当前位置: 首页 > 图文教程 > 服务器 > Linux服务器 > 使用Linux系统架设安全的网关

Linux服务器
Solaris基本审计和报告工具使用攻略
优化Linux服务器硬盘性能的七个实用技巧
解决Linux服务器下误删除文件的操作
Linux操作系统下SOFTETHER服务器使用方法
使用SMC实现Solaris10服务器角色管理(下)
Linux环境架设Samba服务器 实现网络互访
Linux下安装RPM和TAR管理软件包的方法
如何建立一个安全的 Linux服务器
在Linux上实现DB2双机HA完整方案
教您在LINUX中架设代理服务器
使用Linux系统架设安全的网关
解决Linux服务器下误删除文件问题!
高效配置Linux代理服务器 Squid介绍
基于Linux的虚拟主机搭建
Linux 服务器的远程控制技术及实战
教程:如何最快搭建LINUX服务器集群
Apache安装配置优化
Linux实战之NFS服务器客户端配置
LAMP服务器就环境的建立
基于Linux的FTP服务器权限管理

Linux服务器 中的 使用Linux系统架设安全的网关


出处:互联网   整理: 软晨网(RuanChen.com)   发布: 2009-10-18   浏览: 32 ::
收藏到网摘: n/a

1、网关主机设置 

服务器上有两块网卡,eth0使用*.*.*.*IP地址连接Internet,eth1连接LAN,则其/etc/network/interfaces的设置如下:

以下为引用的内容:

        
auto lo

  iface lo inet loopback

  auto eth0

  iface eth0 inet static

  address *.*.*.*

  netmask 255.255.255.0

  gateway *.*.*.254

  auto eth1

  iface eth1 inet static

  address 192.168.0.1

  network 192.168.0.0

  netmask 255.255.255.0

  broadcast 192.168.0.255

  当然也可以使用ifconfig进行配置:

  $ ifconfig eth0 *.*.*.* netmask 255.255.255.0

     $ route add default gw *.*.*.254

  $ ifconfig eth1 192.168.0.1 netmask 255.255.255.0

  dns在/etc/resolv.conf中设置,修改或添加nameserver字段:

  nameserver 202.120.2.101

  如果ip地址是与mac绑定的,还要修改mac地址:

  $ ifconfig eth0 down

  $ ifconfig eth0 hw ether *:*:*:*:*:*

  $ ifconfig eth0 up

 2、IP伪装(IP-masquerade) 

这时将lan内主机网关改为192.168.0.1,应该能ping通该网关,但是还是连不上internet。要实现LAN内的机器通过共享一个单独的可访问外网的IP地址来访问Internet资源,还需要在网关上安装ipmasq。

以下为引用的内容:
         $ sudo apt-get install ipmasq

会提示进行一些设置,都默认即可。之后lan内主机应该就能连上internet了。 

3、端口映射

假设lan内有一ftp192.168.0.2,要从internet上访问该ftp,需要在网关主机上进行一定的端口映射。可使用iptables完成。下面是具体实现的脚本例子:

以下为引用的内容:
      #!/bin/sh

    /sbin/modprobe iptable_filter

    /sbin/modprobe ip_tables

  /sbin/modprobe iptable_nat

  /sbin/modprobe ip_nat_ftp

  /sbin/modprobe ip_conntrack

  /sbin/modprobe ip_conntrack_ftp

  iptables -F

  iptables -P INPUT ACCEPT

  iptables -P FORWARD ACCEPT

  iptables -P OUTPUT ACCEPT

  iptables -F -t nat

  iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 21 -j DNAT --to 192.168.123.6:21

  iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 2345 -j DNAT --to 192.168.123.116:3389

  iptables -t nat -A POSTROUTING -s 192.168.123.0/24 -o eth0 -j SNAT --to 202.120.16.34

  echo 1 > /proc/sys/net/ipv4/ip_forward