欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

現在，因為使用線(xiàn)纜和DSL的Internet連接速度已經(jīng)超過(guò)了T1（傳輸速率可達1.544Mb/s的通訊線(xiàn)路），所以這兩種連接方式已經(jīng)在商業(yè)領(lǐng)域得到了廣泛的應用。對于DSL和線(xiàn)纜連接來(lái)說(shuō)，使用Linux來(lái)做路由器，是一個(gè)非常經(jīng)濟的解決方案。特別是和一些高端商家（比如Cisco）的解決方案相比，這種優(yōu)勢尤為明顯。

   使用Linux路由器作為一個(gè)現有的、已經(jīng)成熟的網(wǎng)絡(luò )的一個(gè)部分，將會(huì )有一個(gè)比較特殊的問(wèn)題。如果我們使用Linux服務(wù)器作為DSL或者線(xiàn)纜連接的NAT（網(wǎng)絡(luò )地址轉換）服務(wù)器，那么我們將可通過(guò)Linux路由器對外提供服務(wù)。但是，對于大多數已經(jīng)成熟的企業(yè)網(wǎng)絡(luò )基礎構架，這種方式卻不一定實(shí)用，也不一定可行。比如，如果你的公司在現有的內部HTTP和SMTP服務(wù)上已經(jīng)投入了可觀(guān)的資金，或者在一個(gè)HTTP服務(wù)器上使用了負載平衡以支持電腦商務(wù)交易，那么你的公司將不太可能把這些服務(wù)移植到Linux服務(wù)器上。但是，如果公司想尋找一種經(jīng)濟的途徑來(lái)同時(shí)控制一些Internet服務(wù)，那么基于Linux的路由器將是一個(gè)很好的選擇。

NAT的使用
    讓我們來(lái)看一看公司的DSL/線(xiàn)纜連接只有一個(gè)IP地址的情況。我們如何才能把這個(gè)只有一個(gè)IP地址的流入數據包映射到內部主機呢？事實(shí)上，Linux已經(jīng)把這一功能內建到了自己的內核中，所以我們只需幾個(gè)免費的軟件工具就可以來(lái)管理這個(gè)功能。
   在數據包流出內部網(wǎng)時(shí)，我們使用一個(gè)叫做IP偽裝的功能來(lái)提供NAT解決辦法，它可以讓眾多的內部網(wǎng)主機共享一個(gè)IP地址。而對于外部連接來(lái)說(shuō)，似乎所有的得到的信息都來(lái)自同一個(gè)IP地址。在Linux里，具有NAT功能的組件是一個(gè)比較容易搞混的功能，它可以在端口級別執行入站數據包的翻譯（有進(jìn)也叫反向NAT或者解除偽裝）。Linux路由器會(huì )監聽(tīng)端口80（HTTP服務(wù)使用的默認端口）的所有連接請求，并且當檢測到一個(gè)連接請求時(shí)，它會(huì )自動(dòng)地把數據包轉發(fā)到內部網(wǎng)對應的主機上。
   事實(shí)上，之所以我們對反向NAT功能不太了解，是因為在主流的Linux發(fā)行版本中，一般沒(méi)有包括對該功能的配置工具。一個(gè)最一般的，也是用得最廣泛的用于管理這一功能的應用程序是“ipmasqadm”。要檢查你是否安裝了這一應用程序，你可以以系統管理員的身份登錄，并在shell提示符下輸入“ipmasqadm”，如果得到“Command notfound”的錯誤信息，那么你可以從網(wǎng)上下載最新的RPM安裝包（比如：rpmfind.net就有）。

典型的網(wǎng)絡(luò )配置
   下圖描述的是一個(gè)線(xiàn)纜連接中使用Linux作為路由器的典型的網(wǎng)絡(luò )結構圖。其中一個(gè)以太網(wǎng)端口（eth0）為線(xiàn)纜調制解調器提供了物理連接，另外一個(gè)端口（eth1）把路由器連接到LAN。此外，我們還可以使用第三個(gè)以太網(wǎng)端口eth2，雖然這不是必需的，但是使用它來(lái)提供一個(gè)獨立的DMZ(demilitarizedzone，即非軍事區)。DMZ是放置公共信息的最佳位置，這樣用戶(hù)、潛在用戶(hù)和外部訪(fǎng)問(wèn)者都可以直接獲得他們所需的關(guān)于公司的一些信息，而不用通過(guò)內網(wǎng)。你公司中的機密的和私人的信息可以安全地存放在內網(wǎng)中，即DMZ的后面。DMZ服務(wù)器上的破壞最多只可能造成在你恢復服務(wù)器時(shí)的一段中斷服務(wù)。這樣通過(guò)使用獨立的NIC（網(wǎng)卡）把服務(wù)器隔離，我們就把他們所有的活動(dòng)和企業(yè)局域網(wǎng)其它的部分分開(kāi)。一般來(lái)說(shuō)，我們使用DMZ來(lái)提供更好的防火墻保護，但是不管有無(wú)DMZ，在Linux服務(wù)器上的端口轉發(fā)都不會(huì )受到影響。

 

圖1 典型的網(wǎng)絡(luò )結構圖

端口轉發(fā)的配置
端口轉發(fā)的功能很簡(jiǎn)單：與Sendmail、Apache響應SMTP和HTTP信息不同，我們使用“ipmasqadm portfw”來(lái)轉發(fā)所有的信息。
在激活端口轉發(fā)之前，要確保所有相關(guān)的內核都已加載。和端口轉發(fā)服務(wù)相關(guān)的有三個(gè)模塊，具體命令是（以root身分執行）：

