Brannmur kan deles inn i flere forskjellige nivåer av sikkerhet. I Linux, fordi det er mange forskjellige brannmur-programvare er tilgjengelig, sikkerhet kan lav til høy, gir den mest komplekse programvaren nesten ugjennomtrengelig beskyttelse. Men Linux-kjernen i seg selv, en innebygd kalt "forkledd" en enkel mekanisme, men den mest dedikerte hackerangrep, tåler de fleste angrep.
Når vi koblet på oppringt Internett, vil vår datamaskin få tildelt en IP-adresse som gjør at Internett-data til andre mennesker tilbake til datamaskinen vår. Hackere er å bruke IP-tilgang til data på datamaskinen. Linux brukes "IP masquerading" metoden, er å skjule din IP, ikke la andre se på nettverket. Det er flere grupper IP-adressen er reservert for spesiell bruk av det lokale nettverket, ikke Internet ryggraden ruteren ikke gjenkjenner. Datamaskinens IP som forfatteren er 192.168.1.127, men hvis du skriver inn denne adressen i nettleseren, mener jeg at ingenting kan ikke motta, fordi det ikke er gjenkjennelig Internett backbone IP-192.168.xx denne gruppen. Intranett finnes det utallige andre datamaskinen bruker samme IP, fordi du ikke får tilgang, selvfølgelig, kan ikke trengt eller sprakk.
Så, for å løse sikkerhetsproblemer på Internett synes å være en enkel sak, så lenge du velger en datamaskin som andre ikke får tilgang til IP-adressen, det er alt løst. Feil! Når du surfer på Internett, fordi samme server vil også måtte passere den informasjonen tilbake til deg, ellers vil du ikke kunne se noe på skjermen, mens serveren bare data tilbake til Internett ryggraden i den legitime IP-adresse på registreringen.
"IP masquerading" brukes for å løse dette dilemmaet av teknologi. Når du har en datamaskin for å installere Linux, satt til å bruke "IP maskert", vil det være interne og eksterne å bygge bro mellom to nettverk, og automatisk tolkning fra innsiden og ut eller ute i IP-adressen Vanligvis denne handlingen kalles Network Address Translation.
Faktisk "IP masquerading" mer komplisert enn noen av de ovennevnte. I utgangspunktet, "IP masquerading" server satt opp mellom de to nettverkene. Hvis du bruker analog oppringt modem for å få tilgang til Internett på informasjon, og dette er en av nettverket, ditt interne nettverk vanligvis tilsvarer en Ethernet-kort, er dette det andre nettverket. Hvis du bruker et DSL-modem eller kabelmodem (Cable Modem), vil systemet være det andre Ethernet-kort, i stedet for analoge modem.
Og Linux kan administrere IP-adresser for hvert nettverk, så hvis du har en datamaskin for å installere Windows (IP er 192.168.1.25) i en andre nettverk (Ethernet eth1), da, for å få tilgang på Internett (eth0 Ethernet ) på kabelmodemet (207.176.253.15) når, Linux er "IP masquerading" vil bli blokkert fra nettleseren din, alle utgitt av TCP / IP pakke, av den opprinnelige lokale adressen (192.168.1.25), deretter til den reelle adressen (207.176.253.15) i stedet. Deretter, når serveren returnerer dataene til 207.176.253.15 tid, vil Linux automatisk returnere til fange pakker og fyll tilbake til riktig lokale adressen (192.168.1.25).
Linux kan administrere flere lokale datamaskinen, og behandling i hver enkelt pakke, uten forvirring. Det er en installasjon Slackware Linux på en gammel 486 maskin, kan datamaskinen bli samtidig sendt til kabelmodemet fra de fire pakker, og hastigheten reduseres ikke.
I den andre versjonen av kjernen før, "IP masquerading" sender IP Management Module (IPFWADM, IP fw adm) til å administrere. Selv om kjernen i den andre utgaven gir en raskere og mer komplekse ipchains, men gir likevel en IPFWADM wrapper å opprettholde bakoverkompatibilitet vil derfor forfatteren i denne artikkelen IPFWADM, for eksempel for å forklare hvordan du setter opp "IP masquerading "(Du kan bruke ipchains til å http://metalab.unc.edu/mdw/HOWTO/IPCHAINS-HOWTO.html spørring metoden, siden og en" IP prøver å utgi seg "mer detaljert forklaring).
I tillegg enkelte programmer som RealAudio og CU-SeeME brukt ikke-standard pakker, trenger du en spesiell modul, kan du også få informasjon fra nettsiden.
