LINUX AS 3下配置vlan+nat+squid（经使用证明很稳定）

LEOD

更新：
11月27号：
这次加了很多端口的列表！
看了网通的华为5200F上面有很多封掉的端口，我就顺便在NAT上也做了！
而且CPU的利用率也不高哈！
这个要视实际情况而定哈！你觉得有些端口你对你没有用你封了也行

69        any
139        any
135        TCP
136        TCP
137        TCP
138        TCP
445        TCP
593        TCP
1025        TCP
1068        TCP
3333        TCP
4444        TCP
4899        TCP
5554        TCP
5800        TCP
5900        TCP
6667        TCP
6881        TCP
9995        TCP
9996        TCP
135        UDP
136        UDP
137        UDP
138        UDP
593        UDP
1433        UDP
1434        UDP
3333        UDP
4444        UDP
5800        UDP
5900        UDP
6667        UDP
9000        UDP
9月28号：
最近加了一条规则，把139、445端口的数据包丢了！
这样子就减少冲击波礴来的危害了哈！！

我们学校本来有两条线路电信+网通！
但是路由器太烂了！一开始办公、服全和学生宿舍全部跑电信的线路
结果路由器吃不消了！
在没有新设备的情况下只好将学生宿舍和办公分开！
学生宿舍用网通算了！
今天就要做一个NAT+SQUID
但是我们宿舍楼有7栋！所以得有7个VLAN.
在AS3下是支持VLAN的！
下面就是VALN的配置过程

1. vconfig add eth0 51 &#VLAN的ID
   
2. ip address add 217.221.181.1/24 dev eth0.51 &#IP地址
   
3. ip link set dev eth0.51 up &#生效

复制代码

呵呵！！
VLAN搞定了！
可以用ifconfig看一下了！

再来就是squid配置

我只是简单配置一下！
详细的说明明天再写哈！

1. vi /etc/squid/squid.conf
   
2. ...............................
   
3. 
   
4. cache_mem 8 MB：
   
5. 
   
6. 这东西与你的内存有关，如果你的内存够大的话，这个 8 可以变大一些，例如你的内存有 256 MB 时，你可以设成 256*1/4 ==>; 64 MB，如果你只有 64MB，而且主机还有其它用途，那使用预设的 8 MB 就好了。
   
7. cache_dir ufs /var/spool/squid 1000 16 256
   
8. 
   
9. 
   
10. visible_hostname cncgateway &# &一定要加这个！要不SQUID启动不了哈！呵呵！！

复制代码

然后再进行下面的指令：

1. rm -rf /var/spool/squid
   
2. mkdir /var/spool/squid
   
3. chown squid quid /var/spool/squid
   
4. /usr/sbin/squid -z
   
5. /etc/rc.d/init.d/squid restart

复制代码

然后是NAT部分！

1. #!/bin/bash
   
2. echo 1 >; /proc/sys/net/ipv4/ip_forward & &
   
3. modprobe ip_tables & & & & & &
   
4. modprobe ip_nat_ftp
   
5. modprobe ip_nat_irc
   
6. modprobe ip_conntrack
   
7. modprobe ip_conntrack_ftp
   
8. modprobe ip_conntrack_irc
   
9. /sbin/iptables -F
   
10. /sbin/iptables -X
    
11. /sbin/iptables -Z
    
12. /sbin/iptables -F -t nat
    
13. /sbin/iptables -X -t nat
    
14. /sbin/iptables -Z -t nat
    
15. /sbin/iptables -P INPUT ACCEPT
    
16. /sbin/iptables -P OUTPUT ACCEPT
    
17. /sbin/iptables -P FORWARD ACCEPT
    
18. /sbin/iptables -t nat -P PREROUTING ACCEPT
    
19. /sbin/iptables -t nat -P POSTROUTING ACCEPT
    
20. /sbin/iptables -t nat -P OUTPUT ACCEPT
    
21. #加载模块
    
22. modprobe ip_tables 2>; /dev/null
    
23. modprobe ip_nat_ftp 2>; /dev/null
    
24. modprobe ip_nat_irc 2>; /dev/null
    
25. modprobe ip_conntrack 2>; /dev/null
    
26. modprobe ip_conntrack_ftp 2>; /dev/null
    
27. modprobe ip_conntrack_irc 2>; /dev/null
    
28. 
    
29. #IP伪装
    
30. /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 217.221.176.0/20 -j MASQUERADE
    
31. 
    
32. /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 211.41.120.0/21 -j MASQUERADE
    
33. 
    
34. #SQUID
    
35. iptables -t nat -A PREROUTING -i eth1 -p tcp -s 217.221.176.0/20 --dport 80 -j REDIRECT --to-port 3128
    
36. 
    
37. iptables -t nat -A PREROUTING -i eth1 -p tcp -s 211.41.120.0/21 --dport 80 -j REDIRECT --to-port 3128

复制代码

最后把VLAN+NAT写到nat.sh中，在rc.local中启动

在交换机上把VLAN配好！
测试通过！P4 1.8G/256M
用uptime看一下

1. [root@cncgateway root]# uptime
   
2. 18:47:29 &up &4:14, &1 user, &load average: 0.00, 0.00, 0.00

复制代码

学生宿舍上网的速度明显加快！这样也缓解办公楼上网问题！
不足之处请指出！
下面是整个脚本nat.sh

1. #!/bin/bash
   
2. echo 1 >; /proc/sys/net/ipv4/ip_forward & &
   
3. vconfig add eth0 51
   
4. ip address add 217.221.181.1/24 dev eth0.51
   
5. ip link set dev eth0.51 up
   
6. 
   
