linuxipsec配置

『壹』 如何在linux下配置IPsec

在Linux2.6內核中自帶了IPSEC的實現,這樣就不用象2.4那樣打補丁來實現了。該實現包括以下幾個部分: PF_KEY類型套介面, 用來提供和用戶層空間進行PF_KEY通信，代碼在net/key目錄下，前面已經介紹過；安全聯盟SA和安全策略SP管理，是使用xfrm庫來實現的，代碼在net/xfrm/目錄下定義；ESP，AH等協議實現，在net/ipv4(6)下定義；加密認證演算法庫，在crypto目錄下定義，這些演算法都是標准代碼了。至於內核是如何實現ipsec的，這個需要自己查源碼自己研究了。。

『貳』 linux伺服器可以和cisco防火牆架設IPsec嗎

ipsec VPN 可直接穿越互聯網或其他網路，快速地到達目標網路 。
你可以把目標和源 想成2個點，只要能通過IPSEC VPN 到達目標的網路就能快速訪問LINUX伺服器，就相當於你的主機和目標伺服器在同一網路中。
具體配置請參閱
http://wenku..com/view/f631e184b9d528ea81c7797f.html

『叄』 linux l2tp是怎麼使用ipsec加密的

羌無意識腫 muwtuo739

『肆』 怎麼查看linux的ipsec認證

你進入自己的主頁，（不是用戶管理中心） 然後左上角就有，視頻認證 已認證， 然後你點那個已認證就可以看自己的視頻認證了

『伍』 誰有linux學習的好經驗啊，我比較盲目，不清楚該重點學習哪方面

unix學習方法-高手之路
姜道友（二〇〇七年二月十四日）

1. 基礎學習.................................................... 1
2. 配置伺服器.................................................. 1
3. 軟體安裝與伺服器管理........................................ 2
4. 更換思緯.................................................... 2
5. 學習其它unix系統............................................ 2
6. 學習shell編程............................................... 3
7. 學習C編程................................................... 3
8. 製作自己的unix發行版........................................ 3
前言：
對於一些想學習linux及正在學習linux系統的人，非常希望成為linux甚至unix高手，本人從事unix方面的工作很多年了，想介紹一下自已的經驗
Unix有很多分支，這里不再贅述，一般來說主要包括：Linux、Solaris、HP-UNIX、AIX、SCO、BSD、AS400等等系統，一般人精通2到3門類即可，觸類旁通即可很快掌握其它系統。下面是本人的經驗：
1. 基礎學習
買一本Linux基礎方面的書籍，主要講述基本理論及基本命令，如：《Linux基礎》、《Redhat 9.0系統管理員完全學習手冊》；或者在網上下載一些基礎方面的資料。系統地看完一本書，並在linux系統中（可以用vmware安裝一個虛擬機）練習基本命令。（之所以從Linux開始，是因為相對其它unix系統，Linux相對比較簡單或容易入門）
2. 配置伺服器
可以嘗試配置一台web伺服器或FTP伺服器或郵件伺服器（sendmail）或其它應用伺服器如：vpn（pptp或ipsec）。剛開始配置時不要追求完美，只要實現基本的功能即可。這部分基本上照搬書的步驟即可實現。
3. 軟體安裝與伺服器管理
可以試著安裝一些源碼程序（不要使用rpm軟體包安裝或帶有install的程序安裝），通過./configure make make install等步驟掌握程序的編譯與安裝方法。同時掌握Linux伺服器日常管理方法：如日誌管理、進程管理、備份與恢復方法、用戶管理、許可權管理等等，基本成為一個Linux系統管理員。平時多訪問linux技術方面的網站或論壇，也可增加你的技術和經驗。
註：很多人學習或使用Linux多年，但水平僅僅停留在這里
4. 更換思緯
如果系統了學習了linux基礎方面的知識並簡單配置了一些應用伺服器，並掌握了命令的基本用法，這時需要更換思緯，學習一下Linux架構方面的知識，並深入了解Linux系統體系結構，如etc目錄是什麼作用 /usr/bin /usr/spool /var /opt是什麼作用，ext3文件系統有什麼特點等等。從思緯上區別看待Linux系統。同時可以試著編譯一下內核，並熟悉內核中的功能模塊，通過對內核的認知，可以讓你深入了解linux核心的一些技術。
5. 學習其它unix系統
如果基本上熟悉了Linux系統，現在可以學習其它系統了，如：Solaris、AIX、BSD…………等等，畢竟很多重要伺服器不是Linux系統。很多系統可以在虛擬機上安裝，如安裝一台Solaris x86虛擬機或從網上下載SCO虛擬機或…………在虛擬機上系統地學習該系統，熟悉它的架構，並與Linux比較一下有什麼不同。對於一些專用的系統，網上也有好心人公布測試機信息，你可以遠程登錄學習（不要刪文件或破壞喲）。在學習其它系統過程中，可以訪問相關系統的BBS論壇，看一下別人的問題是怎麼解決的。如果你很熟悉Linux系統，學習其它unix系統應該很快。當然如果你所在的公司有一些伺服器如：SUN880或HP伺服器或IBM伺服器等，你應該很快可以成為有經驗的solaris/HP-UNIX/AIX高手的。
6. 學習shell編程
作為一個真正的優秀unix系統管理員，不懂shell編程是絕對不行的（注意是絕對），因為在unix系統中，很多是shell腳本程序，掌握了shell編程技術，你可透徹地去了解unix系統中程序的運行情況。而且對於unix系統，很多系統管理可以通過編寫shell腳本程序來實現，如自動備份、自動檢查網路斷線並發郵件通知、自動檢查VPN狀態、收集PPTP用戶撥入信息等等。精通shell編程，讓你輕松靈活地管理和駕馭Unix系統。
7. 學習C編程
這一步我就不多說了，畢竟達到這一層次的unix系統管理很少（開發人員除外）。Unix中的很多程序是通過C編寫的，掌握編程技術，你可以編寫unix下的應用程序。
8. 製作自己的unix發行版
如果對Linux進行內核編譯、程序裁減、系統優化等，你可以製作自已的unix系統。象現在Linux發行版太多了，但都是Linux內核，只是文件與系統組織方式不一樣而已。我們單個人是無法製作象Redhat或debian這樣的系統，但可以製作小的專用系統，如製作專用的web伺服器或專用的網關防火牆系統。象IPCOP（www.ipcop.org）就是這一類，大家可以參考或受到啟發。

