2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩22頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、OpenVPNHOWTO中文版中文版#Loopback地址地址LOOP=127.0.0.1#刪除舊的刪除舊的iptables規(guī)則規(guī)則#并且臨時(shí)阻塞網(wǎng)絡(luò)通信并且臨時(shí)阻塞網(wǎng)絡(luò)通信iptablesPOUTPUTiptablesPINPUTiptablesPFWARDiptablesF#設(shè)置缺省策略設(shè)置缺省策略iptablesPOUTPUTACCEPTiptablesPINPUTiptablesPFWARD#阻止外部數(shù)據(jù)包使用阻止外部數(shù)據(jù)包使用

2、loopback地址地址iptablesAINPUTieth0s$LOOPjiptablesAFWARDieth0s$LOOPjiptablesAINPUTieth0d$LOOPjiptablesAFWARDieth0d$LOOPj#任何從互聯(lián)網(wǎng)流入的數(shù)據(jù)包都必須使用真實(shí)互聯(lián)網(wǎng)地址任何從互聯(lián)網(wǎng)流入的數(shù)據(jù)包都必須使用真實(shí)互聯(lián)網(wǎng)地址iptablesAFWARDieth0s192.168.0.016jiptablesAFWARDieth0s1

3、72.16.0.012jiptablesAFWARDieth0s10.0.0.08jiptablesAINPUTieth0s192.168.0.016jiptablesAINPUTieth0s172.16.0.012jiptablesAINPUTieth0s10.0.0.08j#阻塞阻塞Bios數(shù)據(jù)包流出數(shù)據(jù)包流出(如果內(nèi)網(wǎng)有如果內(nèi)網(wǎng)有windows機(jī)器機(jī)器)。#這不會(huì)影響這不會(huì)影響VPN隧道上的隧道上的Bios通信,通信,#但它會(huì)阻止

4、本地但它會(huì)阻止本地windows機(jī)器向互聯(lián)網(wǎng)廣播自己。機(jī)器向互聯(lián)網(wǎng)廣播自己。iptablesAFWARDptcpspt137:139oeth0jiptablesAFWARDpudpspt137:139oeth0jiptablesAOUTPUTptcpspt137:139oeth0jiptablesAOUTPUTpudpspt137:139oeth0j#檢查流向互聯(lián)網(wǎng)的數(shù)據(jù)包中源地址的合法性檢查流向互聯(lián)網(wǎng)的數(shù)據(jù)包中源地址的合法性iptab

5、lesAFWARDs!$PRIVATEieth1j#偽裝本地子網(wǎng)偽裝本地子網(wǎng)iptablestnatAPOSTROUTINGs$PRIVATEoeth0jMASQUERADEOpenVPN在防火墻設(shè)置中提供少量的附加選項(xiàng):在防火墻設(shè)置中提供少量的附加選項(xiàng):IfbothOpenVPNpeersreferencetheotherwithanexplicitremoteoptionstatefulfirewallsthatprovideUDP

6、connectiontracking(suchasiptables)existbetweenthepeersitispossibletorunOpenVPNwithoutanyexplicitfirewallrulesifbothpeersiginateregularpingstoeachothertokeeptheconnectionalive.TodothissimplyrunOpenVPNwiththeremotepeeropti

7、onspecifyping15toensurethatpacketsflowoverthetunnelatleastonceevery15seconds.上面的選項(xiàng)在隧道一端上面的選項(xiàng)在隧道一端(peer)頻繁變更頻繁變更IP地址比如說(shuō)地址比如說(shuō)DHCP或撥號(hào)時(shí),顯得不夠方便。在這種情況下,以上簡(jiǎn)單的防火或撥號(hào)時(shí),顯得不夠方便。在這種情況下,以上簡(jiǎn)單的防火墻配置將允許任何墻配置將允許任何IP地址通過(guò)地址通過(guò)UDP端口端口5000(Ope

8、nVPN的缺省的缺省UDP端口)端口)流入數(shù)據(jù)包。在流入數(shù)據(jù)包。在OpenVPN的安全模的安全模式下,所有流入隧道的數(shù)據(jù)或者通過(guò)安全驗(yàn)證或者被丟棄,所以它通常被認(rèn)為是安全的。式下,所有流入隧道的數(shù)據(jù)或者通過(guò)安全驗(yàn)證或者被丟棄,所以它通常被認(rèn)為是安全的。如果你選擇完全開(kāi)放如果你選擇完全開(kāi)放OpenVPN的incomingUDP端口就像上面簡(jiǎn)單防火墻中的配置一樣,你可能會(huì)想利用端口就像上面簡(jiǎn)單防火墻中的配置一樣,你可能會(huì)想利用tlsauth

9、選項(xiàng)在選項(xiàng)在TLS控制通道上作雙倍的驗(yàn)證,同時(shí)使用控制通道上作雙倍的驗(yàn)證,同時(shí)使用RSA密鑰和預(yù)先分享的密碼短語(yǔ)密鑰和預(yù)先分享的密碼短語(yǔ)(passphrase)來(lái)作為防御來(lái)作為防御DoS或active攻擊的第二道防線。關(guān)于攻擊的第二道防線。關(guān)于tlsauth的更多信息,參考的更多信息,參考o(jì)penvpnmanpage。創(chuàng)建創(chuàng)建RSA證書(shū)和密鑰證書(shū)和密鑰OpenVPN有兩種安全模式,一種基于使用有兩種安全模式,一種基于使用RSA證書(shū)和密鑰

