第六章 防火墙和代理
一、基本概念
1.防火墙分为:
网络层防火墙,iptables、netfilter
应用层防火墙,squid
2.iptables架构
filter(过滤系统):INPUT、FORWARD、OUTPUT
NAT(地址转换系统):INPUT、OUTPUT、PREROUTING、POSTROUTING
mangle(策略路由):OUTPUT、POSTROUTING
3.iptables实现NAT
SNAT,源NAT,改变数据包的源地址
DNAT,目的NAT,改变数据包的目的地址
二、配置iptables
1.安装
#rpm -ivh iptables --光盘1
2.配置
#iptables [表] [-命令] [链名] [匹配规则] [-j 动作]
表,filter、nat、mangle,默认filter
命令,A(添加)、D(删除)、F(清除所有)、L(查看)
链名,INPUT、OUTPUT、FORWARD …
规则,-p(协议)、-s(源地址)、-d(目的地址)、-dport(目的端口)
动作,ACCEPT(通过)、DROP(丢弃)、SNAT(转源地址)、REJECT(拒绝)
3.启动
#chkconfig --level 345 iptables on
三、配置squid
1.代理进程
squid,代理守护进程
unlinkd,清理缓存数据
dnsserver,处理客户端域名查询的进程
2.数据缓存目录
/var/spool/squid
3.配置
/etc/squid/squid.conf
cache_mem 80 MB --修改缓存大小
cache_dir --缓存目录
http_port --代理监听客户端请求的端口
http_access allow all --访问控制
acl requst_time time MTWHF 时间段 --允许访问的时间
第七章 Linux其他重要服务
一、LDAP
1.LDAP,轻量级目录访问协议,用于集中存储、管理、查询网络资源(分布式数据库)
2.安装:
#rpm -ivh openldap-client --客户端(光盘2)
#rpm -ivh openldap-server --服务器端(光盘2)
3.配置
服务器端,/etc/openldap/slapd.conf
suffix "dc=a,dc=com" --配置域名(a.com)
rootdn "cn=root,dc=a,dc=com" --配置管理员
rootpw 123 --配置管理员密码
客户端,/etc/openldap/ldap.conf
HOST 10.0.0.1 --配置服务器的IP
BASE dc=a,dc=com --配置域名
4.启动
#service ldap start
5.查询
#ldapsearch -x -D ‘dc=a,dc=com’
6.输入记录
#ldapadd -x -D ‘cn=root,dc=a,dc=com’-W -f hh.ldf
==========hh.ldf=============
dn:dc=a,dc=com
objectclass:dcobject
dc:a
dn:cn=hu,dc=a,dc=com
objectclass:inetorgperson
cn:hu xinliang
mail:hu@a.com
sn:hu
givenname:xinliang
o:reset
mobile:123456789
title:jiaoshi
7.验证
Windows通讯簿--添加帐户(服务器IP)--属性--高级(搜索库dc=a,dc=com)
查找用户
二、DHCP服务
1.安装
dhcp-3.0p11.23 --光盘2
2.配置
/etc/dhcpd.conf --不存在,/usr/share/doc/dhcp-3…/dhcp.conf.sample拷贝过来
subnet 10.0.0.0 netmask 255.0.0.0 --定义区域
option routes 10.0.0.1 --定义网关选项
option domain-name --定义DNS服务器
range 10.0.0.100 10.0.0.200 --定义IP地址段
fix-address --
hardware ethernet 00:AA:BB:CC:11:22 --定义保留
3.启动
#dhcpd start
#service dhcpd start
4.测试
三、NIS
1.NIS,网络信息服务,集中管理系统通用访问文件(/etc/passwd,/etc/hosts)
2.组成
一个服务器、一个客户端库、几个管理工具
3.配置(服务器)
安装ypserv --光盘3
/etc/ypserv.conf --设置map文件访问控制
10.0.0.0/255.0.0.0 :* :* :none --允许10网段访问所有的资源
#ypserv start --启动NIS服务
注:/var/yp/securenets --限制访问主机
4.配置(客户端)
/etc/hosts --设置解析(服务器名--IP)
/etc/yp.conf --设置NIS服务器信息
domain 域名 server 服务器名
#domainname 域名 --加入到域
#service ypbind start --启动客户端守护进程
#ypwhich --测试是否能够连到服务器
#ypcat -x --获取NIS服务器信息
四、SNMP
1.SNMP,简单网络管理协议
2.安装
net-snmp,收集网络管理信息 --光盘2
mrtg,根据网络信息制作流量图 --下载
apache,发布网络管理信息 --光盘1(httpd-2)
3.配置
/etc/snmpd/snmpd.conf --配置snmp
#service snmpd start --启动snmp
第八章 网络安全
一、tcp-wrappers
1.tcpd基于xinetd的
2.配置文件
/etc/hosts.allow:允许访问
/etc/hosts.deny:拒绝访问
注:allow优先deny,如果都没有匹配项,允许
/etc/xinetd.d/服务 --每个服务配置
/etc/xinetd.conf --共性的配置
二、SSH
1.SSH,安全的SHELL,建立安全的加密隧道
2.验证方式:基于口令、基于密钥
3.安装、配置
#rpm -ivh openssh-* --光盘1
#rpm -ivh openssh-server --服务器端
#rpm -ivh openssh-client --客户端
4.启动
#service sshd start
5.测试
#ssh 用户@服务器IP
#ssh -l 用户 服务器IP
6.其他
#scp --安全的拷贝
#sftp --安全的FTP
三、VPN
1.实现:IPsec、PPTP、L2TP、SSH
2.安装FreeS/WAN(基于IPsec)
下载源码包freeswan
3.配置
/etc/ipsec.conf
conn lnet-rnet --内部网络连接外部网络
4.启动
#service ipsec start
5.建立连接隧道
#ipsec auto --up lnet-rnet
注:ipsec.conf中auto=start|add,自动|手动