● Linux上的防火墙（6） - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: fbird (jack), 信区: Hacker
标  题: Linux上的防火墙（6）
发信站: BBS 荔园晨风站 (Tue Oct 27 13:21:19 1998), 站内信件

6.  进阶设定

    在结束之前, 我有些设定要交代一下, 之前所说的适合大部分的人。但以下我
会谈到一些进阶的设定来澄清一些问题。如果对之前我所提的你尚有疑问, 或是有
兴趣了解一下Proxy Servers和Firewall的多彩多姿, 就再读下去吧!

6.1.  强调安全性的大网路

[译注: 原文中举了一个Milwaukee 23rd Discordian Cobal的例子, 术语很多,
       而且对不熟当地文化的人几乎不知所云, 我乾脆把它整个换成宋七力的
       例子, 有点类似, 而且有趣多了。:)                               ]

    如果你是宋七力本尊, 你想建个网路, 参考一下。假设你有50部电脑和一个有
32 (5 bits)IP 位址的子网路, 有多重的Access等级, 你要依据不同的等级交代你
的手下不同的事情。很明显的, 你会想把网路中的一部分保护起来, 防止不同等级
的人去接触。
[声明: 本例纯属虚构, 如有雷同, 纯属巧合。]

    这些等级分别为:

    1.凡夫级: 泛指可以给所有的人看的, 基本上, 就是一些□扯蛋, 例如对本尊
      的流言毁谤之类的。
    2.信徒级: 在这里你告诉他们宇宙光明体的真谛, 还有本尊是个万能的神的事
      实。
    3.核心级: 真正的精华所在, 在这一级中, 有七人小组所从事的地下活动的资
      讯, 准备要使接管世界统治权的计划, 包括了用Photoshop合成的发光照片、
      用Word排版的宇宙光明论及用Delphi写的信徒供养资料库等等。

6.1.1.  网路设计

IP位址安排如下:

o  192.168.2.255, 用作广播之用。
o  32个IP位址挪出23个, 设给供Internet Access的机器。
o  一个IP给Linux box。
o  一个给网路上另一部Linux box。
o  两个IP号码给Router。
o  剩下四个Domain Names设为paul, ringo, john, 和george, 用来掩人耳目。
o  保护网路位址为192.168.2.xxx

    建立出两个分离的网路, 放在显相纪念馆不同的房间中, 使用红外线Ethernet
来做Route , 对外界而言完全隐形。幸运的, 红外线Ethernet用起来和一般的
Ethernet完全相同(我猜想是吧!), 所以可以视为一般的网路。两个网路各接上一台
Linux box。

    有一个File Server 连上两个保护网路, 真是因为接管世界的计划包含了一部
份忠诚的信徒参与。File Server 对信徒级用192.168.2.17, 对核心级用192.168.2.23。
之所以用不同的位址是因为它们用不同的Ethernet卡, IP forwarding己经关了。

    两台Linux box上的IP Forwarding都关了, Router不会把寄给192.168.2.xxx的
封包向前传, 除非另有设定, 因此已算安全, 之所以要关掉IP forwarding是要防止
信徒网路接触到核心网路。

    NFS server也可以设计来提供不同的档案存取权限, 这可以用手动来控制, 但
要用到一点符号链结的技巧, 使得一些共用档可供所有人使用。利用这个设定再加
上一块Ethernet卡可以使三个网路都可以分享这些档案。

6.1.2.  Proxy的架设

    现在来制定三个网路的Net Access权。凡夫网直接连上Internet, 省得跟Proxy
Server搅混, 信徒网及核心网已被包在在Firewall内, 所以凡夫网中不用架设Proxy
Server。信徒网和核心网路的架设十分相似, 几乎设定相同, 因此我加入一些限制
条件, 使它有些变化而且有趣一点。

1.不许任何人用File Server 作Internet Access 以防止病毒及其他的恶作剧等。
  这点十分重要。
2.不允许信徒使用World Wide Web, 外界的流言会影响他们的忠贞。

所以信徒网Linux box上的sockd.conf档设定如下:
    deny 192.168.2.17 255.255.255.255

核心网机器上则是:

    deny 192.168.2.23 255.255.255.255

信徒网还要加上这一行:

    deny 0.0.0.0 0.0.0.0 eq 80

这样可以防止任何机器使用Port 80, HTTP Port, 但其他的服务仍然是开放的, 除
了浏览WEB 之外。然後两边的档中还要加上:

    permit 192.168.2.0 255.255.255.0

使得192.168.2.xxx的电脑可以使用这个Proxy Server, 除了己经被拒绝者之外。
(ie. File Server 和信徒网上的web Access) 信徒网的sockd.conf看起来如下:

    deny 192.168.2.17 255.255.255.255
    deny 0.0.0.0 0.0.0.0 eq 80
    permit 192.168.2.0 255.255.255.0

核心网的档案应该如下:

    deny 192.168.2.23 255.255.255.255
    permit 192.168.2.0 255.255.255.0

这样应该就行了, 每个网路都是独立的, 只允许有限度的接触, 大家都如愿了。

[译注: 为了第六章, 我推敲了一下午, 总算搞懂作者的意思( 或者是完全误会
       了作者的意思, 画一张图让大家能更快进入状况。

       ┌————┐    Router┌———┐Linux ┌————┐
       │Internet├———□—┤凡夫网├—□—┤ 核心网 │
       └————┘          └—┬—┘      └——┬—┘
                            Linux□                │ 192.168.2.23
                                 │                □ File Server
                               ┌┴————┐      │ 192.168.2.17
                               │  信徒网  ├———┘
                               └—————┘                              ]

--

--
※ 来源:．BBS 荔园晨风站 bbs.szu.edu.cn．[FROM: 192.168.1.89]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店