7. vconfig add eth0 52
   
8. ip address add 217.221.182.1/24 dev eth0.52
   
9. ip link set dev eth0.52 up
   
10. 
    
11. vconfig add eth0 53
    
12. ip address add 217.221.183.1/24 dev eth0.53
    
13. ip link set dev eth0.53 up
    
14. 
    
15. vconfig add eth0 54
    
16. ip address add 217.221.184.1/24 dev eth0.54
    
17. ip link set dev eth0.54 up
    
18. 
    
19. vconfig add eth0 55
    
20. ip address add 217.221.185.1/24 dev eth0.55
    
21. ip link set dev eth0.55 up
    
22. 
    
23. vconfig add eth0 56
    
24. ip address add 217.221.186.1/24 dev eth0.56
    
25. ip link set dev eth0.56 up
    
26. 
    
27. vconfig add eth0 57
    
28. ip address add 217.221.187.1/24 dev eth0.57
    
29. ip link set dev eth0.57 up
    
30. 
    
31. modprobe ip_tables & & & & & &
    
32. modprobe ip_nat_ftp
    
33. modprobe ip_nat_irc
    
34. modprobe ip_conntrack
    
35. modprobe ip_conntrack_ftp
    
36. modprobe ip_conntrack_irc
    
37. /sbin/iptables -F
    
38. /sbin/iptables -X
    
39. /sbin/iptables -Z
    
40. /sbin/iptables -F -t nat
    
41. /sbin/iptables -X -t nat
    
42. /sbin/iptables -Z -t nat
    
43. /sbin/iptables -P INPUT ACCEPT
    
44. /sbin/iptables -P OUTPUT ACCEPT
    
45. /sbin/iptables -P FORWARD ACCEPT
    
46. /sbin/iptables -t nat -P PREROUTING ACCEPT
    
47. /sbin/iptables -t nat -P POSTROUTING ACCEPT
    
48. /sbin/iptables -t nat -P OUTPUT ACCEPT
    
49. 
    
50. 
    
51. modprobe ip_tables 2>; /dev/null
    
52. modprobe ip_nat_ftp 2>; /dev/null
    
53. modprobe ip_nat_irc 2>; /dev/null
    
54. modprobe ip_conntrack 2>; /dev/null
    
55. modprobe ip_conntrack_ftp 2>; /dev/null
    
56. modprobe ip_conntrack_irc 2>; /dev/null
    
57. 
    
58. 
    
59. /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 217.221.176.0/20 -j MASQUERADE
    
60. 
    
61. /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 211.41.120.0/21 -j MASQUERADE
    
62. #挡病毒的端口列表
    
63. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 69 -j DROP
    
64. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 135 -j DROP
    
65. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 136 -j DROP
    
66. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 137 -j DROP
    
67. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 139 -j DROP
    
68. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 138 -j DROP
    
69. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 445 -j DROP
    
70. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 593 -j DROP
    
71. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 1025 -j DROP
    
72. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 1068 -j DROP
    
73. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 3333 -j DROP
    
74. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 4444 -j DROP
    
75. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 4899 -j DROP
    
76. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 5554 -j DROP
    
77. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 5800 -j DROP
    
78. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 5900 -j DROP
    
79. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 6667 -j DROP
    
80. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 6881 -j DROP
    
81. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 9995 -j DROP
    
82. /sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 9996 -j DROP
    
83. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 69 -j DROP
    
84. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 135 -j DROP
    
85. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 136 -j DROP
    
86. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 137 -j DROP
    
87. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 138 -j DROP
    
88. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 139 -j DROP
    
89. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 593 -j DROP
    
90. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 1433 -j DROP
    
91. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 1434 -j DROP
    
92. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 3333 -j DROP
    
93. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 4444 -j DROP
    
94. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 5800 -j DROP
    
95. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 5900 -j DROP
    
96. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 6667 -j DROP
    
97. /sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 9000 -j DROP
    
98. 
    
99. iptables -t nat -A PREROUTING &-p tcp -s 217.221.176.0/20 --dport 80 -j REDIRECT --to-port 3128
    
100. 
     
101. iptables -t nat -A PREROUTING &-p tcp -s 211.41.120.0/21 --dport 80 -j REDIRECT --to-port 3128 &

复制代码

zhouqiming

好像VLAN一定要网卡支持才行得，你得网卡应该是服务器专用得网卡吧。

flyjon

谢谢主啊,不错

fvane

請問 Linux 支持Vlan是什麼定義？

flyjon

[quote]原帖由 "fvane"]請問 Linux 支持Vlan是什麼定義？[/quote 发表：

不外乎是IEEE802.1Q

LEOD

[quote]原帖由 "zhouqiming"]好像VLAN一定要网卡支持才行得，你得网卡应该是服务器专用得网卡吧。[/quote 发表：


不哈！我用的一是8139的网卡哈！

zjsxyj

你这样，各个VLAN之间能访问吗？

LEOD

[quote]原帖由 "zjsxyj"]你这样，各个VLAN之间能访问吗？[/quote 发表：



可以的哈！

jordannmc

可以，不错，楼主进步不小哦

aspbiz

VLan不需要网卡支持吧。

和硬件无关的，

当然，也可以由硬件实现。