在结束本文档之前,我想讲解一个配置。我刚刚概述的配置可能对大多数人来说就足够了。但是,我认为接下来的概述将展示一个更高级的配置,它可以解答一些疑问。如果您对刚才我讲的内容还有疑问,或者只是对代理服务器和防火墙的多功能性感兴趣,请继续阅读。
例如,假设您是一个民兵组织的首领,并且您希望将您的站点联网。您有 50 台计算机和一个 32 个(5 位)IP 地址的子网。您的网络内需要不同的访问级别,因为您告诉您的追随者不同的事情。因此,您需要保护网络的某些部分免受其余部分的访问。
级别如下:
IP 地址的排列如下:
然后,构建了两个独立的网络,每个网络位于不同的房间中。它们通过红外以太网路由,因此对于外部房间来说是完全不可见的。幸运的是,红外以太网的工作方式与普通以太网完全相同。
这些网络分别连接到具有额外 IP 地址的 Linux 盒子之一。
有一个文件服务器连接两个受保护的网络。这是因为接管世界的计划涉及一些更高级别的部队。文件服务器为部队网络保留地址 192.168.1.17,为雇佣军网络保留地址 192.168.1.23。它必须具有不同的 IP 地址,因为它必须具有不同的以太网卡。其上的 IP 转发已关闭。
两个 Linux 盒子上的 IP 转发也已关闭。路由器不会转发目标为 192.168.1.xxx 的数据包,除非明确告知这样做,因此互联网将无法进入。在此处关闭 IP 转发的原因是,来自部队网络的数据包将无法到达雇佣军网络,反之亦然。
NFS 服务器也可以设置为向不同的网络提供不同的文件。这可能会派上用场,而一些使用符号链接的技巧可以使公共文件可以与所有人共享。使用这种设置和另一张以太网卡可以为所有三个网络提供这一个文件服务器。
现在,由于所有三个级别都希望能够出于自身不正当的目的监视网络,因此所有三个级别都需要访问网络。外部网络直接连接到互联网,因此我们无需在此处处理代理服务器。雇佣军和部队网络位于防火墙之后,因此有必要在此处设置代理服务器。
这两个网络的设置都非常相似。它们都分配了相同的 IP 地址。为了让事情更有趣,我将加入一些参数。
因此,部队的 Linux 盒子上的 sockd.conf 文件将包含以下行:
deny 192.168.1.17 255.255.255.255
以及雇佣军机器上的:
deny 192.168.1.23 255.255.255.255
并且,部队的 Linux 盒子将包含以下行:
deny 0.0.0.0 0.0.0.0 eq 80
这表示拒绝所有尝试访问端口等于 (eq) 80(http 端口)的机器的访问。这将仍然允许所有其他服务,只是拒绝 Web 访问。
然后,这两个文件都将包含:
permit 192.168.1.0 255.255.255.0
以允许 192.168.1.xxx 网络上的所有计算机使用此代理服务器,但已拒绝访问的计算机除外(即文件服务器和部队网络的 Web 访问)。
部队的 sockd.conf 文件将如下所示:
deny 192.168.1.17 255.255.255.255
deny 0.0.0.0 0.0.0.0 eq 80
permit 192.168.1.0 255.255.255.0
而雇佣军文件将如下所示:
deny 192.168.1.23 255.255.255.255
permit 192.168.1.0 255.255.255.0
这应该可以正确配置所有内容。每个网络都相应地隔离,并具有适当的交互量。每个人都应该感到满意。