网络安全 频道

代理接入服务器

1.7 小结
网卡是组网中最基本的设备之一,所以网卡安装的成功与否直接关系着服务器配置的成败,Linux对网卡的支持可以说还是不错的,但由于其安装需要管理员手动配置,比起Windows的驱动程序安装要复杂得多,所以很多人认为Linux对硬件的支持很差,其实这是不正确的,如果你掌握了方法,安装起来还是很简单的。


代理接入服务器(二)双网卡

2.1 简介
在使用Linux作为两个以太网之间的网关的情况下,服务器至少需要配置两块网卡。为了减少启动时可能出现的问题,Linux内核不会自动检测多个网卡。若需要在服务器上安装多块网卡,对于已经将网卡的驱动编译进内核中的系统,则需要在“/etc/lilo.conf”文件中指定各个网卡的参数信息;而对于没有将网卡的驱动编译到内核而是作为模块动态载入的系统,应该在“conf.modules”文件中进行相应的配置。 
2.2 所需资源
2.2.1 所需包

2.2.2 所需配置文件
/etc/conf.modules 系统自带,管理员配置
/etc/sysconfig/network 系统自带,管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth0 系统自带,管理员配置
/etc/sysconfig/network-scripts/ifcfg-eth1 系统自带,管理员配置
2.2.3 相关工具
1.iptraf
说明:一个监控所有接入服务设备的工具,当然包括双网卡
下载网址:ftp://ftp.freesoft.cei.gov.cn/.mirror2/ftp.redhat.com/contrib/libc6/i386/iptraf-2.0.2-1.i386.rpm
2.linuxconf
说明:系统自带
3.netconf
说明:系统自带
2.3 配置方案
1./etc/conf.modules
说明:驱动模块配置文件
源文件:(以D-link530 RevA PCI为例子)
alias eth0 via-rhine
alias parport_lowlevel parport_pc
alias eth1 via-rhine
2./etc/sysconfig/network
说明:网络配置文件
源文件:
HOSTNAME= weboa # 服务器的主机名
DOMAINNAME="weboa.com.cn" # 服务器的域名
GATEWAY=”192.168.0.1” # 网关设置
GATEWAY=”eth0” # 网关所用设备
NETWORKING=YES # 是否启动网络服务
ONBOOT=YES # 网络服务配置在每次启动时生效
FORWARD_IPV4=”yes” # 服务器支持IP转发
3./etc/sysconfig/network-scripts/ifcfg-eth0
说明:第一块网卡配置文件
来源:系统自带,管理员配置
源文件:
DEVICE="eth0" # 网卡设备名称
BOOTPROTO="none" 
IPADDR="192.168.0.1" # IP设置
NETMASK="255.255.255.0" # 子网掩码设置
ONBOOT="yes"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
4./etc/sysconfig/network-scripts/ifcfg-eth1
说明:第二块网卡配置文件
源文件:
DEVICE="eth1" # 网卡设备名称
IPADDR="192.168.1.1" # IP地址
NETMASK="255.255.255.0" # 子网掩码
ONBOOT="yes" 
BOOTPROTO="none"
IPXNETNUM_802_2=""
IPXPRIMARY_802_2="no"
IPXACTIVE_802_2="no"
IPXNETNUM_802_3=""
IPXPRIMARY_802_3="no"
IPXACTIVE_802_3="no"
IPXNETNUM_ETHERII=""
IPXPRIMARY_ETHERII="no"
IPXACTIVE_ETHERII="no"
IPXNETNUM_SNAP=""
IPXPRIMARY_SNAP="no"
IPXACTIVE_SNAP="no"
2.4 测试及管理办法
2.4.1 测试方法
1.ifconfig
观察是否有eth0和eth1设备存在,设置的IP和子网掩码对不对
2.ping IP
先ping一下两个IP,看是否有回应;然后ping同网段其他机器。
2.4.2 管理方法
1.通过linuxconf或者netconf修改网卡设置
然后执行:/etc/rc.d/init.d/network restart
2.直接修改配置文件
然后执行:/etc/rc.d/init.d/network restart
2.5 其他参考资料
1. Ethernet HOWTO, by Paul Gortmaker Updated 6 July 1998 
DNS HOWTO, by Nicolai Langfeldt Updated 12 November 1998 
IP Masquerade mini-HOWTO, by Ambrose Au Updated 10 November 1997 
IPCHAINS HOWTO, by Paul Russell Updated 27 October 1998 
2.6 相关技巧
1./etc/lilo.conf也能帮助我们
若驱动已经被编译进了内核:系统启动时的PCI检测程序将会自动找到所有相关的网卡。ISA卡一般也能够被自动检测到,但是在某些情况下,ISA卡仍然需要做下面的配置工作: 
在“/etc/lilo.conf”中增加配置信息,其方法是通过LILO程序将启动参数信息传递给内核。对于ISA卡,编辑“lilo.conf”文件,增加如下内容: 
append="ether="0,0,eht1" 
注意:先不要在“lilo.conf”中加入启动参数,测试一下你的ISA卡,若失败再使用启动参数。 
如果用传递启动参数的方法,eth0和eth1将按照启动时被发现的顺序来设置。因为我们已经重新编译了内核,所以必须使用第二种方法(在lilo.conf中加入启动参数)在系统中安装我们的第二块网卡。这种方法只对ISA卡有必要,PCI卡会被自动查找到,所以没有什么必要。 
2.7 小结
在服务器上配置双网卡现在已经成为一个基本技能了,只有掌握了它,才能成为一名合格的网络管理员,双网卡其实是接入服务器的基础,当然也是网关配置的基础。总之,不会配置双网卡,没法学习下面的代理服务器配置;当然,我希望大家能够通过阅读本节掌握此项基本技能。


