وهناك سيناريو جدار حماية الأساسية ، باعتبارها محطة لينكس

حتى الآن ، والتي تعلمناها في معظمها حول استخدام [إيبتبلس] خيارات التصفية. أنا الآن في بناء جدار صغير النصي الذي أعتقد أنه ينبغي أن يكون الافتراضي عند تثبيت أي توزيع لينكس.
افتراضيا ، كل توزيعات لينكس لديها سياسة الافتراضي نقبل على تصفية جميع السلاسل. أيضا ، على تثبيت افتراضي ، فإن معظم توزيعات لينكس ترك الكثير من الخدمات التي تعمل. إذا قمت بتثبيت قديمة توزيع لينكس وقرر الذهاب لتناول الغداء بعد لديك فقط من دون أي تمهيد ، وجدار الحماية مع معالجة الملكية الفكرية العامة ، فرص جيدة هي أنه بحلول الوقت الذي كنت قد أكل الحساء الخاص بك ، والجذور الخفية مثبت مسبقا على الكمبيوتر كمبيوتر.
دعونا نلقي نظرة على البرمجة البسيطة التالية :

لذلك ، ما فعلناه هنا هو وضع الإدخال وإلى الأمام سلاسل السياسة في الانخفاض. إخراج السياسة سلسلة من المقرر أن يقبل ، وهو النهج الافتراضي لهذه السلسلة.
نحن لن إلحاق أي قواعد في السلسلة إلى الأمام لأن هذا هو جهاز كمبيوتر شخصي وغير موجه ، وبالتالي سيتم شحن قبالة. نحن أيضا لن إلحاق أي قواعد في سلسلة المخرجات تنشأ أي شيء على ما يرام.
المقبل ، ونحن مطاردة جميع القواعد الموجودة خارج من الجدول التصفية. عند هذه النقطة ، لا شيء يعمل حقا. بعض التطبيقات استخدام برنامج التعاون الفني / الملكية الفكرية وصلات على واجهة الاسترجاع ، حتى انها آمنة للسماح الحزم التي تأتي في واجهة "لو".
علمنا ICMP الهجمات في المادة (2). ومع ذلك ، فمن رأيي أنه يجب أن يسمح ICMP. تصفية ICMP لن تسمح لك لاختبار اتصالك بالإنترنت باستخدام بينغ ، تلاحق المسار ، استعراض منتصف المدة ، الخ ، وأيضا المسار يو الاكتشاف لن يعمل ، والذي هو عبارة عن بروتوكول مهم جدا في كثير من الحالات.

نظام أسماء النطاقات ردود تستخدم بروتوكول UDP ومصدر المنفذ 53. نضع في اعتبارنا أن الخط : $ المتقطع ، ومساهمه - ع udp -- الرياضة 53 ي اعقد هو خرق أمني محتمل. وتركنا عليه مثل هذا لأننا في وقت سابق وذكر أن هذا هو ما نعتقد جدار الحماية الافتراضية يجب أن تبدو. ومع ذلك ، إذا كنت لا تستخدم نظام أسماء النطاقات الخادم (وهو أمر لا ينصح به للكمبيوتر شخصي) ، قبول الاتصالات الواردة مع UDP منفذ المصدر 53 فقط من مزود لخدمة نظام أسماء النطاقات (تلك التي لديك في / الخ / resolv.conf). على سبيل المثال ، إذا كان موفر خدمة نظام أسماء النطاقات يتم 1.1.1.1 و1.1.2.1 ، استبدال الخط في وقت سابق مع : $ المتقطع ، ومساهمه - 1.1.1.1 - udp ق ع -- الرياضة 53 ي اعقد $ المتقطع ، ومساهمه - 1.1.2.1 - udp ق ع -- الرياضة 53 ي اعقد بهذه الطريقة ، سوف تكون أكثر أمنا.

 

وآخر شيء نحتاجه لدينا اتصال بالإنترنت للعمل هو السماح لحركة المرور واردة برنامج التعاون الفني للاتصالات التي أنشئت بالفعل برنامج التعاون الفني. أفضل صيغته ، وتنكر أي برنامج التعاون الفني واردة حركة المرور التي لا تنتمي الى برنامج التعاون الفني الصدد أن هذا الكمبيوتر شرع (ينكر برنامج التعاون الفني اصطناعي الحزم).