寫給想成為Linux 高手的人們

首先,我想引用一下別人說過的一句話:除非在過去的十年你一直生活在山洞裡,否則你一定聽說過linux.
是的,現在聽說過linux,會一點linux基本操作的人多如牛毛,然而真正能用linux做一點事情的確少之又少,這就造成了現在的狀況:各大 linux論壇十分熱鬧,但我國linux到底是什麼原因造成了這樣的狀況? 糾其原因,只有兩個字:浮燥!
如果在論壇里來一次調查投票,看一下在論壇里的人到底有多少人手頭有一本以上的正規linux教材.我想這個數字不會超過30%. 如果再問一下,有多少人完整的讀過各發行版自帶的入門文檔,系統定製文檔,系統管理文檔和系統安全文檔,恐怕這個數字不到10%. 如果進一步再調查一下究竟有多少人靜下心來學習過操作系統和計算機網路等和linux學習十分密切的專業課程,那麼恐怕只有3%的數字都不到了.
這讓我想到了98年前後IT泡沫時代的中關村.在中關村的大街小巷,到處是一個個意氣分發牛哄哄的IT精英.他們戴著默鏡,剔著小平頭,張口閉口都是網路,安全,信息,黑客,代碼,產業.T恤背後寫著三個字:別惹我! 然而最後IT泡沫一過,只有那些真正肯安安心心靜心學習的人在IT界存活了下來.

現在國人學習linux的狀況也是這樣,學linux的人個個都意氣分發,以為學習linux會用linux是多麼了不起.學了一點皮毛就認為很牛了.但是那些企業用人單位卻很難找到真正適合的linux人材.因此,我想就目前的狀況發表一下我的看法.

首先,這篇文章是寫給那些想成為linux高手,並真正想用linux做些事情的人.如果你只想做一個菜鳥,沒事的時候在你雙系統啟動的電腦上偶爾選一次 linux,然後沒事進去偷著樂,那就請你自便.另外,我想說明,和真正的牛人比起來,我自己還處於一個比較低的水平.我沒有讀過內核源代碼,不知道 linux工作原理等等,但是通過摸索,至少我已經找到了通往高手的道路的方向.因此還是想說兩句.

1,linux不是玩具
如果你想系統的學習linux,你必需清楚的認識到這一點.現在有很多人,號稱是linux愛好者,但是他們大部分的事情還是用windows 做,而linux只是作為一個隨便玩玩的系統.他們懂得一些linux的基本操作,知道有linux這個玩藝,也因為經常聽人家說linux好就咬定了 linux就是好.只要有人說linux比windows差,那麼他們就奮起反駁,他們也看不起用windows的人,認為用windows的人水平低. 但是自己用電腦的大部分時間還是用windows並且把重要的文件都放在了windows分區,因為他們骨子裡只把linux當做玩具,沒有真正領悟 linux的精髓所在.如果你真正想系統的學習linux,想用linux有所作為,那麼請忘記windows的思維方式,慢慢感受和習慣linux 的操作方式,總有一天你會真正體驗到他的奧妙所在,從而從自己內心深處喜歡他,使用他,而不是為了趕時髦或向人炫耀而使用他.

2,手頭有一本好的入門教材嗎

"如果你還沒有好好的讀完過一本linux安裝及入門教材就不要到初學者論壇來問題!因為你連問問題的資格都沒有! " 這是我的一個比較偏激的觀點.

