<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2 Final//EN">
<HTML>
<HEAD><META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=gb2312">
 <META NAME="GENERATOR" CONTENT="SGML-Tools 1.0.7">
 <TITLE>防火墻和代理伺服器 - HOWTO: SOCKS代理伺服器</TITLE>
 <LINK HREF="Firewall-HOWTO-9.html" REL=next>
 <LINK HREF="Firewall-HOWTO-7.html" REL=previous>
 <LINK HREF="Firewall-HOWTO.html#toc8" REL=contents>
</HEAD>
<BODY>
<A HREF="Firewall-HOWTO-9.html">Next</A>
<A HREF="Firewall-HOWTO-7.html">Previous</A>
<A HREF="Firewall-HOWTO.html#toc8">Contents</A>
<HR>
<H2><A NAME="s8">8. SOCKS代理伺服器</A></H2>

<H2><A NAME="ss8.1">8.1 設定代理伺服器</A>
</H2>

<P>SOCKS代理伺服器可從
<B>ftp://sunsite.unc.edu/pub/Linux/system/Network/misc/socks-linux-
src.tgz</B>取得。該檔內也有一個稱為&quot;socks-conf&quot;的設置檔可作參考。可把該檔解壓，然後根據其中的說明使用該檔。但使用時并不簡單，應首先確定Makefile檔正確無誤。
在 /etc/inetd.conf中應該增添代理伺服器。因此，應該增加以下一行。
<PRE>
  socks  stream  tcp  nowait  nobody  /usr/local/etc/sockd  sockd
</PRE>

這樣伺服器才會在需要時運行。
<P>
<H2><A NAME="ss8.2">8.2 設置代理伺服器</A>
</H2>

<P>SOCKS需要兩個設置檔進行設定。一個設置檔設定進入取用的權限，另一個設置檔設定路徑，以便找到適當的代理伺服器。權限檔應在伺服器上，路徑檔應在每一臺UNIX機上。DOS機和Macintosh機都會確定自行的路徑。
<P>
<H3>權限檔</H3>

<P>在socks4.2（beta）版中，權限檔稱為&quot;sockd.conf&quot;，應該只有兩行，一行允許（permit），一行拒絕（deny）。每行都有三項設定：
<UL>
<LI>識別標示行(permit/deny)</LI>
<LI>IP地址行</LI>
<LI>修改地址行</LI>
</UL>

識別標示用于permit或deny。應該有單獨的permit行和單獨的deny行。
IP地址使用標準的4byte方式表示，如I.E. 192.168.2.0.。
修改地址行也是標準的4位元 IP地址，用來作為netmask。將這個地址想成32位元的數字。如果是1，則核對的地址的相應位置應符合IP地址中相應的位元。例如，此行的地址為∶
<PRE>
    permit 192.168.2.23  255.255.255.255
</PRE>
<P>則只允許每一位元相符的地址，即192.168.2.23。如果地址為∶
<PRE>
    permit 192.168.2.0  255.255.255.0
</PRE>

則會允許192.168.2.0至192.168.2.255之間的每一個地址，即整個C級的地址。不得有下列這種地址出現∶
<PRE>
    permit 192.168.2.0  0.0.0.0
</PRE>

這會允許每一地址使用，不論其地址為何。
因此，允許每一個應該允許的地址，然後拒絕其余地址。如允許192.168.2.xxx范圍中的每一用戶，可用下列方式表示∶
<PRE>
    permit 192.168.2.0  255.255.255.0
    deny 0.0.0.0  0.0.0.0
</PRE>
<P>注意deny行中的第一個&quot;0.0.0.0&quot;。由于地址以0.0.0.0修改，因此IP為何都沒有影響。用0作為IP地址，因為便于打字。 
特別的用戶可以給予或拒絕使用的權限。這可通過iden的查驗來實現。由于不是所有系統都支持iden，其中包括Trumpet Winsock，所以此處不預備多加說明。隨同socks提供的說明以夠使用。
<H3>路徑檔</H3>

<P>SOCKS中的路徑檔稱為&quot;socks.conf&quot;，極易與權限檔混淆。
路徑檔讓SOCKS用戶知道何時用socks，何時不用。例如，在示□的網路中192.168.2.3并不需要使用socks與192.168.2.1防火墻對話。通過Ethernet，它們之間有直接的連接。又127.0.0.1自動設為loopback。因此也不需要用socks同自己對話。它有三行輸入∶
<P>
<UL>
<LI>deny</LI>
<LI>direct</LI>
<LI>sockd</LI>
</UL>

