使用Linux系统架设安全的网关
1、网关主机设置
服务器【fú wù qì】上有两🎅块网卡,eth0使用【shǐ yòng】*.*.*.*IP地址连🐃接Internet,eth1连接LAN,则其/etc/network/interfaces的设置【de shè zhì】🎖如下:
|
以下为🍕引用的内容: |
2、IP伪装(IP-masquerade)
这时将【zhè shí jiāng】lan内主机【nèi zhǔ jī】网关【guān】改为🐬192.168.0.1,应该能ping通该网⛓关【guān】,但是还🌎是连不上internet。要实现LAN内的【de】机🎗器通过🌈共享一个单独的【de】🔊可访问【fǎng wèn】外网的【de】🔊IP地址来【dì zhǐ lái】🔄访问【fǎng wèn】Internet资源【zī yuán】,还需要【hái xū yào】在网关【guān】🏔上安装ipmasq。
| 以下为🔐引用的【yǐn yòng de】内容: $ sudo apt-get install ipmasq |
会提示【huì tí shì】进行一【jìn háng yī】💉些设置🏰,都默认即可。之后lan内主机【nèi zhǔ jī】🍢应该就【yīng gāi jiù】📶能连上internet了。
3、端口映射
假设lan内有一ftp192.168.0.2,要从【yào cóng】🎼internet上访问该ftp,需要在【xū yào zài】网关主机上进行一定【háng yī dìng】🍶的端口【de duān kǒu】🔣映射【yìng shè】。可使用🦈iptables完成🏦。下面是具体实【jù tǐ shí】现的脚本例子🍍:
| 以下为【yǐ xià wéi】🏢引用的内容: #!/bin/sh /sbin/modprobe iptable_filter /sbin/modprobe ip_tables /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F -t nat iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 21 -j DNAT --to 192.168.123.6:21 iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 2345 -j DNAT --to 192.168.123.116:3389 iptables -t nat -A POSTROUTING -s 192.168.123.0/24 -o eth0 -j SNAT --to 202.120.16.34 echo 1 > /proc/sys/net/ipv4/ip_forward |
关键词:Linux,网关
阅读本文后您有什么感想? 已有 人给出评价!
- 0
- 0
- 0
- 0
- 0
- 0