如果你現在開始下決心學習linux了,那麼第一件你要做的事情是到書店去挑一本好書.而不是到論壇社區去問該用什麼版本,該如何學習 linux.一本好的入門教材可以讓你快速領悟linux的操作方式,系統的基本使用等等.而且都是前人總結經驗寫出來的,他可以幫你搭起一個學習 linux的框架,對linux有一個總體的認識.就好比建一撞大樓前先打好地基,搭好混凝土框架.以後就可以慢慢往這個框架里添磚加瓦,最後建起大樓. 而那些想急於學習的,不想看書,只想靠混論壇來學習linux知識的人,就好比建一撞大樓,今天建好第一層,然後第一層就要全部粉刷好,裝修好,傢具買好住進去,然後第二天再開始建第二層.這樣沒有整體規劃的學習是學不好linux的,最後的結果是浪費自己的時間,也浪費別人的時間. 如果你不信, 可以讓實事去告訴你,以一年為限,你和你的一個朋友同時從0開始學linux,計算機基礎差不多.你去買幾本好書自己慢慢看邊看邊做實驗,讓你的朋友整天到各大論壇瞎混零散的學些linux知識.也許一開始,你的朋友會比你懂得多,但是一年以後你的水平肯定在你的朋友之上. 在初學階段,不要隨便在論壇上發問,多看書是根本,即使真的非問不可的問題,也要先自己動手察資料解決.實在不行再來問,高手不會鄙視菜鳥,因為每一個高手都是從菜鳥過來的,他們都知道菜鳥的苦衷.但是高手會看不起那些自己不願動手動腦不會學習解決問題而只想得到現成答案的人.那樣的人會被高手在心裡暗罵成不配用linux的蠢貨.
你需要以下幾種書:
一本好入門教材->一本linux指令參考手冊->linux系統管理手冊->講解linux系統原理的書.

一開始,你只需要入門教材就可以了.並且嚴格安教材的講解去學習,不要一天到晚想著去裝顯卡驅動啦,裝游戲啦,裝軟體啦,這些都沒有必要.你就當你自己的電腦不能上網,只能通過看書學習.慢慢看書,穩抓穩打.慢慢地就融會貫通了.這時候你再到linux初學者論壇去看看,你在那裡早已經是高手了.

另外,一開始你要選定一本入門教材,但是不能只看一本,因為有些書上講的,可能是另外的書上沒有的.因此,重點選一本教材看完.然後再看兩三本入門教材瀏覽一下.作為對第一本書的知識的擴充和鞏固. 在看書過程中,如果你有什麼不懂的,不要急於上論壇問,自己認真看幾次,實在不懂沒有關系,把問題放在那裡.不要鑽牛角尖不懂不肯放手,這種精神是好的, 但是方法是錯誤的.你盡管學下去,也許你看完書本以後的內容,就對前面不懂的內容豁然開朗了.這是在學習linux中常有的情況.

另外,現在很多入門書籍是針對非技術型用戶的.(我把那些對linux本身不感興趣,只想用他來上網,聽音樂和打字的人稱為非技術型用戶,而把對 linux本身感興趣的人稱為技術用戶)
這些針對非技術型用戶的入門書籍幾乎通篇都是插圖,講解的內容都是如何在圖形界面下操作.這些書籍並不能幫你成為一個高手.反而會讓你養成倚賴滑鼠和圖形界面操作的習慣以後很難改掉.因此不能看這些書,一定要買那些一開始就從系統基本機構基本命令開始講解的書籍.我看過的第一本linux入門書籍共有十多章,但是他從第十一章開始才大致的講解了一下圖形界面的知識.我很感謝這本書,讓我一開始就脫離了windows的思維方式,給我以後的進一步學習帶來了很大幫助.
完成以上的內容,你就完成了建大樓打地基建混凝土框架的過程了.可以接下來進一步學習了.

3,你看完系統自帶的文檔了嗎?

當你完成入門的過程後,就可以開始讀其他的文檔,然後到論壇的精華區看看,向你建起來的大樓框架中添磚頭了.當然 ,首先要讀的,還是系統自帶的文檔.

絕大多數linux發行版都自帶非常詳細的文檔.比如我一直在用的redhat,他有從系統安裝到系統安全,針對不同層次的人的詳盡文檔.靜下心來,把這些文檔讀完,比看任何論壇的精華區都有用.書籍和文檔就好比是你每天都離不開的一日三餐,論壇區的精華文檔就好比是點心和水果.你可以不吃點心和水果,但是決不能不吃正餐.

當然,不能為看文檔而看文檔,你一定要邊看邊安文檔中說的做試驗驗證.這樣才印象深刻,否則看過就忘記了等於沒有看.

另外,如果真心想學習linux就不要吝嗇,也不要害怕丟失數據而不敢做實驗.我建議你去買一個小的二手硬碟,然後放開手干.不要怕丟失數據而不敢做,如果你沒有學會技能,將來做了linux系統管理員或者網路管理員到那時因為不會而丟了數據就是大事情了.

4,學習linux不是逛自由市場.

