防火墙可分为几种不同的安全等级。在linux中,由于有许多不同的防火墙软件可供选择,安全性可低可高,最复杂的软件可提供几乎无法渗透的保护能力。不过,linux核心本身内建了一种称作”伪装”的简单机制,除了最专门的黑客攻击外,可以抵挡住绝大部分的攻击行动。
当我们拨号接连上internet后,我们的计算机会被赋给一个ip地址,可让网上的其他人回传资料到我们的计算机。黑客就是用你的ip来存取你计算机上的资料。linux所用的”ip伪装”法,就是把你的ip藏起来,不让网络上的其他人看到。有几组ip地址是特别保留给本地网络使用的,internet骨干路由器并不能识别。像作者计算机的ip是192.168.1.127,但如果你把这个地址输入到你的浏览器中,相信什么也收不到,这是因为internet骨干是不认得192.168.x.x这组ip的。在其他intranet上有数不清的计算机,也是用同样的ip,由于你根本不能存取,当然不能侵入或破解了。
那么,解决internet上的安全问题,看来似乎是一件简单的事,只要为你的计算机选一个别人无法存取的ip地址,就什么都解决了。错!因为当你浏览internet时,同样也需要服务器将资料回传给你,否则你在屏幕上什么也看不到,而服务器只能将资料回传给在internet骨干上登记的合法ip地址。
”ip伪装”就是用来解决此两难困境的技术。当你有一部安装linux的计算机,设定要使用”ip伪装”时,它会将内部与外部两个网络桥接起来,并自动解译由内往外或由外至内的ip地址,通常这个动作称为网络地址转换。
实际上的”ip伪装”要比上述的还要复杂一些。基本上,”ip伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取internet上的资料,这便是其中一个网络;你的内部网络通常会对应到一张以太网卡,这就是第二个网络。若你使用的是dsl调制解调器或缆线调制解调器(cable modem),那么系统中将会有第二张以太网卡,代替了模拟调制解调器。而linux可以管理这些网络的每一个ip地址,因此,如果你有一部安装windows的计算机(ip为192.168.1.25),位于第二个网络上(ethernet eth1)的话,要存取位于internet(ethernet eth0)上的缆线调制解调器(207.176.253.15)时,linux的”ip伪装”就会拦截从你的浏览器所发出的所有tcp/ip封包,抽出原本的本地地址(192.168.1.25),再以真实地址(207.176.253.15)取代。接着,当服务器回传资料到207.176.253.15时,linux也会自动拦截回传封包,并填回正确的本地地址(192.168.1.25)。
linux可管理数台本地计算机(如linux的”ip伪装”示意图中的192.168.1.25与192.168.1.34),并处理每一个封包,而不致发生混淆。作者有一部安装slackware linux的老486计算机,可同时处理由四部计算机送往缆线调制解调器的封包,而且速度不减少。
在第二版核心前,”ip伪装”是以ip发送管理模块(ipfwadm,ip fw adm)来管理。第二版核心虽然提供了更快、也更复杂的ipchains,但仍旧提供了ipfwadm wrapper来保持向下兼容性,因此,作者在本文中会以ipfwadm为例,来解说如何设定”ip伪装”(您可至http://metalab.unc.edu/mdw/howto/ipchains-howto.html查询使用ipchains的方法,该页并有”ip伪装”更详尽的说明)。
另外,某些应用程序如realaudio与cu-seeme所用的非标准封包,则需要特殊的模块,您同样可从上述网站得到相关信息。
作者的服务器有两张以太网卡,在核心激活过程中,分别被设定在eth0与eth1。这两张卡均为sn2000式无跳脚的isa适配卡,而且绝大多数的linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定,指令如下:
ipaddr=”207.175.253.15″
#换成您缆线调制解调器的ip地址。
netmask=”255.255.255.0″
#换成您的网络屏蔽。
network=”207.175.253.0″
#换成您的网络地址。
broadcast=”207.175.253.255″
#换成您的广播地址。
gateway=”207.175.253.254″
#换成您的网关地址。
