巧妙利用Linux系统IP伪装防黑(2)

　　Linux可管理数台本地计算机（如Linux的“IP伪装”示意图中的 192.168.1.25与192.168.1.34），并处理每一个封包，而不致发生混淆。作者有一部安装SlackWare Linux的老486计算机，可同时处理由四部计算机送往缆线调制解调器的封包，而且速度不减少。

　　在第二版核心前，“IP伪装”是以IP发送管理模块（IPFWADM，IP fw adm）来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS，但仍旧提供了IPFWADM wrapper来保持向下兼容性，因此，作者在本文中会以IPFWADM为例，来解说如何设定“IP伪装”（您可至http： //metalab.unc.edu/mdw/HOWTO/IPCHAINS－HOWTO.html查询使用IPCHAINS的方法，该页并有“IP伪装”更详尽的说明）。

　　另外，某些应用程序如RealAudio与CU－SeeME所用的非标准封包，则需要特殊的模块，您同样可从上述网站得到相关信息。

　　作者的服务器有两张以太网卡，在核心激活过程中，分别被设定在eth0与eth1。这两张卡均为SN2000式无跳脚的ISA适配卡，而且绝大多数的Linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定，指令如下：

　　IPADDR="207.175.253.15"

　　＃换成您缆线调制解调器的IP地址。

　　NETMASK="255.255.255.0"

　　＃换成您的网络屏蔽。

　　NETWORK="207.175.253.0"

　　＃换成您的网络地址。

　　BROADCAST="207.175.253.255"

　　＃换成您的广播地址。

　　GATEWAY="207.175.253.254"

　　＃换成您的网关地址。

　　＃用以上的宏来设定您的缆线调制解调器以太网卡

　　/sbin/ifconfig eth0 ＄{IPADDR} broadcast ＄ {BROADCAST} netmask ＄{NETMASK}

　　＃设定IP路由表

　　/sbin/route add －net ＄{NETWORK} netmask ＄ {NETMASK} eth0

　　＃设定intranet以太网络卡eth1，不使用宏指令

　　/sbin/ifconfig eth1 192.168.1.254 broadcast 192.168.1.255 netmask 255.255.255.0

　　/sbin/route add －net 192.168.1.0 netmask 255.255.255.0 eth1

　　＃接着设定IP fw adm初始化

　　/sbin/ipfwadm －F －p deny ＃拒绝以下位置之外的存取 ＃打开来自192.168.1.X的传送需求

　　/sbin/ipfwadm －F －a m －S 192.168.1.0/24 －D 0.0.0.0/0

　　/sbin/ipfwadm －M －s 600 30 120

　　就是这样！您系统的"IP伪装"现在应该可以正常工作了。如果您想得到更详细的信息，可以参考上面所提到的HOWTO，或是至http：//albali.aquanet.com.br/howtos/Bridge＋ Firewall－4.html参考MINI HOWTO。另外关于安全性更高的防火墙技术，则可在ftp： //sunsite.unc.edu/pub/Linux/docs/HOWTO/Firewall－HOWTO中找到资料。

　　半年来，56K模拟数据卡的价格突然跌降了不少。不过，大多数新的数据卡，其实是拿掉了板子上的控制用微处理器，因此会对系统的主CPU造成额外的负荷，而Linux并不支持这些“WinModem”卡。虽然Linux核心高手们，还是有能力为WinModem卡撰写驱动程序，但他们也很明白，为了省10元美金而对系统效能造成影响，绝对不是明智之举。