10、的證書(shū)和密鑰的SSLTLS,一種使用預(yù)先分享的靜態(tài)密鑰。,一種使用預(yù)先分享的靜態(tài)密鑰。SSLTLSRSA密鑰被證明是一種最安全的選擇,靜態(tài)密鑰優(yōu)勢(shì)則在于簡(jiǎn)潔。如果你想使用密鑰被證明是一種最安全的選擇,靜態(tài)密鑰優(yōu)勢(shì)則在于簡(jiǎn)潔。如果你想使用RSA密鑰,繼續(xù)往下讀。要使用靜態(tài)密鑰,密鑰,繼續(xù)往下讀。要使用靜態(tài)密鑰,向前跳到向前跳到創(chuàng)建預(yù)分享靜態(tài)密鑰創(chuàng)建預(yù)分享靜態(tài)密鑰一節(jié)一節(jié).我們將使用我們將使用openssl命令創(chuàng)建命令創(chuàng)建RSA證書(shū)和密鑰,

11、該命令包含在證書(shū)和密鑰,該命令包含在OpenSSL庫(kù)的發(fā)布程序中。庫(kù)的發(fā)布程序中。RSA證書(shū)是一種公開(kāi)密鑰,在其中還含有其他安全域,比如說(shuō)證書(shū)持有者的證書(shū)是一種公開(kāi)密鑰,在其中還含有其他安全域,比如說(shuō)證書(shū)持有者的CommonName或email地址。地址。OpenVPN有能力在進(jìn)行認(rèn)證前對(duì)這些域進(jìn)行測(cè)試。更多信息參考有能力在進(jìn)行認(rèn)證前對(duì)這些域進(jìn)行測(cè)試。更多信息參考o(jì)penvpnmanpage中的中的tlsverify選項(xiàng)。選項(xiàng)。在我們的

12、例子中遵從在我們的例子中遵從apache慣例使用慣例使用.crt擴(kuò)展名表示證書(shū)文件,擴(kuò)展名表示證書(shū)文件,.key擴(kuò)展名表示私鑰。私鑰文件必須安全保管。證書(shū)擴(kuò)展名表示私鑰。私鑰文件必須安全保管。證書(shū)文件可以自由發(fā)布共享。文件可以自由發(fā)布共享。選擇一臺(tái)機(jī)器比如選擇一臺(tái)機(jī)器比如Office作為密鑰管理主機(jī)。作為密鑰管理主機(jī)。首先編輯文件首先編輯文件usrsharesslf(這個(gè)文件也許在其他地方,可以用這個(gè)文件也許在其他地方,可以用locat

13、ef命令找到它命令找到它)。你或許會(huì)對(duì)它作一些修改:你或許會(huì)對(duì)它作一些修改:建立一個(gè)目錄作為密鑰的工作目錄,將建立一個(gè)目錄作為密鑰的工作目錄,將dir指向它。指向它??紤]增加有限期限考慮增加有限期限default_days以免你的以免你的VPN在工作整一年后莫名其妙的終止。在工作整一年后莫名其妙的終止。設(shè)定設(shè)定certificate和private_key指向你的根證書(shū)指向你的根證書(shū)(mastercertificateauthityce

14、rtificate)和私鑰文件)和私鑰文件(我們馬上要生成它)。在下面的例子中,我們假定你的證書(shū)文件名為(我們馬上要生成它)。在下面的例子中,我們假定你的證書(shū)文件名為myca.crt,你的私鑰文件名為,你的私鑰文件名為myca.key。注意文件注意文件index.txt和serial。將。將index.txt清空,清空,serial初始化為包含一個(gè)數(shù)字序列比如初始化為包含一個(gè)數(shù)字序列比如01.如果你狂熱的追求密鑰長(zhǎng)度,那可以將如果你狂熱

15、的追求密鑰長(zhǎng)度,那可以將default_bits增加到增加到2048。對(duì)于打開(kāi)對(duì)于打開(kāi)pthread支持(可以后臺(tái)處理支持(可以后臺(tái)處理RSA密鑰)的鑰)的OpenVPN處理處理2048位的位的RSA密鑰是毫無(wú)問(wèn)題的。甚至沒(méi)有打開(kāi)密鑰是毫無(wú)問(wèn)題的。甚至沒(méi)有打開(kāi)pthread支持時(shí)也可以使用更長(zhǎng)的密鑰,但支持時(shí)也可以使用更長(zhǎng)的密鑰,但你會(huì)在隧道中作你會(huì)在隧道中作SSLTLS密鑰協(xié)商時(shí)感覺(jué)到響應(yīng)時(shí)間的延遲。這里有一份選擇密鑰協(xié)商時(shí)感覺(jué)到響應(yīng)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論