利用Linux系统设置IP及IP伪装防黑

1、利用Linux系统设置IP及IP伪装防黑1、Linux的IP伪装功能Linux是一个结构清晰、稳定可靠、功能完善、源代码公开的操作系统。Linux的网络功能非常强大，IP伪装（IP Masquerade）就是Linux近年来发展起来的一种网络功能。 11什么是IP伪装当我们拨号接连上internet后，计算机会被赋予一个IP地址，可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料，所以你要想办法把IP藏起来。有几组IP地址是特别保留给本地网络使用的，internet骨干路由器并不能识别。比如你计算机的IP是1921681127，但如果你把这个地址输入到你的浏览器中

2、，相信什么也收不到，这是因为internet骨干是不认得192168XX这组IP的，在其他internet上有数不清的计算机，也是用同样的IP。这样一来，由于你根本不能存取，当然不能侵入或破解了。 IP伪装，是Linux系统的一种网络功能，如果一台Linux主机使用IP伪装功能连接到互联网上，那么其他计算机，不论是在同一个局域网上还是通过调制解调器连接，只要连接到这个Linux主机上，就可以与国际互联网相连，即使它们没有获得正式指定的IP地址。这样就可以将一些计算机隐藏在网关后面连接互联网，而不被发现，看起来就像只有一台Linux系统主机与互联网相连。它允许用户扩展IP地址，允许没有注册IP地

3、址的计算机经由Linux主机连接到互联网上。由于可以多人使用一条调制解调器（或网卡）连线来接入互联网，因此降低了上网费用，同时也增加了安全性。从某些方面来看，其功能像是一个防火墙，因为外界网络无法连接非正式分配的IP地址。而其安全功能比数据包过滤式防火墙要强。随着IP地址的减少，IP伪装在网络上的应用会越来越广泛。 12 IP伪装仍处于试验阶段IP伪装仍然处于实验阶段。但Linux的核心从1.3.x开始已经建立此功能支持。许多个人甚至公司正在使用它，并且获得了满意的效果。现在Linux的核心已经升级到2.2.x，这项技术已趋近完善，但仍在发展中。浏览网页及远端登录（telnet）已经可以在IP

4、伪装上运行，文件传输（FTP）、网络交谈（IRC）及聆听Real Audio可以载入一些相应的模块配合，其它的网络资料控制流（streaming audio），如True Speech及Internet wave也能运行。Ping配合最近可以获得的国际互联网络控制信息协议（ICMP）的升级文件后也能正常运行。 13 IP伪装支持多种客户端平台IP伪装在多种不同的操作系统及平台上与客户端机器配合良好，目前，已测试通过的利用IP伪装运行的客户端平台有：Linux，Solaris，Windows 95/98，Windows NT，Windows for Workgroup 3.11（含有TCP/IP

5、包），Windows 3.1（含有Chameleon包），Novel 5.0 Server，OS/2（包括Warp v3），Macintosh OS（含有Mac TCP或Open Transport），DOS（包含NCSA Telnet包），SCO Openserver。从理论上讲，只要操作系统支持TCP/IP或WinSock标准协议，都可以与IP伪装配合使用。 1.4 组建网络的硬件/软件配置用Linux组建一个网络网关是最核心的部分，它是一台普通的计算机，装有Linux操作系统，配有两块网卡。一块网卡通过合法的IP地址与Internet连接，另一块网卡连接用于放大数字信号的集线器Hub，H

6、ub可连接由若干台计算机所组成的网络。网络中的计算机不使用合法的IP地址，而使用Internet标准文件RFC1597规定的、公开供用户使用的3个IP地址空间内的IP地址，它们分别是： A类地址 55 B类地址 55 C类地址 55 用户可根据自己网络中的机器数目选用合理的地址范围。 网关除了开启Linux中的IP伪装来实现网络与Internet的互联外，还开启动态主机配置协议分配DHCPd的功能和WWW代理服务器功能。DHCPd可以自动给网络中的计算机指定IP地

7、址、子网掩码、网关等信息，克服了人工配置TCP/IP的限制，给网络的管理带来了极大的便利。通常WWW代理服务器都设置一个较大的硬盘缓冲区，当有外界的信息通过时，同时也将其保存到缓冲区中，当其他用户再访问相同的信息时，则直接由缓冲区中取出信息传给用户，来提高访问速度。WWW代理服务器功能由Apache软件实现，Apache是Internet上很优秀的代理服务器软件，它有模块化的设计、工作性能稳定、运行速度快等优点。 2、 Linux系统下如何设置IP地址？我们可以通过命令设定IP的方法，不过此方法的前提条件是用户需root权限。在linux系统的 /etc/sysconfig/network-s

8、cript/ifcfg-eth0文件中存放着网卡IP地址配置的相关信息，它的具体格式为：修改ip：编辑文件/etc/sysconfig/network-scripts/ifcfg-eth0rootlocalhost network-scripts# cat ifcfg-eth0DEVICE=eth0BOOTPROTO=noneONBOOT=yesTYPE=EthernetNETMASK=IPADDR=IP地址USERCTL=noPEERDNS=yesGATEWAY=网关地址（路由器的IP地址）下面我们来举个例子如何实现Linux环境下设置IP地址。#ifconfig

