在我们的私人网络和 Internet之间转发数据),或者通过IP伪装(在数据包被转发时,使用内建于内核的网络地址翻译代码重写数据包---一种网络层透明的代理方式). 不过,我们说得太远了点. 首先我们要设置Linux LAN服务器.所以,安装好Linux并设置好其网卡的IP地址,如 192.168.5.1.内核路由表里应该有指向我们的内部网络的路由,就像下面这样: route add -net 192.168.5.0 eth0 ... 这就告诉内核所有地址是 192.168.5.* 的主机位于与eth0相连的网段. 现在,想想你希望为你的其它机器提供什么服务. Linux在缺省安装时就为任何能访问你的系统的机器提供了一些常见服务 (telnet, NFS, FTP, rsh, rlogin, sendmail/SMTP, web,samba/SMB, POP和 IMAP等等).多数这些服务要通过名叫inetd的&internet服务分派程序 &才能得到.这些服务的清单在 /etc/inetd.conf里.一些其它服务,如 mail传送及转发(sendmail),和web (Apache httpd)以&standalone&模式启动 ---即由 /etc/rc.d/*/S* 脚本启动而不需要inetd.NFS是一个特殊服务,需要几个不同的守护进程参与完成---特别是 portmapper和 mountd.因为NFS是基于&RPC&(远端过程调用)的服务. 既然所有能送数据包给你的系统都可以请求你的系统提供的服务,既然多数Unix和 Linux系统提供全套服务,这就出现了一个严重的安全问题.任何服务的守护进程的任何bug会导致整个系统的不可靠,从而可能被世界任何一个角落的人利用.这就导致了TCP包装程序(TCP Wrappers)的产生.(所有主要Linux发布都缺省安装了它---但缺省设置成提供全部权限).也就是为什么我们有&防火墙&和&包过滤&. 你容易以为你很隐蔽,谁也不会闯进来.然而,如今有很多cracker和script kiddies,他们花费大量时间在&端口扫描&(&portscanning&)上---寻找脆弱的系统 ---把他们叫过来,利用他们做进一步的portscanning sniffing, 破解口令 ,spamming,破解软件,及其它活动. 我最近安装了一条DSL线路.所以我现在可以一直连在Internet上.我装上它还不足一个月,还没有指向我的IP地址的DNS记录.但我已经做了至少三次扫描寻找一些常见的 IMAP的bug,还有一次寻找一个mountd 的bug.所以,我敢说你并没有隐避得能高枕无忧. 当你通过ISDN或POTS(plain old telephone service)线路使用拨号PPP时,你仍有些风险.当你做这些时,风险仍在你这边.然而,设置你的系统以避免这类问题还是 值得的. 所以,你有必要如下编辑两个文件: /etc/hosts.allow ALL:LOCAL /etc/hosts.deny ALL:ALL ... 这绝对是你最低限度要考虑的.这样设置意味着tcpd程序(TCP Wrappers)允许 &local&系统访问(相对于你的域名,其主机名中没有&点&的那些主机),并且拒绝其它所有主机对一切服务的访问. 为了让这项措施正常工作,你要确认所有你的本地主机在/etc/hosts文件里正确地有自己的一项,且/或你已经正确设置了你自己的DNS服务的 forward 和reverse区.你还有必要确认你的/etc/host.conf (libc5)文 件和/或 /etc/nsswitch.conf (glibc2,即libc6)设置成首先搜索 /etc/hosts文件. 我的host.conf文件是这样的: # /etc/host.conf order hosts bind multi on 我的/etc/nsswitch.conf是这样: passwd: db files nis shadow: db files nis group: db files nis hosts: files dns networks: files dns services: db files protocols: db files rpc: db files ethers: db files netmasks: files netgroup: files bootparams: files automount: files aliases: files glibc2提供了一些钩函数,所以使用模块化的服务库(service libraries)对上面文件里每一种数据库的搜索和处理是可扩展的.