firewall proxy howto.htm

Linux初学者最好的老师就是howto了。相当于函数man。

<p>#
<p>#tftp dgram udp wait root /usr/sbin/tcpd in.tftpd
<p>#bootps dgram udp wait root /usr/sbin/tcpd bootpd
<p>#
<p># Finger, systat and netstat give out user information which may be
<p># valuable to potential "system crackers." Many sites choose to disable
<p># some or all of these services to improve security.
<p>#
<p># cfinger is for GNU finger, which is currently not in use in RHS Linux
<p>#
<p>finger stream tcp nowait root /usr/sbin/tcpd in.fingerd
<p>#cfinger stream tcp nowait root /usr/sbin/tcpd in.cfingerd
<p>#systat stream tcp nowait guest /usr/sbin/tcpd /bin/ps -auwwx
<p>#netstat stream tcp nowait guest /usr/sbin/tcpd /bin/netstat -f inet
<p>#
<p># Time service is used for clock syncronization.
<p>#
<p>#time stream tcp nowait root /usr/sbin/tcpd in.timed
<p>#time dgram udp wait root /usr/sbin/tcpd in.timed
<p>#
<p># Authentication
<p>#
<p>auth stream tcp wait root /usr/sbin/tcpd in.identd -w -t120
<p>authsrv stream tcp nowait root /usr/local/etc/authsrv authsrv
<p>#
<p># End of inetd.conf
<p>　
<p>　
<p>关于/etc/services
<br>&nbsp;
<p>真正的服务是从这里启动的.当一个客户请求到达防火墙计算机的一个已知端口(&lt;1024),
<br>比如telnet的23端口, inetd就在 /etc/services文件中寻找这种服务的名称.
然后调用
<br>inetd.conf中指定的相应的应用程序.
<br>&nbsp;
<p>我们建立的某些服务通常并不在 /etc/services 中, 你有指定端口的自由. 例如,
我把
<br>administrator的telnet端口指定为24,你甚至可以用2323.因此作为管理员,
访问防火墙
<br>时必须telnet到24端口,另外,如果你象我一样设置了netperm-table, 就只能从内部网用
<br>administrator访问防火墙.
<p>telnet-a 24/tcp
<p>ftp-gw 21/tcp # this named changed
<p>auth 113/tcp ident # User Verification
<p>ssl-gw 443/tcp
<br>&nbsp;
<br>&nbsp;
<p>8.SOCKS代理服务器
<br>&nbsp;
<p>8.1 安装
<p>(译注：本文所有内容均基于 socks4.2(socks4),鉴于socks5已经成为目前的标准，译者
<br>将对两者不同之处尽量注明）。
<br>&nbsp;
<p>从<a href="ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-src.tgz可以">ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-src.tgz可以</a>
<br>得到SOCKS代理服务器。同一个目录中还有一个样本配置文件"socks-conf".解开文件,按
<br>说明make.我碰过一些个问题,关键在于保证Makefile的正确.
<br>&nbsp;
<p>值得注意的的一点是要把proxy server加入/etc/inetd.conf.你必须加入一行:
<p>(译注:SOCKS5还可以用其它方式启动,具体见其文档)
<p>socks stream tcp nowait nobody /usr/local/etc/sockd sockd
<br>&nbsp;
<p>用以在请求到来时启动服务.
<br>&nbsp;
<p>8.2 配置代理服务
<br>&nbsp;
<p>SOCKS程序需要两个配置文件.一个用来确认访问许可,另一个用于客户同代理服务器之间
<br>的路由.访问许可配置文件在服务器上,而路由配置文件在每台Un*x机器上,Dos可以自己进
<br>行路由，MAC应该也可以自己进行路由。
<br>&nbsp;
<p>配置访问许可
<br>&nbsp;
<p>在socks4.2Beta中,配置文件为"sockd.conf".包含两行,分别用于接受和拒绝访问.每行
<br>由三项组成:
<br>&nbsp;
<p>*标示符 (permit/deny) *IP地址 *地址修饰
<p>标示符的取值为permit/deny,各占一行.
<br>&nbsp;
<p>IP地址为典型的由句号隔开的4byte格式.比如:192.168.2.0
<br>&nbsp;
<p>地址修正,与子网屏蔽类似，这个数字有32位，如果某位是1，则它必需与它所检查的IP
<br>地址这一位的值是一样的，例如，如果该行为：
<br>permit 192.168.2.0 255.255.255.0
<br>表示允许在 192.168.2.0 到
<br>192.168.2.255范围内的所有C类地址，下面一行是危险的：
<br>permit 192.168.2.0 0.0.0.0
<br>因为这等于没有地址匹配检查，缺省允许所有访问！
<br>&nbsp;
<p>因此，首先设定允许范围，再加以限制.下面两行允许来自192.168.2.xxx的所有访问:
<p>permit
<p>192.168.2.0 255.255.255.0
<p>deny 0.0.0.0 0.0.0.0
<br>&nbsp;
<p>注意后面一行，第一个"0.0.0.0"是什么无所谓,因为它的屏蔽值是"0.0.0.0",用全零只
<br>是为了书写方便.