經常看到有人問用什麼版本的linux好,其實只要你認真學習無論什麼版本都挺好的.要知道,開發linux發行版的人都是通讀過linux內核代碼,對 linux原理極其精通的人,而且每一個開發團隊都對他的發行版做過測試後放出的.那些國際知名的大品牌更是如此. 因此,討論什麼版本好並無意義,關鍵是你是不是真心想學.不過,為了避免曲高和寡,最好選用的人多的版本,比如redhat manrake suse 等等. 國內有一兩個 linux版本做的也不錯,但是國內的linux都是面向非技術型用戶開發的,因此,如果你想成為高手,建議不要用國內的版本.
學習linux不是逛自由市場,選定版本就要靜下心來學習.不要今天換版本明天要升級.這樣對你沒有好處.我見過一些人號稱用過十幾種甚至幾十種 linux,向人談論起來頭頭是到,好像懂的很多,但是如果你讓他去用linux搭建一個web伺服器,做一個linux網關,他就什麼都不會了.他們把時間都浪費在了版本的轉換上了.

5,你能看懂英文文檔嗎?

談論這個問題,我有點低氣不足,因為我自己的英語很差.但是,至少我可以無障礙的讀完一般的計算機文檔.計算機英語很簡單,只要熟悉了計算機專業英語,高中畢業的水平就可以輕松的閱讀計算機文檔了.如果你的英語實在太差了,連最簡單的計算機英語文檔都看不懂,那麼在學習linux的同時,請趕緊學習英語. 也許你說,你可以看翻譯的文檔,當我還是一個菜菜鳥的時候,也是這樣認為的.但是,後來才發現,如果你想深入學習linux,看不懂因為文檔實在是太難了.寫的最好的,最全面的文檔都是英語寫的,最先發布的技術信息也都是用英語寫的.即便是非英語國家的人發布技術文檔,也都首先翻譯成英語在國際學術雜志和網路上發表.你去看看各大軟硬體生產商的官方網站,有哪一個不是用英語作為其主站的? 長期用windows的人會很不習慣這一點,裝個軟體還要看半天文檔,應為windows用起來實在太簡單了.但是如果你想學習linux就必需學會看各種文檔,而大部分的文檔都是用英語寫的.我發現很多人甚至連man文檔都不會看,有什麼命令不會用了就跑到論壇上來問,還裝出一副可憐相,乞討一個命令的用法.有這些時間還不如自己看看man文檔,即使你一個一個單詞的翻譯成中文再自己看都比問別人強,因為別人的回答再怎麼詳盡都比不上man文檔詳盡.安裝一個新的軟體時先看README,再看INSTALL然後看FAQ,最後才動手安裝,這樣遇到問題就知道為什麼.否則,說明文檔都不看,結果出了問題再來找答案反而浪費時間! 古人說欲速則不達就是這個道理! 真的，如果你man能搞懂，就具備了一個IT人員的基本功了。

6,忘記windows的思維方式

思想性的轉變比暫時性的技術提高更有用,因為他能幫助你加快學習速度.現在很多人用linux.但是,他們用linux的方式完全是 windows的那一套方式.骨子裡都是windows的思想.這樣是不能領悟linux的精髓體驗不到他的優越性的.我前幾天看到一個朋友要把剛裝了不到2天的mandrake 10 刪除掉,我問他為什麼,他說太慢了,受不了,還是用windows快.然後我留意了一下他用linux的方式,他的所有操作都帶著windows的影子. 他連最基本的刪除,移動文件這樣的操作都要用滑鼠,這樣當然慢了!最後我只好說,你刪除吧,你不適合用linux, linux不是這樣用的.各位可以去看看那些linux高級用戶,他們是怎樣操作的.通常他們都是在X上開一個xterm或者rxvt終端,80%以上的操作都在這個終端下用命令完成,因為 linux的命令行十分強大,速度也十分快,簡單的幾個命令的組合就能完成非常復雜的操作.舉一個例子:linux 的常用命令find,去看看man文檔,初學者一定會覺得太復雜而不原意用,但是你一旦學會了就對他愛不釋手.他的功能實在太強了,在配合exec參數或者通過管道重定向到xargs命令和 grep命令,那麼他能完成非常復雜的操作,如果同樣的操作你用圖形界面的工具來完成,恐怕要多花十幾陪的時間.因此linux高手經常會說:如果沒有 find和grep我們還怎麼活.但是現在大部分的linux初級用戶受到windows影響都喜歡用圖形界面的工具來完成一些基本的操作,我並不是說圖形界面不好.只是由於linux和windows設計思想的不同他們的操作方式也有很大不同.在windows下用圖形界面操作會比敲命令快,但是 linux是一個命令行組成的操作系統,他的精髓在命令行! 無論圖形界面發展到什麼水平這個原理是不會變的!

7,入門以後多學命令

當你看完了一兩本入門書籍後就應該擴充自己的知識,多學習linux命令,但是不要在初學階段就系統的學習linux命令,初學階段只要學會書上提到過的命令就可以了.單靠學習各種命令而成為高手是不可能的,但不會命令而成為高手也是不可能的.這就好比學英語,什麼語法都不懂,只捧著單詞手冊背單詞是學不會英語的,但是沒有單詞詞彙量英語水平也提不高的.
在linux中學習命令的最好辦法是學習bash腳本編程.bash腳本比起其他語言來學習簡單,但是功能卻十分強大.通過學習bash編程,能讓你掌握大量的linux命令.另外,買一本命令參考手冊是必要的,遇到不知道怎麼用的命令可以隨時查詢,這要比察man文檔快.特別適合英語不好,看不懂man 文檔的人.

