公司电脑归为两大类:客户机、服务器。所谓客户机就是主动发起连接请求的机器,所谓服务器就是被动响应提供某些服务的机器。
服务器又可以分仅供企业内网使用和为外网提供服务两种。
如果把对外提供服务的服务器放到企业内网,一旦被攻陷入侵,黑客就可以利用这台机器(肉鸡)做跳版,利用局域网的漏洞与共享等来攻克其他机器。
所以有必要建立一个特殊的区,就叫DMZ。
为什么不把这些对外网提供服务的机器单独弄一条线连到公网呢?因为一般中小企业都仅有一个出口。
只要按以下规则配置防火墙,就构造了一个DMZ区:
1.内网可以访问外网
内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ
此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ
DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网
很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。
6.DMZ不能访问外网
此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。
二,配置实例:
1,防火墙一配置:
1)将 eth0网卡网线于ADSL MODEM相连,并配置好ppp拨号连接.
2)将eth1网卡网线于DMZ区交换机相连,并配置DMZ区IP地址,如图IP:192.168.2.37 ,子网掩码:255.255.255.0
3)使用echo 1 >/proc/sys/net/ipv4/ip_forward打开Linux内核的IP转发功能.
4)使用iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.2.36 -j MASQUERADE对192.168.2.36进行NAT转发.
5)使用iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.2.1 -j MASQUERADE对192.168.2.1进行NAT转发.
6)在防火墙配置文件/etc/sysconfig/iptables中添加如下行:
-P FORWARD DROP
-A FORWARD -m state --state
ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -s 192.168.2.36 -j ACCEPT
-A FOEWARD -s 192.168.2.1 -j ACCEPT
注释掉如下行:
#-A FORWARD -j REJECT --reject-with icmp-host-
prohibited
以上配置中的规则允许192.168.2.36及192.168.2.1的数据包通过防火墙进行双向转发.
2,防火墙二配置:
1)将eth0网卡网线于企业内网交换机相连,并配置内网IP地址,如图IP:192.168.10.36 ,子网掩码:255.255.255.0
2)将eth1网卡网线于DMZ区交换机相连,并配置DMZ区IP地址,如图IP:192.168.2.36 ,子网掩码:255.255.255.0
3)将防火墙二的默认网关设置为:192.168.2.37
4)下载pptpd-1.3.4.tar.gz,使用tar命令将包解压,使用./configure;make;make install进行编译安装.
5)配置pptpdVPN服务器:
a,使用vi /etc/pptpd.conf,输入如下内容:
speed 115200
option /etc/ppp/pptpd-options
debug
localip 192.168.0.1(PPTPD服务器网关地址)
remoteip 192.168.1.2-3(PPTPD客户端地址)
enable chap
b,使用vi /etc/ppp/pptpd-options,输入如下内容:
lock
debug
bsdcomp 0
auth
require-chap
proxyarp
,使用vi chap-secrets,输入如下内容:
# Secrets for authentication using CHAP
# client server secret
IP addresses
"wuxinlang" * "wuXinLang" 192.168.1.2
"wuxinlang2" * "12345678" 192.168.1.3
6)启动PPTPD服务进程:
在Linux系统#提示符后输入:pptpd字符回车启动PPTPD服务进程,在Linux系统#提示符后输入:ps –aux | grep pptpd字符回车后系统返回如下信息:
Warning: bad syntax, perhaps a bogus '-'
See /usr/share/doc/procps-3.2.7/FAQ
root 6760 0.0 0.0 1700 536 Ss
Dec22 0:00 pptpd
root 21487 0.0 0.0 4156 672 pts/0 S+
08:53 0:00 grep pptpd
说明PPTPD服务进程启动.
7)添加pppoe可户端访问规则:
a,使用echo 1 >/proc/sys/net/ipv4/ip_forward打开Linux内核的IP转发功能.
b,在/etc/sysconfig/iptables文件中加入如下行:
-A INPUT -p tcp --dport 1723 -s 192.168.10.133 -j
ACCEPT
-A INPUT -p tcp --dport 47 -s 192.168.10.133 -j
ACCEPT
-A INPUT -p gre -j ACCEPT
-A INPUT -m state --state ESTABLISHED,RELATED
-j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp
--dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-
prohibited
-P FORWARD DROP
-A FORWARD -m state --state
ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -s 192.168.1.2 -j ACCEPT
并注释掉如下行:
-A FORWARD -j REJECT --reject-with icmp-host-
prohibited
打开192.168.2.2对内网访问权限:
iptables -A FORWARD -s 192.168.2.2 -j ACCEPT
iptables -t nat -A POSTROUTING -o eth0 -s
192.168.2.2 -j MASQUERADE
这样我们通过启动防火墙配置就只允许 192.168.10.133进行PPPOE拨号连接.
我们可以定义多行包含需要进行PPPOE拨号的IP地址.这样就能够实现特定IP的PPPOE拨号连接并在防火墙中放行定义IP的数据包双向转发.
