防火墻設(shè)置實(shí)例(安裝SOCKS代理伺服器)

第第頁(yè)防火墻設(shè)置實(shí)例(安裝SOCKS代理伺服器)防火墻設(shè)置實(shí)例(安裝SOCKS代理伺服器)

發(fā)表于：2023-06-23來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：

1.1設(shè)定代理伺服器SOCKS代理伺服器可從/pub/Linux/system/Network/misc/socks-linux-src.tgz取得。該檔內(nèi)也有一個(gè)稱(chēng)為"socks-conf"的設(shè)置檔可作參考?？砂言摍n解壓，然後根據(jù)其中的說(shuō)明使用該檔。但使用時(shí)并不簡(jiǎn)單，應(yīng)首先確定M

1.1設(shè)定代理伺服器

SOCKS代理伺服器可從/pub/Linux/system/Network/misc/socks-linux-src.tgz取得。該檔內(nèi)也有一個(gè)稱(chēng)為"socks-conf"的設(shè)置檔可作參考。可把該檔解壓，然後根據(jù)其中的說(shuō)明使用該檔。但使用時(shí)并不簡(jiǎn)單，應(yīng)首先確定Makefile檔正確無(wú)誤。在/etc/.netd.conf中應(yīng)該增添代理伺服器。因此，應(yīng)該增加以下一行。

socksstreamtcpnowaitnobody/usr/local/etc/sockdsockd

這樣伺服器才會(huì)在需要時(shí)運(yùn)行。

1.2設(shè)置代理伺服器

SOCKS需要兩個(gè)設(shè)置檔進(jìn)行設(shè)定。一個(gè)設(shè)置檔設(shè)定進(jìn)入取用的權(quán)限，另一個(gè)設(shè)置檔設(shè)定路徑，以便找到適當(dāng)?shù)拇硭欧鳌?quán)限檔應(yīng)在伺服器上，路徑檔應(yīng)在每一臺(tái)UNIX機(jī)上。DOS機(jī)和Macintosh機(jī)都會(huì)確定自行的路徑。

權(quán)限檔

在socks4.2（beta）版中，權(quán)限檔稱(chēng)為"sockd.conf"，應(yīng)該只有兩行，一行允許（permit），一行拒絕（deny）。每行都有三項(xiàng)設(shè)定：

識(shí)別標(biāo)示行(permit/deny)

IP地址行

修改地址行

識(shí)別標(biāo)示用于permit或deny。應(yīng)該有單獨(dú)的permit行和單獨(dú)的deny行。IP地址使用標(biāo)準(zhǔn)的4byte方式表示，如I.E..。修改地址行也是標(biāo)準(zhǔn)的4位元IP地址，用來(lái)作為netmask。將這個(gè)地址想成32位元的數(shù)字。如果是1，則核對(duì)的地址的相應(yīng)位置應(yīng)符合IP地址中相應(yīng)的位元。例如，此行的地址為∶

permit355

則只允許每一位元相符的地址，即3。如果地址為∶

permit

則會(huì)允許至55之間的每一個(gè)地址，即整個(gè)C級(jí)的地址。不得有下列這種地址出現(xiàn)∶

permit

這會(huì)允許每一地址使用，不論其地址為何。因此，允許每一個(gè)應(yīng)該允許的地址，然後拒絕其余地址。如允許192.168.2.xxx范圍中的每一用戶，可用下列方式表示∶

permit

deny

注意deny行中的第一個(gè)""。由于地址以修改，因此IP為何都沒(méi)有影響。用0作為IP地址，因?yàn)楸阌诖蜃?。特別的用戶可以給予或拒絕使用的權(quán)限。這可通過(guò)iden的查驗(yàn)來(lái)實(shí)現(xiàn)。由于不是所有系統(tǒng)都支持iden，其中包括TrumpetWinsock，所以此處不預(yù)備多加說(shuō)明。隨同socks提供的說(shuō)明以夠使用。

路徑檔

SOCKS中的路徑檔稱(chēng)為"socks.conf"，極易與權(quán)限檔混淆。路徑檔讓SOCKS用戶知道何時(shí)用socks，何時(shí)不用。例如，在示□的網(wǎng)路中并不需要使用socks與防火墻對(duì)話。通過(guò)Ethernet，它們之間有直接的連接。又自動(dòng)設(shè)為loopback。因此也不需要用socks同自己對(duì)話。它有三行輸入∶

deny

direct

sockd

Deny行告訴socks何時(shí)拒絕一項(xiàng)請(qǐng)求。在此添入的內(nèi)容同sockd.conf的內(nèi)容相同，地址標(biāo)示行、IP地址和修改地址行。一般而言，權(quán)限檔sockd.conf也與此有關(guān)，修改地址部分則用。如果不打算連到任何地方，在此可作出修改。