所以很快我们将可以看到在这个服务调度文件(services switch file)中加入 LDAP服务---那样主机(hosts)用户(passwd或shadow?),用户组 (group)等信息就可以用名为nss_ldap的模块库来查询和处理,而nss_ldap模块与 LDAP服务器打交道.我们还可能看到用某种nss_hesiod模块对一些用户和用户组信息提供&Hesiod&服务(通过DNS或secureDNS协议).甚至我们会看到用一个 nss_nds模块来提供NDS(Novell/Netware目录服务). 不过话说得远了点. 一旦你做完这些,你就可以为你的LAN提供普通服务了.简单地说你如何设置你的客户系统取决于它们运行什么OS,和你想让它们得到什么服务. 比如,如果你想通过NFS让你的Linux或其它Unix客户共享文件,你要编辑你的 Linux服务器上的/etc/exports文件指定哪些目录树对哪些客户系统是可访问的. 以我自己的系统上的exports文件为例: -+ # / *.(ro,insecure,no_root_squash) # / 192.168.5.*(ro,insecure,no_root_squash) /etc/ (noaccess) /root/ (noaccess) /mnt/cdrom 192.168.5.*(insecure,ro,no_root_squash) ... 注意我在向我的LAN输出根目录时把两个目录标记为noaccess&.这样做是为了防止我的网络上其它系统读我的设置文件和passwd/shadow文件.我只用 read-only模式输出我的根目录,并且只是偶尔才暂时地输出根目录(这就是为什么你看到时这几行是被注释掉的).我的CDROM设为可访问的,因为我并不担心屋子里的任何人读我的任何CD上的数据. 牢牢记住NFS就是 &no flippin security&(不堪一击的安全性) --- 任何能控制你的网络上任何系统的人都能够变成非root用户身份执行操作,并以那个用户的&名义&访问任何共享的NFS(NFS是为这样一种情况设 计的:只有少数主机并且都被锁在屋子里严格控制;而不是为在现代办公环境中使用而设计的:你夹着安装了Linux,FreeBSD,甚至 Solaris x86系统的膝上机走进办公室,把它连在最近的以太网插口上(这在现代办 公室随处可见---我在某些地方的接待区(reception areas)也见过). 为了与你的Windows系统共享文件,你需编辑 /etc/smb.conf.文件来设置 Samba.要想作MacOS的文件服务器,你需要安装并设置 etatalk.要想模拟 Netware文件服务器,你要安装Mars_nwe,和/或从Caldera ()买一份Netware Server for Linux. 这些组件的每一个都有几种方法能把你的系统设置为打印服务器. 说完文件和打印服务,我们来看看&标准的Internet服务&( &commodity internet services&)如FTP,telnet,HTTP (WWW).一般说来,如果你安装了任何通用的Linux发布,它们并不需要特殊的设置. 如果在/etc/passwd文件里你建立了一个FTP帐号,就允许通过匿名FTP访问你的某一子目录.如果你把这个帐号改名为&noftp&或&ftpx&或除了&ftp&的任何名字,或者干脆删除这个帐号,你的系统将关闭FTP服务.如果你开放FTP服务,你只需把你想共享的文件放进FTP的主目录的/pub目录下---确认它们是&可读&权限.FTP服务缺省由tcpd运行,所以要依据你的hosts.allow/hosts.deny文件的设置. 如果你打算建立一个&真正的&FTP站点,用作公共镜像或专业&extranet&应用,你恐怕需要用ncftpd, proftpd,或beroftpd代替已经过时的WU-ftpd或旧的BSD FTP守护程序(in.ftpd).这些替代的FTP守护程序有自己的设置文件,可以支持虚拟主机和其它特性.它们中有的允许你建立&虚拟用户&---这些帐号只允许通过FTP访问指定FTP子目录;还有虚拟主机服务---这些帐号可以被用于访问系统的任何其它服务. Web服务由它们自己的设置文件控制.有几本书专门介绍Apache服务器的设置.缺省情况下,它们允许所有人浏览你放进魔力目录(magic directories)的所有网页 (/home/httpd/docs 或类似目录). 你可以根据客户的IP地址(或反过来找到它的DNS名字)来限制对特定目录的访问.和 TCP Wrappers一样,这不能被认为是一种&认证&---但它可以用于区分&本地&与&非本地&系统,如果你设置了反欺骗包过滤措施( ANTI-SPOOFING PACKET FILTERS)(任何好的防火墙都会有这部分). telnet, rlogin, rsh,和其它类型的交互式shell访问通常极容易设置.