<br>&nbsp;
<p>每行多于一项也是合法的.
<br>&nbsp;
<p>也可以配置成对指定用户访问的接收或拒绝.由身份验证完成.但不是所有的系统都支持,
<br>包括Trumpet Winsock,因此我不再介绍有关内容,具体可参考socks的文挡.
<p>配置路由
<br>&nbsp;
<p>路由配置文件被冠以一个糟糕的名字:"socks.conf"之所以糟糕是因为同前一个文件名
<br>太象了,容易使人产生误解.
<br>&nbsp;
<p>路由配置文件决定何时使用sock. 比如说:在我们的网络内, 192.168.2.3 同192.168.2.1
<br>之间的对话不需要使用sock去和防火墙对话,而是通过以太网直接进行.其中也定义了你的
<br>IP回路,127.0.0.1,同样你也不需要用SOCK同自己对话.共有三项:
<br>&nbsp;
<p>*deny
<p>*direct
<p>*sockd
<br>&nbsp;
<br>&nbsp;
<p>Deny指示SOCKS何时拒绝请求.与sockd.conf相同,每行含标识符,IP地址和IP修正三个域.
<br>&nbsp;
<p>一般说来，这些也由sockd.conf和访问文件处理，所以IP修正这一项可以在这里被设成
<br>0.0.0.0。如果你想让自己那儿都访问不了，你可以在这儿设置。
<br>&nbsp;
<p>direct指定不通过代理的地址.这些都是可以直接访问的,同样有标识符,IP地址和IP修正
<br>三个域,我们的例子:
<br>&nbsp;
<p>direct 192.168.2.0 255.255.255.0
<p>指定所有内部网络的地址不用代理.
<br>&nbsp;
<p>sockd用来说明服务器的地址,这一行的格式为:
<p>sockd @=&lt;serverlist> &lt;IP address> &lt;modifier>
<br>&nbsp;
<p>注意"@="是要你设置代理服务器的IP列表.我们这里只使用一个服务器,但你可以使用多
<br>个以增加带宽或利用冗余提高稳定性.
<br>&nbsp;
<p>其余两项同前,设置通过相应代理的地址。
<br>&nbsp;
<p>在防火墙后设置域名服务器是一项相对简单的工作.你只要在代理服务器上设置DNS服务,
<br>并将其作为墙内机器的DNS即可.
<br>&nbsp;
<p>8.3 使用代理服务器
<p>8.3.1 UNIX
<p>要使应用程序配合防火墙工作,首先要把他们sockify,你将有两个telnet,一个用于直接
<br>连接,另一个用于通过防火墙的连接.SOCKS中含有关于如何sock化应用程序的文挡,以及
<br>一些已经sock化了的例子.如果你使用sock化的程序去访问直接连接的地址,SOCKS会自动
<br>为你切换成直接连接的版本.
<p>因此,我们可以把墙内机器所有的应用程序替换成AA过的版本,这时,原来的"finger"变成
<br>了"finger.orig","telnet"变成了"telnet.orig"等等.但你必须在/include/socks.h中
<br>告诉SOCKS每项改动.
<p>有些应用程序可以自己处理路由和sockify,比如Netscape,你只要在相应的位置填入代理
<br>服务器的地址(我们这里是192.168.2.1)即可。
<p>8.3.2 MS Windows with Trumpet Winsock
<p>Trumpet Winsock
<br>自带了对代理的支持,在"setup"菜单里填入server的IP和可以直接连接的IP,Trumpet就
<br>可以工作了.
<p>8.3.4 关于UDP包
<p>SOCKS(译注:SOCKS4)只能代理TCP,不支持UDP(译注:SOCKS5全面支持UDP).这使得SOCKS无
<br>法代理象talk,
<p>--
<br>&nbsp;
<p>发信人: rgb (网上邻居【还在等】), 信区: UNIX_PALACE
<br>标&nbsp; 题: Linux Firewall Proxy Howto译后记(一)
<br>发信站: 笑书亭 (Sat Jun 13 20:03:10 1998), 转信
<br>&nbsp;
<p>终于能把这份文档完整的POST出来了。初稿早在四月就已完成，但其间由于种种
<br>原因耽搁了下来，现在也终于能理解为什么作者说会"及时更新这份文档"而两年
<br>内却未见动作.
<br>两年内防火墙技术又在突飞猛进,新产品,新技术也层出不穷,但该文档还是具有
<br>指导意义的,主要涉及到的两种产品都已经有了相应的RFC.对于两年内的更新造
<br>成的改动,在译文中已尽量注明.
