来一发使用Linux打造平安的办理型网关
RedHatCentOS等等.学习linux不是逛自由市场,选定版本就要静下心来学习.不要今天换版本明天要升级.这样对你没有好处。我们起首安装网关的体系,网上我们有三块网卡:第一块网卡为eth0,IP地点为212.1.1.1的公网地点。第二块网卡为eth1,IP地点为192.168.1.1。
在这里我们选用redhat的一个Linux刊行版本CentOS。安装完成后,体系自带了一套完美的防火墙体系iptables。起首我们在创建一个firewall,并赋于它实行的权限。
#touch/etc/rc.d/firewall
#chmodu+x/etc/rc.d/firewall
起首,为了使客户机能够一般上彀,我们先在这个文件内写进:
#!/bin/sh
echo1>/proc/sys/net/ipv4/ip_forward
在利用之前必要先对iptables的划定规矩举行扫除
iptables-F
iptables-tnat-F
iptables-X
iptables-tnat-X
iptables-F-tmangle
iptables-tmangleCX
为了无效的避免SpoofingAttack,能够持续增加上面的语句
if[-e/proc/sys/net/ipv4/tcp_ecn]
then
echo0>/proc/sys/net/ipv4/tcp_ecn
fi
接上去,我们要预制iptables的三个内置链
iptables-POUTPUTACCEPT
iptables-PFORWARDACCEPT
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-ieth0-jACCEPT
PORT="80,21,110,23"
iptables-AINPUT-ptcp-mmultiport--dports$PORT-mstate--stateNEW-jACCEPT
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AINPUT-jMIRROR
iptables-PINPUTDROP
后期的筹办事情已做好,我们将要举行网管办理功效的响应划定规矩。
#禁用了192.168.1.1/24这个段内的主机克制利用了p2p协定的软件,泛指BT下载类。
iptables-AFORWARD-miprange--src-range192.168.1.1-192.168.1.254-mipp2p--ipp2p-jDROP
#屏障会见指定的网站
iptables-AFORWARD-mdomain--name"www.test.com"-jDROP
#克制下班工夫利用QQ
iptables-AFORWARD-mlayer7--l7protoqq-mtime--timestart8:00--timestop12:00--daysMon,Tue,Wed,Thu,Fri-jDROP
iptables-AFORWARD-mlayer7--l7protoqq-mtime--timestart13:00--timestop17:30--daysMon,Tue,Wed,Thu,Fri-jDROP
出格申明一下,利用layer7这个模块,能够克制如今市情上年夜部分的IM工具。
#发明某个客户机在局域网内扰乱,可使用上面的划定规矩
iptables-IFORWARD-mmac--mac-source00:11:FF:FF:FF:FF-jDROP
个中00:11:FF:FF:FF:FF是该客户机的MAC地点。
#将内网内的WEB服务器映照大公网
iptables-tnat-APREROUTING-ptcpCd212.1.1.1--dport80-jDNAT--to192.168.1.10:80
依照上述办法,我们就不难把mail、FTP等外网服务映照大公网
再者我们共同TC,来完成每台客户机的限速
tcqdiscdeldeveth0root2>/dev/null
tcqdiscadddeveth0roothandle2:htb
tcclassadddeveth0parent2:classid2:1htbrate1024kbit
i=1;
while[$i-lt254]
do
tcclassadddeveth0parent2:1classid2:2$ihtbrate1024kbitceil1024kbitburst15k
tcqdiscadddeveth0parent2:2$ihandle2$i:sfq
tcfilteradddeveth0parent2:0protocolipprio4u32matchipdst192.168.1.$iflowid2:2$i
i=`expr$i+1`
done
从下面的剧本来看,假如客户机的速率凌驾了1024kbit,那末就会以15kbit的速率举行下调。
为了避免局域网内的IP地点盗用成绩,我们能够编纂/etc/ethers文件以上面这类格局
IP-addrMAC-addr
编写完了以后,实行arpCf如许的话,假如IP地点与MAC地点不婚配的话,客户机就没法上彀了,如许也能够无效的避免ARP病毒的打击。
如许,一台绝对平安的服务器就已设定完成了。固然,平安是一个全体,不要悔改任何一个细节,由于它都有多是一个平安隐患
</p>
尽我能力帮助他人,在帮助他人的同时你会深刻巩固知识。 放手去搞。尽量不要提问,运用搜索找答案,或者看wiki,从原理上理解操作系统的本质,而不是满足于使用几个技巧。尽量看英文资料。 Linux只是个内核!这点很重要,你必须理解这一点。只有一个内核是不能构成一个操作系统的。 任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。 学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。 熟读写基础知识,学得会不如学得牢。 首先Linux是开源的,这也是最主要的原因,想学windows,Unix,对不起我们没源代码。也正是因为这样,Linux才能够像滚雪球一样越滚越大,发展到现在这种规模。 为了更好的学习这门课程,我不仅课上认真听讲,课下也努力学习,为此还在自己的电脑上安装了Ubuntu系统。 笔者五分钟后就给出了解决方法: “首先备份原文件到其他目录,然后删掉/usr/local/unispim/unispimsp.ksc,编辑 /usr/local/unispim/unispimsp.ini,最后重启动计算机
页:
[1]