1 / 22

ITEC280

LINUX 操作系统. ITEC280. —— 实践是检验真理的唯一标准 ——. 2013.11.20. IDC 公司技术部业绩表. 统计于 2013.11.19. 知识回顾. cluster+httpd+nfs 集群的主机规划. 知识回顾. 部署准备工作 安装 centos , 设定 IP 地址、主机名。 关闭防火墙与 selinux 在 server1 、 server2 上修改 /etc/hosts 文件,修改两行: service netwrok restart 重启网络 检查配置,互相 ping 对方主机名,确认通畅。.

germane-meyer
Download Presentation

ITEC280

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LINUX操作系统 ITEC280 —— 实践是检验真理的唯一标准 —— 2013.11.20

  2. IDC公司技术部业绩表 统计于2013.11.19

  3. 知识回顾 • cluster+httpd+nfs集群的主机规划

  4. 知识回顾 • 部署准备工作 • 安装centos,设定IP地址、主机名。 • 关闭防火墙与selinux • 在server1、server2上修改/etc/hosts文件,修改两行: • service netwrok restart 重启网络 • 检查配置,互相ping对方主机名,确认通畅。 • 192.168.16.197 s1 • 192.168.16.198 s2

  5. 知识回顾 • 部署准备工作 • 部署server3上的NFS服务 • mkdir /wwwroot创建目录 • 修改/etc/exports文件,增加一行: • service portmap start • service nfs start • /wwwroot 192.168.16.197(rw,no_root_squash,no_all_squash,sync) 192.168.16.198(rw,no_root_squash,no_all_squash,sync)

  6. 知识回顾 • 在s1上部署luci与ricci • yum install -y luci安装luci • luci_admin init 设置集群web管理端admin的密码 • service luci restart 重启luci • yum install -y ricci安装ricci • service ricci start • service cman start (如有必要执行) • service rgmanager start (如有必要执行) • 在s2上部署ricci • yum install ricci安装ricci • service ricci start

  7. 知识回顾 • 创建cluster • 测试机上访问https://192.168.16.197:8084账户:admin 密码: • 在cluster菜单中,create a new cluster。新建集群web_cluster,将s1、s2加入 • 新建故障转移集群web_cluster • 新建IP资源、脚本资源、NFS资源 • 新建故障转移服务并将上诉三个资源加入 • 新建Fence Device栅设备 详细教程:cluster+httpd+NFS.doc 参考教程: http://369369.blog.51cto.com/319630/836001

  8. 公司任务 • 任务说明: 唐山市瑞兴科技发展有限公司发来求助信息:2013年11月20日00:02:04公司网络受到不明来源攻击。00:07:23,公司网络瘫痪、公司内部网站被恶意篡改。目前,网站已经被紧急修复,外网临时关闭。为了避免这种情况再次发生,现向我公司发来求助信息。特请我公司为其公司网络及服务器制定并实施防护方案。

  9. LINUX防火墙 • 防火墙: 防火墙(英文:firewall)是一项协助确保信息安全的设备,会依照特定的规则,允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。

  10. LINUX防火墙 • 包过滤防火墙: 包过滤是一种内置于Linux内核路由功能之上的防火墙类型,其防火墙工作在网络层。 数据包过滤用在内部主机和外部主机之间, 过滤系统是一台路由器或是一台主机。过滤系统根据过滤规则来决定是否让数据包通过。用于过滤数据包的路由器被称为过滤路由器。

  11. LINUX防火墙 • IPTABLES: iptables是与Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

  12. LINUX防火墙 • IPTABLES: iptables是与Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。 防火墙在做信息包过滤决定时,有一套遵循和组成的规则,这些规则存储在专用的信息包过滤表中,而这些表集成在 Linux 内核中。在信息包过滤表中,规则被分组放在我们所谓的链(chain)中。而netfilter/iptables IP 信息包过滤系统是一款功能强大的工具,可用于添加、编辑和移除规则。

