Firewall può essere suddivisa in diversi livelli di sicurezza. In Linux, perché ci sono molti software firewall differenti disponibili, la sicurezza può essere basso verso l'alto, il software più complesso offre una protezione praticamente impenetrabile. Tuttavia, kernel di Linux, un built-chiamato "travestito", un meccanismo semplice, ma gli attacchi hacker più dedicati, in grado di sopportare maggior parte degli attacchi.
Quando siamo collegati in Internet dial-up, il nostro computer verrà assegnato un indirizzo IP che consente ai dati di Internet ad altre persone tornare al nostro computer. Gli hacker è quella di utilizzare l'IP per accedere ai dati sul computer. Linux utilizzata "IP masquerading" metodo, è quello di nascondere il tuo IP, non consentire ad altri di vedere in rete. Ci sono diversi indirizzi IP di gruppo è riservato per uso speciale della rete locale, il router backbone Internet non riconosce. Computer IP come l'autore è 192.168.1.127, ma se si accede a questo indirizzo nel vostro browser, io credo che nulla non può ricevere, perché non è riconoscibile Internet backbone IP-192.168.xx questo gruppo. Intranet ci sono innumerevoli altri computer utilizza lo stesso IP, perché non si può accedere, naturalmente, non può essere penetrato o incrinature.
Così, per risolvere i problemi di sicurezza su Internet, sembra essere una cosa semplice, a patto che si sceglie un computer che gli altri non può accedere l'indirizzo IP, che è tutto risolto. Sbagliato! Durante la navigazione in Internet, poiché il server stesso avrà bisogno anche di passare le informazioni a te, altrimenti non si poteva vedere nulla in the schermo, mentre il server solo i dati alla spina dorsale Internet in the indirizzo legittimo IP sulla registrazione.
"IP masquerading" è usato per risolvere il dilemma della tecnologia. Quando si ha un computer per installare Linux, impostato per utilizzare "IP masquerading", esso è interna ed esterna il collegamento delle due reti, e l'interpretazione automatica dall'interno o dall'esterno l'indirizzo IP Di solito questa azione è chiamata traduzione degli indirizzi di rete.
In effetti, la "IP masquerading" più complesso di quanto di quanto sopra. In sostanza, "IP masquerading" server istituito due reti. Se si utilizza analogico modem dial-up per accedere a Internet per le informazioni, e questo è uno dei network, la tua rete interna corrisponde tipicamente ad una scheda Ethernet, questa è la seconda rete. Se si utilizza un modem DSL o via cavo (modem via cavo), allora il sistema sarà la seconda scheda Ethernet, al posto del modem analogico.
E Linux in grado di gestire gli indirizzi IP per ogni rete, quindi se avete un computer per l'installazione di Windows (IP è 192.168.1.25), in una rete secondo (Ethernet eth1), dunque, l'accesso a Internet (Ethernet eth0 ), il cavo del modem (207.176.253.15) quando, a Linux "IP masquerading" blocca il browser da tutte le emissioni pacchetto TCP / IP, per l'indirizzo originale locale (192.168.1.25), poi per l'indirizzo reale (207.176.253.15), invece. Poi, quando il server restituisce dati 207.176.253.15 tempo, Linux tornerà automaticamente a intercettare i pacchetti e riempire indietro al corretto indirizzo locale (192.168.1.25).
Linux può gestire più computer locale e di elaborazione di ogni pacchetto, senza confusione. Vi è una installazione di Slackware Linux su un vecchio 486 computer, il computer può essere inviato contemporaneamente modem via cavo dai quattro pacchetti, e la velocità non è ridotta.
Nella seconda versione del core di prima, "IP masquerading" è l'invio del modulo di gestione IP (ipfwadm, adm FW IP) da gestire. Anche se il nucleo della seconda edizione offre una più veloce e più complesso IPCHAINS, ma fornisce comunque un wrapper IPFWADM per mantenere la compatibilità a ritroso, dunque, l'autore di questo articolo IPFWADM, per esempio, per spiegare come impostare "IP masquerading "(È possibile utilizzare il IPCHAINS per http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html metodo di query, la pagina e un" IP masquerading "più spiegazione dettagliata).
Inoltre, talune applicazioni come RealAudio e CU-SeeMe utilizzati i pacchetti non-standard, è necessario un modulo speciale, è anche possibile ottenere informazioni dal sito web.
Sul server è dotato di due schede di rete Ethernet, il processo di attivazione di base sono stati fissati in eth0 e eth1. Queste due schede sono SN2000-free quindi è la scheda ISA, e riconoscere che la stragrande maggioranza di Linux sono due carte. Sulla procedura di inizializzazione di rete Ethernet rc.inet1 set, le istruzioni sono le seguenti:
IPADDR = "207.175.253.15"
# Il modem via cavo di sostituire l'indirizzo IP.
NETMASK = "255.255.255.0"
# Sostituire la rete scudo.
NETWORK = "207.175.253.0"
# Sostituisci il tuo indirizzo di rete.
BROADCAST = "207.175.253.255"
# Sostituito con l'indirizzo di broadcast.
GATEWAY = "207.175.253.254"