Deny行告訴socks何時拒絕一項請求。在此添入的內容同sockd.conf的內容相同，地址標示行、IP地址和修改地址行。一般而言，權限檔sockd.conf也與此有關，修改地址部分則用0.0.0.0。如果不打算連到任何地方，在此可作出修改。
<P>在direct行下列入不使用sock的地址。所有這些地址都可直接聯上網路，無須經過代理伺服器。在這里又有三個位置要填∶identifier、address和modifier。例如∶
<PRE>
    direct 192.168.2.0 255.255.255.0
</PRE>
<P>Sockd行告訴電腦那一個用戶的電腦上有socks server daemon。該行內容如下∶
<P>
<PRE>
  sockd @=&lt;serverlist> &lt;IP address> &lt;modifier>
</PRE>
<P>注意@= 填入的內容。利用這種方法可以填入一系列代理伺服器的IP地址。在這里只用一個代理伺服器的地址為例。但可以列上多個伺服器的地址，以便加大容量，并當有伺服器失靈時，有其他的伺服器頂替。
<P>設定IP地址和modifier域的方法和其他例子相同。
<P>
<H3>防火墻後的DNS        從防火墻後設定Domain Name Service是件簡單不過的事。只要在作為防火墻的電腦上設定DNS即可。然後在防火墻後的電腦上設定使用這個DNS。</H3>

<H2><A NAME="ss8.3">8.3 代理伺服器</A>
</H2>

<H3>Unix</H3>

<P>要使應用程序利用代理伺服器，這些應用程序需要&quot;sockified&quot;。在這里需要兩個telnet，一個進行直接通訊，一個通過代理伺服器進行通訊。SOCKS軟件中有說明sock一個程式的方法，也附有幾個已經sock好的程式。如果要直接使用sock好的程式，SOCKS軟件會直接設定。因此，應該將保護網路內的所有程式改名，然後再改用已經sock好的程式。例如，&quot;Finger&quot;變為&quot;finger.orig&quot;，&quot;telnet&quot;變為&quot;telnet.orig&quot;。  必須通過include/socks.h檔告訴SOCKS這種設定。
有些程式能自行處理routing和sockifying的問題。Netscape就使其中之一。例如在Netscape下要用用代理伺服器，只要在Proxies下SOCK欄內填入伺服器的地址即可（在此為192.168.2.1）。當然，每種應用程式都得作些小變動，不論其處理代理伺服器的方法為何。
<P>
<H3>微軟視窗與Trumpet Winsock</H3>

<P>Trumpet Winsock中有自帶的代理伺服器功能。在&quot;setup&quot;選單中填入伺服器的IP地址和所有直接可聯的電腦的地址。然後，Trumpet就會處理所有外送的數據包。
<P>
<H3>使代理伺服器配合UDP數據包</H3>

<P>SOCKS軟件只處理TCP數據包，而不處理  UDP。這多少減少了它的用處，因為，許多有用的程式，例如talk和Archie，都利用UDP。有一套軟件，稱為UDPrelay，由Tom Fitzgerald設計&lt;fitz@wang.com&gt;，主要作為UDP數據包的代理伺服器使用。不過在編寫本文時，這套軟件不能用于Linux.
<H2><A NAME="ss8.4">8.4 代理伺服器的缺點</A>
</H2>

<P>歸根結底，代理伺服器是一個<CODE>安全裝置</CODE>。在有限的IP地址的情況下，用它使許多用戶進入網際網路有許多缺點。代理伺服器可使保護網路內的用戶聯到網路之外，但使網路之外的用戶完全無法同網路之內的用戶聯系。這表示無法同網路之內的電腦進行talk或archie聯網，也無法發送電子郵件。這些缺點看來并不嚴重，但是如果∶
<UL>
<LI>你有一份沒有完成的報告留在保護網路防火墻內的電腦上?；丶裔幔阌窒肟纯催@份報告。但是沒有辦法。因為電腦在防火墻後，無法聯網。如果首先login <CODE>防火墻</CODE>，但由于每一個人都可進入代理伺服器，因此你在這個伺服器上并沒有個別帳戶。
<P>
</LI>
<LI>你女兒去了大學。你想寫封電子郵件給她。你想談些私事，因此最好能把電子郵件直接放到自己的電腦上。你當然信得過你的系統管理員，但這倒底與公務無關，是個人的信件。
<P>
</LI>
<LI>不能使用UDP是代理伺服器的一個大缺陷。我想不久之後就會有UDP的功能。</LI>
</UL>
<P>FTP是代理伺服器的另一個問題。在取得或使用<CODE>ls</CODE>時，FTP伺服器在客戶機上打開一個socket，并通過它傳送信息。代理伺服器不允許進行這項工作，因此FTP無法使用。
此外，代理伺服器運行緩慢。由于需要額外資源較多，幾乎任何其他能達成這項作用的伺服器都要比它快。
一般而言，如果有IP地址聯網，而又不必特別顧慮安全問題，那就不要使用防火墻和（或）代理伺服器。如果沒有IP地址聯網，但也不顧慮安全問題，那就不妨使用IP模擬器，象Term，Slirp或TIA。Term可從<CODE><B>ftp://sunsite.unc.edu</B></CODE>取得，Slirp可從<CODE><B>ftp://blitzen.canberra.edu.au/pub/slirp</B></CODE>取得，TIA可從marketplace.com取得。使用代理伺服器的理想網路是有許多用戶需要聯網，那只要做一次設定之後就不必再做太多其他的工作。
<P>
<HR>
<A HREF="Firewall-HOWTO-9.html">Next</A>
<A HREF="Firewall-HOWTO-7.html">Previous</A>
<A HREF="Firewall-HOWTO.html#toc8">Contents</A>
</BODY>
</HTML>