#用以上的宏来设定您的缆线调制解调器以太网卡
/sbin/ifconfig eth0 ${ipaddr} broadcast $ {broadcast} netmask ${netmask}
#设定ip路由表
/sbin/route add -net ${network} netmask $ {netmask} eth0
#设定intranet以太网络卡eth1,不使用宏指令
/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 eth1
#接着设定ip fw adm初始化
/sbin/ipfwadm -f -p deny #拒绝以下位置之外的存取 #打开来自192.168.1.x的传送需求
/sbin/ipfwadm -f -a m -s 192.168.1.0/24 -d 0.0.0.0/0
/sbin/ipfwadm -m -s 600 30 120
就是这样!您系统的”ip伪装”现在应该可以正常工作了。如果您想得到更详细的信息,可以参考上面所提到的howto,或是至http://albali.aquanet.com.br/howtos/bridge+firewall-4.html参考mini howto。另外关于安全性更高的防火墙技术,则可在ftp://sunsite.unc.edu/pub/linux/docs/howto/firewall-howto中找到资料。
半年来,56k模拟数据卡的价格突然跌降了不少。不过,大多数新的数据卡,其实是拿掉了板子上的控制用微处理器,因此会对系统的主cpu造成额外的负荷,而linux并不支持这些”winmodem”卡。虽然linux核心高手们,还是有能力为winmodem卡撰写驱动程序,但他们也很明白,为了省10元美金而对系统效能造成影响,绝对不是明智之举。
请确定您所使用的modem卡,有跳脚可用来设定com1、com2、com3与com4,如此一来,这些数据卡才可在linux下正常工作。您可在http://www.o2.net/~gromitkc/winmodem.html中找到与linux兼容的数据卡的完整列表。
当作者在撰写本篇文章时,曾花了点时间测试各种不同的数据卡。linux支持即插即用装置,所以我买了一块由amjet生产的无跳脚数据卡,才又发现另一个令人困扰的问题。
作者测试用的pc是一部老旧的486,用的是1994年版的ami bios。在插上这块即插即用数据卡后,计算机便无法开机了,画面上出现的是”主硬盘发生故障”(primary hard disk failure)。经检查,发现即插即用的bios居然将原应保留给硬盘控制器的15号中断,配给了数据卡。最后作者放弃了在旧计算机上使用即插即用产品,因为不值得为这些事花时间。所以,请您注意在购买数据卡之前,先看清楚是否有调整com1到com4的跳脚。
在作者的布告板(http://trevormarshall.com/byte/)上,看到有几位朋友询问是否可以用多条拨号线来改善internet的上网速度。这里最好的例子是128k isdn,它同时运用两条56k通道,以达到128k的速度。当isp提供这样的服务时,其实会配置两条独立的线路连到同一个ip上。
您可以看到,虽然linux上有eql这类模块,可让您在计算机上同时使用两块数据卡,但除非isp对两组拨号连线提供同一个ip,否则这两块数据卡也只是对送出资料有帮助而已。
如果您拨接的是一般的isp ppp线路,那么您会得到一个ip地址,从服务器回传的封包才能在数百万台计算机中找到您;而您每次拨入isp时,都会得到一个不同的ip地址。
你的浏览器所送出的封包中,也包含供服务器资料回传的本地ip地址。eql可将这些外传的封包,分散到不同的isp线路上,但当资料回传时,却只能通过一个ip地址接收,也就是浏览器认为正在使用的那个地址。若是使用isdn,那么isp会处理这个问题;一些isp会为多组线路的拨号接入提供相应的ip地址,但价钱非常昂贵。
在追求速度时,请别忽略了linux防火墙的效率。在作者办公室有六位使用者通过”ip伪装”防火墙,去存取一部56k模拟调制解调器,工作情况十分良好,只有在有人下载大文件时速度才会变慢。在您决定要加装多条isp拨号线之前,可以先架设一部”ip伪装”服务器试试。windows处理多重ip的方式并非十分有效率,而将windows网络与调制解调器隔开,效能的增进将会让您惊讶不已。
简而言之,linux所用的”ip伪装”法,就是把你的ip藏起来,不让网络上的其他人看到。