  13. IPTABLES • filter表 • 系统默认表、存放真正的防火墙过滤规则 • 内建链:INPUT、OUTPUT、FORWARD • nat表 • 包含源和目标地址及端口转换用的规则。 • 内建链:PREROUTING、OUTPUT、POSTROUTING • mangle表 • 设置特殊的数据包路由标志规则。这些标记被随后的filter表规则检查。 • 内建链: INPUT、OUTPUT、FORWARD、 PREROUTING、POSTROUTING

  14. IPTABLES • 数据包流向示意图

  15. IPTABLES

  16. IPTABLES • 过滤链路优先图

  17. IPTABLES • Iptables语法 • 表名: filter | nat | mangle • 链名: INPUT|OUTPUT|FORWARD|PREROUTING|POSTROUTING • 协议:tcp|udp……. • 端口:80| 21 |53 | 22 …… • 动作: ACCEPT|DROP|REDIRECT|REJECT|SNAT|DNAT|MASQUERADE|LOG • Iptables [-t 表名] <-A|I|D|R|…> 链名[规则编号] [-i|o网卡名称] [-p 协议类型] [-s 源IP|源子网] [--sport 源端口] [-d 目标IP|目标子网] [--dport目标端口] <-j 动作>

  18. IPTABLES • Iptables常用语法

  19. IPTABLES • Iptables常用语法 • 查看规则iptables –L -n • 清除规则 • iptables –F(清除预设表filter中的所有规则链的规则) • iptables –X(清除预设表filter中使用者自定链中的规则) • 定义默认规则 • iptables -P INPUT DROP (注意大写) • iptables -P OUTPUT ACCEPT • iptables -P FORWARD DROP • 添加规则iptables –A INPUT –p tcp ––dport 80 –j ACCEPT(放行80端口) • 保存规则 • /etc/rc.d/init.d/iptables save

  20. 海蜘蛛软路由 • 海蜘蛛软路由(http://www.hi-spider.com/) • Hi-Spider Router是针对中小型企业/网吧用户特点和中国宽带应用环境特别优化设计,具备满足良好的网络兼容性,整体性能优越,配置简单,提供多方面的管理功能,极具性价比。可全面满足家庭、政府、机关、企业、大中型网吧、宽带社区、校园网对高性能、多功能、高可靠性、高安全性、高性价比的需求。 • 产品集宽带路由、专业级防火墙、QoS带宽流量管理、多线路负载均衡、PPPOE服务器等多项功能于一身,支持功能模块扩展,是一个安装简单、稳定性高、易维护、投资低的一体化智能路由产品。根据不同的应用需求,产品分为网吧专用版和企业专用版.

  21. 任务五 部署双机故障转移集群 • 使用virtualbox创建名称为本人姓名全拼的虚拟机,网卡桥接。 • 设置eth0的IP地址为192.168.3.(本机编号+100),网关为192.168.3.254。主机名为本人姓名全拼。截图为1.jpg。 • 启用防火墙、关闭Selinux。截图为2.jpg • 使用iptables –L 查看当前防火墙信息。截图为3.jpg • 在var/www/html/下,创建index.html,将本人学号写入该文件。截图为4.jpg • 启动httpd服务,在winxp操作系统下,使用浏览器访问该网址(无法访问)。截图为5.jpg • 清空防火墙规则,添加默认规则:INPUT丢弃,OUTPUT同意,FORWARD丢弃。截图为6.jpg • 配置放行INPUT链上访问本机80端口的数据包,截图为7.jpg • 保存防火墙配置,使用cat查看/etc/sysconfig/iptables的内容,核对配置。截图为8.jpg • 再次在winxp操作系统下,使用浏览器访问该网址(可查看到本人学号)。截图为9.jpg 所有截图提交给部门经理。部门经理将作业一并打包,下课之前交至 sishang206@qq.com • 创建虚拟机,两块网卡,均桥接。下载海蜘蛛安装镜像: hsrouter_V8.0_Build20131022.iso,并安装为免费版。截图为a.jpg。 • 在winxp下用浏览器访问软路由,默认账户密码均为admin。截图为b.jpg • 注:软路由的LAN口设置为192.168.3. ( 220+小组编号)

  22. 大家共同努力

More Related