使用工具:1,IPCHAINS防火墙,
在linux下实现IP伪装
。2,NETFILTER。IP伪装在LINUX系统中可以通过IPCHAINS防火墙工具实现。
(一)通过IPCHAINS防火墙
使用IPCHAINS实现IP,伪装用户需要指定FOWARDING规则。现通过以下例子说明一下,假设连接到互联网的主机(防活墙)使用第一个以太网设备eth0连接到互联网。如果你是通过一个MODEM拨号连接到ISP,哪么使用的网络接口就是第一个PPP接口,就是PPP0。第二个命令为接口(-i)ETH0添加(-A)一个目标(-J)MASQ(伪装)到FORWARD规则中。在局域网中的主机必须指定被连接的系统(防火墙)作为网关。最后一个命令使IP FORWARD有效。为使IP伪装有效使用LINUXCONF中的FIREWALLING项,为用户想要添加的应用于IP伪装的FORWARDING 规则选择FORWARD FIREWALLING和点击DO MASQUERADE选择框。
ipchains -p forward DENY
ipchains -A forward -i eth0 -j MASQ
echo 1> /proc/sys/net/ipv4/ip_forward
IP伪装经常允许私有网中的电脑访问因特网。这些可以是家庭网或小型网络中的电脑。在这样的网络中可能只有一台电脑连接到因特网,只有一个因特网的地址。本地的私有网可以使用专为私有网分配的地址(10.172.6.或192.168.)。在典型的情况下,防火墙有两块以太网卡,一块作为局域网接口(ETH1)。另一块用于与因特网接口(ETH0,对拨号连接到ISP的情况。这将是MODEM所对应PPP0)。连接到因特网的网卡(ETH0)将会被指定一个因特网地址。本地网络的以太网接口ETH1就是防火墙的以太网卡。用户的私有网有一个象192。168。1这样的网络地址,
电脑资料
《在linux下实现IP伪装》(https://www.unjs.com)。防火墙的以太网卡被分配给192。168。1。1作为IP地址。事实上,防火墙的网络接口使防火墙作为本地的网关。然后配置防火墙为伪装所有私有网来的数据包。用户的局部网使用自己的域名服务器来标识网络中的计算机(包括用户的防火墙)。每个本地主机使用防火墙作为指定的网关。尽量不要用IP别名的方法指定地址到防火墙地址和因特网的IP地址到同一个物理接口。最好让他们使用不同的网络接口。这样才能将被攻击减少到最底程度。例如两块以太网网卡或一块以太网网卡和一个MODEM(PPP0)。2,用NETFILTER实现IP伪装(NAT和IPTABLES)
在NETFILTER中,IP伪装是一个NAT操作,不再象IPCHAINS哪样被集成在包过滤中。IP伪装的命令被放在NAT表中,他和包过滤的命令被分别对待,通过NETFILTER实现IP伪装首先要确信IPTABLE_nat模块被载入(你可以将该操作放入内核中)
modprob iptable_nat
然后使用iptable将一个伪装规则放置在NAT表中.首先使用-t nat 选项引用NAT表.然后加上一个POSTROUTING命令和-O选项指定输出设备,加上-j选项和MASQUERADE命令.
iptable -t nat -A POSTROUTING -o eth0 -j MASQUERADE
最后象通常情况下打开IP FORWARDING.
echo 1 > /proc/sys/net/ipv4/ip_forward
以上是通过IPCHAINS防火墙和NETFILTER实现IP伪装.但要注意的是,请记住在IPTABLES中,IP伪装不再是和FORWARD规则链接和在一起.所以你如果为FORWARD规则链指定DROP策略,对于需要进行IP伪装的网络,首先要指定FORWARD操作有效,你既需要POSTROUTING也需要FORWARD规则链.活活~~~~~~~~我晕倒,累死我也~!!!!嘎嘎...奉行自由之精神,可随意转载,不用给版权费的,嘎~~~~~~发到刀光没意思,还是这里好~!!!