linux 实现企业共享Internet

zzk_dandan

大家好，最近给我爷爷的的一家宾馆做了一套网络，构架难度不是很大 ，主要服务器分别有nat、dhcp、samba 等等一些简单的服务！好了废话不说了。。
=============================================================================================
　　
　　    首先和大家说一下我为什么选择用nat 实现Internet的共享！（为什么不用Proxy？）
　　　nat是一个利用TCP/IP的packet filter （也就是数据包过滤）来进行的数据包处理，因此在此设置nat防火墙，他的弹性比较大，只要能通过nat这一关，基本网络服务都可以使用，因为tcp/ip是比较底层的协议，要知道tcp/ip上面还有好多端口、ip等信息，大家都知道 ，单是端口就可以使用好多功能，比如ftp：21   nds：53 ！！！所以来说我使用nat 来给宾馆做nat服务器，来满足客人的需要。
　　   小插一曲：“之所以我选择nat 不光具有非常好的弹性，还有就是他能实现底层防火墙的功能，因为iptables 本身就是一个很强大的的防火墙，他能实现底层控制，所以用他限速是一个非常好的决策，这里我们可以使用iptables 里面的 limit这个功能有效的限制客户端的速度，这里limit 我可以简单的介绍下，limit  是一个iptables 特有的一个功能，为什么能限速呢？？可能有些朋友都知道MTU这个概念，啊？不知道？ 那我给大家简单介绍一个MTU。 MTU就是用最最最简单的话来说就是最大传输单元”在tcp/ip 中就是没一次发送的packet 大小，（简单的带一下网络基础）当我们发送一个数据时，系统就是把该数据打包成一个个数据包。。（太多原理不一一介绍可以去百度一下）。。所以我使用limit 限制 每秒的ip个数，是不是就可以实现ip限速了？  如果客户机是192.168.0.1/24网段 我是不是可以实现对这些机器实现限速（宾馆所有客户机）
         所以本人选择用nat 实现Internet共享  当然也可以用Proxy 实现 （squid） 具体使用方法 等有空在说，，，功能和iptables不一样  Proxy实现的是高层模式  这里的高层是表示层和应用层！！！！！

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

        废话不说了 ，下面我给大家介绍一下我的实现环境！！！
   

宾馆客房39间（加一监控室）       服务器操作系统：RedHat Enterprise Linux 5.3
光纤接入10M
所以本人使用了两个交换机 一个16口  一个24口
服务器使用的是DELL R710 （加了个SAS 15K 146G硬盘）
为了节约空间（访问量不是很大）我把所有的服务集成与这一台服务器上。
iptables (NAT) {
实现Internet共享以及防火墙功能（过滤一切来自内网的icmp协议过滤一切来自外网的ssh、telnet、带有sys主动模式的连接 全部DROP掉）为监控室做了SNAT功能实现外对内访问
}
Server 服务{
实现局域网电影共享以及局域网内客户端更新工作目录 /var/xuyangsamba/xuyangbinguan/*   
　}
DHCP｛
主要功能给192.168.0.1/24分配ip以及DNS、网关等。（计算机不多没有　　　　　　　　　　配置中继DHCP）
｝
　　　　　　　　　　　　　　　　　

首先给给大家介绍一下实现方法：
　　　我的整体思路是，使用linux 服务器实现电影共享、ip地址自动分配、Internet共享、利用limit 实现限速功能！！！
首先我们要搭建一个nat 功能  也就是利用iptables 实现的局域网Internet共享！
　　　　因为当前版本默认不启动ip forward  （ip转发）  所以我们要手动编译内核开启此项功能，
　　　　因为手动编译比较复杂，这是我们都知道有一个目录是/proc目录，我们可以在这里面动手脚，
我给大家提供的方法就是 在/etc/rc.d/rc.local 里增加一个 echo "1"  >> /proc/sys/net/ipv4/ip_forward 既可  
　　　　这时候我们要做的是给eth0 也就是外网网卡这是固定ip地址（如果是拨号可以使用adsl-setup）然后把eth1 用来转发给内网的ip段 192.168.0.1 (Server) 也就是其他计算机通过192.168.0.1这个网关上网
　　　　都设置好完 我们依次在配置文件（rc.local）中输入
　　　　echo "1"  >> /proc/sys/net/ipv4/ip_forward
　　　　iptables -t nat -A POSTROUTING -s 192.168.0.1/24 -o eth0 -j MASQUERADE
　　　　通过这个ip伪装就可以实现ip共享的功能（具体原理我就不多解释了 也可以直接问我 加我QQ）
　　　　然后我们做的是实现外对内访问
　　　　iptables -t nat PREROUTING -p tcp --dport 80 --to "ip"
　　　　samba、dhcp 我就不多说了 都比较简单的！！！！
　　　　　好了单个服务我以后会给大家详细介绍 今天主要是介绍一下搭建环境！！还有方法！


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u3/111755/showart_2179295.html