像许多Unix/Linux服务一样,取消或限制访问比开放它们要麻烦得多. 在Red HatLinux下,这些和其它&需认证的&服务可通过编辑/etc/pam.d/下的PAM设置文件来控制. 所以,对于&如何把Linux设置成服务器&这个问题的简单回答就是,安装它,设置地址和路由选择,然后安装并设置你想提供的服务. 当我们想把Linux用作Internet网关时(或通向任何其它网络的网关---把你的家庭网络与你办公室或朋友的网络连接),你首先要解决的是地址分配和路由选择问题(设好你的第二个接口,并把它正确地加入路由表).然后利用IP伪装或代理服务 (SOCKS)使你的网络系统(使用的是&私人网络&地址)能够访问 Internet服务. 要用旧的ipfwadm(标准2.0.x内核)实现IP伪装,你只需用这样的命令行: ipfwadm -F -a accept -m -D
... 加入 (-a即add)一条规则到转发表中 (-F即 forwarding)以&接受(accept)&并伪装 (-m即&masquerading&)符合以下条件的数据包:其目的地(-D即&destined for&)为任何地址 (),且其源IP地址(-S)符合168.5.0/24(24是一个地址掩码(相当于255.255.255.0),指定地址的前24bit即三位八进制数作为IP地址的&网络部分&---从而覆盖了这个C类网络的全部). 你应该使用模块化编译的内核,并且当你使用这种伪装技术时,几乎总是应该启动 kerneld来装载模块.这是因为有一些常见协议(特别是FTP)在伪装时需要特别处理(拿FTP协议来说,数据连接是从服务器向客户端(发出请求),然而通常数据连接的方向是从客户到服务器). 因为这个原因,我其实偏爱应用层的代理.你可以到任何Red Hat的站点的&contrib&目录下,下载SOCKS服务器和客户端软件.把服务器安装在你的Linux网关上,再把客户软件安装在任何你的Linux客户上. 在SOCKS网关上,创建一个文件: /etc/socks5.conf 照此写入内容: route 192.168.5. - eth0 permit - - - - - - ... 你可以用很多选项来限制对socks网关的访问---不过这个是最简单的例子. 在Linux客户端,建立一个叫/etc/libsocks5.conf的文件,写入类似下面的一项: socks5 - - - - 192.168.5.2 noproxy - 192.168.5. - ... 其中&.2&地址就是我运行SOCKS服务器的主机. 对非Linux客户机,你要用各种不同设置方法.多数Windows TCP/IP工具集(除了 Microsoft的)支持SOCKS代理.有一些替代的WINSOCK.DLL,可以透明地为多数或全部其它Windows服务提供对这种代理协议的支持.MacOS应用程序似乎也广泛支持 SOCKS. 还有一些NECs SOCKS服务器的替代品.我发现&DeleGate&就是相当不错的一个(到 Freshmeat去搜索一下).DeleGate的优点在于,你不仅可以把它用作&SOCKS&兼容的代理,还可以用作&manually traversal&代理.SOCKS代理协议允许客户端软件与代理服务器软件通讯,并发送给服务器有关请求信息,服务器反过来把请求转发给外部的服务器上运行的某个进程.这就是所谓&traversal.& 非SOCKS的代理不得不用其它& traversal&机制.很多就是&manually traversed& ---我telnet 或ftp到TIS FWTK代理上 (打个比方)然后以&org.&登录 ---换句话说,我向提示 符输入了附加的帐号和目的地址的信息,而普通情况下只需输入帐号名 . DeleGate能让你在碰到不支持SOCKS协议的客户程序时使用& manual traversal&机 制. 我还听说过另一种SOCKS服务器软件,名叫&Dante&---也能在()找到. 还有几种专一于特定服务的代理.比如 Apache web 服务器,CERN web服务器和其它几种服务器可作为&caching web proxies&(不仅代理web访问请求,还能cache传输 来的文件). Squid也可以代理并cache web和FTP请求. 有一些服务,如mail和DNS,本身就设计成具有&代理&功能.在这封信里我不可能详细介绍DNS或e-mail服务了.有几本书专门介绍这些. 以上所说的是把Linux设成私人网络与Internet之间的网关的非常基础的知识 .