代理接入服务器(三)DHCP服务器

3.1 简介
对于那些不太了解网路技术的人来说,配置TCP/IP可能是一件非常复杂的工作,对那些将PC连接到局域网的用户来说只能将配置集中到服务器端,这样可以简化用户端的工作复杂度。当然,这将在一定程度上,增加管理员的工作量,但是从整体考虑,这样是最优的。
本章我将向大家介绍如何配置动态IP分配以及管理,并用通俗易懂的语言解释它是如何工作的,希望大家通过阅读本章,迅速成为一名合格的网络管理员。DHCP的全称是动态主机配置协议(Dynamic Host Configuration Protocol),由IETF(Internet 网络工程师任务小组)设计,详尽的协议内容在RFC文档rfc2131和rfc1541里。目的就是为了减轻TCP/IP网络的规划、管理和维护的负担,解决IP地址空间缺乏问题。运行DHCP的服务器把TCP/IP网络设置集中起来,动态处理工作站IP地址的配置,用DHCP租约和预置的IP地址相联系,DHCP租约提供了自动在TCP/IP网络上安全地分配和租用IP地址的机制,实现IP地址的集中式管理,基本上不需要网络管理人员的人为干预。而且,DHCP本身被设计成BOOTP(自举协议)的扩展,支持需要网络配置信息的无盘工作站,对需要固定IP的系统也提供了相应支持。
3.2 所需资源
3.2.1 所需包
dhcp-2.0-5.i386.rpm
3.2.2 所需配置文件
/etc/dhcpd.conf 系统自带,管理员配置
/var/state/dhcp/dhcpd.leases 系统没有,管理员创建
3.3 配置方案
1./etc/dhcpd.conf
说明:dhcp主配置文件
源文件:
subnet 192.168.0.0 netmask 255.255.255.0 { # 指定网段和子网掩码
option routers 192.168.0.1; # 指定默认路由
option subnet-mask 255.255.255.0; # 指定dhcp的子网掩码
option domain-name "weboa.com.cn"; # 指定域名
option domain-name-servers 192.168.0.1; # 默认DNS服务器
range dynamic-bootp 192.168.0.10 192.168.0.250; # IP分配范围
default-lease-time 1200; #如果客户端不能请求一个指定的租用期,就使
用该参数来定义该地址租用的时间长度
max-lease-time 87600; # 用来指定租用的最长时间,尽管租用的
时间长度是根据客户端的请求决定的。
# we want the nameserver to appear at a fixed address
# host ns {
# next-server marvin.redhat.com;
# hardware ethernet 12:34:56:78:AB:CD;
# fixed-address 207.175.42.254;
# }
}
# 以上被注释的部分用来给客户机分配一个永久的IP,也就是可以利用它
来做网卡和IP的绑定
2. /var/state/dhcp/dhcpd.leases
说明:IP分配记录文件
通过执行 touch /var/state/dhcp/dhcpd.leases生成
源文件:

