Linux 网络功能丰富。Linux 主机可以配置为充当路由器、网桥等。下面描述了一些可用的选项。
Linux 内核内置了对路由功能的支持。Linux 主机可以用比商业路由器低廉得多的成本充当 IP 或 IPX 路由器。最近的内核包含主要用作路由器的机器的特殊选项
有一些相关的项目,其中包括一个旨在在软盘上构建完整的、可运行的 Linux 路由器的项目:Linux 路由器项目
Linux 内核内置了对充当以太网桥的支持,这意味着与其连接的不同以太网段对于参与者来说将显示为一个以太网。多个网桥可以协同工作,使用 IEEE802.1 生成树算法创建更大的以太网网络。由于这是一个标准,Linux 网桥将与其他第三方网桥产品正确互操作。额外的软件包允许基于 IP、IPX 或 MAC 地址进行过滤。
相关 HOWTO
IP 伪装是 Linux 中正在开发的一种网络功能。如果启用了 IP 伪装的 Linux 主机连接到互联网,那么连接到它的计算机(在同一 LAN 上或通过调制解调器连接)也可以访问互联网,即使它们没有正式分配的 IP 地址。这允许降低成本,因为许多人可以使用单个调制解调器连接访问互联网,并且也有助于提高安全性(在某种程度上,该机器充当防火墙,因为非正式分配的地址无法在该网络外部访问)。
IP 伪装相关页面和文档
Linux 内核的此选项跟踪 IP 网络流量,执行数据包日志记录并生成一些统计信息。可以定义一系列规则,以便当数据包与给定的模式匹配时,执行某些操作:计数器增加、接受/拒绝等。
Linux 内核的此功能提供了在同一低级网络设备驱动程序上设置多个网络地址的可能性(例如,在一张以太网卡中设置两个 IP 地址)。它通常用于根据它们侦听的地址以不同方式运行的服务(例如,“多宿主”或“虚拟域”或“虚拟主机服务”)。
相关 HOWTO
流量整形器是一种虚拟网络设备,可以限制通过另一个网络设备的出站数据流速率。这在 ISP 等场景中尤其有用,在这些场景中,希望控制和执行关于每个客户端使用多少带宽的策略。另一种选择(仅适用于 Web 服务)可能是某些 Apache 模块,它们限制每个客户端的 IP 连接数或使用的带宽。
防火墙是一种保护私有网络免受公共部分(整个互联网)侵害的设备。它旨在根据每个数据包中包含的源、目标、端口和数据包类型信息来控制数据包的流动。
Linux 存在不同的防火墙工具包以及内核中的内置支持。其他防火墙是 TIS 和 SOCKS。这些防火墙工具包非常完整,并且与其他工具结合使用可以阻止/重定向各种流量和协议。可以通过配置文件或 GUI 程序实现不同的策略。
越来越多的网站通过具有访问某些数据库或其他服务的 cgi-bin 或 Java applet 变得交互式。由于这种访问可能会造成安全问题,因此包含数据库的机器不应直接连接到互联网。
端口转发可以为这种访问问题提供几乎理想的解决方案。在防火墙上,进入特定端口号的 IP 数据包可以被重写并转发到提供实际服务的内部服务器。来自内部服务器的回复数据包被重写,使其看起来像是来自防火墙。
端口转发信息可以在 这里 找到
当许多客户端同时向服务器发出请求时,通常会在数据库/Web 访问中出现对负载均衡的需求。希望拥有多个相同的服务器并将请求重定向到负载较轻的服务器。这可以通过网络地址转换 (NAT) 技术来实现,IP 伪装是其子集。网络管理员可以用共享公共 IP 地址的逻辑服务器池替换提供 Web 服务或任何其他应用程序的单个服务器。传入连接使用一种负载均衡算法定向到特定的服务器。虚拟服务器重写传入和传出数据包,使客户端看起来只有一个服务器存在。
Linux IP-NAT 信息可以在 这里 找到
EQL 集成到 Linux 内核中。如果存在到另一台计算机的两个串行连接(这通常需要两个调制解调器和两条电话线),并且在它们上使用了 SLIP 或 PPP(用于通过电话线发送互联网流量的协议),则可以使用此驱动程序使它们像一个双倍速度连接一样工作。当然,另一端也必须支持这一点。
术语代理意味着“代表他人做某事”。在网络术语中,代理服务器计算机可以代表多个客户端执行操作。HTTP 代理是一台机器,它接收来自另一台机器(机器 A)的网页请求。代理获取请求的页面并将结果返回给机器 A。代理可能具有请求页面的缓存,因此如果另一台机器请求相同的页面,则将返回缓存中的副本。这可以有效利用带宽资源并减少响应时间。作为副作用,由于客户端机器未直接连接到外部世界,因此这是一种保护内部网络的方式。配置良好的代理可以像好的防火墙一样有效。
Linux 存在多个代理服务器。一种流行的解决方案是 Apache 代理模块。HTTP 代理的更完整和更强大的实现是 SQUID。
按需拨号的目的是透明地显示用户与远程站点具有永久连接。通常,有一个守护程序监视数据包的流量,当有趣的包(有趣通常由一组规则/优先级/权限定义)到达时,它会建立与远程端的连接。当通道空闲一段时间后,它会断开连接。
Linux 内核允许协议隧道(封装)。它可以进行通过 IP 的 IPX 隧道,允许通过仅 IP 链接连接两个 IPX 网络。它还可以进行 IP-IP 隧道,这对于移动 IP 支持、多播支持和业余无线电至关重要。(参见 http://metalab.unc.edu/mdw/HOWTO/NET3-4-HOWTO-6.html#ss6.8)
移动 IP 指定了增强功能,允许将 IP 数据报透明地路由到互联网中的移动节点。每个移动节点始终由其归属地址标识,无论其当前连接到互联网的哪个点。当位于远离其归属地时,移动节点还与转交地址相关联,该地址提供有关其当前连接到互联网的哪个点的信息。该协议规定向归属代理注册转交地址。归属代理通过隧道将发往移动节点的数据报发送到转交地址。到达隧道末端后,每个数据报随后被传递到移动节点。
点对点隧道协议 (PPTP) 是一种网络技术,允许使用互联网作为安全的虚拟专用网络 (VPN)。PPTP 与 Windows NT Server 中内置的远程访问服务 (RAS) 服务器集成。借助 PPTP,用户可以拨号连接到本地 ISP,或直接连接到互联网,并像在办公桌前一样访问他们的网络。PPTP 是一种封闭协议,其安全性最近已受到损害。强烈建议使用其他基于 Linux 的替代方案,因为它们依赖于经过仔细检查和测试的开放标准。
移动 IP