如果你得到了一些&真正的&IP地址,并执意要使用它们从而在你的LAN中使用&DRIP&(directly routed IP),你不一定要设IP伪装或代理---但你要采用包过滤措施来 保护你的客户系统和服务器. 设计好包过滤是很困难的.问题之一我在前面已经有所提及,就是FTP需要两个不同的连接---一个向外发出的控制连接和一个进来的数据连接.还有一个辅助的 &PASV&即&消极(passive)&模式,---不过它还是需要两个连接.简单的包过滤措施将把事情搞得一团糟,因为我们不能仅仅盲目地拒绝所有&进来的&连接请求(根据 TCP数据包报头的SYN和ACK标志位的状态来判断).&状态检查&(&stateful inspection&)的一个&好处&(或复杂之处)就在于它跟踪这些连接(及所有连接的 TCP序列号)以保证一致性. 一组像样的包过滤措施将比我在这里提供的代理和伪装的例子复杂得多.我个人不喜欢DRIP类型的设置.我觉得它们给家庭和小公司的网络带来了太多风险.不过,下面有一个例子 # Flush the packet filtering tables /root/bin/flushfw # Set default policy to deny /sbin/ipfwadm -I -p deny /sbin/ipfwadm -F -p deny /sbin/ipfwadm -O -p deny # Some anti-martian rules -- and log them ## eth1 is outside interface /sbin/ipfwadm -I -o -W eth1 -a deny -S
/sbin/ipfwadm -I -o -W eth1 -a deny -S
/sbin/ipfwadm -I -o -W eth1 -a deny -S
/sbin/ipfwadm -I -o -W eth1 -a deny -S
# Some anti-leakage rules -- with logging ## eth1 is outside interface /sbin/ipfwadm -O -o -W eth1 -a deny -S
/sbin/ipfwadm -O -o -W eth1 -a deny -S
/sbin/ipfwadm -O -o -W eth1 -a deny -S
/sbin/ipfwadm -O -o -W eth1 -a deny -S
## these are taken from RFC1918 --- plus ## the 127.* which is reserved for loopback interfaces # An anti-spoofing rule -- with logging /sbin/ipfwadm -I -o -W eth1 -a deny -S
# No talking to our fw machine directly ## (all packets are destined for forwarding to elsewhere) /sbin/ipfwadm -I -o -a deny -D
/sbin/ipfwadm -I -o -a deny -D
# An anti-broadcast Rules ## (block broadcasts) /sbin/ipfwadm -F -o -a deny -D
/sbin/ipfwadm -F -o -a deny -D
# Allow DNS ## only from the servers listed in my caching servers ## /etc/resolv.conf /sbin/ipfwadm -F -a acc -D
/sbin/ipfwadm -F -a acc -D
/sbin/ipfwadm -F -a acc -D
# anti-reserved ports rules ## block incoming access to all services /sbin/ipfwadm -F -o -a deny -D
1:1026 -P tcp /sbin/ipfwadm -F -o -a deny -D
1:1026 -P udp # Diode ## (block incoming SYN/-ACK connection requests) ## breaks FTP /sbin/ipfwadm -F -o -a deny -D
-y ## /sbin/ipfwadm -F -o -i acc ## -S
