在linux下实现IP伪装 -电脑资料
使用工具:1,IPCHAINS防火墙,
在linux下实现IP伪装
。2,NETFILTER。IP伪装在LINUX系统中可以通过IPCHAINS防火墙工具实现。
(一)通过IPCHAINS防火墙
使用IPCHAINS实现IP,伪装用户需要指定FOWARDING规则。现通过以下例子说明一下,假设连接到互联网的主机(防活墙)使用第一个以太网设备eth0连接到互联网。如果你是通过一个MODEM拨号连接到ISP,哪么使用的网络接口就是第一个PPP接口,就是PPP0。第二个命令为接口(-i)ETH0添加(
ipchains-pforwardDENY
ipchains-Aforward-ieth0-jMASQ
echo1>/proc/sys/net/ipv4/ip_forward
IP伪装经常允许私有网中的电脑访问因特网。这些可以是家庭网或小型网络中的电脑。在这样的网络中可能只有一台电脑连接到因特网,只有一个因特网的地址。本地的私有网可以使用专为私有网分配的地址(10.172.6.或192.168.)。在典型的情况下,防火墙有两块以太网卡,一块作为局域网接口(ETH1)。另一块用于与因特网接口(ETH0,对拨号连接到ISP的情况。这将是MODEM所对应PPP0)。连接到因特网的网卡(ETH0)将会被指定一个因特网地址。本地网络的以太网接口ETH1就是防火墙的以太网卡。用户的私有网有一个象192。168。1这样的网络地址,
电脑资料
《在linux下实现IP伪装》()。防火墙的以太网卡被分配给192。168。1。1作为IP地址。事实上,防火墙的网络接口使防火墙作为本地的网关。然后配置防火墙为伪装所有私有网来的数据包。用户的局部网使用自己的域名服务器来标识网络中的计算机(包括用户的防火墙)。每个本地主机使用防火墙作为指定的网关。尽量不要用IP别名的方法指定地址到防火墙地址和因特网的IP地址到同一个物理接口。最好让他们使用不同的网络接口。这样才能将被攻击减少到最底程度。例如两块以太网网卡或一块以太网网卡和一个MODEM(PPP0)。2,用NETFILTER实现IP伪装(NAT和IPTABLES)
在NETFILTER中,IP伪装是一个NAT操作,不再象IPCHAINS哪样被集成在包过滤中。IP伪装的命令被放在NAT表中,他和包过滤的命令被分别对待,通过NETFILTER实现IP伪装首先要确信IPTABLE_nat模块被载入(你可以将该操作放入内核中)
modprobiptable_nat
然后使用iptable将一个伪装规则放置在NAT表中.首先使用-tnat选项引用NAT表.然后加上一个POSTROUTING命令和-O选项指定输出设备,加上-j选项和MASQUERADE命令.
iptable-tnat-APOSTROUTING-oeth0-jMASQUERADE
最后象通常情况下打开IPFORWARDING.
echo1>/proc/sys/net/ipv4/ip_forward
以上是通过IPCHAINS防火墙和NETFILTER实现IP伪装.但要注意的是,请记住在IPTABLES中,IP伪装不再是和FORWARD规则链接和在一起.所以你如果为FORWARD规则链指定DROP策略,对于需要进行IP伪装的网络,首先要指定FORWARD操作有效,你既需要POSTROUTING也需要FORWARD规则链.活活~~~~~~~~我晕倒,累死我也~!!!!嘎嘎...奉行自由之精神,可随意转载,不用给版权费的,嘎~~~~~~发到刀光没意思,还是这里好~!!!
