1 / 19

ITEC280

LINUX 操作系统. ITEC280. —— 实践是检验真理的唯一标准 ——. 2013.12.04. IDC 公司技术部业绩表. 统计于 2013.12.03. 知识回顾. 过滤链路优先图. NAT 主机的配置. 1. 配置 IP 地址与网关

lixue
Download Presentation

ITEC280

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. LINUX操作系统 ITEC280 —— 实践是检验真理的唯一标准 —— 2013.12.04

  2. IDC公司技术部业绩表 统计于2013.12.03

  3. 知识回顾 • 过滤链路优先图

  4. NAT主机的配置 1.配置IP地址与网关 2.打开包转发功能:echo “1” > /proc/sys/net/ipv4/ip_forward或者修改/etc/sysctl.conf文件,让包转发功能在系统启动时自动生效: net.ipv4.ip_forward = 1 (注:执行sysctl –p可手动生效)3.打开iptables的NAT功能:iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE说明:eth0是连接外网或者连接Internet的网卡 4.保存iptables的规则: service iptables save service iptables restart

  5. 知识回顾 • Iptables常用语法 • 查看规则iptables –L -n • 清除规则 • iptables –F(清除预设表filter中的所有规则链的规则) • iptables –X(清除预设表filter中使用者自定链中的规则) • 定义默认规则 • iptables -P INPUT DROP (注意大写) • iptables -P OUTPUT ACCEPT • iptables -P FORWARD DROP • 添加规则iptables –A INPUT –p tcp ––dport 80 –j ACCEPT(放行80端口) • 保存规则 • /etc/rc.d/init.d/iptables save

  6. 知识回顾 • 禁止客户机访问不健康网站【例1】添加iptables规则禁止用户访问域名为www.sexy.com的网站。iptables -I FORWARD -d www.sexy.com -j DROP【例2】添加iptables规则禁止用户访问IP地址为20.20.20.20的网站。iptables -I FORWARD -d 20.20.20.20 -j DROP • 禁止某些客户机上网【例1】添加iptables规则禁止IP地址为192.168.1.X的客户机上网。iptables -I FORWARD -s 192.168.1.X -j DROP【例2】添加iptables规则禁止192.168.1.0子网里所有的客户机上网。iptables -I FORWARD -s 192.168.1.0/24 -j DROP

  7. 知识回顾 • 禁止客户机访问某些服务【例1】禁止192.168.1.0子网里所有的客户机使用FTP协议下载。iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 21 -j DROP【例2】禁止192.168.1.0子网里所有的客户机使用Telnet协议连接远程计算机。iptables -I FORWARD -s 192.168.1.0/24 -p tcp --dport 23 -j DROP • 禁止使用ICMP协议【例】禁止Internet上的计算机通过ICMP协议ping到NAT服务器,但允许内网的客户机通过ICMP协议ping其他的计算机。iptables -I INPUT -p icmp -j DROP

  8. 知识回顾 • 强制访问指定的站点【例】强制所有的客户机访问192.168.1.x这台Web服务器。iptables -t nat -I PREROUTING -i eth1 -p tcp --dport 80 -j DNAT -–to-destination 192.168.1.x:80 • 发布内部网络服务器【例1】发布内网10.0.0.3主机的Web服务,Internet用户通过访问防火墙的IP地址即可访问该主机的Web服务。iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 80 -j DNAT -–to-destination 10.0.0.3:80【例2】发布内网10.0.0.3主机的ftp服务,Internet用户通过访问防火墙的IP地址访问该机的ftp服务。iptables -t nat -I PREROUTING -i eth0 -p tcp --dport 21 -j DNAT -–to-destination 10.0.0.3:21

  9. 公司任务 • 远洋商贸有限公司秦皇岛分公司向我公司提出服务请求:该公司总部设在北京,现有秦皇岛、连云港、上海、海口、珠海5个分公司。公司因业务发展需要,部署重要的业务系统,该系统仅允许内网用户登录使用。为解决各分公司的通信问题与众多业务人员的外出办公问题,拟建立公司VPN 。

  10. VPN虚拟专用网络 • 虚拟专用网络(Virtual Private Network,简称VPN)指的是在公用网络上建立专用网络的技术。其之所以称为虚拟网,主要是因为整个VPN网络的任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是架构在公用网络服务商所提供的网络平台之上的逻辑网络,用户数据在逻辑链路中传输。它涵盖了跨共享网络或公共网络的封装、加密和身份验证链接的专用网络的扩展。

