paul.us
2005-01-17, 03:51 PM
我曾經問過製造防火牆公司有關硬體等級問題據了解價值80k的防火牆也只有2~300 CPU的能力,網卡更是螃蟹兩隻(如果DLINK等值約100K, 不要以為WAN頻寬低螃蟹就可打發掉,網卡好壞在於封包處理能力Intel 有別於DLink 更不用說螃蟹了)
因此我有個遐想,公司裡常有一大堆淘汰的舊電腦丟棄實在可惜而這些電腦CPU都在550以上於是我最近就用這些汰舊電腦的零件拼湊一部DNS / NAT - Firewall /防毒伺服器為公司省下一筆可觀的費用,以下是我的製作心得.
硬體資源為:
AMD K7 800 CPU 256+128 兩支155 SDR
磐英主機板 七盟300W電源供應
20G ATA66硬碟ㄧ個 (我另加一個40G 作FTP 儲存上傳下載資料用)
Intel pro /100s Management 網卡一張(WAN的Net adapter)
Intel pro /100s Server網卡一張(LAN用的的Net adapter)
軟體資源為:
FedoraCore 3
趨勢的InterScan VirusWall防毒軟體
這部伺服器功能規劃為:
1. 對外公佈的LAN所有伺服器的紀錄
2. 做為WAN和LAN間的NAT並執行Firewall 的功能
3. 做為WAN進入LAN濾毒功能
4. 做為Home Page(s) 的網頁伺服器, NAT對LAN只開放Port 443:tcp
5. 做為上傳下載的FTP
平台安裝要點:
1. 首先向FedoraCore 下載FedoraCore 3作業平台,下DVD版安裝較省事,平台安裝以英文版執行效率較佳,bug較少
2. 伺服平台安裝選項選:
a. DNS 執行DNS功能
b. HTTP 讓沒機密性資料傳輸(ie. Home page) 在此執行
c. FTP 讓這部主機做點事,別杵在那裡
3. 伺服網段設定
a. 工作站網卡設定為eth0, WAN實體ip.
b. server網卡設定為eth1, LAN虛擬ip.
4. 硬碟區域規劃
a. / (系統區) 8G. b. swap 區約記憶體 x 2.5
c. /Home 及 /fat (供windows 存取) 依需要決定
DNS 設定及啟用 :
以下實例中假設:
. 網域註冊名稱為abc.com.tw .網域管理員信箱為[email protected]
. 主DNS全名為mdns.abc.com.tw ;實體ip為aaa.bbb.ccc.ddd
. 次DNS全名為sdns.abc.com.tw;實體ip為aaa.bbb.ccc.eee
. http server全名為www.abc.com.tw;實體ip為aaa.bbb.ccc.ddd
. mail server全名為mail.abc.com.tw;實體ip為aaa.bbb.ccc.fff
首先以文字編譯器編輯一個named.abc.com文字檔並存於/var/named/ chroot/var/named 是為正解檔內容為:
$TTL 86400
abc.com.tw. IN SOA mdns.abc.com.tw. someone.abc.com.tw(
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
abc.com.tw. IN NS mdns.abc.com.tw.
mdns.abc.com.tw. IN A aaa.bbb.ccc.ddd
abc.com.tw. IN A aaa.bbb.ccc.ddd
sdns.abc.com.tw. IN A aaa.bbb.ccc.eee
** 以下各主機資料自己依格式每筆一行加上, ie. : www.abc.com.tw. IN A aaa.bbb.ccc.ddd
上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100
接下來以文字編譯器編輯一個named.aaa.bbb.ccc文字檔並存於var/named/ chroot/var/named 是為反解檔內容為:
$TTL 86400
abc.com.tw. IN SOA mdns.abc.com.tw. someone.abc.com.tw(
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ccc.bbb.aaa.IN-addr.arpa IN NS mdns.abc.com.
ddd IN PTR mdns.abc.com.
** 以下各主機資料自己依格式每筆一行加上, ie. : fff IN PTR mail.abc.com (fff為實體ip最後一組碼) ,上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100
接下來以文字編譯器開啟在var/named/chroot/etc 檔案夾裡named.conf檔案加入正反檔途徑紀錄內容為:
zone "mdns.abc.com" IN {
type master;
file "named.abc.com";
allow-update { none; };
};
zone "ccc.bbb.aaa.in-addr.arpa" IN {
type master;
file "named.aaa.bbb.ccc";
allow-update { none; };
};
接下來啟用及測試DNS,開啟終端機並轉入系統[root@mdns /]根目錄下:
1. 執行ntsysv 指令([root@mdns /]# ntsysv ),於ntsysv選項目錄點選named項目, 設定開機自動啟用DNS.
