- 论坛徽章:
- 0
|
更新:
11月27号:
这次加了很多端口的列表!
看了网通的华为5200F上面有很多封掉的端口,我就顺便在NAT上也做了!
而且CPU的利用率也不高哈!
这个要视实际情况而定哈!你觉得有些端口你对你没有用你封了也行
69 any
139 any
135 TCP
136 TCP
137 TCP
138 TCP
445 TCP
593 TCP
1025 TCP
1068 TCP
3333 TCP
4444 TCP
4899 TCP
5554 TCP
5800 TCP
5900 TCP
6667 TCP
6881 TCP
9995 TCP
9996 TCP
135 UDP
136 UDP
137 UDP
138 UDP
593 UDP
1433 UDP
1434 UDP
3333 UDP
4444 UDP
5800 UDP
5900 UDP
6667 UDP
9000 UDP
9月28号:
最近加了一条规则,把139、445端口的数据包丢了!
这样子就减少冲击波礴来的危害了哈!!
我们学校本来有两条线路电信+网通!
但是路由器太烂了!一开始办公、服全和学生宿舍全部跑电信的线路
结果路由器吃不消了!
在没有新设备的情况下只好将学生宿舍和办公分开!
学生宿舍用网通算了!
今天就要做一个NAT+SQUID
但是我们宿舍楼有7栋!所以得有7个VLAN.
在AS3下是支持VLAN的!
下面就是VALN的配置过程
- vconfig add eth0 51 &#VLAN的ID
- ip address add 217.221.181.1/24 dev eth0.51 &#IP地址
- ip link set dev eth0.51 up &#生效
复制代码
呵呵!!
VLAN搞定了!
可以用ifconfig看一下了!
再来就是squid配置
我只是简单配置一下!
详细的说明明天再写哈!
- vi /etc/squid/squid.conf
- ...............................
- cache_mem 8 MB:
- 这东西与你的内存有关,如果你的内存够大的话,这个 8 可以变大一些,例如你的内存有 256 MB 时,你可以设成 256*1/4 ==>; 64 MB,如果你只有 64MB,而且主机还有其它用途,那使用预设的 8 MB 就好了。
- cache_dir ufs /var/spool/squid 1000 16 256
- visible_hostname cncgateway &# &一定要加这个!要不SQUID启动不了哈!呵呵!!
复制代码
然后再进行下面的指令:
- rm -rf /var/spool/squid
- mkdir /var/spool/squid
- chown squid quid /var/spool/squid
- /usr/sbin/squid -z
- /etc/rc.d/init.d/squid restart
复制代码
然后是NAT部分!
- #!/bin/bash
- echo 1 >; /proc/sys/net/ipv4/ip_forward & &
- modprobe ip_tables & & & & & &
- modprobe ip_nat_ftp
- modprobe ip_nat_irc
- modprobe ip_conntrack
- modprobe ip_conntrack_ftp
- modprobe ip_conntrack_irc
- /sbin/iptables -F
- /sbin/iptables -X
- /sbin/iptables -Z
- /sbin/iptables -F -t nat
- /sbin/iptables -X -t nat
- /sbin/iptables -Z -t nat
- /sbin/iptables -P INPUT ACCEPT
- /sbin/iptables -P OUTPUT ACCEPT
- /sbin/iptables -P FORWARD ACCEPT
- /sbin/iptables -t nat -P PREROUTING ACCEPT
- /sbin/iptables -t nat -P POSTROUTING ACCEPT
- /sbin/iptables -t nat -P OUTPUT ACCEPT
- #加载模块
- modprobe ip_tables 2>; /dev/null
- modprobe ip_nat_ftp 2>; /dev/null
- modprobe ip_nat_irc 2>; /dev/null
- modprobe ip_conntrack 2>; /dev/null
- modprobe ip_conntrack_ftp 2>; /dev/null
- modprobe ip_conntrack_irc 2>; /dev/null
- #IP伪装
- /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 217.221.176.0/20 -j MASQUERADE
- /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 211.41.120.0/21 -j MASQUERADE
- #SQUID
- iptables -t nat -A PREROUTING -i eth1 -p tcp -s 217.221.176.0/20 --dport 80 -j REDIRECT --to-port 3128
- iptables -t nat -A PREROUTING -i eth1 -p tcp -s 211.41.120.0/21 --dport 80 -j REDIRECT --to-port 3128
复制代码
最后把VLAN+NAT写到nat.sh中,在rc.local中启动
在交换机上把VLAN配好!
测试通过!P4 1.8G/256M
用uptime看一下
- [root@cncgateway root]# uptime
- 18:47:29 &up &4:14, &1 user, &load average: 0.00, 0.00, 0.00
复制代码
学生宿舍上网的速度明显加快!这样也缓解办公楼上网问题!
不足之处请指出!
下面是整个脚本nat.sh
|
|