教你将Linux配置为代理防火墙

Linux本身可以通过添加插座软件包起到代理防火墙的作用,而且,这一切都是免费的。

什么是代理防火墙

代理防火墙不让任何直接的网络流通过,而由它作为Internet和内部网络计算机之间
的中间媒介。防火墙自己处理各种网络服务而不是只让它们直接通过。例如,登录到网络上的计算机请求一个Internet网页。计算机不直接链接到Internet网络服务提供的网页,而是连到自己网络的代理服务器上,代理服务器识别代理请求,然后以合适的方式传递给相应的Internet网络服务器。远程网络服务器视为来自防火墙服务器的正常网络请求,发送合适的网页,防火墙服务器再把网页返送给计算机。

这样,防火墙就对Internet隐蔽了你的计算机存在的事实,减少外界对内部网络的可见性。

安装

1、在http://www.socks.nec.com/cgi-bin/download.pl站点找到Socks软件包,在下载前要填写有关的用户信息,然后单击[Submit]按钮,此后登录到具有下载链接的页面,单击链接来下载插座软件包。

2、在存储下载的Socks软件包的目录中,使用Tar命令解开该软件包。

Tar - xzvf sock5-vl. 0r11.tar.gz

此命令创建一个sock5-vl. 0r11目录,把软件包解压到该目录中,使用CD命令变成该目录。该目录中有一个编辑和安装软件包的配置脚本。使用Su命令变成根用户,然后在命令提示下运行脚本。

3、输入Make命令编译Socks包,完成以后,通过输入Make Install命令安装软件包。

注意:在使用之前,必须在/etc目录下创建一个Socks5.conf文件,Socks5检查/etc/socks5.conf文件得知将代理什么协议和服务,以及哪个计算机将能够使用此代理服务。

创建Socks5.conf文件

Socks5.conf文件被分成6部分。每一部分控制Socks5守护进程处理特定链接的一个特别项,当一个客户计算机连到代理服务器上,Socks5连续搜索每一部分的每一行,并根据遇到的规则决定采取什么行动,当找到与处理的链接相匹配的规则行时停止,所以规则的顺序很重要。

1、主机地址标志

主机地址可以是完整的主机名或IP地址,例如:gzdd .sjsgz .net或10.88.56.4,它也可能是一个部分主机名或地址,例如:. sjsgz .net或10 .88.56.4。

注意:部分主机名以点(.)字符开始就允许Socks识别部分主机名用它匹配Sjsgz .net域的任何主机。

2、禁止主机部分

禁止主机部分用于禁止对指定主机和协议的代理服务。一个禁止主机行总是以关键词Ban开始,后跟源主机参数和一个源端口参数。

命令格式:Ban source-host sour-ce-port

例如:Ban gzdd.sjsgz.net http,表明主机gzdd被禁止访问系统上的网络服务;Ban 199.170.176.-,表明199.170.176.x网上主机都不可访问系统上任何代理服务;Ban - -,表明任何主机不可访问此系统的任何代理服务。

3、访问控制部分

这是Socks5.conf文件最有用的部分,访问控制部分用于允许或禁止基于源和目的机器的主机地址或端口号的代理连接,访问控制行总以关键词Permit或关键词Deny开头。

命令格式:Permit auth cmd src-host dest-host src-port dest-port或Deny auth cmd src-host dest-host src-port dest-port

例如:Permit - - 10.88.56. - 1880 http,表明允许在10.88.56. x网段的主机通过端口1880访问网络;Deny - - - - - -,表明拒绝所有连接。

当一个客户机连到代理服务器上时,Socks扫描控制行列表,若找不到匹配的Socks拒绝连接。

启动Socks5服务

可以用手工启动守护进程,只需以根用户登录,在命令提示符下输入Socks5,Socks5守护进程被放到背景执行并返回提示符。也可以把Socks5命令放入/etc/rc.d下的Rc.local启动脚本中,以使下次启动机器时自动启动Socks5。尽管仍以根用户登录,但还需要把/etc/rc.d/rc.local文件调入文本编辑器并在文件末加入以下几行:

# Start socks5 proxy services

/usr/local/bin/socks5

完成后存贮文件并退出编辑器。

这样通过在Linux中安装软件包,创建Socks5文件,使得Linux起到代理防火墙的作用,保证校园网络的安全。 (出处:赛迪网--中国电脑教育报)

(0)

相关推荐

  • 关闭selinux(防火墙)方法分享

    刚好手工装完一台CentOS6.4,就顺便记录一下. 复制代码 代码如下: # sestatusSELinux status:                 enabledSELinuxfs mount:                /selinuxCurrent mode:                   enforcingMode from config file:          enforcingPolicy version:                 24Policy

  • linux下mysql链接被防火墙阻止的解决方法

    vi /etc/sysconfig/iptables 在后面添加 -A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT service iptables restart 发现还是不行 最终发现记录要添加在 -A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT 这一条前面 再次重启 OK

