当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > 使用Linux系统架设安全的网关

Linux服务器
Linux下利用Squid构建高速的ProxyServer
在Linux操作系统上配置DNS服务器的日志
搭建性能比Squid高很多的Varnish服务器
Linux系统挂载AIXNFS服务器的配置方法
Linux上架设一台高容量POP3服务器
鸟哥的Linux学习笔记DNS服务器知识
部署Linux下OpenVZ虚拟化服务器
在RHEL5服务器上远程桌面(VNC)的配置
Samba服务器多系统用户共享目录设计方法
Linux攻略Samba服务的搭建与配置
Linux操作系统下配置DNS服务器的方法介绍
用Linux系统自身做一个L2TP的VPN服务器
Linux环境用Sendmail架设Mail服务器
细述Apachewebserver的安装与配置
linux环境下轻松搭建CVS服务器
UbuntuLinux通过SSh远程管理服务器
Linux操作系统下DHCP中继代理的实现方法
Ubuntu7.10Linux上构建全功能的服务器
Linux系统搭建Discuz论坛的方法
Ubuntub7.10Linux架设Samba服务

Linux服务器 中的 使用Linux系统架设安全的网关


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 58 ::
收藏到网摘: n/a

1、网关主机设置 

服务器上有两块网卡,eth0使用*.*.*.*IP地址连接Internet,eth1连接LAN,则其/etc/network/interfaces的设置如下:

以下为引用的内容:

        
auto lo

  iface lo inet loopback

  auto eth0

  iface eth0 inet static

  address *.*.*.*

  netmask 255.255.255.0

  gateway *.*.*.254

  auto eth1

  iface eth1 inet static

  address 192.168.0.1

  network 192.168.0.0

  netmask 255.255.255.0

  broadcast 192.168.0.255

  当然也可以使用ifconfig进行配置:

  $ ifconfig eth0 *.*.*.* netmask 255.255.255.0

     $ route add default gw *.*.*.254

  $ ifconfig eth1 192.168.0.1 netmask 255.255.255.0

  dns在/etc/resolv.conf中设置,修改或添加nameserver字段:

  nameserver 202.120.2.101

  如果ip地址是与mac绑定的,还要修改mac地址:

  $ ifconfig eth0 down

  $ ifconfig eth0 hw ether *:*:*:*:*:*

  $ ifconfig eth0 up

 2、IP伪装(IP-masquerade) 

这时将lan内主机网关改为192.168.0.1,应该能ping通该网关,但是还是连不上internet。要实现LAN内的机器通过共享一个单独的可访问外网的IP地址来访问Internet资源,还需要在网关上安装ipmasq。

以下为引用的内容:
         $ sudo apt-get install ipmasq

会提示进行一些设置,都默认即可。之后lan内主机应该就能连上internet了。 

3、端口映射

假设lan内有一ftp192.168.0.2,要从internet上访问该ftp,需要在网关主机上进行一定的端口映射。可使用iptables完成。下面是具体实现的脚本例子:

以下为引用的内容:
      #!/bin/sh

    /sbin/modprobe iptable_filter

    /sbin/modprobe ip_tables

  /sbin/modprobe iptable_nat

  /sbin/modprobe ip_nat_ftp

  /sbin/modprobe ip_conntrack

  /sbin/modprobe ip_conntrack_ftp

  iptables -F

  iptables -P INPUT ACCEPT

  iptables -P FORWARD ACCEPT

  iptables -P OUTPUT ACCEPT

  iptables -F -t nat

  iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 21 -j DNAT --to 192.168.123.6:21

  iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 2345 -j DNAT --to 192.168.123.116:3389

  iptables -t nat -A POSTROUTING -s 192.168.123.0/24 -o eth0 -j SNAT --to 202.120.16.34

  echo 1 > /proc/sys/net/ipv4/ip_forward