På serveren har to Ethernet-kort, kjernen aktiveringsprosessen ble satt i eth0 og eth1. Dette er to kort SN2000-fri så det er ISA adapterkortet, og innser at det store flertallet av Linux er to kort. På Ethernet-nettverket initialization trinn rc.inet1 sett, instruksjoner er som følger:
IPADDR = "207.175.253.15"
# Bytt ut kabelmodemet IP-adresse.
Nettmasken = "255.255.255.0"
# Bytt ut nettverket ditt skjold.
NETTVERK = "207.175.253.0"
# Bytt ut nettverksadresse.
Broadcast = "207.175.253.255"
# Byttet ut med broadcast adresse.
GATEWAY = "207.175.253.254"
# Erstattet av gateway adresse.
# Bruk ovennevnte makro til å sette opp kabelmodem, Ethernet-kort
/ Sbin / ifconfig eth0 $ (IPADDR) kringkasting $ (kringkasting) nettmasken $ (Nettmasken)
# Angi IP ruting tabellen
/ Sbin / rute Add-net $ (NETTVERK) nettmasken $ (Nettmasken) eth0
# Sett intranettet Ethernet-kortet eth1, ikke bruk makroer
/ Sbin / ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0
/ Sbin / rute add-net 192.168.1.0 netmask 255.255.255.0 eth1
# Deretter sette IP FW adm initiering
/ Sbin / ipfwadm-F-p nekte # nektet adgang til # følgende steder for å åpne utenfor overføringen etterspørsel fra 192.168.1.X
/ Sbin / ipfwadm-F-am-S 192.168.1.0/24-D 0.0.0.0 / 0
/ Sbin / ipfwadm-M-S 600 30 120
Er det! Systemets "IP masquerading" skal nå virke som den skal. Hvis du ønsker mer detaljert informasjon, se ovenfor nevnte HOWTO, eller for å http://albali.aquanet.com.br/howtos/Bridge+Firewall-4.html referanse MINI HOWTO. Også på de mer sikker brannmur-teknologi, kan informasjon finnes i ftp://sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall-HOWTO.
De siste seks månedene, 56k analogt datakort priser plutselig falt ned mye. Imidlertid er de fleste av de nye dataene kortet fjernes kontrollen brettet med en mikroprosessor, slik at systemet vil skape ekstra belastning på de viktigste CPU, mens Linux ikke støtter disse "WinModem" kortet. Mens kjernen Linux ekspert som har evnen til å skrive drivere for WinModem kortet, men de forstår også at for å spare 10 per US dollar mens innvirkning på systemets ytelse, er ikke klokt.
Kontroller at du bruker modem kortet, det er da det brukes til å stille inn COM1, COM2, COM3 og COM4, på denne måten, dataene kortet før de kan jobbe under Linux. Du kan http://www.o2.net/ ~ gromitkc / winmodem.html finne Linux-kompatibel data kort med en fullstendig liste.
Da forfatteren skrev denne artikkelen, han hadde brukt tid på å teste en rekke ulike data kort. Linux-støtte for Plug and Play-enhet, så jeg kjøpte en bit av ikke-hoppende av Amjet produksjonsdata kortet, det også funnet et annet urovekkende problem.
På testing av PC er en gammel 486, ved hjelp av 1994 versjonen av AMI BIOS. Plugg inn plug and play bit av data i kortet, vil datamaskinen ikke vil starte opp, vises på skjermen som «den primære harddisken feil" (Primary feil på harddisken). Kontrollen fant at den originale plug and play BIOS faktisk bør være forbeholdt harddiskkontrolleren 15 interrupts, rasjonene av datakortet. Til slutt ga opp på den gamle datamaskinen til å bruke plug and play produkter, siden disse tingene er ikke verdt tiden. Derfor, vær oppmerksom på at dataene kortet til å kjøpe før du ser om det er å justere hopper COM1 til COM4.
I forfatterens oppslagstavler (http://trevormarshall.com/BYTE/), så flere venner spør om du kan bruke flere oppringt linjer for å forbedre Internett-tilkoblingen. Det beste eksempelet her er en 128K ISDN, er det også bruk av to 56 kanaler for å oppnå hastigheten på 128K. Når Internett-leverandøren til å tilby slike tjenester vil være konfigurert i realiteten to separate linjer koblet til samme IP.
Du kan se at selv om det EQL Linux slik modul som lar deg samtidig bruke to elektroniske data-kortet, men med mindre ISP gir eksterne tilkoblingen på samme to grupper av IP, ellers dataene kortet har bare to bare sende informasjonen nyttig.
Hvis du har oppringt ISP PPP er den generelle linjen, vil du få en IP-adresse, til pakker fra serveren tilbake flere millioner av datamaskiner for å finne deg, men når leverandøren hver gang du ringe, vil være en annen IP-adresser.
Nettleseren sendt pakker, også inneholder informasjon for serverens lokale IP-adressen til avkastning. EQL kan være de ryktet pakken, distribuert til en annen ISP linjer, men når de kommer tilbake dataene, men bare gjennom en IP-adresse for å få, det vil si, nettleseren som du bruker denne adressen. Hvis du bruker ISDN, så ISP vil løse dette problemet, en rekke ISP for flere linjer, oppringt tilgang for å gi den tilsvarende IP-adressen, men prisen er svært dyrt.
I jakten på fart, ikke overse effektiviteten av Linux brannmur. Seks av brukeren på kontoret gjennom "IP masquerading" brannmur, tilgang til et 56K analogt modem, fungerer veldig bra, bare når noen laster ned store filer vil avta hastighet. Når du bestemmer deg for å installere en rekke ISP ekstern linje, foran å sette opp en "IP-maskering" server for å prøve. Vinduer måte å håndtere flere IP er ikke veldig effektivt, men vil skille de Windows-nettverk og modem, vil bedre ytelse gjør at du overrasket.
Kort sagt, er Linux brukt "IP-maskering" metoden, er å skjule din IP, ikke la andre se på nettverket.