使用Linux係統架設安全的網關(guān)
1、網關主機(jī)設置
服務器(qì)上(shàng)有(yǒu)兩塊網卡,eth0使用*.*.*.*IP地址連接Internet,eth1連(lián)接LAN,則其/etc/network/interfaces的設(shè)置如(rú)下:
|
以下為引用的內容: |
2、IP偽裝(IP-masquerade)
這時(shí)將lan內主機網關改為(wéi)192.168.0.1,應該(gāi)能ping通該網關(guān),但是還是連不上internet。要實現LAN內的機(jī)器(qì)通過共(gòng)享一個單(dān)獨的可訪問外網的IP地址來(lái)訪(fǎng)問Internet資(zī)源,還需要(yào)在網關上(shàng)安裝ipmasq。
| 以下(xià)為(wéi)引(yǐn)用的內容: $ sudo apt-get install ipmasq |
會提示進行一些設(shè)置,都默認即可。之後lan內主機應該就能(néng)連上internet了。
3、端口映射
假設lan內有一ftp192.168.0.2,要從internet上訪問該ftp,需要在網關主機上進行(háng)一定的端口(kǒu)映射。可使用iptables完成。下麵是具體實現的腳本例子:
| 以(yǐ)下為引(yǐn)用的內容: #!/bin/sh /sbin/modprobe iptable_filter /sbin/modprobe ip_tables /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F -t nat iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 21 -j DNAT --to 192.168.123.6:21 iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 2345 -j DNAT --to 192.168.123.116:3389 iptables -t nat -A POSTROUTING -s 192.168.123.0/24 -o eth0 -j SNAT --to 202.120.16.34 echo 1 > /proc/sys/net/ipv4/ip_forward |
關鍵詞:Linux,網關
閱讀本文後您有什麽感想(xiǎng)? 已有(yǒu) 人給出評價!
- 0
- 0
- 0
- 0
- 0
- 0