3.4 测试及管理办法
3.4.1 测试方法
1. 管理员修改完配置文件之后需要执行/etc/rc.d/init.d/dhcpd restart
来使更改生效。
2.在Windows 98的客户端,用户需要将TCP/IP配置成为自动搜索IP。
3.在Windows 98的客户端可以运行winipcfg来动态申请IP。
4.管理员可以通过查看/var/state/dhcp/dhcpd.leases文件来监督IP资
源的分配情况。
3.4.2 管理方法
1. 可以通过执行 tail –f /var/state/dhcp/dhcpd.leases来监视IP的分配情况。
3.5 其他参考资料
1. 在Linux几乎都采用的是Paul Vixie/ISC DHCPd,来实现DHCP服务器端功能。可以访问: http://www.isc.org/isc
3.6 小结
通过学习本章,各位一定有一个感觉,就是DHCP的配置十分的简单。在一定程度上是这样的,因为我向大家介绍的是一台主服务器带一个子网,这是最简单的一种网络拓扑结构,要是更加复杂的多子网情况,那配置起来就要更加麻烦一点,这就需要为每个子网配置一个中继代理(dhcrelay),它的文档在Linux中都可以找到,一看就能明白了。


代理接入服务器(四)IP伪装

4.1 简介
利用因特网的代理服务器技术可以解决目前因特网的IP地址耗尽、网络资源争用以及网络安全等问题。代理服务器是采取一种代理的机制,即内部的客户端必须经过代理服务器才能和外部的服务器端进行通信,而外部的任何一台主机只能访问到代理服务器。本文着重讨论利用Linux代理服务器解决IP地址耗尽、网络资源争用和网络安全等问题。
随着因特网技术的迅速发展,越来越多的计算机连入了因特网。目前已经联系着160多个国家和地区,上网的计算机已超过5000万台。它促进了信息产业的发展,并将改变人们的生活、学习和工作方式,对很多人来说,因特网已成为不可缺少的工具。而随着因特网的发展也产生了诸如IP地址耗尽、网络资源争用和网络安全等问题。代理服务器就是为了解决这些问题而产生的一种有效的网络安全产品。
4.2 所需资源
4.2.1 所需包
ipchains-1.3.9-5.rpm
4.2.2 所需配置文件
/root/ipchains 自己写
4.3 配置方案
1./sbin/rules
说明:
源文件:
# 以下是你需要增加的转发控制模块
/sbin/modprobe ip_masq_ftp
/sbin/modprobe ip_masq_quake
/sbin/modprobe ip_masq_irc
/sbin/modprobe ip_masq_user
/sbin/modprobe ip_masq_raudio
/sbin/ipchains -P forward DENY # 在默认状况下拒绝所有 ip 转发。
echo 1 > /proc/sys/net/ipv4/ip_forward # 打开IP转发
ipchains -I forward -s 192.168.0.0/24 -d 0/0 -j MASQ
# 将来自192.168.0.0网段的申请转发
4.4 测试及管理办法
4.4.1 测试方法
1. 找一台局域网内的客户机,把IP设置成192.168.0.0网段的,ping一下外边,看能不能出去,就知道拉。
4.5 其他参考资料
1. 黄志伟,IP Masquerade HOWTO中文版 
请访问:http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html
4.6 相关技巧
1. 要是控制模块不存在,或许是不在路径下,可以执行depmod -a
4.7 小结
使用ipchains作为企业上网IP伪装十分实用,而且其配置十分简单, 并且功能强大,管理起来也十分简单。当然,其在安全性上还有不足,需要改进。


