Linux“IP偽裝”法來抵住駭客攻擊

　　Linux中，防火牆可分為幾種不同的安全等級。由於有許多不同的防火牆軟體可供選擇，安全性可低可高，最複雜的軟體可提供幾乎無法滲透的保護能力。不過，Linux核心本身內建了一種稱作“偽裝”的簡單機制，除了最專門的駭客攻擊外，可以抵擋住絕大部分的攻擊行動。

[@more@]

　　當我們撥號接連上Internet後，我們的計算機會被賦給一個IP地址，可讓網上的其他人回傳資料到我們的計算機。駭客就是用你的IP來存取你計算機上的資料。Linux所用的“IP偽裝”法，就是把你的IP藏起來，不讓網路上的其他人看到。有幾組IP地址是特別保留給本地網路使用的，Internet骨幹路由器並不能識別。

　　像作者計算機的IP是192.168.1.127，但如果你把這個地址輸入到你的瀏覽器中，相信什麼也收不到，這是因為Internet骨幹是不認得192.168.X.X這組IP的。在其他Intranet上有數不清的計算機，也是用同樣的IP，由於你根本不能存取，當然不能侵入或破解了。

　　那麼，解決Internet上的安全問題，看來似乎是一件簡單的事，只要為你的計算機選一個別人無法存取的IP地址，就什麼都解決了。錯!因為當你瀏覽Internet時，同樣也需要伺服器將資料回傳給你，否則你在螢幕上什麼也看不到，而伺服器只能將資料回傳給在Internet骨幹上登記的合法IP地址。

　　“IP偽裝”就是用來解決此兩難困境的技術。當你有一部安裝Linux的計算機，設定要使用“IP偽裝”時，它會將內部與外部兩個網路橋接起來，並自動解譯由內往外或由外至內的IP地址，通常這個動作稱為網路地址轉換。

　　實際上的“IP偽裝”要比上述的還要複雜一些。基本上，“IP偽裝”伺服器架設在兩個網路之間。如果你用模擬的撥號調變解調器來存取Internet上的資料，這便是其中一個網路;你的內部網路通常會對應到一張乙太網卡，這就是第二個網路。

　　若你使用的是DSL調變解調器或纜線調變解調器(Cable Modem)，那麼系統中將會有第二張乙太網卡，代替了模擬調變解調器。而Linux可以管理這些網路的每一個IP地址，因此，如果你有一部安裝Windows的計算機(IP為192.168.1.25)，位於第二個網路上(Ethernet eth1)的話，要存取位於Internet(Ethernet eth0)上的纜線調變解調器(207.176.253.15)時，Linux的“IP偽裝”就會攔截從你的瀏覽器所發出的所有TCP/IP封包，抽出原本的本地地址(192.168.1.25)，再以真實地址(207.176.253.15)取代。接著，當伺服器回傳資料到207.176.253.15時，Linux也會自動攔截回傳封包，並填回正確的本地地址(192.168.1.25)。

　　Linux可管理數臺本地計算機，並處理每一個封包，而不致發生混淆。作者有一部安裝SlackWare Linux的老486計算機，可同時處理由四部計算機送往纜線調變解調器的封包，而且速度不減少。

　　在第二版核心前，“IP偽裝”是以IP傳送管理模組(IPFWADM，IP fw adm)來管理。第二版核心雖然提供了更快、也更復雜的IPCHAINS，但仍舊提供了IPFWADM wrapper來保持向下相容性。