在linux中,命令可分為系統基本命令和應用程序命令.系統基本命令是所有的unix類系統都支持的命令,走到哪都不變,只要是unix類系統上就肯定有.比如ls,rm,rmdir,cp,cd,mv,cat等等.這樣的基本命令大約有200個,這些命令是一定要掌握的,我買了一本指令參考手冊>這本書非常好,他根據命令的常用指數分類,標明3顆星的為最常用命令,一定要掌握,兩顆星的其次,1顆星的只要知道一下就可以了雖然現在都已經 FC3了,但是經典的UNIX基本命令幾十年來都沒有變過!另外有些命令是linux特有的或者是某一個應用程序的可執行文件比如xmms播放器.這些只要知道就可以了,不知道也無所謂.有些命令比較少用,因此通常都記不住他的用法,對於這些命令至少要知道有這個命令,腦子里有印象,需要用的時候察一下手冊就可以了,但是決不能不知道這個命令的存在!

8,學會管理系統

等到有了基本知識,也掌握了一定量的命令用法後,就可以進一步學習管理系統.這些內容入門書上會有,但是不會很深入.要深入的學習系統管理,就要去買一本類似之類的書.認真的看書並做實驗,可以讓你很快的進步.學習配置各種網路伺服器,用linux搭建網路,這些都是學習linux系統管理和網路管理的好方法. 到了這個階段就可以經常上網察察資料,看發布軟體的官方網站文檔和FAQ,看看論壇精華區文章.但是不能本末倒置,多看書還是根本.書籍和官方文檔可以讓你系統的學習,但是論壇可以讓你學到一些小知識,小技巧.我本人也經常到論壇上來看看,因為即便是一個新手,也可能會發現一些你所不知道的小技巧,看論壇可以學到這些小技巧.但是我看文檔和看論壇的時間比不會小於4:1 . 可以把平時積累的問題一次在論壇上發問. 但是初學的時候不要頻繁上論壇,因為你要問的問題都在書上寫著,耐心一點,你很快就能看到了.

9,了結系統結構

等你有了一定的系統管理知識,知道了/etc下那些配置文件有什麼用,知道了一般的網路伺服器如何配置後,就可以去了解系統結構了. 了解系統結構不是要你去看什麼文件夾放什麼內容,而是要學習一些原理性的東西.比如系統是如何引導的,引導後啟動了那些東西.系統中哪些是最基本的庫文件,有什麼用等等.學習系統結構的最好方法是自己做一個linux系統,再也沒有什麼能比自己做一個linux系統更能學習系統結構的了.LFS (linux from strach)可以教你從源代碼自己編譯一個系統.通過自己編譯一個系統,你就可以了結linux系統結構,知道哪些文件是干什麼用的,以及他們如何協調工作.當然,在你達到LFS水平之前還有很多事情要做,比如學會如何編譯安裝源代碼發布的軟體和編譯新的內核等等.到了LFS水平,那麼在大多數 linux論壇上你就可以被人稱作"高手"了!到了這個地步,就相當於一撞大樓已經基本建好,但是還需要粉刷和裝修,真正的細活還在後面!

永遠記住天外有天,人外有人的道理.即便有了LFS水平,在那些搞linux系統開發,通讀過linux內核代碼的人看來你還是一個菜鳥.因此, 請時刻保持虛心的態度.即便是在 論壇上只有一顆星級別的人,也有可能是一個潛在的,真正的高手! 大多數真正的高手平時都在搞研發工作,哪裡有時間上論壇啊! 倒是有很多大學還沒畢業的學生,整天混在論壇上.

10,學習專業課程

如果你不是計算機專業的,而想把linux學好,就一定要學習專業課程.學習微機原理,操作系統,計算機網路等等專業課程是必需的.為什麼同時開始學習 linux,有些人學的非常快,不到半年就成了高手,有些人玩來玩去還玩不出名堂,玩了一兩年還是菜鳥? 因為那些學得快的人有基礎,他們都學過專業課程.同樣一篇文檔,沒有基礎的人可能看了三遍還不明白,基礎扎實的眼睛掃兩下就懂了! 這就是專業和非專業的差別! 因此,要想達到更高的境界就一定要學習基礎的專業課程. 學習過linux的人是需要基礎的，很需要匯編，數據結構，演算法，計算機組成原理。除了高校必開的課程，自己也要學習其他的知識。兩者相輔相成，很重要！

11,保持虛心學習的態度

我想再重復一遍天外有天,人外有人的道理!
保持虛心的學習態度不僅能讓你學到更多知識,而且會讓你受人尊重.

