免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
最近访问板块 发新帖
查看: 1459 | 回复: 0
打印 上一主题 下一主题

小小小小方案 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2009-12-12 10:56 |只看该作者 |倒序浏览

公司网络基本概况:
1现有1个四口路由器,支持无线,支持端口映射。
2有2个交换机,1个16口,1个24口,(接入超出24口,所以另加一个接到路由,同网段)
3公司内部有samba服务器,不准访问外网。其余楼上机器可以访问外网,楼上不可以访问内外。(IP分别为192.168.1.1* 和192.168.1.2*)无线网段则为192.168.1.200----253之间,无线则不能访问samba。
由于业务需要,老板要求公司的楼上只可以上skype不能上网,楼下正常。特此买了一台机器做代理,顺便做监控,在顺便做ftp。(本机单网卡)
分析案例:
首先新机器采用linux 系统(ubuntu),做代理方便,先确保本机可以上网
IP=192.168.1.189/24
Gateway=192.168.1.1
确保了本机上网正常了,再来设置代理地址映射:
我写的脚本,基本内容如下:
Vim iptables_office.sh
IPT=/sbin/iptables
$IPT -P INPUT DROP
$IPT -P OUTPUT DROP
$IPT -P FORWARD DROP
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -i eth0 -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -p udp --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp --dport 53 -j ACCEPT
$IPT -A INPUT -p tcp --dport 22 -j LOG --log-prefix="SSH : "
$IPT -A INPUT -p tcp --dport 22 -j ACCEPT
$IPT -A INPUT -p tcp --dport 80 -j ACCEPT
$IPT -A INPUT -p tcp --dport 8080 -j ACCEPT
$IPT -A INPUT -p tcp --dport 443 -j ACCEPT
$IPT -A INPUT -p tcp --dport 25 -j ACCEPT
$IPT -A INPUT -p tcp --dport 2000-2121 -j ACCEPT
$IPT -A INPUT -p icmp -j LOG --log-prefix="ICMP : "
$IPT -A INPUT -p icmp -m icmp --icmp-type 1 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -A OUTPUT -o lo -j ACCEPT
$IPT -A OUTPUT -o eth0 -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A OUTPUT -p udp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 53 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 22 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 8080 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 25 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 2000-2121 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 1 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
$IPT -A OUTPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
$IPT -t nat -A POSTROUTING -s 192.168.1.0/255.255.255.0 -o eth0 -p tcp --dport 443 -j SNAT --to 192.168.1.189:443  #本条用于skype出站
$IPT -A FORWARD  -s 192.168.1.0/255.255.255.0 -i eth0 -j ACCEPT
$IPT -A FORWARD  -i eth0 -p tcp --dport 443 -j ACCEPT
$IPT -A FORWARD  -o eth0 -p tcp --dport 443 -j ACCEPT
echo "1" >  `grep "ip_forward" /proc/ `
这个是最基本的命令,关于ftp稍后继续添加
echo "/root/iptables_office"/etc/rc.local
测试skype,让楼上的机器路由和网关指向192.168.1.189 测试skype 正常,不能上网正常,用"netstat -an || grep "ESTAB" 检查
添加ftp
下载vsftpd, 安装很简单,不多说了,配置更简单,也不说了
添加iptables_office.sh
$IPT -A INPUT -p tcp --dport 21 -j LOG --log-prefix="FTP : "
$IPT -A INPUT -p tcp --dport 21 -j ACCEPT
$IPT -A INPUT -p tcp --dport 20 -j ACCEPT
$IPT -A OUTPUT -p tcp --dport 21 -j ACCEPT
这里主动与被动连接不同,添加也个不同,需要匹配端口。
因为是这个也是内网机器,所以要修改路由器,用路由器做转发,htttp://192.168.1.1
Program name: vsftpd  type: FTP dst port : 21
IP: 192.168.1.189 dst port 21 (这个是目的最终转发的实际地址和端口)
最好在添加一行,我个人认为
Program name: vsftpd  type: FTP-data dst port : 20
IP: 192.168.1.189 dst port 20
内网 外网分别测试。通过。
chkconfig vsftpd on 打开启动加载项
因为ftp服务器里面的文件很关键,所以ftp的目录全部用了分区软raid
做raid5
fdisk /dev/sda ===> n ===> ......===> t ===> L===>> fd ===> w
这里我做了3个分区 。是/dev/sda[7,8,9]
partprobe 磁盘状态改变生效,或重启。
开始做raid5
mdadm -C /dev/md0 -l5 -n 2 /dev/sda[7,8,9] -a yes  #创建raid5
mdadm -D /dev/md0  #检查md0启动信息
echo "DEVICE /dv/sda[789]" >> /etc/mdadm/mdadm.conf  #创建阵列记录
mdadm -Ds  >> /etc/mdadm/mdadm.conf #写入uuid
mdadm -S /dev/md0  #停止md0
mdadm -As  #启动md0
然后格式化磁盘
mkfs -j /dev/md0
e2fsck -j /dev/md0
mkdir /var/ftp
mount /dev/md0 /var/ftp
echo "/dev/md0 /var/ftp ext3 defaults 0 2 " >> /etc/fstab
mount -a #检查下
echo "/sbin/mdadm -As" >> /etc/rc.local
建立3个ftp用户,guest 用于客户,prod用于外包,ftpub用于公司员工上传下载.
groupadd ftp
useradd -d /var/ftp/guest -G ftp guest
useradd -d /var/ftp/prod -G ftp prod
useradd -d /var/ftp -g ftp ftpub #可能会报错,但可正常应用
chown ftpub:ftp /var/ftp/
以上用户分配的家目录方便公司内部下载客户和外包的资料,而其他两个帐号却不能那么做。(这里说明,使用了vsftpd.chroot_list,只添加了ftpub)
分别给密码后测试,一切正常。
然后重新启动下,看看rc.local下是否正常启动,有没有什么问题。
下面就是做监控了,这里我采用了zabbix ,是一款开源的监控软件,很不错,大家有兴趣可以去网络找些资料了解下。 现在有事,暂时写到这里,明天把zabbix安装和图标编辑贴上来。


本文来自ChinaUnix博客,如果查看原文请点:http://blog.chinaunix.net/u1/57035/showart_2118887.html
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP