在linux下实现IP伪装 -电脑资料

时间:2012-01-02 07:34:16
染雾
分享
WORD下载 PDF下载 投诉

使用工具:1,IPCHAINS防火墙,

在linux下实现IP伪装

。2,NETFILTER。

IP伪装在LINUX系统中可以通过IPCHAINS防火墙工具实现。

(一)通过IPCHAINS防火墙

使用IPCHAINS实现IP,伪装用户需要指定FOWARDING规则。现通过以下例子说明一下,假设连接到互联网的主机(防活墙)使用第一个以太网设备eth0连接到互联网。如果你是通过一个MODEM拨号连接到ISP,哪么使用的网络接口就是第一个PPP接口,就是PPP0。第二个命令为接口(-i)ETH0添加(

-A)一个目标(-J)MASQ(伪装)到FORWARD规则中。在局域网中的主机必须指定被连接的系统(防火墙)作为网关。最后一个命令使IPFORWARD有效。为使IP伪装有效使用LINUXCONF中的FIREWALLING项,为用户想要添加的应用于IP伪装的FORWARDING规则选择FORWARDFIREWALLING和点击DOMASQUERADE选择框。

ipchains-pforwardDENY

ipchains-Aforward-ieth0-jMASQ

echo1>/proc/sys/net/ipv4/ip_forward

IP伪装经常允许私有网中的电脑访问因特网。这些可以是家庭网或小型网络中的电脑。在这样的网络中可能只有一台电脑连接到因特网,只有一个因特网的地址。本地的私有网可以使用专为私有网分配的地址(10.172.6.或192.168.)。在典型的情况下,防火墙有两块以太网卡,一块作为局域网接口(ETH1)。另一块用于与因特网接口(ETH0,对拨号连接到ISP的情况。这将是MODEM所对应PPP0)。连接到因特网的网卡(ETH0)将会被指定一个因特网地址。本地网络的以太网接口ETH1就是防火墙的以太网卡。用户的私有网有一个象192。168。1这样的网络地址,

电脑资料

《在linux下实现IP伪装》()。防火墙的以太网卡被分配给192。168。1。1作为IP地址。事实上,防火墙的网络接口使防火墙作为本地的网关。然后配置防火墙为伪装所有私有网来的数据包。用户的局部网使用自己的域名服务器来标识网络中的计算机(包括用户的防火墙)。每个本地主机使用防火墙作为指定的网关。尽量不要用IP别名的方法指定地址到防火墙地址和因特网的IP地址到同一个物理接口。最好让他们使用不同的网络接口。这样才能将被攻击减少到最底程度。例如两块以太网网卡或一块以太网网卡和一个MODEM(PPP0)。

2,用NETFILTER实现IP伪装(NAT和IPTABLES)

在NETFILTER中,IP伪装是一个NAT操作,不再象IPCHAINS哪样被集成在包过滤中。IP伪装的命令被放在NAT表中,他和包过滤的命令被分别对待,通过NETFILTER实现IP伪装首先要确信IPTABLE_nat模块被载入(你可以将该操作放入内核中)

modprobiptable_nat

然后使用iptable将一个伪装规则放置在NAT表中.首先使用-tnat选项引用NAT表.然后加上一个POSTROUTING命令和-O选项指定输出设备,加上-j选项和MASQUERADE命令.

iptable-tnat-APOSTROUTING-oeth0-jMASQUERADE

最后象通常情况下打开IPFORWARDING.

echo1>/proc/sys/net/ipv4/ip_forward

以上是通过IPCHAINS防火墙和NETFILTER实现IP伪装.但要注意的是,请记住在IPTABLES中,IP伪装不再是和FORWARD规则链接和在一起.所以你如果为FORWARD规则链指定DROP策略,对于需要进行IP伪装的网络,首先要指定FORWARD操作有效,你既需要POSTROUTING也需要FORWARD规则链.活活~~~~~~~~我晕倒,累死我也~!!!!嘎嘎...奉行自由之精神,可随意转载,不用给版权费的,嘎~~~~~~发到刀光没意思,还是这里好~!!!

在linux下实现IP伪装 -电脑资料

手机扫码分享

Top