9、eth0 或者修改/etc/sysconfig/network-scripts/下的ifcfg-eth0#vi /etc/syssconfig/network-scripts/ifcfg-eth0DEVICE=eth0BOOTPROTO=staticHWADDR= ;这里是你网卡的物理地址，通常检测到的网卡你就不用输入了ONBOOT=yesIPADDR=NETMASK=NETWORK=BROADCAST=55GATEWAY= ;这里输入你的网关，路由器的IP地址保存退出/sbin/

10、service network restart如果网卡启动是OK的话就说明IP地址设定成功了。另外我们可以用ifconfig eth0来显示当前的IP来确认是否设置正确。利用以下命令：/etc/init.d/network reload 命令或service network 命令重新导入该文件，实现网络启动#IP配置，包括子网掩码,看情况修改eth0和2 ifconfig eth0 2 netmask up #网关修改 ,看情况修改 route add default gw r

11、oute del default gw 上面的配置开机就没了，如果想永久保存，则编辑/etc/rc.d/init.d/rc.local (具体系统有些不同，Ubuntu就在/etc/rc.local)，在文件中加入上面的2行命令。ifconfig eth0 up激活网卡ifconfig eth0 down 关闭网卡IP地址、子网掩码：编辑 /etc/sysconfig/network-script/ifcfg-eth0DEVICE=eth0BOOTPROTO=static静态还是动态BROADCAST=55IPADDR=5IP

12、地址NETMASK=子网掩码NETWORK=网络IDONBOOT=yes网关：编辑 /etc/sysconfig/networkNETWORKING=yesHOSTNAME=vmlinux主机名GATEWAY=网关DNS：编辑 /etc/resolv.confnameserver nameserver 3、如何进行IP伪装防火墙可分为几种不同的安全等级。在Linux中，由于有许多不同的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的保护能力。不过，Linux核心本

13、身内建了一种称作“伪装”的简单机制，除了最专门的黑客攻击外，可以抵挡住绝大部分的攻击行动。当我们拨号接连上Internet后，我们的计算机会被赋给一个IP地址，可让网上的其他人回传资料到我们的计算机。黑客就是用你的IP来存取你计算机上的资料。Linux所用的“IP伪装”法，就是把你的IP藏起来，不让网络上的其他人看到。有几组IP地址是特别保留给本地网络使用的，Internet骨干路由器并不能识别。像作者计算机的IP是27，但如果你把这个地址输入到你的浏览器中，相信什么也收不到，这是因为Internet骨干是不认得192.168.X.X这组IP的。在其他 Intranet上

14、有数不清的计算机，也是用同样的IP，由于你根本不能存取，当然不能侵入或破解了。“IP伪装”就是用来解决此两难困境的技术。近年来在Linux系统上发展起来一种网络功能IP伪装。IP伪装服务器一般同时是网关和防火墙。伪装是用IP伪装服务器将内部与外部两个网络桥接起来，并自动解译由内往外或由外至内的IP地址，把局域网内部的IP地址伪装成防火墙的合法IP地址，通常这个动作称为网络地址转换。那么，解决Internet上的安全问题，看来似乎是一件简单的事，只要为你的计算机选一个别人无法存取的IP地址，就什么都解决了。错！因为当你浏览Internet时，同样也需要服务器将资料回传给你，否则你在屏幕上什么也看

15、不到，而服务器只能将资料回传给在Internet骨干上登记的合法IP地址。“IP伪装”就是用来解决此两难困境的技术。当你有一部安装Linux的计算机，设定要使用“IP伪装”时，它会将内部与外部两个网络桥接起来，并自动解译由内往外或由外至内的IP地址，通常这个动作称为网络地址转换。实际上的"IP伪装"要比上述的还要复杂一些。基本上，“IP伪装”服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取Internet上的资料，这便是其中一个网络；你的内部网络通常会对应到一张以太网卡，这就是第二个网络。若你使用的是DSL调制解调器或缆线调制解调器(Cable Modem)，那

16、么系统中将会有第二张以太网卡，代替了模拟调制解调器。而Linux可以管理这些网络的每一个IP地址，因此，如果你有一部安装 Windows的计算机（IP为5），位于第二个网络上（Ethernet eth1）的话，要存取位于Internet（Ethernet eth0）上的缆线调制解调器（5）时，Linux的“IP伪装”就会拦截从你的浏览器所发出的所有TCP/IP封包，抽出原本的本地地址（5），再以真实地址（5）取代。接着，当服务器回传资料到5 时，Linux也会自动拦截回传封

17、包，并填回正确的本地地址（5）。Linux可管理数台本地计算机（如Linux的“IP伪装”示意图中5与4），并处理每一个封包，而不致发生混淆。在第二版核心前，“IP伪装”是以IP发送管理模块（IPFWADM，IP fw adm）来管理。第二版核心虽然提供了更快、也更复杂的IPCHAINS，但仍旧提供了IPFWADM wrapper来保持向下兼容性。测试用的PC是一部老旧的486，用的是1994年版的AMI BIOS。在插上这块即插即用数据卡后，计算机便无法开机了，画面上出现的是“主硬盘发生故障”（Primary hard disk failure）。经检查，发现即插即用的BIOS居然将原应保留给硬盘控制器的15号中断，配给了数据卡。最后放弃了在旧计算机上使用即插即用产品，因为不值得为这些事花时间。所以，在