歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> Linux基礎知識

基礎知識 - 菜鳥心得(二)請共享,請指正

菜鳥心得(二)請共享,請指正
2004-04-23 15:18 pm
來自:Linux文檔
現載:Www.8s8s.coM
地址:無名

三.配置問題(以雙網卡防火牆為例)
企業用戶架構linux服務器,通常完成這麼幾個功能:文件共享,打印共享,上internet,發布自己的web和ftp等。包含的軟件包主要有: samba(windows共享)、apache(web服務)、squid(web代理)、proftpd/wu-ftpd(ftp服務)、 iptables/ipchains(防火牆)等。其中,samba、apache和squid是必選的,ftp和防火牆主流都選擇proftpd和 iptables,主要是考慮更安全和更易配置。
在rh8.0裡面,自帶可安裝samba、apache、squid、wu-ftpd、iptables,雖然版本不一定是最新的,但只要配置正確,它們足以發揮正常功能。
“瘟斗死”的執行文件有明確的標記(如:*.exe,*.com等),而配置都是自動的。Linux完全不是這麼回事,不但執行文件沒有有明確的標記,安裝和配置也需要行命令輸入。網友們給出很多的配置文章,都是基於行命令的,這對於用慣了“瘟斗死”的admin,又是初學linux的菜鳥們來說,確實是很茫然的,找不到北呀(我現在就知道帶“齒輪”圖標的文件是可執行的,.conf是可以配置的。是不是很菜呀)。

下面談談我的配置經驗:

配置應該先易後難,能用圖形配置界面的最好使用它。逐個進行,配好一個,啟動一個,測試一個,再配下一個。大部分配置文件都有缺省的配置和全配置的詳細說明,在你還不清楚那些沒有打開的配置的功能和意義以前,最好先不要打開。切忌一哄而上,全部啟動,出了問題都不知道誰影響誰,誰對誰錯。
配置的順序建議是:dns(包括網卡),iptables ,samba,ftp,apache,最後是squid。為什麼要這樣啦?dns就不用解釋了,它不能正常工作,其它的都談不上。內網的兄弟們急著上網,先配好iptables打發了他們。samba相對簡單,配成完全共享後,兩機間可以互考文件,便於其他配置,如考網頁到apache等。ftp配好後,就可用dreamweaver上傳網站到apache,有利於apache測試。Web服務不是很急,可以晚點配。只有在三個服務都能正常工作的情況下才有可能進行代理配置。當然你也可以按自己的順序配了。
下面說的“終端”,均是指“系統工具”裡的“終端”窗口程序。對語句的意義不再做解釋,這方面的介紹很多,重點在配置的過程和方法。

1. DNS配置。
安裝完後,用root登錄,先打開桌面“系統設置”中的“網絡”圖形界面,檢查網絡配置。

“設備”一欄
內外網卡的IP地址都必須手動指配。在“當計算機啟動時激活設備”處打勾。
網關:
如果本機是內網網關,內網卡的“默認網關編號”就空著,反之填寫內網網關的IP地址。
外網卡的網關地址一定要添的,應該是外網卡連線對端設備(如路由器、交換機等)的IP地址。注意,掩碼一定要正確。“路由”可以不配。
接好網絡線,點擊“活躍”,激活內外網卡。

“主機”一欄
這實際上是一個主機地址列表,對應於“/etc/hosts”文件。通常已經有了你本機的名字和地址(如果你在安裝時就輸入了主機名的話)。可以用“編輯” 和“添加”進行修改或添加本機和其它主機的名字、別名和IP地址。注意,最好使用DNS來添加新的主機名、別名和IP地址。

“DNS”一欄
在“主機名”中輸入與“‘主機’一欄”中的本機主機名一致的名字。在“搜索域”中輸入你域名全稱,點擊“添加”。
如果本機是DNS客戶,在“主DNS”輸入你的DNS服務器IP地址,反之就空著。