代理接入服务器(五)Squid代理服务器

5.1 简介
作为一种免费的网络操作系统,Linux越来越受到广大网络爱好者的欢迎,目前因特网(Internet)上运行的主机有相当一部分采用的就是linux操作系统,而且中国已经把linux操作系统作为政府上网年的指定网络操作系统,种种迹象表明,linux操作系统正在逐渐走向成熟。在本章我将向大家介绍一种能在Linux系统下使用的比较优秀的代理服务器软件的配置方法。 
众所周知,当今因特网发展速度极其迅猛,IP地址资源非常紧张。而如果您想访问因特网,共享因特网的丰富资源,您的机器必须拥有一个标准的IP地址。在因特网上,IP地址是识别您的机器的唯一标志。目前,有两种方式可以让您的机器拥有标准的IP地址:一种是局域网通过专线接入因特网,您的机器可以拥有静态的IP地址。所谓静态IP地址,就是对使用者来说,是固定不变的IP地址,这个IP地址给您使用后,其他人就不能再用了。一种是通过电话线拨号或ISDN拨号等方式接入因特网,您的机器可以在您拨号上网的在线期间从ISP的访问服务器的IP地址池中获得一个临时的标准IP地址,这个IP地址在您下线后就不归您使用了,而您下次拨号再上网,很可能分配给您的机器的是另外一个临时的IP地址了。这种临时分配的IP地址,称为动态IP地址。无论是静态地址还是动态地址,在您的机器访问因特网时,使用起来没有什么区别。 
 现在因特网发展速度这么快,而IP地址资源又这么紧张,这不能不说是一个尖锐的矛盾。虽说Ipv6正在开发中,但远水不解近渴,好多的企业、公司内部的Intranet现在就想接入因特网这个浩瀚的资源海洋,但又苦于没有充足的IP地址资源,怎么办?还好,有代理服务这个好东西。代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址(以下称内部地址)的机器和因特网上的其他主机打交道,提供代理服务的这台机器称为代理服务器。拥有内部地址的机器想到因特网上查找资料时,先把这个请求发给拥有标准IP地址的代理服务器,由代理服务器把这个请求通过它的标准IP地址发到请求的目标地址。然后目标地址的服务器把返回的结果发回给代理服务器,代理服务器再原封不动的把资料发给最初那台拥有内部IP地址的机器。这样就完成了一次内部机器访问因特网的一个过程。若干拥有内部地址的机器就组成了内部网,代理服务器的作用就是勾通内部网和因特网,解决内部网访问因特网的问题。而且这种代理是不可逆的,因特网上的主机不能访问任何一台拥有内部地址的机器,这样又可以保障内部资料的安全性。 
能够完成这种代理功能的服务器软件有好多,我给大家推荐一种能在linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀,是因为它可以在代理服务器上作一个很大的缓存,可以把好多常去的网站内容存储到缓存中,这样,内部网的机器再访问那些网站,就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度,这就是所谓的提高客户机的访问命中率, 另一方面,Squid不仅仅支持HTTP协议,而且还支持FTP,GOPHER,SSL和WAIS等协议考虑到简捷实用的原则,我们本章只向大家介绍如何设置HTTP代理,而其他的代理大同小异,各位理解了HTTP的配置也就明白应该如何配置其他的代理了。
5.2 所需资源
5.2.1 所需包
squid-2.3.STABLE1-5.rpm
5.2.2 所需配置文件
/etc/squid/squid.conf 系统自带,管理员配置
5.2.3 相关工具

