来一发使用Linux打造平安的办理型网关

RedHatCentOS等等.学习linux不是逛自由市场,选定版本就要静下心来学习.不要今天换版本明天要升级.这样对你没有好处。
我们起首安装网关的体系，网上我们有三块网卡：第一块网卡为eth0，IP地点为212.1.1.1的公网地点。第二块网卡为eth1，IP地点为192.168.1.1。
在这里我们选用redhat的一个Linux刊行版本CentOS。安装完成后，体系自带了一套完美的防火墙体系iptables。起首我们在创建一个firewall，并赋于它实行的权限。
#touch/etc/rc.d/firewall
#chmodu+x/etc/rc.d/firewall
起首，为了使客户机能够一般上彀，我们先在这个文件内写进：
#!/bin/sh
echo1>/proc/sys/net/ipv4/ip_forward
在利用之前必要先对iptables的划定规矩举行扫除
iptables-F
iptables-tnat-F
iptables-X
iptables-tnat-X
iptables-F-tmangle
iptables-tmangleCX
为了无效的避免SpoofingAttack，能够持续增加上面的语句
if[-e/proc/sys/net/ipv4/tcp_ecn]
then
echo0>/proc/sys/net/ipv4/tcp_ecn
fi
接上去，我们要预制iptables的三个内置链
iptables-POUTPUTACCEPT
iptables-PFORWARDACCEPT
iptables-AINPUT-ilo-jACCEPT
iptables-AINPUT-ieth0-jACCEPT
PORT="80,21,110,23"
iptables-AINPUT-ptcp-mmultiport--dports$PORT-mstate--stateNEW-jACCEPT
iptables-AINPUT-mstate--stateESTABLISHED,RELATED-jACCEPT
iptables-AINPUT-jMIRROR
iptables-PINPUTDROP
后期的筹办事情已做好，我们将要举行网管办理功效的响应划定规矩。
#禁用了192.168.1.1/24这个段内的主机克制利用了p2p协定的软件，泛指BT下载类。
iptables-AFORWARD-miprange--src-range192.168.1.1-192.168.1.254-mipp2p--ipp2p-jDROP
#屏障会见指定的网站
iptables-AFORWARD-mdomain--name"www.test.com"-jDROP
#克制下班工夫利用QQ
iptables-AFORWARD-mlayer7--l7protoqq-mtime--timestart8:00--timestop12:00--daysMon,Tue,Wed,Thu,Fri-jDROP
iptables-AFORWARD-mlayer7--l7protoqq-mtime--timestart13:00--timestop17:30--daysMon,Tue,Wed,Thu,Fri-jDROP
出格申明一下，利用layer7这个模块，能够克制如今市情上年夜部分的IM工具。
#发明某个客户机在局域网内扰乱，可使用上面的划定规矩
iptables-IFORWARD-mmac--mac-source00:11:FF:FF:FF:FF-jDROP
个中00:11:FF:FF:FF:FF是该客户机的MAC地点。
#将内网内的WEB服务器映照大公网
iptables-tnat-APREROUTING-ptcpCd212.1.1.1--dport80-jDNAT--to192.168.1.10:80
依照上述办法，我们就不难把mail、FTP等外网服务映照大公网
再者我们共同TC，来完成每台客户机的限速
tcqdiscdeldeveth0root2>/dev/null
tcqdiscadddeveth0roothandle2:htb
tcclassadddeveth0parent2:classid2:1htbrate1024kbit
i=1;
while[$i-lt254]
do
tcclassadddeveth0parent2:1classid2:2$ihtbrate1024kbitceil1024kbitburst15k
tcqdiscadddeveth0parent2:2$ihandle2$i:sfq
tcfilteradddeveth0parent2:0protocolipprio4u32matchipdst192.168.1.$iflowid2:2$i
i=`expr$i+1`
done
从下面的剧本来看，假如客户机的速率凌驾了1024kbit，那末就会以15kbit的速率举行下调。
为了避免局域网内的IP地点盗用成绩，我们能够编纂/etc/ethers文件以上面这类格局
IP-addrMAC-addr
编写完了以后，实行arpCf如许的话，假如IP地点与MAC地点不婚配的话，客户机就没法上彀了，如许也能够无效的避免ARP病毒的打击。
如许，一台绝对平安的服务器就已设定完成了。固然，平安是一个全体，不要悔改任何一个细节，由于它都有多是一个平安隐患

</p>
尽我能力帮助他人，在帮助他人的同时你会深刻巩固知识。

放手去搞。尽量不要提问，运用搜索找答案，或者看wiki，从原理上理解操作系统的本质，而不是满足于使用几个技巧。尽量看英文资料。

Linux只是个内核!这点很重要，你必须理解这一点。只有一个内核是不能构成一个操作系统的。

任何一个叫做操作系统的东西都是这样子构成的：内核+用户界面+一般应用程序。

学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。

熟读写基础知识，学得会不如学得牢。

首先Linux是开源的，这也是最主要的原因，想学windows，Unix，对不起我们没源代码。也正是因为这样，Linux才能够像滚雪球一样越滚越大，发展到现在这种规模。

为了更好的学习这门课程，我不仅课上认真听讲，课下也努力学习，为此还在自己的电脑上安装了Ubuntu系统。

笔者五分钟后就给出了解决方法： “首先备份原文件到其他目录，然后删掉/usr/local/unispim/unispimsp.ksc，编辑 /usr/local/unispim/unispimsp.ini，最后重启动计算机