,iptables -t nat -A POSTROUTING -o eth1 -s
192.168.1.2 -j MASQUERADE对pppoe拨入的IP为192.168.1.2的主机进行NAT转发.
为了启动方便在防火墙一上编写如下脚本:
vi /etc/init.d/iptables_forward_up
:
#!/bin/sh
echo 1 > /proc/sys/net/ipv4/ip_forward
route add -net 10.109.1.0/24 gw 192.168.1.37 eth2
iptables -t nat -F
iptables -t nat -A POSTROUTING -o ppp0 -s
192.168.1.37 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s
192.168.1.38 -j MASQUERADE
iptables -t nat -A POSTROUTING -o ppp0 -s
192.168.1.39 -j MASQUERADE
#iptables -t nat -A POSTROUTING -o bond0 -j
MASQUERADE ##允许所有IP转发
iptables -I PREROUTING -t mangle -s 192.168.1.37
-j MARK --set-mark 1
iptables -I PREROUTING -t mangle -s 192.168.1.38
-j MARK --set-mark 2
tc qdisc del dev ppp0 root
tc qdisc add dev ppp0 root handle 100: cbq
bandwidth 100Mbit avpkt 1000
tc class add dev ppp0 parent 100:0 classid 100:1
cbq bandwidth 100Mbit rate 100Mbit allot 1514 weight
1Mbit prio 8 maxburst 8 avpkt 1000 bounded
tc class add dev ppp0 parent 100:1 classid 100:2
cbq bandwidth 10Mbit rate 50Kbit allot 1513 weight
5Kbit prio 5 maxburst 8 avpkt 1000 bounded
tc qdisc add dev ppp0 parent 100:2 sfq quantum
1514b perturb 15
tc filter add dev ppp0 parent 100:0 protocol ip
prio 1 handle 1 fw classid 100:2
tc filter add dev ppp0 parent 100:0 protocol ip
prio 2 handle 2 fw classid 100:2
tc qdisc del dev eth2 root
tc qdisc add dev eth2 root handle 200: cbq
bandwidth 100Mbit avpkt 1000
tc class add dev eth2 parent 200:0 classid 200:1
cbq bandwidth 100Mbit rate 100Mbit allot 1514 weight
20Kbit prio 8 maxburst 8 avpkt 1000 bounded
tc class add dev eth2 parent 200:1 classid 200:2
cbq bandwidth 100Mbit rate 50Kbit allot 1513 weight
5Kbit prio 5 maxburst 8 avpkt 1000 bounded
tc qdisc add dev eth2 parent 200:2 sfq quantum
1514b perturb 15
tc filter add dev eth2 parent 200:0 protocol ip
prio 25 u32 match ip dst 192.168.1.0/24 flowid 200:2
vi /etc/init.d/iptables_forward_down:
#!/bin/sh
echo 0 > /proc/sys/net/ipv4/ip_forward
route del -net 10.109.1.0/24 gw 192.168.1.37 eth2
iptables -t nat -F
#iptables -t nat -D POSTROUTING -o bond0 -j
MASQUERADE ##允许所有IP转发
在防火墙二上编写如下脚本:
vi /etc/init.d/ppp_iptables_up
:
#!/bin/bash
route add -host 10.108.72.188 gw 10.109.1.1
echo 1 > /proc/sys/net/ipv4/ip_forward
/usr/local/sbin/pptpd
iptables -t nat -A POSTROUTING -o eth0 -s
192.168.3.2 -j MASQUERADE
iptables -t nat -A POSTROUTING -o eth0 -s
192.168.3.3 -j MASQUERADE
vi /etc/init.d/ppp_iptables_down:
#!/bin/bash
route del -host 10.108.72.188 gw 10.109.1.1
echo 0 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -F
pid=$(ps -ex | grep pptpd | awk '{print $1}');kill
-9 $pid
//查找并KILL掉pptpd进程
通过以上配置,我们的DMZ区就可以进行安全的网络
授权访问.随着业务的发展我们可以将防火墙1的互连网接
入改为静态IP.这样我们可以使用Iptables提供的DNAT及
SNAT对互连网访问DMZ区的数据进行转发和相关的安全审
查.这样就有效的保证了在提高企业数据共享度及远程客
户通过互连网访问企业网站或进行网络交易时企业私有网
的网络安全.
Fedora10多媒体解决方案
一 :mp3播 放 器Audacious
#yum install audacious audacious-plugins audacious-
plugins-freeworld
audacious-plugins-freeworld-*
二 :Mplayer
#yum install mplayer smplayer
安 装 所 有 的 多 媒 体 解 码 器
到 这 里 下 载
http://www.mplayerhq.hu/MPlayer/releases/codecs/all-
20071007.tar.bz2
解 压之后
#chmod u+x *
#cp * /usr/lib/codecs/
#/sbin/ldconfig