主题： 巧妙利用linux系统ip伪装抵住黑客攻击

　　防火墙可分为几种不同的安全等级。在linux中，由于有许多不同的防火墙软件可供选择，安全性可低可高，最复杂的软件可提供几乎无法渗透的保护能力。不过，linux核心本身内建了一种称作伪装的简单机制，除了最专门的黑客攻击外，可以抵挡住绝大部分的攻击行动。
　　
　　当我们拨号接连上internet后，我们的计算机会被赋给一个ip地址，可让网上的其他人回传资料到我们的计算机。黑客就是用你的ip来存取你计算机上的资料。linux所用的ip伪装法，就是把你的ip藏起来，不让网络上的其他人看到。有几组ip地址是特别保留给本地网络使用的，internet骨干路由器并不能识别。像作者计算机的ip是192.168.1.127，但如果你把这个地址输入到你的浏览器中，相信什么也收不到，这是因为internet骨干是不认得192.168.x.x这组ip的。在其他intranet上有数不清的计算机，也是用同样的ip，由于你根本不能存取，当然不能侵入或破解了。
　　
　　那么，解决internet上的安全问题，看来似乎是一件简单的事，只要为你的计算机选一个别人无法存取的ip地址，就什么都解决了。错！因为当你浏览internet时，同样也需要服务器将资料回传给你，否则你在屏幕上什么也看不到，而服务器只能将资料回传给在internet骨干上登记的合法ip地址。
　　
　　ip伪装就是用来解决此两难困境的技术。当你有一部安装linux的计算机，设定要使用ip伪装时，它会将内部与外部两个网络桥接起来，并自动解译由内往外或由外至内的ip地址，通常这个动作称为网络地址转换。
　　
　　实际上的ip伪装要比上述的还要复杂一些。基本上，ip伪装服务器架设在两个网络之间。如果你用模拟的拨号调制解调器来存取internet上的资料，这便是其中一个网络；你的内部网络通常会对应到一张以太网卡，这就是第二个网络。若你使用的是dsl调制解调器或缆线调制解调器(cable modem)，那么系统中将会有第二张以太网卡，代替了模拟调制解调器。而linux可以管理这些网络的每一个ip地址，因此，如果你有一部安装windows的计算机（ip为192.168.1.25），位于第二个网络上（ethernet eth1）的话，要存取位于internet（ethernet eth0）上的缆线调制解调器（207.176.253.15）时，linux的ip伪装就会拦截从你的浏览器所发出的所有tcp/ip封包，抽出原本的本地地址（192.168.1.25），再以真实地址（207.176.253.15）取代。接着，当服务器回传资料到207.176.253.15时，linux也会自动拦截回传封包，并填回正确的本地地址（192.168.1.25）。
　　
　　linux可管理数台本地计算机（如linux的ip伪装示意图中的192.168.1.25与192.168.1.34），并处理每一个封包，而不致发生混淆。作者有一部安装slackware linux的老486计算机，可同时处理由四部计算机送往缆线调制解调器的封包，而且速度不减少。
　　
　　在第二版核心前，ip伪装是以ip发送管理模块（ipfwadm，ip fw adm）来管理。第二版核心虽然提供了更快、也更复杂的ipchains，但仍旧提供了ipfwadm wrapper来保持向下兼容性，因此，作者在本文中会以ipfwadm为例，来解说如何设定ip伪装（您可至http：//lab.unc.edu/mdw/howto/ipchains－howto.html查询使用ipchains的方法，该页并有ip伪装更详尽的说明）。
　　
　　另外，某些应用程序如realaudio与cu－seeme所用的非标准封包，则需要特殊的模块，您同样可从上述网站得到相关信息。
　　
　　作者的服务器有两张以太网卡，在核心激活过程中，分别被设定在eth0与eth1。这两张卡均为sn2000式无跳脚的isa适配卡，而且绝大多数的linux都认得这两张卡。作者的以太网络初始化步骤在rc.inet1中设定，指令如下：