使用Linux係統(tǒng)架設安全的網關
1、網關主機設置
服務器上(shàng)有兩塊網卡,eth0使用*.*.*.*IP地(dì)址連接(jiē)Internet,eth1連接LAN,則其/etc/network/interfaces的設置如下(xià):
|
以(yǐ)下為引用的(de)內容: |
2、IP偽裝(zhuāng)(IP-masquerade)
這時將lan內主機(jī)網關改為192.168.0.1,應該能ping通該網關,但是還(hái)是連不上internet。要實現LAN內的機器通過共享一個單獨的可訪問外網(wǎng)的IP地址來訪(fǎng)問Internet資源,還需要在(zài)網關上安裝(zhuāng)ipmasq。
| 以下為(wéi)引用的內容: $ sudo apt-get install ipmasq |
會提示進行一(yī)些設置,都默認即可。之後lan內主機應該就能連(lián)上internet了。
3、端口映射
假設lan內有一ftp192.168.0.2,要從(cóng)internet上(shàng)訪問該ftp,需要在網關主(zhǔ)機上進(jìn)行(háng)一定的端口映射。可使用iptables完成。下(xià)麵是具體實現的腳本例子:
| 以下為引用的內(nèi)容: #!/bin/sh /sbin/modprobe iptable_filter /sbin/modprobe ip_tables /sbin/modprobe iptable_nat /sbin/modprobe ip_nat_ftp /sbin/modprobe ip_conntrack /sbin/modprobe ip_conntrack_ftp iptables -F iptables -P INPUT ACCEPT iptables -P FORWARD ACCEPT iptables -P OUTPUT ACCEPT iptables -F -t nat iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 21 -j DNAT --to 192.168.123.6:21 iptables -t nat -A PREROUTING -p tcp -i eth0 -d 202.120.2.101 --dport 2345 -j DNAT --to 192.168.123.116:3389 iptables -t nat -A POSTROUTING -s 192.168.123.0/24 -o eth0 -j SNAT --to 202.120.16.34 echo 1 > /proc/sys/net/ipv4/ip_forward |
關鍵(jiàn)詞:Linux,網關
閱讀(dú)本文後您有什麽(me)感想? 已有 人給出評(píng)價!
- 0
- 0
- 0
- 0
- 0
- 0