  • 在Linux代理服务器上设置防火墙

    一般而言,实现Linux的防火墙功能有两种策略.一种是首先全面禁止所有的输入.输出和转发数据包,然后根据用户的具体需要逐步打开各项服务功能.这种方式的特点是安全性很高,但必须全面考虑用户所需的各项服务功能,不能有任何遗漏,要求系统管理员清楚地知道实现某种服务和功能需要打开哪些服务和端口.第二种方式是首先默认打开所有的输入.输出数据包,然后禁止某些危险包.IP欺骗包.广播包.ICMP服务类型攻击等:对于应用层的服务,像http.sendmail.pop3.ftp等,可以有选择地启动或安装.这种方式

  • linux防火墙配置教程之允许转发实验(2)

    一.实验目标 在上一次"Linux基础网络搭建实验"中,内.外网虚拟机之所以能Ping通,是因为暂时关闭了防火墙,然而现实中这样操作显然存在很大的安全隐患,所以本次实验在上次实验的基础下,开启防火墙,并配置防火墙规则,使得内.外网虚拟机任然能够Ping通. (Linux基础网络搭建实验:Linux网络搭建基础实验(1) ) 网络拓扑图: 二.实验步骤 1.搭建如图所示的网络(参考"Linux基础网络搭建实验") 2.在网关上开启防火墙,此时内网虚拟机不能Ping通外

  • 阿里云linux服务器安全设置(防火墙策略等)

    首先需要进行linux的基础安全设置,可以先参考这篇文章 http://www.jb51.net/article/94842.htm 1.Linux系统脚本 #!/bin/bash ######################################### #Function: linux drop port #Usage: bash linux_drop_port.sh #Author: Customer Service Department #Company: Alibaba Clo

  • linux防火墙配置教程之访问外网web实验(3)

    一.实验目标 1.本次实验在"Linux基础网络搭建实验"的基础上,在外网虚拟机上搭建WEB服务,并分别配置外网和网关的防火墙规则,使内网能够访问WEB服务 2.Linux基础网络搭建实验:Linux网络搭建基础实验(1) 3.实验拓扑: 二.实验步骤 1.建立如图所示的网络拓扑结构,内外网联通,网关防火墙也暂时关闭 2.外网测试主机配置 (1)配置本地Yum源(参考:CentOS 6.5配置本地Yum源教程) (2)检查系统是否安装WEB服务器,如有,则启动该服务,如没有,则安装该服

  • 3-8 Linux系统中防火墙的框架简单分析

    Netfilter提供了一个抽象.通用化的框架,该框架定义的一个子功能的实现就是包过滤子系统.Netfilter框架包含以下五部分: 1. 为每种网络协议(IPv4.IPv6等)定义一套钩子函数(IPv4定义了5个钩子函数), 这些钩子函数在数据报流过协议栈的几个关键点被调用.在这几个点中,协议栈将把数据报及钩子函数标号作为参数调用netfilter框架. 2. 内核的任何模块可以对每种协议的一个或多个钩子进行注册,实现挂接,这样当某个数据包被传递给netfilter框架时,内核能检测是否有任何

  • linux增加iptables防火墙规则的示例

    以下是我的iptables设置 复制代码 代码如下: *filter:INPUT DROP [0:0]:FORWARD ACCEPT [0:0]:OUTPUT ACCEPT [49061:9992130]-A INPUT -i lo -j ACCEPT   不开启会有很多服务无法使用,开启回环地址-A INPUT -p icmp -j ACCEPT   允许icmp包通过,也就是允许别人ping自己-A INPUT -m state --state RELATED,ESTABLISHED -j

  • Linux防火墙iptables入门教程

    一.关于iptables Iptables是一个基于命令行的防火墙工具,它使用规则链来允许/阻止网络流量.当一条网络连接试图在你的系统中建立时,iptables会查找其对应的匹配规则.如果找不到,iptables将对其采取默认操作.几乎所有的Linux发行版都预装了iptables.在Ubuntu/Debian中更新/安装iptables的命令为: 复制代码 代码如下: sudo apt-get install iptables 现有的一些图形界面软件也可以替代iptables,如Firesta

  • Linux防火墙配置SNAT教程(2)

    1.实验目标 以实验"Linux防火墙配置-SNAT1"为基础,为网关增加外网IP地址,为eth1创建虚拟接口,使外网测试主机在Wireshark中捕获到的地址为eth1虚拟接口的地址 (Linux防火墙配置-SNAT1:Linux防火墙配置SNAT教程(1) ) 2.实验拓扑 3.实验步骤 (1)完成"Linux防火墙配置-SNAT1"实验 (2)为网关增加外网IP地址,为eth1创建5个虚拟接口 [root@lyy 桌面]# gedit /etc/sysconf

随机推荐