關閉“網絡配置”,按照提示存盤。

作為DNS客戶,本機的DNS配置就結束了。你可以在“終端”裡用nslookup和ping命令測試域名、主機全稱名和別名,必須全部通過才能進行後面的步驟。

如果本機是DNS服務器。在桌面打開“服務器設置”中的“域名服務”圖形界面,配置DNS服務器。
裡面已經有一個“localhost”域的正、反向區塊,不要動它,讓它留著。
點擊“添加”,選“正向主區塊”,在“域名”中輸入你域的全稱。確定。進到“名稱到IP的翻譯”。在“主名稱服務器”中輸入本機的主機名全稱,在“聯系”中修改“localhost”為你的主機名全稱。
在“記錄”裡點亮你的域名,點擊右邊的“編輯”,打開域名設置窗口。在“名稱服務器”右邊點擊“添加”,輸入本機主機名全稱,確定。在“IP地址”中輸入你的內網卡地址。
在“記錄”裡點亮你的域名,點擊右邊的“添加”,打開“添加一條記錄”窗口,添加其它主機的主機名和別名的解析。確定。
退出“名稱到IP的翻譯”。
再點擊“添加”,選“反向主區塊”,在“IP地址”中輸入你域的IP網址。確定。進到“IP到名稱的翻譯”。在“主名稱服務器”中輸入本機的主機名全稱,在“聯系”中修改“localhost”為你的主機名全稱。
在“名稱服務器”,點擊右邊的“添加”,打開“名稱服務器的屬性”窗口,在“服務器”中添加本機的主機名。確定。
在“逆向地址表”,點擊右邊的“添加”,打開“新逆向區塊指針”窗口,添加其它主機的主機名逆向解析。確定。
退出“IP到名稱的翻譯”。
關閉“域名服務”配置窗口,根據提示存盤。相應的文件會存入:/etc/named.conf文件和/var/named目錄下。
最後,打開“/etc/named.conf”文件,在“options{ }”中,加入轉發語句:“forwarders {x.x.x.x;};”,地址應該是你的ISP的DNS地址。
至此,DNS服務器就配置好了。打開桌面“系統設置”中的“服務”,進入“服務配置”窗口。找到“named”一項,在左邊打勾,點擊左上的“儲存”,再點擊“開始”,啟動DNS服務器。
你可以在“終端”裡用nslookup和ping命令測試域名、主機全稱名和別名,必須全部通過才能進行後面的步驟。

2. Iptables配置
配置iptables的目的,一個是防止公網的入侵,一個是讓內網的兄弟們上網。在沒配之前,只有本機能上網。
Rh8.0的“系統設置”中有個“安全級別” ,它主要是針對本機來說的,不能用它來配置iptables。打開“安全級別”,把它配成“無防火牆”級別。
為了配置、測試方便,可以先用“KWrite”編個“腳本”,采用“復制”、“粘貼”方式,把全部語句一次性粘貼到“終端”裡執行。這樣修改測試都很方便。
打開“其他”—“輔助設施”中的“KWrite”,將下面的樣本輸入或粘貼到裡面(其中,eth0、eth1分別是外、內網卡):

echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat

iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE

/etc/rc.d/init.d/iptables restart

iptables -L


再另存為一個文件放到桌面上,便於使用。
在這個配置裡面,INPUT和轉發FORWARD功能的缺省值都是拒絕(DROP),這意味著在後面的INPUT和FORWARD語句中沒有表明通過(ACCEPT)的都將被拒之門外。這是一個最好的安全模式,經過使用賽門鐵克的在線測試,所有公網端口都是隱藏的。注意,所有內網端口都是打開的,本機對內沒有安全可言。
其它的語句我就不多說了,最後一句是顯示配置執行後的鏈路結果。
每次修改完後,將整篇語句全部復制,再粘貼到“終端”,它將自動配置、啟動、顯示一次。反復修改、測試,直到達到你的要求。
最後將整篇語句全部復制,再粘貼到“/etc/rc.d/rc.local”文件後面,你的配置開機後也可以自動執行了。

(待續)

Copyright © Linux教程網 All Rights Reserved