作 者: 湯海京
( E-mail:[email protected] )
第一章 代理接入服務器
第四節 IP偽裝
4.1 簡介
利用因特網的代理服務器技術可以解決目前因特網的IP地址耗盡、網絡資源爭用以及網絡安全等問題。代理服務器是采取一種代理的機制,即內部的客戶端必須經過代理服務器才能和外部的服務器端進行通信,而外部的任何一台主機只能訪問到代理服務器。本文著重討論利用Linux代理服務器解決IP地址耗盡、網絡資源爭用和網絡安全等問題。
隨著因特網技術的迅速發展,越來越多的計算機連入了因特網。目前已經聯系著160多個國家和地區,上網的計算機已超過5000萬台。它促進了信息產業的發展,並將改變人們的生活、學習和工作方式,對很多人來說,因特網已成為不可缺少的工具。而隨著因特網的發展也產生了諸如IP地址耗盡、網絡資源爭用和網絡安全等問題。代理服務器就是為了解決這些問題而產生的一種有效的網絡安全產品。
4.2 所需資源
4.2.1 所需包
ipchains-1.3.9-5.rpm
4.2.2 所需配置文件
/root/ipchains 自己寫
4.3 配置方案
/sbin/rules
說明:
源文件:
# 以下是你需要增加的轉發控制模塊
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user
/sbin/modprobe ip_masq_raudio
/sbin/ipchains -P forward DENY # 在默認狀況下拒絕所有 ip 轉發。
echo 1 > /proc/sys/net/ipv4/ip_forward # 打開IP轉發
ipchains -I forward -s 192.168.0.0/24 -d 0/0 -j MASQ
# 將來自192.168.0.0網段的申請轉發
4.4 測試及管理辦法
4.4.1 測試方法
1. 找一台局域網內的客戶機,把IP設置成192.168.0.0網段的,ping一下外邊,看能不能出去,就知道拉。
4.5 其他參考資料
1. 黃志偉,IP Masquerade HOWTO中文版
請訪問:http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html
4.6 相關技巧
1. 要是控制模塊不存在,或許是不在路徑下,可以執行depmod -a
4.7 小結
使用ipchains作為企業上網IP偽裝十分實用,而且其配置十分簡單, 並且功能強大,管理起來也十分簡單。當然,其在安全性上還有不足,需要改進