三.配置问题(以双网卡防火墙为例)
企业用户架构linux服务器,通常完成这么几个功能:文件共享,打印共享,上internet,发布自己的web和ftp等。包含的软件包主要有: samba(windows共享)、apache(web服务)、squid(web代理)、proftpd/wu-ftpd(ftp服务)、 iptables/ipchains(防火墙)等。其中,samba、apache和squid是必选的,ftp和防火墙主流都选择proftpd和 iptables,主要是考虑更安全和更易配置。
在rh8.0里面,自带可安装samba、apache、squid、wu-ftpd、iptables,虽然版本不一定是最新的,但只要配置正确,它们足以发挥正常功能。
“瘟斗死”的执行文件有明确的标记(如:*.exe,*.com等),而配置都是自动的。Linux完全不是这么回事,不但执行文件没有有明确的标记,安装和配置也需要行命令输入。网友们给出很多的配置文章,都是基于行命令的,这对于用惯了“瘟斗死”的admin,又是初学linux的菜鸟们来说,确实是很茫然的,找不到北呀(我现在就知道带“齿轮”图标的文件是可执行的,.conf是可以配置的。是不是很菜呀)。
下面谈谈我的配置经验:
配置应该先易后难,能用图形配置界面的最好使用它。逐个进行,配好一个,启动一个,测试一个,再配下一个。大部分配置文件都有缺省的配置和全配置的详细说明,在你还不清楚那些没有打开的配置的功能和意义以前,最好先不要打开。切忌一哄而上,全部启动,出了问题都不知道谁影响谁,谁对谁错。
配置的顺序建议是:dns(包括网卡),iptables ,samba,ftp,apache,最后是squid。为什么要这样啦?dns就不用解释了,它不能正常工作,其它的都谈不上。内网的兄弟们急着上网,先配好iptables打发了他们。samba相对简单,配成完全共享后,两机间可以互考文件,便于其他配置,如考网页到apache等。ftp配好后,就可用dreamweaver上传网站到apache,有利于apache测试。Web服务不是很急,可以晚点配。只有在三个服务都能正常工作的情况下才有可能进行代理配置。当然你也可以按自己的顺序配了。
下面说的“终端”,均是指“系统工具”里的“终端”窗口程序。对语句的意义不再做解释,这方面的介绍很多,重点在配置的过程和方法。
1. DNS配置。
安装完后,用root登录,先打开桌面“系统设置”中的“网络”图形界面,检查网络配置。
“设备”一栏
内外网卡的IP地址都必须手动指配。在“当计算机启动时激活设备”处打勾。
网关:
如果本机是内网网关,内网卡的“默认网关编号”就空着,反之填写内网网关的IP地址。
外网卡的网关地址一定要添的,应该是外网卡连线对端设备(如路由器、交换机等)的IP地址。注意,掩码一定要正确。“路由”可以不配。
接好网络线,点击“活跃”,激活内外网卡。
“主机”一栏
这实际上是一个主机地址列表,对应于“/etc/hosts”文件。通常已经有了你本机的名字和地址(如果你在安装时就输入了主机名的话)。可以用“编辑” 和“添加”进行修改或添加本机和其它主机的名字、别名和IP地址。注意,最好使用DNS来添加新的主机名、别名和IP地址。
“DNS”一栏
在“主机名”中输入与“‘主机’一栏”中的本机主机名一致的名字。在“搜索域”中输入你域名全称,点击“添加”。
如果本机是DNS客户,在“主DNS”输入你的DNS服务器IP地址,反之就空着。
关闭“网络配置”,按照提示存盘。
作为DNS客户,本机的DNS配置就结束了。你可以在“终端”里用nslookup和ping命令测试域名、主机全称名和别名,必须全部通过才能进行后面的步骤。
如果本机是DNS服务器。在桌面打开“服务器设置”中的“域名服务”图形界面,配置DNS服务器。
里面已经有一个“localhost”域的正、反向区块,不要动它,让它留着。
点击“添加”,选“正向主区块”,在“域名”中输入你域的全称。确定。进到“名称到IP的翻译”。在“主名称服务器”中输入本机的主机名全称,在“联系”中修改“localhost”为你的主机名全称。
在“记录”里点亮你的域名,点击右边的“编辑”,打开域名设置窗口。在“名称服务器”右边点击“添加”,输入本机主机名全称,确定。在“IP地址”中输入你的内网卡地址。
在“记录”里点亮你的域名,点击右边的“添加”,打开“添加一条记录”窗口,添加其它主机的主机名和别名的解析。确定。
退出“名称到IP的翻译”。
再点击“添加”,选“反向主区块”,在“IP地址”中输入你域的IP网址。确定。进到“IP到名称的翻译”。在“主名称服务器”中输入本机的主机名全称,在“联系”中修改“localhost”为你的主机名全称。
在“名称服务器”,点击右边的“添加”,打开“名称服务器的属性”窗口,在“服务器”中添加本机的主机名。确定。
在“逆向地址表”,点击右边的“添加”,打开“新逆向区块指针”窗口,添加其它主机的主机名逆向解析。确定。
退出“IP到名称的翻译”。
关闭“域名服务”配置窗口,根据提示存盘。相应的文件会存入:/etc/named.conf文件和/var/named目录下。
最后,打开“/etc/named.conf”文件,在“options{ }”中,加入转发语句:“forwarders {x.x.x.x;};”,地址应该是你的ISP的DNS地址。
至此,DNS服务器就配置好了。打开桌面“系统设置”中的“服务”,进入“服务配置”窗口。找到“named”一项,在左边打勾,点击左上的“储存”,再点击“开始”,启动DNS服务器。
你可以在“终端”里用nslookup和ping命令测试域名、主机全称名和别名,必须全部通过才能进行后面的步骤。
2. Iptables配置
配置iptables的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配之前,只有本机能上网。
Rh8.0的“系统设置”中有个“安全级别” ,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。
为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。
打开“其他”—“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡):
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存为一个文件放到桌面上,便于使用。
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。
每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。
最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。
(待续)