<br>今年一月底开始接触Linux,就是从fuse找来的各种HOWTO入手的,发现这的确是新手
<br>的好教材.就性质来说,这相当于产品的用户手册. 而这么全面详尽的用户手册,
都
<br>是Linux Hacker们在业余时间里完成的, 不能不说这是 linux奇迹的一个重要组成
<br>部分.
<br>记得有一位台湾的HOWTO译者 (好象是译modules howto的那位) 曾说过, 在GNU
的
<br>世界里待久了,就免不了为GNU精神所感动.我正是经历了这么一个过程. 而 linux
<br>本身正是GNU精神的最佳诠释之一.相信同时还有很多人象我一样,看看各大 BBS的
<br>LINUX版就知道了,总还能记起我在undernet的linux频道里提起 linux 在中国大陆
<br>的流行程度时, 老外们表现出的好奇与兴奋.
<br>我同时也发现,我们对GNU的奉献实在是少得可怜, 这一点我很羡慕台湾同胞们,
无
<br>论在软件创作和汉化, 还是文档翻译的工作上, 他们都走在了我们甚至是世界的前
<br>面.而我们,在相当程度上是在坐享其成----毕竟作内码转换的工作要容易的多.
<br>chat* sigh
<br>事实上, 两岸并不是所有的东西都可以通用,软件也是有其文化背景, 至少科技用语
<br>就存在不小的差异. 我在阅读台湾同胞们翻译的HOWTO时, 感觉并不比原版的省力多
<br>少.而自己又是新手,要为GNU原创作点贡献不太现实的说:P,因此萌发了翻译HOWTO的
<br>念头.
<br>&nbsp;
<p>--
<p>Life cant be digitized,
<br>Life is more than words,
<br>Time can exile my heart,
<br>Who can escheat neighbor's oath?
<p>m;33m※ 来源:．笑书亭 bbs.zju.ml.org．[FROM: csadm.zju.edu.cn]m
<br>--
<br>m;37m※ 转寄:．笑书亭 bbs.zju.ml.org．[FROM: 210.32.151.168]m
<br>我是作过两次翻译的.
<br>第一次是在96年,为网办的老师翻一本Internet的入门手册,
<br>网虫生涯也是那时开始的吧,当时自然没想到一年之后竟会得到一笔对一个穷学生
<br>来讲颇为不菲的稿费,却在不知不觉中爱上了这一行,总不自觉得想,有多少人会看
<br>这本书呢?我翻的这几章会有用吗?记得后来拿到这本书的时候,并没有太多留意虽
<br>也变成铅字但不在译者中的名字,而是马上翻到某页的插图, 寻找我在编辑图片时
<br>加进的自己的邮件地址;-)也是一个小小的彩旦,呵呵
<br>第二次是在上学期,作为课题组项目的一部分,也作为毕业设计的文献翻译,译得是
<br>某大型纺织CAD系统的用户手册(还是手册:)与纺织行业的术语有了一阵交往---我
<br>翻译术语表.其间也有过很多插曲,令人感慨,离题已有些远了,不提了罢.
<br>这是第三次,初识GNU的我,觉得把纺织术语作为毕业设计的翻译不太对口. 就决定
<br>找份Linux HOWTO来翻.也正是由于把它当作毕业设计的一部分来做, 我的语言里
<br>缺了几分GNU风格的自由活泼,幸好后来QIQI帮我增色不少.翻的时候我也不怎么懂
<br>防火墙,尤其是没看过国内的有关资料,很多名词的译法都是自己揣摩的,但里面涉
<br>及的各种例子,我都找来了相应的版本和最新的版本,一一试过了.star上面的
<br>port 24,就是其中的一个实验,很多网友用过的.说到这里,想起要提一下,zju第一
<br>个fwtk是alan装上的,其实浙大linux的高手实在是很多,我碰到问题时总能得到帮
<br>助.当然,其中被我麻烦最多的该是fuse了:)
<br>本译文的前八章由我完成,第九章由QIQI完成,QIQI对全文进行了整理和校正.
<br>GNU的规定不准对派生,翻译文档的散发作任何形式的限制----若允许,我会加上:
<br>在zju bbs恢复自由登记之前,该文档不得在那里转贴.
<br>把它献给所有的网友和两个心爱的BBS.
<br>sandy
<p>--
<br>&nbsp;
?
<p align="right">本文转自<a href = "http://www.linuxforum.net">中文Linux论坛</a>
<layer src="http://www.spidersoft.com/ads/bwz468_60.htm" visibility=hidden id=a1 width=600 onload="moveToAbsolute(ad1.pageX,ad1.pageY); a1.clip.height=60;visibility='show';"></layer>
</body>
</html>