iproute2 ومراقبة حركة المرور

iproute2 هو مجموعة من البرامج التي توفر أدوات مختلفة لتوجيه متقدمة ، والأنفاق ، ومراقبة حركة المرور.
iproute2 كان مصمما أصلا من قبل الكسي كوزنيتسوف ، ومعروف جيدا لتنفيذ جودة الخدمات في لينكس الألباب والآن تحتفظ بها ستيفن Hemminger. الموقع الأساسي هو لiproute2 http://linux-net.osdl.org/index.php/Iproute2وأهم وثائق الموقع http://www.lartc.org.
أهم الأدوات التي توفر iproute2 هي الملكية الفكرية والتعاون التقني.
شبكة التكوين : "الملكية الفكرية" أداة

الملكية الفكرية أداة توفر معظم تكوين شبكات لينكس احتياجات مربع. يمكنك تكوين واجهات ، وتأهيل الزراعة ، توجيه السياسة العامة ، والأنفاق ، وما إلى ذلك.
الآن ، مع IPv4 و IPv6 ، والملكية الفكرية يمكن أن يفعل أي شيء الى حد كبير (بما في ذلك الكثير من أننا لا حاجة لنا في حالات معينة). بناء الجملة في مجال الملكية الفكرية ليست صعبة ، وهناك الكثير من الوثائق حول هذا الموضوع. ومع ذلك ، فإن أهم شيء هو معرفة ما نحتاج إليه ، وعندما كنا في حاجة إليها.
قبل كل شيء ، والملكية الفكرية هو الأداة الرئيسية التي نحتاجها لبروتوكولات التوجيه الديناميكي (BGP ، سبف ، والتمزق) على لينكس التي تقدمها شركة زيبرا ، والتي سيتم مناقشتها لاحقا في هذه المقالة.
دعونا ننظر في الأوامر الملكية الفكرية وتساعد على رؤية ما يعرف الملكية الفكرية :

الارتباط الملكية الفكرية يعرض الأمر على الجهاز الشبكة التكوينات التي يمكن أن تتغير مع ربط مجموعة الملكية الفكرية. استخدام هذا الأمر لتعديل الجهاز proprieties وليس معالجة الملكية الفكرية.
عناوين بروتوكول الإنترنت يمكن تهيئتها باستخدام الأمر addr الملكية الفكرية. هذا الأمر يمكن أن تستخدم لإضافة الابتدائية أو الثانوية (اسم مستعار) عنوان بروتوكول الإنترنت إلى جهاز شبكة (addr إضافة الملكية الفكرية) ، لعرض عناوين بروتوكول الإنترنت لكل جهاز شبكة (addr تظهر الملكية الفكرية) ، أو لحذف عناوين بروتوكول الإنترنت من واجهات (الملكية الفكرية addr ديل). عناوين بروتوكول الإنترنت ويمكن أيضا أن يتم مسح باستخدام معايير مختلفة ، على سبيل المثال دينامية addr الملكية الفكرية مطاردة سيتم مسح جميع الطرق إضافة إلى نواة من بروتوكول توجيه ديناميكي.
الجار / آرب الجدول إدارة الملكية الفكرية ويتم ذلك باستخدام الجار ، الذي لديه أوامر قليلة معبرة اسمه إضافة أو تغيير أو استبدال أو حذف ، والاحمرار.
نفق الملكية الفكرية وتستخدم لإدارة الاتصالات عبر نفق. الأنفاق يمكن أن تكون اليونان ، ipip ، والجلوس. نحن سوف تشمل على سبيل المثال في وقت لاحق في المقالة حول كيفية بناء الأنفاق الملكية الفكرية.
أداة الملكية الفكرية يتيح وسيلة لمراقبة الطرق ، والعناوين ، ودول من الأجهزة في الوقت الحقيقي. ويمكن تحقيق ذلك باستخدام رصد الملكية الفكرية ، rtmon ، وأوامر rtacct تضمينها في الحزمة iproute2.
واحد مهم جدا ، وربما الأكثر شيوعا في الاستخدام وجوه أداة الملكية الفكرية هو الطريق الملكية الفكرية ، والتي يمكن أن تفعل أي عمليات على نواة جدول التوجيه. فقد الأوامر لإضافة أو تغيير أو استبدال أو حذف ، وتظهر ، الاحمرار ، والحصول على الطرق.
واحدة من الاشياء التي أدخلت على لينكس iproute2 التي كفلت شعبيتها تم توجيه السياسة. ويمكن القيام بذلك باستخدام قاعدة الملكية الفكرية والملكية الفكرية الطريق في بضع خطوات بسيطة.