2. DNS首次以手動開啟於終端機執行/etc/rc.d/init.d/named start ([root@mdns /]# /etc/rc.d/init.d/named start)
3. 再執行各項nslookup測試各項紀錄是否上路了
4. 萬一通不了請以tail -n 15 /var/log/messages | grep named 檢查named(DNS)執行記錄發覺正,反解檔或正反檔途徑紀錄錯誤,紀錄修正後再於終端機於根目錄下執行/etc/rc.d/init.d/ named restart ([root@mdns /]# /etc/rc.d/init.d/ named restart)重複這些程序直到錯誤完全修正.
為便利日後檔案維護,有如Windows的系統管理工具捷徑,建議在桌面自設的檔案名稱自訂(我是定名Link to),以上各檔按建立”連結至” 的捷徑並移置於Link to檔案夾裡,我也在該夾裡建立一個cmd文字檔將所有用於終端指令的指令全部複製到cmd,免得日後再打長串指令更省的去記那些長串指令.
NAT 設定及啟用
以下實例中假設:
.WAN實體ip為aaa.bbb.ccc.eee .LAN 虛擬ip 為10.10.1.5
.LAN 虛擬ip 為A級的10.10.1.0 網段 .Web Server (https) ip 為10.10.1.21
修改 /etc/rc.d 檔案夾裡rc.local檔案加入NAT資料:
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 443 -j DNAT --to 10.10.1.21:443
***如果LAN使用其他網段,在iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE 中之CIDR (10.10.1.0/8) 請上http://public.pacbell.net/dedicated/cidr.html 查表修改,其他NAT table 自行加入 ie.: iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 10.10.1.21:21等等
接下來把所有藉此主機到WAN 的電腦TCP/IP預設閘道改為10.10.1.5,防火牆設定看個人功力再此不作介紹,主機重新開機,好了一部低價高階的DNS/ NAT – Firewall / FTP /Web 主機就這樣誕生了, 如果經費允許不仿把LAN那張卡改成GIGA 卡,機殼再噴上深橘色或法拉利紅色那就更專業了,保證老闆愛死你了,說不定把他的愛女---恐龍妹下嫁給你呢?
在此特別感謝NO1ADSL兄熱心的指導,本篇文章基本原理請上http://linux.vbird.org/(鳥哥網站)學習
贊助商連結
因此我有個遐想,公司裡常有一大堆淘汰的舊電腦丟棄實在可惜而這些電腦CPU都在550以上於是我最近就用這些汰舊電腦的零件拼湊一部DNS / NAT - Firewall /防毒伺服器為公司省下一筆可觀的費用,以下是我的製作心得.
硬體資源為:
AMD K7 800 CPU 256+128 兩支155 SDR
磐英主機板 七盟300W電源供應
20G ATA66硬碟ㄧ個 (我另加一個40G 作FTP 儲存上傳下載資料用)
Intel pro /100s Management 網卡一張(WAN的Net adapter)
Intel pro /100s Server網卡一張(LAN用的的Net adapter)
軟體資源為:
FedoraCore 3
趨勢的InterScan VirusWall防毒軟體
這部伺服器功能規劃為:
1. 對外公佈的LAN所有伺服器的紀錄
2. 做為WAN和LAN間的NAT並執行Firewall 的功能
3. 做為WAN進入LAN濾毒功能
4. 做為Home Page(s) 的網頁伺服器, NAT對LAN只開放Port 443:tcp
5. 做為上傳下載的FTP
平台安裝要點:
1. 首先向FedoraCore 下載FedoraCore 3作業平台,下DVD版安裝較省事,平台安裝以英文版執行效率較佳,bug較少
2. 伺服平台安裝選項選:
a. DNS 執行DNS功能
b. HTTP 讓沒機密性資料傳輸(ie. Home page) 在此執行
c. FTP 讓這部主機做點事,別杵在那裡
3. 伺服網段設定
a. 工作站網卡設定為eth0, WAN實體ip.
b. server網卡設定為eth1, LAN虛擬ip.
