经过一个多月的折腾,终于有了点眉目,从一个对linux一窍不通的门外汉,成为跨入一只脚的初步入门者,给各位爱好者谈点心得和注意事项吧,包括:
一. 为什么要用linux,用rh8.0
二. 安装问题
三. 配置问题(以双网卡防火墙为例)
三个方面,分期贡献给大家,请共享,请指正。
一. 为什么要用linux,用rh8.0
作为一个MCSE,对于WIN2000及ISA的安装和配置已经是相当顺手了(虽然ISA不及CHECKPOINT有名,但用起来还是很不错的)。但是突然有一天,这个“瘟斗死”的中方老板不断的通过本地版权局向我公司施压,“买正版,不买就。。。。。”,“做一个正版购置计划。。。”,偏偏公司老板嫌 “瘟斗死”产品太贵,于是呼,网管就责任重大了,责令我等吃干饭的:限期拿出办法,先解决服务器上网问题。
怎么办,除了“瘟斗死”还有什么?好象还有UINX和LINUX,只有这个是免费的了,学学吧(无赖,觉得很难学),好在网络基础雄厚。
猛然间想起前两年曾经买过一个rh 6.2光碟,何不拿来试试。说干就干,光盘启动,全是英文,开始有点象NT安装。突然停下来,好象要输入什么东西?看不懂,什么swap,胡乱输了点东西,打回车,显示错误,通不过,卡住了?????上网查资料、看书,折腾了一天,好象对“装入点”、“hda”、“Lilo”什么的有点印象了。第二天继续装,按我的理解输入,居然过了,最后选择登录环境,好象有个什么Xwindow,就选这个(熟悉了“瘟斗死”嘛),打回车,一片漆黑,死了!!???凭我的直觉是显示驱动没有。看来6.2只有枪毙了。
饶头想想,过了两年了,LINUX应该有新的了,到网上查查。搜索了半天,一个红旗LINUX出现在眼前,恩?这应该是国产的,支持支持。来到红旗网站一看,遗憾,服务器版要掏钱,只有桌面版可下载。还是试试吧,它至少是个窗口系统(菜!),还介绍了如何刻录启动光碟(对我以后刻录RH 8.0起了决定作用)。赶快下载,这一天又过去了。接下来装红旗3.2就轻松多了,中文安装界面,缺省设置,一气呵成。重新启动,登录,哈哈,我终于第一次看到了窗口桌面式LINUX。高兴,花花绿绿的,不知道是些什么,好在它有点仿“瘟斗死”(老用“瘟斗死”来比),点点这看看那,熟悉一下LINUX的目录结构,好玩。慢慢冷静下来,不行,这个不是服务器版,没法用,汉字显示也特别不舒服,还是卸了吧。
到光盘市场转转,也许有什么新的LINUX。问了无数家,终于有一家说他有红帽子7.3,好,就要这个,肯定也是中文的了。拿回来,光盘启动,中文安装界面,根红旗一样嘛,谁抄谁呀,管他的啦,缺省设置,中间有个什么选工作站、服务器、定制之类的,先选服务器吧,最后选图形登录环境,顺利通过。重新启动,登录,恩,好象比红旗的感觉好一点,但仿“瘟斗死”的效果差,汉字显示也不舒服,硬绑绑的。不管它,熟悉窗口配置程序,有的看得懂,有的看不懂。接下来应该是配置了,先从与“瘟斗死”共享开始吧,……。我开始了漫长的配置学习、测试过程。半个月过去了,……。
终于有一天,我发现我的2号光盘有问题(以后得到了证实,买了个劣质品),有的模块装不上,无法继续配置。看来只有到红帽子网站下载了。来到红帽子,发现了RH8.0,兴奋,这肯定更好用了,下下来,三个600M,用了三天。刻录光盘,安装。同7.3一样顺利,而且是完全安装。看看桌面,很好,比7.3温柔多了,汉显舒服多了,值。就这样,我选定了RH8.0,我正式进入配置阶段,……。
总体印象。我觉得,就文字,特别是中文处理和显示而言,LINUX的两个主要桌面系统,现在还无法和“瘟斗死”媲美,常出现汉字输不进,字大小显示错误,粘贴出错等,竞争“瘟斗死”还嫌乏力。有的窗口配置程序不能正常启动,如“用户和工作组”配置,7.3下的KDE可以用,8.0的根本就用不了(也许是我菜)等。桌面给人的舒适感,8.0好于7.3,7.3好于红旗3.2。目录及文件结构位置,7.0以上基本是一致的,和7.0以下的应该有一些区别,这从网友介绍的文章可以看出来。
我认为红帽子LINUX做服务器绝对是最棒的,为什么?嗨,省钱啦!!!(菜人的想法,真菜)。
这段时间,我在网上学到了不少东西,把那些主要的网站介绍给大家,对初学者特别有用:
文章:http://linux.ccpi.gov.cn/linux/linu...?ml=linuxjq.htm
http://www.jiafangyifang.com/news/s...0&radiobutton=1 (输入关键词可以查到你所需要的)
http://chinaunix.net/bbsjh/1/
论坛:http://www.linuxsir.com/bbs/index.php