在linux的世界裡,如果你想靠混論壇,發水貼,換幾顆星星增加一下級別,然後再面對菜鳥說幾句牛哄哄的話來贏得別人的尊重是不可能的.即便是一個剛入門的菜鳥,也能分辨你回答問題的質量,從而知道你到底有多少水平. 另外,當你成了"高手"的時候,你也能從"菜鳥"那裡學到很多知識.因為有很多問題是你從來沒有想過的,認為自己肯定會的,但是實際遇到的時候會有困難. 而"菜鳥"們往往更善於發現這類問題.這就是中國人常說的"教學相長"!

在linux的世界裡,越是水平高的人越謙虛,因為他們知道自己還有很多不知道的,而那些半瓶水就想晃盪的人反而自以為是,因為他們還不知道自己還有很多不知道的! 去看看,www.linuxdiyf.com 嵌入式開發和UNIX版塊的牛人,他們很多都是有過好幾年linux方面的工作經驗,精通linux和unix的好手,但是每個人都保持著非常謙遜的態度,這些人是值得尊敬的。

本文轉自 51cto 技術論壇

『陸』 在Linux中 ipsec.d 什麼意思

什麼是 IPsec？
IPsec 是 虛擬私密網路（VPN） 的一種，用於在伺服器和客戶端之間建立加密隧道並傳輸敏感數據之用。它由兩個階段組成，第一階段（Phrase 1, ph1），交換金鑰建立連接，使用互聯網金鑰交換（ike）協議; 第二階段（Phrase 2, ph2），連接建立後對數據進行加密傳輸，使用封裝安全載荷（esp）協議。參考：維基網路 IPsec 詞條。
其中，第一階段和第二階段可以使用不同的加密方法（cipher suites）。甚至，第一階段 ike 協議的第一版（ikev1）有兩種模式，主力模式（main mode）和積極模式（aggressive mode），主力模式進行六次加密握手，而積極模式並不加密，以實現快速建立連接的目的。
第一階段的 ike 協議有兩個版本（ikev1/ikev2），不同的開源/閉源軟體實現的版本均不同，不同的設備實現的版本也不同。再聯繫到第一階段/第二階段使用的各種不同加密方法，使得 IPsec 的配置有點黑魔法的性質，要麼完全懂，通吃; 要麼完全不懂，照抄。
設備/操作系統規格
這里主要介紹了設備/操作系統使用的 ike 版本及其特殊要求。
Linux
命令行客戶端就是 strongswan 本身，因此完美兼容，支持 ikev1/ikev2 和所有加密方法的連接。因此如果用戶只使用 Linux 命令行客戶端，不使用各種移動設備也不使用 Windows，那麼完全沒有那麼多事。
但 Linux 的圖形界面客戶端 NetworkManager-strongswan 目前只支持 ikev2 連接，必須使用證書或 EAP （各種加密方法都支持，包括微軟的 MSCHAPv2）進行認證，不支持純密碼（PSK）認證。這並不是 strongswan 的錯誤，或者技術不行（開源總是走在技術最前沿的，畢竟命令行是支持的），而僅僅是體現一種選擇：ikev1 被 strongswan 項目認為是該淘汰的協議，而 PSK 加密被認為是非常不安全的。參考 strongswan 維基 NetworkManager 詞條。
Android
Android 和 Linux 不一樣，只支持 ikev1。其它方面和 Linux 一樣，甚至有好多種 IPsec VPN 配置模式可供選擇。
iOS/Mac OS X
它們聲明使用的 IPsec 客戶端為 Cisco，實際為自己修改的 racoon。它只支持 ike 協議的第一版即 ikev1，可以使用證書或純密碼（PSK）認證，但必須輔之 xauth 用戶名/密碼認證。
該修改版的 racoon 會優先使用不加密的積極模式，而積極模式是 strongSwan 所不支持的。所以要使用主力模式。
iOS 6 還有一個「銜尾」故障：它在第一階段握手時會把數據包拆分成小塊（fragmentation），然後「加密」發送。然而這種加密僅僅是聲明的，其實並未加密，這就導致 strongSwan 及其它標准伺服器端/Cisco 設備無法解密。另外 ikev1 的 fragmentation 插件是閉源的。開源伺服器端無法對這些小塊進行重組。參考：Cisco VPN stop working after upgrading to IOS 6

『柒』 linux中如何配置IPsec網路加密配置

在Linux2.6內核中自帶了IPSEC的實現,這樣就不用象2.4那樣打補丁來實現了。該實現包括以下幾個部分: PF_KEY類型套介面, 用來提供和用戶層空間進行PF_KEY通信，代碼在net/key目錄下，前面已經介紹過；安全聯盟SA和安全策略SP管理，是使用xfrm庫來實現的，代碼在net/xfrm/目錄下定義；ESP，AH等協議實現，在net/ipv4(6)下定義；加密認證演算法庫，在crypto目錄下定義，這些演算法都是標准代碼了。至於內核是如何實現ipsec的，這個需要自己查源碼自己研究了。