  11. VPN虚拟专用网络 • VPN的隧道协议主要有三种,PPTP,L2TP和IPSec,其中PPTP和L2TP协议工作在OSI模型的第二层,又称为二层隧道协议;IPSec是第三层隧道协议,也是最常见的协议。 • Access VPN(远程接入VPN):客户端到网关,使用公网作为骨干网在设备之间传输VPN的数据流量; • Intranet VPN(内联网VPN):网关到网关,通过公司的网络架构连接来自同公司的资源; • Extranet VPN(外联网VPN):与合作伙伴企业网构成Extranet,将一个公司与另一个公司的资源进行连接;

  12. VPN虚拟专用网络 • PPTP:点对点隧道协议(Point to Point Tunneling Protocol) • 该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网(VPN),可以通过密码身份验证协议(PAP)、可扩展身份验证协议(EAP)等方法增强安全性。可以使远程用户通过拨入ISP、通过直接连接Internet或其他网络安全地访问企业网。

  13. CENTOS上部署VPN服务 • 准备工作 • 服务器IP:外网192.168.16.199,内网192.168.76.1 • 检测服务器是否支持: • modprobe ppp-compress-18 && echo ok 输出ok为通过测试 • cat /dev/net/tun 如果这条指令显示结果为下面的文本,则表明通过:cat: /dev/net/tun: File descriptor in bad state

  14. CENTOS上部署VPN服务 • pptpd服务 • https://code.google.com/p/acelnmp/ • 准确网址: • https://acelnmp.googlecode.com/files/pptpd-1.3.4-2.rhel5.i386.rpm • 下载方式 • wget https://acelnmp.googlecode.com/files/pptpd-1.3.4-2.rhel5.i386.rpm • pptpd安装 • rpm –ivh pptpd-1.3.4-2.rhel5.i386.rpm

  15. CENTOS上部署VPN服务 • 编辑配置文件/etc/pptpd.conf,修改如下: • localip 192.168.76.1 服务器地址 • remoteip 192.168.76.100-150 远程终端分配的地址区间 • 编辑配置文件/etc/ppp/options.pptpd,修改如下: • idle 36000 超时断开 • ms-dns 192.168.100.1 使用DNS • 编辑/etc/ppp/chap-secrets ,设置账号密码: • 按照“用户名 pptpd密码 *”的形式编写,一行一个。 • 比如:test pptpd 1234 *

  16. CENTOS上部署VPN服务 • 设置内核转发 • 编辑/etc/sysctl.conf文件,并使之生效。 • 设置防火墙: • 清空防火墙配置 • 设置默认INPUT、OUTPUT、FORWARD均为ACCEPT策略 • 设置DNAT伪装,使内网可以访问外网。 iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE • 保存防火墙配置并重启防火墙配置 • 启动pptpd服务并设置开机启动 • service pptpd start • chkconfig pptpd on

  17. CENTOS上部署VPN服务 • 在windows下创建vpn客户连接: • 新建网络连接 • 连接到我的工作场所的网络 • 虚拟专用网络连接 • vpn服务器地址192.168.16.199 • 输入账号密码。连接 • 客户机测试: • ping 192.168.76.1 • 访问http://lenj.itd.8866.org/linux/ip.asp

  18. 任务六 VPN • 使用virtualbox创建名称为本人姓名全拼的虚拟机,双网卡、均桥接。 • 设置eth0(外网)的IP地址为192.168.3.(本机编号+100),网关为192.168.3.254。主机名为本人姓名全拼。截图为1.jpg。 • 设置eth1(内网)的IP地址为192.168.6(小组号). (本机编号+100),掩码24位,网关为空。截图为2.jpg • 参考第十一节作业的第4、6步骤,设置包转发,并配置防火墙规则。确保内网用户可以上网。 • 修改XP系统IP地址为192.168.6 (小组号).本机编号,网关设置为虚拟机eth1网卡地址(截图2)。使用XP上网,访问www.baidu.com 。截图为 3.jpg。 • 下载pptpd-1.3.4-2.rhel5.i386.rpm,并安装。截图为4.jpg。 • 修改pptpd.conf,设定服务器地址与远程分配地址。远程地址区间为192.168. 6(小组号).本机编号,截图为5.jpg • 修改option.pptpd,增加DNS。截图为6.jpg • 修改chap-secrets,增加vpn连接用户,账户为本人姓名全拼,密码为本人学号。截图为7.jpg • 重启防火墙与pptpd服务。修改XP系统的IP地址为192.168.3.本机编号。网关设置为192.168.3.254 。访问http://lenj.itd.8866.org/linux/ip.asp,截图为8.jpg • 创建vpn连接,服务器地址为虚拟机的eth0接口Ip地址,截图为9.jpg • 成功进行vpn拨号。截图为10.jpg • 再次访问http://lenj.itd.8866.org/linux/ip.asp,截图为11.jpg。体会vpn对网络结构的改变。 所有截图提交给部门经理。部门经理将作业一并打包,下课之前交至 sishang206@qq.com

  19. 大家共同努力

More Related