http://www.linuxaid.com.cn/forum/
二.安装问题
1.win 98/win 2000/linux三系统共存。
在rh7以上都不是太难,我的做法是:
先用PartitionMagic对硬盘进行分区,分为dos区和linux区,DOS至少分为两个区,一个FAT 2G,一个NTFS 3G。LINUX分一个区就行了,至少要5G。
然后先装WIN98/ME,再装WIN2000。最后装rh 8.0。
装rh8时,选择“自动配置分区”、“删除所有LINUX分区”,启动分区选择默认值,不能选lilo。
这样,只要安装完成,自然就实现了“一机三制”。
2.安装时的指定选项。
“安全”选择“无防火墙”较有利,免得以后配置时老是怀疑防火墙问题。
网卡IP地址选择手动输入,开机自动激活。并建议安装时就输入,特别是只有一块网卡或内网卡。若本机不是网关和DNS服务器,也要输入网关和DNS地址。
主机名也在安装时就输入,一定是全称:xxx.xxx.xxx.。
3.运行“./configuer”显示无gcc错误。
在“定制”安装时,没选择“开发工具”一项,使得gcc模块未能安装所至。
三.配置问题(以双网卡防火墙为例)
企业用户架构linux服务器,通常完成这么几个功能:文件共享,打印共享,上internet,发布自己的web和ftp等。包含的软件包主要有: samba(windows共享)、apache(web服务)、squid(web代理)、proftpd/wu-ftpd(ftp服务)、 iptables/ipchains(防火墙)等。其中,samba、apache和squid是必选的,ftp和防火墙主流都选择proftpd和 iptables,主要是考虑更安全和更易配置。
在rh8.0里面,自带可安装samba、apache、squid、wu-ftpd、iptables,虽然版本不一定是最新的,但只要配置正确,它们足以发挥正常功能。
“瘟斗死”的执行文件有明确的标记(如:*.exe,*.com等),而配置都是自动的。Linux完全不是这么回事,不但执行文件没有有明确的标记,安装和配置也需要行命令输入。网友们给出很多的配置文章,都是基于行命令的,这对于用惯了“瘟斗死”的admin,又是初学linux的菜鸟们来说,确实是很茫然的,找不到北呀(我现在就知道带“齿轮”图标的文件是可执行的,.conf是可以配置的。是不是很菜呀)。
下面谈谈我的配置经验:
配置应该先易后难,能用图形配置界面的最好使用它。逐个进行,配好一个,启动一个,测试一个,再配下一个。大部分配置文件都有缺省的配置和全配置的详细说明,在你还不清楚那些没有打开的配置的功能和意义以前,最好先不要打开。切忌一哄而上,全部启动,出了问题都不知道谁影响谁,谁对谁错。
配置的顺序建议是:dns(包括网卡),iptables ,samba,ftp,apache,最后是squid。为什么要这样啦?dns就不用解释了,它不能正常工作,其它的都谈不上。内网的兄弟们急着上网,先配好iptables打发了他们。samba相对简单,配成完全共享后,两机间可以互考文件,便于其他配置,如考网页到apache等。ftp配好后,就可用dreamweaver上传网站到apache,有利于apache测试。Web服务不是很急,可以晚点配。只有在三个服务都能正常工作的情况下才有可能进行代理配置。当然你也可以按自己的顺序配了。
下面说的“终端”,均是指“系统工具”里的“终端”窗口程序。对语句的意义不再做解释,这方面的介绍很多,重点在配置的过程和方法。
1. DNS配置。
安装完后,用root登录,先打开桌面“系统设置”中的“网络”图形界面,检查网络配置。
“设备”一栏
内外网卡的IP地址都必须手动指配。在“当计算机启动时激活设备”处打勾。
网关:
如果本机是内网网关,内网卡的“默认网关编号”就空着,反之填写内网网关的IP地址。
外网卡的网关地址一定要添的,应该是外网卡连线对端设备(如路由器、交换机等)的IP地址。注意,掩码一定要正确。“路由”可以不配。
接好网络线,点击“活跃”,激活内外网卡。
“主机”一栏
这实际上是一个主机地址列表,对应于“/etc/hosts”文件。通常已经有了你本机的名字和地址(如果你在安装时就输入了主机名的话)。可以用“编辑”和“添加”进行修改或添加本机和其它主机的名字、别名和IP地址。注意,最好使用DNS来添加新的主机名、别名和IP地址。
“DNS”一栏
在“主机名”中输入与“‘主机’一栏”中的本机主机名一致的名字。在“搜索域”中输入你域名全称,点击“添加”。
如果本机是DNS客户,在“主DNS”输入你的DNS服务器IP地址,反之就空着。