5.3 配置方案
1./etc/squid/squid.conf
说明:squid主配置文件
源文件:
acl deny_ip_01 dst 1.1.1.1
http_access deny deny_ip_01
# 以上两行是基于IP的访问控制
acl deny_url_01 url_regex http://www.www.www/
http_access deny deny_url_01
# 以上两行是基于URL的访问控制
http_port 3128 # HTTP协议代理默认代理端口
cache_mem 32 MB #开劈一块内存区域作为缓冲
cache_dir ufs /home/squid/cache 1024 16 256
# 开劈一块硬盘空间,作为硬盘缓冲区,这块区域的分布是连
续的,逻辑关系由管理员设定
cache_access_log /var/log/squid/access.log
# 该log文件是用来描述每次客户请求HTTP内容时,高速缓
存命中或未命中的项目。同时描述提出请求的主机身份及它
们所需的内容。
cache_log /var/log/squid/cache.log
#用于描述当squid守护进程启动时,可看到有多少内存、交
空间,高速缓存目录的位置,所接受的连接类型及接受连
接的端口。
cache_store_log /var/log/squid/store.log
#用于描述页面从高速缓存中被调入调出的情况。
pid_filename /var/run/squid.pid
#管理员可以通过查看此文件了解当前执行的squid进程。
dns_nameservers 192.168.0.1
#定义域名解析服务器的地址
acl all src 0.0.0.0/0.0.0.0
cache_mgr root@weboa.com.cn
#设置cache管理员的邮件箱地址
reference_age 3 days
#设置缓冲区的更新周期
maximum_object_size 4096 KB
#设置允许被缓存的一次性最大请求 
5.4 测试及管理办法
5.4.1 测试方法
1. 在客户机下打开浏览器,设置好代理服务器,端口是3128,看看能不能
上网就是拉。
5.4.2 管理方法
1.修改完配置文件需要执行/etc/rc.d/init.d/squid restart使得配置
生效。
5.7 小结
看完本章之后,我想各位一定有个深切的感受,squid的配置文件十分的长,而且能干的事情实在是太多了,但是我们作为一名合格的管理员应该从需求方案出发,以客户的需求为导向,配置出我们自己需要的服务器,这样不但可以满足需要,还能大大减少我们的工作量,配置squid就是一个鲜明的例子。


代理接入服务器(六)Modem拨号

6.1 简介
首先向大家强调一点,我们这里所谈的PPP不是要将我们的服务器配置成为提供拨入服务的服务器,而是用户可以通过服务器拨号上网,简而言之就是,服务器可以按照客户的需求自动拨号上网,也就是所谓的按需拨号。
为什么我们要向大家介绍这项配置呢?因为虽然现在许多企业都用DDN上网,但是Modem在很大程度上还是有它的作用的,所以我们将向大家介绍一下如何实现PPP自动拨号上网。
6.2 所需资源
6.2.1 所需包
ppp-2.3.11-4.i386.rpm
6.2.2 所需配置文件
/etc/ppp/options 
/etc/ppp/modemdial 系统没有,管理员创建
/etc/ppp/pap-secrets
/root/dial
6.2.3 相关工具
/usr/sbin/pppstats 
6.3 配置方案
1./etc/ppp/options
说明:PPP可选配置项
源文件:
demand # 启动按需拨号模式
modem # 使用modem控制线
lock # 打开设备锁
crtscts # 清除发送
defaultroute # 使用默认路由
asyncmap 0 # 设置异步map=0
ipcp-accept-local 
ipcp-accept-remote
ipcp-max-configure 5
ipcp-restart 1
mtu 552 # 设置最大传输单位
mru 552 # 设置最大接受单位
name 169 # 设置用户名,与pap-secrets对应
usepeerdns # 自动抓取ISP的DNS
2./etc/ppp/modemdial
说明:Modem拨号指令文件
源文件:
"" ATZ # 初始化设备
OK ATDT169 # 拨号
CONNECT "" # 握手连接
3./etc/ppp/pap-secrets
说明:PAP模式口令加密文件
源文件:
169 * 169 # 用户名 * 密码
4./root/dial
说明:pppd进程启动文件

0
相关文章