一招一式攻克linux(八)
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-05-04
| 在公共网络上传输,其安全性还是很高的.这几年带vpn功能的硬件设备还是卖得很欢的,有些防火墙厂商还拿它的vpn功能作卖点呢.在这里我们不关注硬件vpn,只讲linux下的vpn. 1、安装vpn 包.需要dkms-2.0.10-2.fc5.noarch.rpm, kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm , ppp-2.4.3-9.2.i586.rpm 和 pptpd-1.3.1-0.i386.rpm这几个rpm包.然后分别执行命令 # rpm -ivh dkms-2.0.10-2.fc5.noarch.rpm ; rpm -ivh kernel_ppp_mppe-1.0.2-3dkms.noarch.rpm ; rpm -ivh ppp-2.4.3-9.2.i586.rpm ; rpm -ivh pptpd-1.3.1-0.i386.rpm 完成安装. 2、配置vpn服务.有两个文件需要修改:主配置文件/etc/pptpd.c 和vpn用户帐号文件/etc/ppp/chap-sescrets.主配置文件需要设置vpn服务器的本地地址和分配给客户端的地址段,因此只需在主配置文件中手动追加localip和remoteip两行就算完成配置任务.帐号文件保存vpn客户端拨入需要的验证信息,其格式是: 用户名 服务 密码 分配给用户的口令 其中用户名,密码,分配给用户的ip地址要用双引号括起来,“服务”一般是pptpd.作为参照,下面给出一个pptpd.c # more /etc/pptpd.c localip 192.168.1.20 remoteip 192.168.1.201-220 # more /etc/ppp/chap-screts “sery” pptpd “gshdh7%” “*” “public” pptpd “gy76423@e” “192.168.1.202” 3、客户端的配置.使用windows的网络连接向导,只要选择“通过ineternet连接到专用网络(v)”,一步步下去即可配置完成.注意:vpn服务器的ip要填写全球唯一单播地址,即网关服务器的eth0的地址. 4、启用vpn服务.再启用vpn之前确认内核的ip转发功能已经打开,然后执行命令 # service pptpd start 启用vpn等待远程用户接入. 防火墙(firewall) linux自带包过滤防火墙netfilter/iptables,它可以检查数据包的源和目的ip、源和目的端口、通讯协议、数据包的顺序、 tcp先后顺序、头标记(syn、ack等)状态等,功能十分强大.在安装linux过程中,向导一般会提示用户开启防火墙,但这可能不能满足实际的应用需求,建议关闭默认的防火墙功能,然后自己订制符合需求的规则,写成一个脚本,然后运行这个脚本,以取得更好的安全性能. iptables的语法确实让人生畏的,让我们先来简化一下,可以把它归纳成如下的格式: iptables [-t 表] -命令 匹配 操作 iptables内置3个表:filter、 nat 、mangle.实际上常用的是表filter和nat,其中nat已在前面部分实现过了.命令选项常用的有 f-刷新规则、a-添加规则、p-默认策略等几项.匹配选项包括源/目的地址、源/目的端口、协议类型以及端口号等.动作选项主要包括accept-接受收据包、drop-丢弃数据包、reject-拒绝数据包、snat-源地址转换、dnat-目的地址转换、masquerade-ip伪装等.当表的类型是filter时,通常可以省略掉这一项. 一个好的防火墙规则应该是注重策略的,在自己订制的防火墙规则脚本中,应该遵循刷新/清除规则-添加默认策略-订制用户访问策略这样的顺序,业内的术语称作“先关门后开窗”,先禁止所有的访问许可,然后根据实际需求逐个开放访问权限.  ,一般防火墙脚本的前部分可以套用下面的格式: # !/bin/bash # refresh rules iptables -F INPUT iptables -F OUTPUT iptables -F FORWARD //启用前先清除所有规则 # default rules iptables -P INPUT DROP //先禁止 iptables -P OUTPUT ACCEPT iptables -P FORWORD DROP # proof dos etc iptables -a forward -p tcp --syn -m limit -j accept iptables -a forward -p tcp --tcp-flag syn,ack,fin,rst -m limit iptables -a forward -p tcp -m --limit 50/s --limit-burst 50 -j accept # enable loopback iptables -a input -i lo -p all -j ACCEPT # enable lan user access firewall iptables -a input |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: 一招一式攻克linux(三)下一篇: Linux常用命令——tar
关于一招一式攻克linux(八)的所有评论