مراقبة حركة المرور : م ح

الأمر ح يسمح للمسؤولين لبناء سياسات مختلفة في نوعية الخدمة والشبكات التي تستخدم لينوكس بدلا من آلات مكلفة جدا جودة الخدمة المتفانية. باستخدام لينكس ، يمكنك تطبيق جودة الخدمة في جميع وسائل مخصصة أي آلة يمكن أن جودة الخدمات وأكثر من ذلك. أيضا ، يمكن للمرء أن يكون الجسر باستخدام جهاز كمبيوتر جيد تشغيل لينكس التي يمكن أن تتحول إلى قوية جدا ورخيصة جدا مكرسة آلة جودة الخدمة.
لذلك ، يجب أن يكون دعم جودة الخدمات في تكوين نواة لينكس (CONFIG_NET_QOS = "ص" وCONFIG_NET_SCHED = "ص").

لا طبقي في قائمة انتظار التخصصات (طبقي qdiscs)

qdiscs طبقي هم أبسط لأنها تقبل فقط ، قطرة ، تأخير أو إعادة جدولة البيانات. أنها يمكن أن تعلق على واجهة واحدة ، ويمكن أن تقتصر على تحديد شكل واجهة بأكملها.

هناك عدة تطبيقات qdisc على لينكس ، ومعظمهم من المدرجة في نواة لينكس.

1. يخرج أولا (pfifo وbfifo(: إن أبسط qdisc ، الذي يعمل به في الأول ، الأولى خارج القاعدة. يخرج أولا خوارزميات لديها قائمة انتظار الحد الأقصى لحجم (حجم المخزن المؤقت) ، والتي يمكن تعريفها في الحزم لpfifo أو في لbfifo بايت.
2. pfifo_fast: وqdisc الافتراضية على كافة واجهات لينكس. انه من المهم ان نعرف كيف يعمل pfifo_fast ، لذا سنوضح ذلك في وقت قريب.
3. رمزي الدلو تصفية (tbf) : وqdisc البسيطة التي هي مثالية للتباطؤ واجهة لسعر محدد. فإنه يمكن أن تسمح لفترة قصيرة ، ما يزيد على سعر محدد وغير المعالج ودية للغاية.
4. معرض العشوائية في قائمة انتظار (SFQ) : واحد من qdiscs الأكثر استعمالا. SFQ يحاول للتوزيع العادل لنقل البيانات بين عدد من التدفقات.
5. تعزيز العشوائية العادلة في قائمة انتظار (ESFQ: ليست مدرجة في نواة لينكس ، وأنها تعمل بالطريقة ذاتها كما SFQ مع الاستثناء الذي يمكن للمستخدم التحكم أكثر من خوارزمية المعلمات مثل العمق (التدفقات) الحد ، جدول التجزئة خيارات حجم (ضمني في SFQ الأصلي) والبعثرة أنواع.
6. عشوائي والاكتشاف المبكر والكشف المبكر عام عشوائية (الأحمر وGRED) : qdiscs مناسبة لبيانات العمود الفقري مصطفة مع معدل نقل بيانات أكثر من 100 ميغابت في الثانية.

qdiscs هناك أكثر من تلك التي ذكرتها هنا. ومع ذلك ، من واقع خبرتي ، SFQ وESFQ القيام بعمل عظيم ، وهما qdiscs أن أكون قد حصلت على أفضل النتائج.
كما قلت سابقا ، فإن qdisc الافتراضي على لينكس للجميع واجهات هو pfifo_fast. في العادة ، واعتقد أن هذا هو تماما مثل pfifo ، وهذا يعني وجود منطقة عازلة والحزم تمر عبر العازلة باستخدام أولا يخرج أولا سيادة. في الواقع ، انها ليست صحيحة تماما. pfifo_fast قد 3 نطاقات - 0 و 1 و 2 في الحزم التي يتم وضعها وفقا لشروط الخدمة بايت. يتم إرسال الحزم الخروج من تلك الفرق على النحو التالي :

1. الحزم في الفرقة 0 له أولوية قصوى
2. الحزم في الفرقة 1 ترسل بها إلا إذا لم تكن هناك أية حزم في الفرقة 0
3. الحزم في الفرقة 2 لديهم أدنى أولوية ويتم إرسالها فقط إذا لم تكن هناك أية حزم في 0 و 1 العصابات.

انه من المهم ان نعرف هذا لأن هذا لا يمكن أن يكون وسيلة لتحسين الطريقة التي الحزم السفر من خلال شبكة من الموجهات واجهات لدينا لينكس.

---

تنويه :موقعنا على الانترنت ليست مسؤولة عن محتوى هذه المادة. Webarticles هو حر للمعلومات.
المهم : هذه المادة "جدار حماية الأساسية النصي ، باعتبارها محطة لينكس" وترجم من قبل البرمجيات التلقائي. نشعر بالاسف من اجل أي الأخطاء الإملائية التي قد حدث. شكرا لتفهمكم.

---