4. 硬碟區域規劃
a. / (系統區) 8G. b. swap 區約記憶體 x 2.5
c. /Home 及 /fat (供windows 存取) 依需要決定
DNS 設定及啟用 :
以下實例中假設:
. 網域註冊名稱為abc.com.tw .網域管理員信箱為[email protected]
. 主DNS全名為mdns.abc.com.tw ;實體ip為aaa.bbb.ccc.ddd
. 次DNS全名為sdns.abc.com.tw;實體ip為aaa.bbb.ccc.eee
. http server全名為www.abc.com.tw;實體ip為aaa.bbb.ccc.ddd
. mail server全名為mail.abc.com.tw;實體ip為aaa.bbb.ccc.fff
首先以文字編譯器編輯一個named.abc.com文字檔並存於/var/named/ chroot/var/named 是為正解檔內容為:
$TTL 86400
abc.com.tw. IN SOA mdns.abc.com.tw. someone.abc.com.tw(
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
abc.com.tw. IN NS mdns.abc.com.tw.
mdns.abc.com.tw. IN A aaa.bbb.ccc.ddd
abc.com.tw. IN A aaa.bbb.ccc.ddd
sdns.abc.com.tw. IN A aaa.bbb.ccc.eee
** 以下各主機資料自己依格式每筆一行加上, ie. : www.abc.com.tw. IN A aaa.bbb.ccc.ddd
上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100
接下來以文字編譯器編輯一個named.aaa.bbb.ccc文字檔並存於var/named/ chroot/var/named 是為反解檔內容為:
$TTL 86400
abc.com.tw. IN SOA mdns.abc.com.tw. someone.abc.com.tw(
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ccc.bbb.aaa.IN-addr.arpa IN NS mdns.abc.com.
ddd IN PTR mdns.abc.com.
** 以下各主機資料自己依格式每筆一行加上, ie. : fff IN PTR mail.abc.com (fff為實體ip最後一組碼) ,上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100
接下來以文字編譯器開啟在var/named/chroot/etc 檔案夾裡named.conf檔案加入正反檔途徑紀錄內容為:
zone "mdns.abc.com" IN {
type master;
file "named.abc.com";
allow-update { none; };
};
zone "ccc.bbb.aaa.in-addr.arpa" IN {
type master;
file "named.aaa.bbb.ccc";
allow-update { none; };
};
接下來啟用及測試DNS,開啟終端機並轉入系統[root@mdns /]根目錄下:
1. 執行ntsysv 指令([root@mdns /]# ntsysv ),於ntsysv選項目錄點選named項目, 設定開機自動啟用DNS.
2. DNS首次以手動開啟於終端機執行/etc/rc.d/init.d/named start ([root@mdns /]# /etc/rc.d/init.d/named start)
3. 再執行各項nslookup測試各項紀錄是否上路了
4. 萬一通不了請以tail -n 15 /var/log/messages | grep named 檢查named(DNS)執行記錄發覺正,反解檔或正反檔途徑紀錄錯誤,紀錄修正後再於終端機於根目錄下執行/etc/rc.d/init.d/ named restart ([root@mdns /]# /etc/rc.d/init.d/ named restart)重複這些程序直到錯誤完全修正.
為便利日後檔案維護,有如Windows的系統管理工具捷徑,建議在桌面自設的檔案名稱自訂(我是定名Link to),以上各檔按建立”連結至” 的捷徑並移置於Link to檔案夾裡,我也在該夾裡建立一個cmd文字檔將所有用於終端指令的指令全部複製到cmd,免得日後再打長串指令更省的去記那些長串指令.
NAT 設定及啟用
以下實例中假設:
.WAN實體ip為aaa.bbb.ccc.eee .LAN 虛擬ip 為10.10.1.5
.LAN 虛擬ip 為A級的10.10.1.0 網段 .Web Server (https) ip 為10.10.1.21
修改 /etc/rc.d 檔案夾裡rc.local檔案加入NAT資料:
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 443 -j DNAT --to 10.10.1.21:443
***如果LAN使用其他網段,在iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE 中之CIDR (10.10.1.0/8) 請上http://public.pacbell.net/dedicated/cidr.html 查表修改,其他NAT table 自行加入 ie.: iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 10.10.1.21:21等等
接下來把所有藉此主機到WAN 的電腦TCP/IP預設閘道改為10.10.1.5,防火牆設定看個人功力再此不作介紹,主機重新開機,好了一部低價高階的DNS/ NAT – Firewall / FTP /Web 主機就這樣誕生了, 如果經費允許不仿把LAN那張卡改成GIGA 卡,機殼再噴上深橘色或法拉利紅色那就更專業了,保證老闆愛死你了,說不定把他的愛女---恐龍妹下嫁給你呢?
在此特別感謝NO1ADSL兄熱心的指導,本篇文章基本原理請上http://linux.vbird.org/(鳥哥網站)學習
贊助商連結