【正文】 定的鏈中用新規(guī)則替換已存在的規(guī)則 如果源或目的地址不止一個則此命令無效規(guī)則從 1 開始記數(shù) Ipchains – R 鏈名 原規(guī)則號 新規(guī)則描述 [參數(shù) ] I 將一條或多條規(guī)則到指定 鏈中的指定位置如果指定位置號為 1 新規(guī)則將被插入到鏈的最先位置 L 列出指定鏈中的所有規(guī)則如果不指定是哪條鏈所有鏈的規(guī)則信息都被列出 L 有幾個可選項 n 數(shù)值 項非常有用 它阻止 ipchains 去查找 IP 地址 假如你的 DNS 沒有正確設置 或你已經過濾掉了 DNS 請求 這將造成很大延時 它還會導致端口用數(shù)字而不是名字被顯示出來 v 選項顯示規(guī)則的所有詳細信息如包和字節(jié)計數(shù)器 TOS 掩碼 接口 和包標記 用其它的方法這些項都會被忽略 F 覆蓋指定鏈上的規(guī)則它等價于將鏈上的全部規(guī)則逐個刪除 ipchains F forward 假如你不指定鏈 那么所有鏈都將被清空 Z 將鏈上的規(guī)則和記數(shù)器清零若與命令 L 同時使用亦是合法的這樣在清零之前先顯示鏈上的內容清零之后不可以再指定任何鏈 P 為鏈上的所有規(guī)則指定統(tǒng)一的操作在操作部分已經介紹了有可能的合法操作只有非自定義的鏈才可以使用此命令內置的鏈名和自定義的鏈名不可以作為此命令用以指定的操作 N newchain 以給定的名字創(chuàng)建一條新的 user defined 鏈不能與已有鏈同名 M masquerading 允許觀察當前 IP 偽裝的連接與 L 一起或者設置內核 IP 偽裝的參數(shù)與 – S 一起 S set tcp tcpfin udp 設置偽裝的超時值 S 后跟三個以秒表示的超時值 TCP sessions FIN 包到后的 TCP sessions 和對于 UDP 包的假如你不想改變這些值 給個 0 值即可默認值在 usrincludeip_masph 文件中 目前分別是 15 分 2 分和 5 分僅允許和 M 一起使用 C 用指定鏈中的規(guī)則對 IP 包進行檢查它利用內核中用以檢查實際網絡的例程來檢查 IP 包是極為有 用的一個命令它可以檢查所有自定義鏈和內置鏈上的包利用防火墻規(guī)則和 IP 包中相同的參數(shù)來對包進行檢測源地址目的地址協(xié)議端口號是必須具備的 h 幫助提供命令語法的簡單描述 參數(shù) 上面命令中規(guī)則的詳細描述是通過參數(shù)的組合來完成的下面介紹一 下 ipchains 命令中用到的一些參數(shù)的含義及用法 [21] p [] protocol 此參數(shù)用以指定規(guī)則中的協(xié)議或待檢查包中的協(xié)議 protocol 的取值可以是 tcpudpicmp 中的一種或全部也可以是代表這些協(xié)議的數(shù)字值文件 etcprotocols中的 任意一個協(xié)議名都是合法取值在 protocol前加上表示非 protocol 協(xié)議若取值為零則代表所有協(xié)議此情況將與任何協(xié)議均匹配如果不設置此選項則默認取值為所有協(xié)議在 CHECK 命令中此參數(shù)不能取all s [] address[mask] [] [port[port]] 描述源地址 Address 的取值可以是一個主機名網絡名或者是一個單純的IP 地址 mask 的取值可以是一個網絡掩碼或者是一個數(shù)字此數(shù)字代表網絡掩碼中左邊所有 1 的個數(shù)例如 24 代表網絡掩碼 016 代表網絡掩 08 代表網絡掩 0address 前加表示非的意思 源地址中可以包含端口號或 ICMP 包的類型它可以是某種服務的名稱一個端口號碼一個數(shù)字化的 ICMP 類型碼或是命令 ipchains – h icmp 所顯示的任意一個 ICMP 類型名 可以使用 portport格式來指定端口號的范圍若沒有指定第一個端口號默認從 0 開始若后一端口號沒有指定則默認為 65535 只有在用到 tcpudpICMP 協(xié)議是才可以指定端口號加表示取非當使用Check 命令時需且僅需一個端口號若使用 f 標志則不允許使用任何端口號 sourceport [] [port[port]] 此參數(shù)用以單獨指定源端口號或端口號范圍詳見 s 中的介紹 d [] address [mask] [] [port[port]] 指定目的地址語法結構描述見 s 對于無端口號的 ICMP 協(xié)議目的端口指數(shù)字化的 ICMP 類型碼 destinationport [] [port[port]] 單獨指定目的端口詳見 s icmptype [] typename 指定 ICMP 的類型利用 h icmp 選項可以查看合法的 ICMP 類型名將其附加于目的地址 的定義中將更方便 j target 此選項指定規(guī)則中的操作即指定當包與規(guī)則匹配時要做什么 i [] name 指定一接口的名稱 eth0eth1ethn 通過此接口接收包或將包發(fā)送出去如果沒有設定此選項則默認是空串這樣將會匹配所有接口在 name 前加表示非的意思若 name 串以結束則所有以 name 中之前的串開頭的接口均與之匹配 t TOS and