『捌』 區域網問題 急！高手進！

一、用高級設置法預防Ping

默認情況下，所有Internet控制消息協議(ICMP)選項均被禁用。如果啟用ICMP選項，您的網路將在 Internet 中是可視的，因而易於受到攻擊。

如果要啟用ICMP，必須以管理員或Administrators 組成員身份登錄計算機，右擊「網上鄰居」，在彈出的快捷菜單中選擇「屬性」即打開了「網路連接」，選定已啟用Internet連接防火牆的連接，打開其屬性窗口，並切換到「高級」選項頁，點擊下方的「設置」，這樣就出現了「高級設置」對話窗口，在「ICMP」選項卡上，勾選希望您的計算機響應的請求信息類型，旁邊的復選框即表啟用此類型請求，如要禁用請清除相應請求信息類型即可。

二、用網路防火牆阻隔Ping

使用防火牆來阻隔Ping是最簡單有效的方法，現在基本上所有的防火牆在默認情況下都啟用了ICMP過濾的功能。在此，以金山網鏢2003和天網防火牆2.50版為藍本來說明。

對於使用金山網鏢2003的網友，請用滑鼠右擊系統托盤中的金山網鏢2003圖標，在彈出的快捷菜單中選擇「實用工具」中的「自定義IP規則編輯器」，在出現的窗口中選中「防禦ICMP類型攻擊」規則，消除「允許別人用ping命令探測本機」規則，保存應用後就發揮效應。

如果您用的是天網防火牆，在其主界面點擊「自定義IP規則」，然後不勾選「防止別人用ping命令探測」規則，勾選「防禦ICMP攻擊」規則，然後點擊「保存/應用」使IP規則生效。

三、啟用IP安全策略防Ping

IP安全機制（IP Security）即IPSec 策略，用來配置 IPSec 安全服務。這些策略可為多數現有網路中的多數通信類型提供各種級別的保護。您可配置 IPSec 策略以滿足計算機、應用程序、組織單位、域、站點或全局企業的安全需要。可使用 Windows XP 中提供的「IP 安全策略」管理單元來為 Active Directory 中的計算機（對於域成員）或本地計算機（對於不屬於域的計算機）定義 IPSec 策略。

在此以WINDOWS XP為例，通過「控制面板」—「管理工具」來打開「本地安全策略」，選擇IP安全策略，在這里，我們可以定義自己的IP安全策略。一個IP安全過濾器由兩個部分組成：過濾策略和過濾操作。要新建IP安全過濾器，必須新建自己的過濾策略和過濾操作，右擊窗口左側的「IP安全策略，在本地機器」，在彈出的快捷菜單中選擇「創建IP安全策略」，單擊「下一步」，然後輸入策略名稱和策略描述。單擊「下一步」，選中「激活默認響應規則」復選項，單擊「下一步」。開始設置響應規則身份驗證方式，選中「此字元串用來保護密鑰交換(預共享密鑰)」選項，然後隨便輸入一些字元（後面還會用到這些字元的），單擊「下一步」，就會提示已完成IP安全策略，確認選中了「編輯屬性」復選框，單擊「完成」按鈕，會打開其屬性對話框。

接下來就要進行此新建安全策略的配置。在「Goodbye Ping 屬性」對話窗口的「規則」選項頁中單擊「添加」按鈕，並在打開安全規則向導中單擊「下一步」進行隧道終結設置，在這里選擇「此規則不指定隧道」。單擊「下一步」，並選擇「所有網路連接」以保證所有的計算機都Ping不通。單擊「下一步」，設置身份驗證方式，與上面一樣選擇第三個選項「此字元串用來保護密鑰交換（預共享密鑰）」並填入與剛才上面相同的內容。單擊「下一步」即打開「IP篩選器列表」窗口，在「IP篩選器列表」中選擇「新IP篩選器列表」，單擊右側的「編輯」，在出現的窗口中點擊「添加」，單擊「下一步」，設置「源地址」為「我的IP地址」，單擊「下一步」，設置「目標地址」為「任何IP地址」，單擊「下一步」，選擇協議類型為ICMP，單擊「完成」後再點「確定」返回如圖9的窗口，單擊「下一步」，選擇篩選器操作為「要求安全」選項，然後依次點擊「下一步」、「完成」、「確定」、「關閉」按鈕保存相關的設置返回管理控制台。

最後在「本地安全設置」中右擊配置好的「Goodbye Ping」策略，在彈出的快捷菜單中選擇「指派」命令使配置生效。

經過上面的設置，當其他計算機再Ping該計算機時，就不再Ping通了。但如果自己Ping本地計算機，仍可Ping通。在Windows 2000中操作基本相同。

四、修改TTL值防Ping

許多入侵者喜歡用TTL值來判斷操作系統，他們首先會Ping一下你的機子，如看到TTL值為128就認為你的系統為Windows NT/2000，如果TTL值為32則認為目標主機操作系統為Windows 95/98，如果為TTL值為255/64就認為是UNIX/Linux操作系統。既然入侵者相信TTL值所反應出來的結果，那麼我們不妨修改TTL值來欺騙入侵者，達到保護系統的目的。方法如下：

打開Windows自帶的「記事本」程序，編寫如下所示的批處理命令：

@echo REGEDIT4>>ChangeTTL.reg

@echo.>>ChangeTTL.reg

@echo [HKEY_LOCAL_]>>ChangeTTL.reg

@echo DefaultTTL=dword:000000ff>>ChangeTTL.reg

@REGEDIT /S /C ChangeTTL.reg

另存為以.bat為擴展名的批處理文件，點擊這個文件，你的操作系統的預設TTL值就會被修改為ff，即十進制的255，即把你的操作系統人為地改為UNIX系統了！

DefaultTTL=dword:000000ff是用來設置系統預設TTL值的，如果你想將自己的操作系統的TTL值改為其它操作系統的ICMP回顯應答值，請改變DefaultTTL的鍵值，要注意它的鍵值為16進制。

如何禁止別人ping自己的主機（2000自帶）

我的電腦-控制面板-管理工具-本地安全策略-ip安全策略

這是2000給我們的配置ip管理的工具，我這里只說一下如何禁止別人ping我的主機。

共有四個步驟：

1。建立禁ping 規則

2。建立禁止/允許規則

3。把這兩個規則聯系在一起

4。指派

詳細：

1。右擊ip安全策略-管理ip篩選器表和篩選器操作-ip篩選器列表-添加：名稱：ping;描述：ping;(勾選「使用添加向導」),---添加-下一步：指定源/目的ip ,協議類型(icmp),下一步直至完成，關閉此對話框。

2。管理ip篩選器表和篩選器操作-管理篩選器操作-添加(勾選「使用添加向導」)-下一步：名稱：refuse;描述:refuse--下一步：阻止-下一步直至完成。

3。右擊ip安全策略-創建ip安全策略-下一步：名稱：禁止ping；--下一步：取消激活默認響應規則-下一步：選中選中「編輯屬性「-完成。然後再「禁止ping屬性「上-添加(勾選「使用添加向導」)-下一步直至「身份驗證方法」；選第三項，輸入共享字串-下一步：在ip篩選器列表裡選「ping--下一步：選「refuse-下一步到完成。

這是你在「本地安全設置「右側會看到「禁止ping「這條規則，但是現在他還沒有起作用。

4。右擊「禁止ping「--指派。

這回一條禁止別人ping自己的機器的ip策略完成了。

趕快找個機器試試，自己的機器不行。會提示：請求超時（timeout).

以上只是一條小得的ip過濾。你可以自己製作其他的ip策略。
<注:此回答借鑒 ljpbxh027 - 首席運營官 >

『玖』 centos 怎麼配置ipsec 連接

先通過 #ifconfig獲取網卡Mac地址。然後按照步驟操作重新配置連接linux的網卡IP地址是存放在文件中的，這個配置文件在/etc/sysconfig/network-scripts下， 名稱分別為ifcfg-eth0,ifcfg-eth1....如果你有一塊網卡，就只有ifcfg-eth0一個文件

『拾』 linux下的/etc是干什麼用的為什麼命名為etc

/etc是用來存放系統主要的配置文件，例如人員的賬號密碼文件、各種服務的起始文件等。一般來說，這個目錄下的各文件屬性是可以讓一般用戶用戶查閱的，但是只有root有權利修改。

早期UNIX中，貝爾實驗室的解釋是：etcetra directory 。 etc. 就是Et cetra。表示其他、等等什麼的，英語里能常常看都這個縮寫的。是用來放其他不能歸類到其他目錄中的內容。

後來FHS規定用來放配置文件，就解釋為："Editable Text Configuration" 或者 "Extended Tool Chest"。

(10)linuxipsec配置擴展閱讀

/etc下的目錄

1、/etc/passwd

用戶資料庫，其中的域給出了用戶名、真實姓名、家目錄、加密的口令和用戶的其他信息.

2、/etc/mtab

當前安裝的文件系統列表，由scripts初始化，並由mount 命令自動更新.需要一個當前安裝的文件系統的列表時使用，例如df命令。

3、/etc/shadow

在安裝了影子口令軟體的系統上的影子口令文件.影子口令文件將/etc/passwd 文件中的加密口令移動到/etc/shadow中，而後者只對root可讀，這使破譯口令更困難。

4、/etc/securetty

確認安全終端，即哪個終端允許root登錄.一般只列出虛擬控制台，這樣就不可能通過modem或網路闖入系統並得到超級用戶特權。

5、/etc/shells

列出可信任的shell，chsh 命令允許用戶在本文件指定范圍內改變登錄shell.提供一台機器FTP服務的服務進程ftpd檢查用戶shell是否列在 /etc/shells 文件中，如果不是將不允許該用戶登錄。

6、/etc/termcap

終端性能資料庫，說明不同的終端用什麼"轉義序列"控制。寫程序時不直接輸出轉義序列(這樣只能工作於特定品牌的終端)，而是從/etc/termcap中查找要做的工作的正確序列。這樣，多數的程序可以在多數終端上運行。