在direct行下列入不使用sock的地址。所有這些地址都可直接聯(lián)上網(wǎng)路，無(wú)須經(jīng)過(guò)代理伺服器。在這里又有三個(gè)位置要填∶identifier、address和modifier。例如∶

direct

Sockd行告訴電腦那一個(gè)用戶的電腦上有socksserverdaemon。該行內(nèi)容如下∶

sockd@=

注意@=填入的內(nèi)容。利用這種方法可以填入一系列代理伺服器的IP地址。在這里只用一個(gè)代理伺服器的地址為例。但可以列上多個(gè)伺服器的地址，以便加大容量，并當(dāng)有伺服器失靈時(shí)，有其他的伺服器頂替。

設(shè)定IP地址和modifier域的方法和其他例子相同。

防火墻後的DNS從防火墻後設(shè)定DomainNameService是件簡(jiǎn)單不過(guò)的事。只要在作為防火墻的電腦上設(shè)定DNS即可。然後在防火墻後的電腦上設(shè)定使用這個(gè)DNS。

1.3代理伺服器

Unix

要使應(yīng)用程序利用代理伺服器，這些應(yīng)用程序需要"sockified"。在這里需要兩個(gè)telnet，一個(gè)進(jìn)行直接通訊，一個(gè)通過(guò)代理伺服器進(jìn)行通訊。SOCKS軟件中有說(shuō)明sock一個(gè)程式的方法，也附有幾個(gè)已經(jīng)sock好的程式。如果要直接使用sock好的程式，SOCKS軟件會(huì)直接設(shè)定。因此，應(yīng)該將保護(hù)網(wǎng)路內(nèi)的所有程式改名，然後再改用已經(jīng)sock好的程式。例如，"Finger"變?yōu)?finger.orig"，"telnet"變?yōu)?telnet.orig"。必須通過(guò)include/socks.h檔告訴SOCKS這種設(shè)定。有些程式能自行處理routing和sockifying的問(wèn)題。Netscape就使其中之一。例如在Netscape下要用用代理伺服器，只要在Proxies下SOCK欄內(nèi)填入伺服器的地址即可（在此為）。當(dāng)然，每種應(yīng)用程式都得作些小變動(dòng)，不論其處理代理伺服器的方法為何。

微軟視窗與TrumpetWinsock

TrumpetWinsock中有自帶的代理伺服器功能。在"setup"選單中填入伺服器的IP地址和所有直接可聯(lián)的電腦的地址。然後，Trumpet就會(huì)處理所有外送的數(shù)據(jù)包。

使代理伺服器配合UDP數(shù)據(jù)包

SOCKS軟件只處理TCP數(shù)據(jù)包，而不處理UDP。這多少減少了它的用處，因?yàn)?，許多有用的程式，例如talk和Archie，都利用UDP。有一套軟件，稱(chēng)為UDPrelay，由TomFitzgerald設(shè)計(jì)，主要作為UDP數(shù)據(jù)包的代理伺服器使用。不過(guò)在編寫(xiě)本文時(shí)，這套軟件不能用于Linux.

1.4代理伺服器的缺點(diǎn)

歸根結(jié)底，代理伺服器是一個(gè)安全裝置。在有限的IP地址的情況下，用它使許多用戶進(jìn)入網(wǎng)際網(wǎng)路有許多缺點(diǎn)。代理伺服器可使保護(hù)網(wǎng)路內(nèi)的用戶聯(lián)到網(wǎng)路之外，但使網(wǎng)路之外的用戶完全無(wú)法同網(wǎng)路之內(nèi)的用戶聯(lián)系。這表示無(wú)法同網(wǎng)路之內(nèi)的電腦進(jìn)行talk或archie聯(lián)網(wǎng)，也無(wú)法發(fā)送電子郵件。這些缺點(diǎn)看來(lái)并不嚴(yán)重，但是如果∶

你有一份沒(méi)有完成的報(bào)告留在保護(hù)網(wǎng)路防火墻內(nèi)的電腦上?；丶裔?，你又想看看這份報(bào)告。但是沒(méi)有辦法。因?yàn)殡娔X在防火墻後，無(wú)法聯(lián)網(wǎng)。如果首先login防火墻，但由于每一個(gè)人都可進(jìn)入代理伺服器，因此你在這個(gè)伺服器上并沒(méi)有個(gè)別帳戶。

你女兒去了大學(xué)。你想寫(xiě)封電子郵件給她。你想談些私事，因此最好能把電子郵件直接放到自己的電腦上。你當(dāng)然信得過(guò)你的系統(tǒng)管理員，但這倒底與公務(wù)無(wú)關(guān)，是個(gè)人的信件。

不能使用UDP是代理伺服器的一個(gè)大缺陷。我想不久之後就會(huì)有UDP的功能。

FTP是代理伺服器的另一個(gè)問(wèn)題。在取得或使用ls時(shí)，F(xiàn)TP伺服器在客戶機(jī)上打開(kāi)一個(gè)socket，并通過(guò)它傳送信息。代理伺服器不允許進(jìn)行這項(xiàng)工作，因此FTP無(wú)法使用。此外，代理伺服器運(yùn)行緩慢。由于需要額外資源較多，幾乎任何其他能達(dá)成這項(xiàng)作用的伺服器都要比它快。一般而言，如果有IP地址聯(lián)網(wǎng)，而又不必特別顧慮安全問(wèn)題，那就不要使用防火墻和（或）代理伺服器