xormask 用于改變 IP 頭的 TOS 域當包匹配規(guī)則它的 TOS 域首先與第一個掩碼逐位相與結果再與第二個掩碼逐位異或掩碼將會被指定為 8 位 16 進制數(shù) TOS 的最低有效位必須沒有被改變 TOS 域的四個位是最小延時 Minimum Delay 最大吞吐量imum Throughput 最大可靠程度 imum Reliability和最小費用 Minimum Cost最常用的是把 tel 和 ftp 的控制連接設為最小延時和把 FTP 數(shù)據設為最大吞吐量 這樣做 ipchains A output p tcp d 00 tel t 0x01 0x10 ipchains A output p tcp d 00 ftp t 0x01 0x10 ipchains A output p tcp s 00 ftpdata t 0x01 0x08 [] – f 此參數(shù)只對以分片包的第二個及以后的碎片起作用由于這種包無法獲知源目的端口或 ICMP 類型所以這種包不會匹配設置此參數(shù)的任何規(guī)則的意義同前表示只對第一個碎片起作用 l 記入日志信息 [] – y – syn 此參數(shù)僅適用于 TCP 包該參數(shù)設置表示針對 TCP 初始連接的 IP 包 33 Linux 下代理的實現(xiàn) 務器概述 1 什么是代理服務器 在 TCPIP網絡中傳統(tǒng)的 Web通信過程是這樣的客戶端向服務器請求數(shù)據服務器響應該請求將數(shù)據傳送給客戶端 圖 2 在引入了代理服務器以后這一過程變成了這樣客戶端向服務器發(fā)起請求該請求被送到代理服務器代理服務器分析該請求先查看自己緩存中是否有請求數(shù)據如果有就直接傳送給客戶端如果沒有就代替客戶端向該服務器發(fā)出請求服務器響應以后代理服務器將響應的數(shù)據傳送給客戶端同時在自己的緩存中保留一份該數(shù)據的拷貝 如圖 這樣再有客戶端請求相同的數(shù)據時代理服務器就可以直接將數(shù)據傳送給客戶端而不需要再向該服務器發(fā)起請求 2 代理服務 器的功能一般說來代理服務器具有以下的功能 1 通過緩存增加訪問速度 隨著 Inter 的迅猛發(fā)展網絡帶寬變得越來越珍貴所以為了提高訪問速度好多ISP 都提供代理服務器通過代理服務器的緩存功能來加快網絡的訪問速度一般說來大多數(shù)的代理服務器都支持 HTTP 緩存但是有的代理服務器也支持 FTP 緩存在選擇代理服務器時對于大多數(shù)的組織只需要 HTTP 緩存功能就足夠了 通常緩存有主動緩存被動緩存之分所謂被動緩存指的是代理服務器只在客戶端請求數(shù)據時才將服務器返回的數(shù)據進行緩存如果數(shù)據過期了又有客戶端請求相同數(shù)據時代理服務器又必須 重新發(fā)起新的數(shù)據請求在將響應數(shù)據傳送給客戶端時又進行新的緩存所謂主動緩存就是代理服務器不斷地檢查緩存中的數(shù)據一旦有數(shù)據過期則代理服務器主動發(fā)起新的數(shù)據請求來更新數(shù)據這樣當有客戶端請求該數(shù)據時就會大大縮短響應時間還需要說明的是對于數(shù)據中的認證信息大多數(shù)的代理服務器都不會進行緩存的 2 提供用私有 IP 訪問 Inter 的方法 IP地址是不可再生的寶貴資源假如你只有有限的 IP地址但是需要提供整個組織的 Inter 訪問能力那么你可以通過使用代理服務器來實現(xiàn)這一點 3 高網絡的安全性 這一點是很明顯的如果內部 用戶訪問 Inter 都是通過代理服務器那么代理服務器就成為進入 Inter的唯一通道反過來說代理服務器也是 Inter訪問內部網的唯一通道如果你沒有做反向代理則對于 Inter 上的主機來說你的整個內部網只有代理服務器是可見的從而大大增強了網絡的安全性 通常的代理服務器分類方法是從實現(xiàn)的機理分為線路層代理應用層代理智能線路層代理等等在這里我想從另外一個角度出發(fā)把代理服務器分為傳統(tǒng)代理服務器和透明代理服務器 下面我就通過具體的實例來說明這里所謂的內部網是指使用私有 IP 的內部網絡我的例子都基于 以下假設 圖 你的域名為 sample你的內部網 用戶通過 外部接口 eth14內部接口 eth1 的代理服務器訪問 Inter 換句話說該代理服務器是唯一一臺直接與 Inter 和內部網相連的機器并假設代理服務器上運行著某種代理服務器軟件如 squid 假設內部網中某一客戶機為 cl 100 ◆傳統(tǒng)代理 在以上基礎上我們做以下工作 1 代理服務軟件被綁定到代理服務器的 8080 端口 2 客戶端瀏覽器被配置使用代理服務器的 8080 端口 3 客戶端不需要配置 DNS 4 代理服務器上需要配置代理服務器 5 客戶端不需要配置缺省路由 當我們在客戶端瀏覽器中打開一個 web請求比如 這時將陸續(xù)發(fā)生以下事件 1 客戶端使用某一端口比如 1025 連接代理服務器 8080 端口請求 web 頁面 2 代理服務器向 DNS請求 得到相應的 IP地 120然后代理服務器使用某一端口比如 1037 向該 IP 地址的 80 端口發(fā)起 web 連接請求請求 web 頁面 3 收到響應的 web 頁面后代理服務器把該數(shù)據傳送給客戶端 4 客戶端瀏覽器顯示該頁面 的角度看來 連 41037 端口 120 的 80 端口之間建立的從