-y ## simplistic FTP allow grr! # Allow client side access: ## (allow packets that are part of existing connections) /sbin/ipfwadm -F -o -a acc -D
-k 这一组过滤规则有缺陷.读一下注释你就明白了,有一条规则处理FTP---却让所有使用1024以上端口的服务面临风险---比如X windows(用6000以上端口)等.攻击者只需拥有其系统的控制权(作为自己的Linux或其它Unix的root---并不很困难),并创建数据包使其看上去来自他们的TCP20号端口(FTP数据端口).同样,对于任何拥有 spak(send package)的人来说也是易如反掌. 所以,我把这条规则注释掉了,也没给出一组规则能允许本地系统与一个代理FTP系统连接. 注意这些地址是假的.就我所知它们不会代表任何真正的主机. 这些过滤规则中我唯一感到满意的是拒绝spoof数据包(即声称来自我自己的地址或者像本地主机一样来自私有或假想的地址的那些数据包)进入的那部分.还有一些规则是为了防范私人网络上任何走失的数据包不会&泄漏&到Internet上.这是一种礼貌---此外一个实际的好处是,我几乎不会把&私人网络&上分享的机密数据&泄漏&出去,哪怕我硬要把它们送出去. 我看过一些关于ipfil的资料,(Darren Reed开发的IP过滤软件包 --- 是 FreeBSD和其它BSD系统上的事实标准,也可在Linux上编译运行).这个软件似乎提供了某种&状态相关的&(stateful)特性,可能让你在开放非消极模式FTP时能更安全 .不过,具体细节我就不知道了. 2.2版的内核将包括修改过的内核包过滤机制,由ipchain命令控制.一系列非正式的2.0系列内核的补丁也提供了这些功能.这似乎没有提供任何&状态检查&特性 ,(&stateful inspection&)但比起现有的ipfwadm控制的表来说还是有不少改进的 . 你最后一个问题是想把Linux设成Internet服务器(可能用做公共WEB页,FTP或其它常见Internet服务). 可能你已经看出来了,提供Internet服务与提供你自己的LAN的服务是一样的 .在缺省情况下,Linux下(及其它类型的Unix)的任何服务都可在全世界范围内被访问 . (这也就是为什么我们需要防火墙). 我已经花了些时间介绍如何对Linux和Unix系统做些特殊设置来限制 指定的那些网络对你的服务的访问.否则,在巴西的什么人会像你自己一样容易地在你的打印机上打印文件. 要成为Internet服务器,所有你要做的就是拥有一个静态IP地址(或者定期更新你在 的地址记录).只要人们知道怎样把请求送达你的服务器,---假如你并没有采取措施拒绝那些请 求---Linux就会服务于它们. 设置网络过程中最具挑战性的是涉及地址,路由选择,域名和安全的那些部分.我们中的大多数在自己的网络上还在使用&静态&路由选择---就是架设新系统时手工分配IP地址 .使用拨号PPP的多数是从ISP那里得到动态IP地址.一些站点如今使用 DHCP来为桌面系统提供动态地址(服务器还是需要稳定的地址---为服务器使用 DHCP只会带来更多的麻烦). 至于路由,划分子网和LAN网段的问题---去看看我上个月贴出的关于路由的文章 (我想Heather会在这个月出版它).它长达30页! (那篇文章里我省略了的一件事是以太网的 &proxyarp&.这些将在这个月的另一封回信里介绍.所以,要是你想学更多东西,可以看看它). 我希望安全问题已经能引起你的注意.哪怕你的系统上没有任何有价值的东西---如果有cracker破坏你的文件取乐对你来说无关紧要---把一个不安全的系统连在 Internet上也是不负责任的(因为你的有漏洞的系统可能被用于破坏其它网络). 我想在一切完成之后写一个有关这个主题的FAQ...希望在我自己摸索了一些经验后能对别人有所帮助. 尽管这种贡献是令人赞赏的---能写成书更好.不过,我更希望看到一些 &个案研究&---讲述典型的SOHO(small office,home office即小办公室,家庭办公 室),部门的,企业的Linux方案. 这些方案研究应该包括网络布局,并提供每一个客户机和服务器的地址分配,路由表,网络服务的设置文件的&一目了然的&示例.公司名,域名和其它名字及IP地址应该被隐去,以避免被别有用心的人利用,并尽量减少公布带来的风险(提供者的 E-mail地址应该用假地址). 重要的是要确切描述你打算提供什么服务,和打算提供给哪些用户和用户组.这就是一个我已在前面反复提到的过程---需求分析. 你要知道你向什么人提供服务,他们需要什么服务.
请登录后再发表评论!