# insmod ip_masq_autofw.o
# insmod ip_masq_portfw.o
# insmod ip_masq_mfw.o

一旦運行了這些命令，Linux路由器就開(kāi)始準備處理端口轉發(fā)請求。來(lái)看下面的指令：

# ipmasqadm portfw -f

其中-f選項告訴Linux路由器刷新端口轉發(fā)規則表。執行這個(gè)命令不是必需的，只不過(guò)如果當前的表有多余或者錯誤條目時(shí)，這是一個(gè)好辦法。
接下來(lái)的一系列命令將建立起Linux路由器轉發(fā)信息的規則。語(yǔ)法如下所示：

# ipmasqadm portfw -a -P PROTO -L LADDR LPORT -R RADDR RPORT [-p PREF]

其中-a參數指示這條規則應該被加入規則表中；-PPROTO參數告訴Linux路由器轉發(fā)到哪一個(gè)IP地址（該選項只對TCP和UDP有效）；-L參數指示要監控的IP地址和端口（默認的IP地址和Internet網(wǎng)卡端口）；-R參數告訴路由器把數據包送到哪兒（IP地址和端口）。
在上述例子中，要路由流入的SMTP和HTTP的信息，我們使用如下指令：

# ipmasqadm portfw -a -P tcp -L 172.16.1.1 25 -R 192.168.1.1 25
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.2 80

第一行設置一個(gè)規則，告訴Linux路由器監聽(tīng)對IP地址為172.16.1.1，端口為25的連接請求。并且把這些請求路由到內部網(wǎng)中IP地址為192.168.1.1的電子郵件服務(wù)器的25端口上。同樣，第二條規則告訴路由器監聽(tīng)端口80的連接請求，并將其路由到IP地址為192.168.1.2的HTTP服務(wù)器的端口80上。
好了，現在所有在端口25和80的連接請求，都會(huì )被自動(dòng)地轉發(fā)到應的內部網(wǎng)主機上了。并且，任何時(shí)候，我們都可以使用“ipmasqadm portfw -l”命令來(lái)查看正在起作用的端口轉發(fā)規則：

prot localaddr rediraddr lport rport pcnt pref
TCP 172.16.1.1 192.168.1.2 80 80 10 10
TCP 172.16.1.1 192.168.1.1 25 25 10 10

-n標記告訴命令不要執行DNS查找IP地址，并且只打印出所指定數量的IP地址。

非默認端口的連接
當然，我們也可以使用Linux的端口轉發(fā)能力來(lái)轉發(fā)非默認的端口到默認的端口，反之亦然。比如下例：

# ipmasqadm portfw -a -P tcp -L 172.16.1.1 11011 -R 192.168.1.1 110
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.2 25044

以上所示的第一行告訴Linux路由器把端口11011的連接請求，轉發(fā)到內部主機192.168.1.1的端口110（POP3端口）。如果內部主機是一個(gè)POP3服務(wù)器，那么這個(gè)命令將可以讓遠程用戶(hù)使用非默認的端口連接到他們的POP3信箱。這可以阻止一些網(wǎng)絡(luò )黑客試圖使用公共端口入侵POP郵件系統。
以上所示的第二行把Linux路由器上HTTP服務(wù)器標準端口80上的請求轉發(fā)到非標準端口25044上。這種情況主要是用于已經(jīng)在默認端口上運行了Web服務(wù)器，但是又想讓其能夠響應其它非默認的端口。

負載平衡
如果公司有一個(gè)高層的電子商務(wù)站點(diǎn)，而同時(shí)又運行著(zhù)一些Web服務(wù)器，那么就可以使用ipmasqadm portfw的 -p PREF參數來(lái)實(shí)現在這些服務(wù)器中的負載平衡。
-p的值雖然被稱(chēng)為首選項，事實(shí)上它實(shí)現的是一個(gè)計數器的功能。一旦Linux路由器建立起了規則所指定的相應數目的連接，它就會(huì )跳到下一個(gè)入口。
比如，現在我們來(lái)創(chuàng )建如下所示的端口轉發(fā)規則：

# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.2 80 -p 5
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.3 80 -p 25
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.4 80 -p 10
# ipmasqadm portfw -a -P tcp -L 172.16.1.1 80 -R 192.168.1.5 80 -p 30

上面的指令說(shuō)明，首先和Linux路由器連接的5個(gè)請求，將被送到IP地址為192.18.1.2的HTTP服務(wù)器；接下去的25個(gè)連接將被送到地址為192.168.1.3的HTTP服務(wù)器；接下去的10個(gè)連接送到192.168.1.4；下30個(gè)連接送到192.168.1.5。一旦30個(gè)連接都被送到192.168.1.5以后，整個(gè)過(guò)程重新開(kāi)始。
這個(gè)轉發(fā)順序的規則說(shuō)明192.168.1.3 和192.168.1.5兩個(gè)服務(wù)器處理連接的能力要強于192.168.1.2 和192.168.1.4。通過(guò)監測這些機器的服務(wù)器負載，網(wǎng)絡(luò )管理員就可以調整服務(wù)器的映射參數，以使整個(gè)站點(diǎn)保持最佳的響應時(shí)間。
總結
在Linux里，端口轉發(fā)是一個(gè)強大的功能，但是相關(guān)的文檔較少。不過(guò)通過(guò)以上的學(xué)習，我們發(fā)現，其實(shí)這個(gè)功能并不難實(shí)現?，F在，你不僅可以把所有流入的Internet信息轉發(fā)到內部網(wǎng)中的對應主機上了，而且還可以使你的整個(gè)網(wǎng)絡(luò )在信息流入和流出時(shí)共享一個(gè)IP地址，這將可以大增強內部網(wǎng)絡(luò )的安全性。