# Sostituire da un indirizzo di gateway.
# Utilizzare la macro sopra per impostare il modem via cavo, scheda Ethernet
/ Sbin / ifconfig eth0 $ (IPADDR) $ broadcast (trasmissione) netmask $ (NETMASK)
# Imposta la tabella di routing IP
/ Sbin / route add-net $ (Rete) netmask $ (NETMASK) eth0
# Imposta la scheda Ethernet intranet eth1, non utilizzare le macro
/ Sbin / ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0
/ Sbin / route add-net 192.168.1.0 netmask 255.255.255.0 eth1
# Quindi impostare l'inizializzazione fw IP adm
/ Sbin / ipfwadm-F-p negare # # rifiutato l'accesso ai seguenti percorsi di aprire al di fuori della domanda di trasferimento da 192.168.1.x
/ Sbin / ipfwadm-F-am-S 192.168.1.0/24-D 0.0.0.0 / 0
/ Sbin / ipfwadm-M-s 600 30 120
E '! Del sistema "IP masquerading" dovrebbe ora funzionare correttamente. Se volete informazioni più dettagliate, consultare il suddetto HOWTO, o per http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html riferimento MINI HOWTO. Anche sulla tecnologia firewall più sicuro, le informazioni possono essere trovate in ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO.
Gli ultimi sei mesi, i prezzi analogico 56K di dati della scheda improvvisamente cadde a terra un sacco. Tuttavia, la maggior parte dei nuovi dati della carta viene rimossa la scheda di controllo con un microprocessore, in modo che il sistema creerà un ulteriore carico sulla CPU principale, mentre Linux non supporta queste carta "WinModem. Mentre l'esperto core Linux che ha la capacità di scrivere i driver per la scheda WinModem, ma anche comprendere che, al fine di risparmiare il 10 per dollaro statunitense, mentre l'impatto sulle prestazioni del sistema, non è saggio.
Assicurarsi che si sta utilizzando la scheda modem, non c'è allora è utilizzato per impostare la COM1, COM2, COM3 e COM4, in questo modo, la scheda dati prima di poter funzionare sotto Linux. Puoi http://www.o2.net/ ~ gromitkc / winmodem.html trovare Linux-compatibile di dati della scheda con un elenco completo.
Quando l'autore ha scritto questo articolo, aveva trascorso un periodo di prova una grande varietà di diverse schede di dati. il supporto Linux per dispositivo Plug and Play, così ho comprato un pezzo di non-hopping la produzione Amjet scheda dati, ha anche trovato un altro problema inquietante.
Sulla sperimentazione del PC è un vecchio 486, utilizzando la versione del 1994 del BIOS AMI. Plug in plug and play pezzo di dati nella scheda, il computer non si avvia, lo schermo appare come "il fallimento principale del disco rigido" (Primaria guasto del disco rigido). L'ispezione ha rilevato che la spina originale e BIOS giocare effettivamente dovrebbe essere riservato per controller del disco rigido 15 interrupt, le razioni della scheda dati. Alla fine ha rinunciato al vecchio computer per utilizzare plug and play di prodotti, dal momento che queste cose non valgono il tempo. Pertanto, si ricorda che la scheda dati di purchase prima di vedere se ci serve per regolare il salto di COM1 a COM4.
In bacheca elettronica dell'autore (http://trevormarshall.com/BYTE/), ha visto diversi amici chiedono se è possibile utilizzare più linee dial-up per migliorare la velocità di connessione Internet. L'esempio migliore: ecco un ISDN 128K, è anche l'uso di due canali a 56K di raggiungere la velocità di 128K. Quando l'ISP per fornire tali servizi, infatti, configura due linee separate collegate allo stesso IP.
Si può vedere che, anche se ci modulo EQL Linux, che consente di utilizzare simultaneamente due carte di computer dei dati, ma a meno che il provider di servizi Internet providing connessione dial-up sugli stessi due gruppi di IP, altrimenti la scheda dati ha solo due Basta inviare le informazioni utili.
Se si dispone di ISP dial-up PPP è la linea generale, quindi si otterrà un indirizzo IP, i pacchetti dal server per restituire alcuni milioni di computer per trovare te, e chiamare il tuo ISP ogni volta che avranno un diverso indirizzi IP.
Il tuo browser ha i pacchetti, contiene anche informazioni per l'indirizzo locale del server IP del ritorno. EQL possono essere quelli pacchetto dice, distribuiti a un provider di servizi Internet linee diverse, ma quando i dati di ritorno, ma solo attraverso un indirizzo IP a ricevere, cioè, il browser che si utilizza tale indirizzo. Se si utilizza ISDN, l'ISP affrontare la questione; un certo numero di ISP di molteplici linee di accesso dial-up a fornire l'indirizzo IP corrispondente, ma il prezzo è molto costoso.
Nella ricerca della velocità, non trascurare l'efficienza dei firewall Linux. Sei degli utenti in ufficio attraverso il "IP masquerading" firewall, per accedere a un modem analogico 56K, lavoro molto bene, solo quando qualcuno sta scaricando file di grandi dimensioni rallenterà la velocità. Quando si decide di installare un certo numero di ISP linea dial-up, in vista della creazione di un "IP masquerading" server per provare. Windows modo di trattare con più IP non è molto efficiente, ma separare la rete di Windows e il modem, il miglioramento delle prestazioni vi permetteranno sorpreso.
In breve, Linux è usato "IP masquerading" metodo, è quello di nascondere il tuo IP, non consentire ad altri di vedere in rete.