关闭“网络配置”,按照提示存盘。
作为DNS客户,本机的DNS配置就结束了。你可以在“终端”里用nslookup和ping命令测试域名、主机全称名和别名,必须全部通过才能进行后面的步骤。
如果本机是DNS服务器。在桌面打开“服务器设置”中的“域名服务”图形界面,配置DNS服务器。
里面已经有一个“localhost”域的正、反向区块,不要动它,让它留着。
点击“添加”,选“正向主区块”,在“域名”中输入你域的全称。确定。进到“名称到IP的翻译”。在“主名称服务器”中输入本机的主机名全称,在“联系”中修改“localhost”为你的主机名全称。
在“记录”里点亮你的域名,点击右边的“编辑”,打开域名设置窗口。在“名称服务器”右边点击“添加”,输入本机主机名全称,确定。在“IP地址”中输入你的内网卡地址。
在“记录”里点亮你的域名,点击右边的“添加”,打开“添加一条记录”窗口,添加其它主机的主机名和别名的解析。确定。
退出“名称到IP的翻译”。
再点击“添加”,选“反向主区块”,在“IP地址”中输入你域的IP网址。确定。进到“IP到名称的翻译”。在“主名称服务器”中输入本机的主机名全称,在“联系”中修改“localhost”为你的主机名全称。
在“名称服务器”,点击右边的“添加”,打开“名称服务器的属性”窗口,在“服务器”中添加本机的主机名。确定。
在“逆向地址表”,点击右边的“添加”,打开“新逆向区块指针”窗口,添加其它主机的主机名逆向解析。确定。
退出“IP到名称的翻译”。
关闭“域名服务”配置窗口,根据提示存盘。相应的文件会存入:/etc/named.conf文件和/var/named目录下。
最后,打开“/etc/named.conf”文件,在“options{ }”中,加入转发语句:“forwarders {x.x.x.x;};”,地址应该是你的ISP的DNS地址。
至此,DNS服务器就配置好了。打开桌面“系统设置”中的“服务”,进入“服务配置”窗口。找到“named”一项,在左边打勾,点击左上的“储存”,再点击“开始”,启动DNS服务器。
你可以在“终端”里用nslookup和ping命令测试域名、主机全称名和别名,必须全部通过才能进行后面的步骤。
2. Iptables配置
配置iptables的目的,一个是防止公网的入侵,一个是让内网的兄弟们上网。在没配之前,只有本机能上网。
Rh8.0的“系统设置”中有个“安全级别” ,它主要是针对本机来说的,不能用它来配置iptables。打开“安全级别”,把它配成“无防火墙”级别。
为了配置、测试方便,可以先用“KWrite”编个“脚本”,采用“复制”、“粘贴”方式,把全部语句一次性粘贴到“终端”里执行。这样修改测试都很方便。
打开“其他”—“辅助设施”中的“KWrite”,将下面的样本输入或粘贴到里面(其中,eth0、eth1分别是外、内网卡):
echo "Enable IP Forwarding..."
echo 1 >/proc/sys/net/ipv4/ip_forward
echo "Starting iptables rules..."
/sbin/modprobe iptable_filter
/sbin/modprobe ip_tables
/sbin/modprobe iptable_nat
iptables -F INPUT
iptables -F FORWARD
iptables -F OUTPUT
iptables -F POSTROUTING -t nat
iptables -F PREROUTING -t nat
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.0.0/24 -j MASQUERADE
/etc/rc.d/init.d/iptables restart
iptables -L
再另存为一个文件放到桌面上,便于使用。
在这个配置里面,INPUT和转发FORWARD功能的缺省值都是拒绝(DROP),这意味着在后面的INPUT和FORWARD语句中没有表明通过(ACCEPT)的都将被拒之门外。这是一个最好的安全模式,经过使用赛门铁克的在线测试,所有公网端口都是隐藏的。注意,所有内网端口都是打开的,本机对内没有安全可言。
其它的语句我就不多说了,最后一句是显示配置执行后的链路结果。
每次修改完后,将整篇语句全部复制,再粘贴到“终端”,它将自动配置、启动、显示一次。反复修改、测试,直到达到你的要求。
最后将整篇语句全部复制,再粘贴到“/etc/rc.d/rc.local”文件后面,你的配置开机后也可以自动执行了。
