【軟體】用舊電腦製作高階DNS-NAT-Firewall-AntiVire Server(FedoraCore 3 架DNS結論篇)

**paul.us** · 2005-01-17, 03:51 PM

我曾經問過製造防火牆公司有關硬體等級問題據了解價值80k的防火牆也只有2~300 CPU的能力,網卡更是螃蟹兩隻(如果DLINK等值約100K, 不要以為WAN頻寬低螃蟹就可打發掉,網卡好壞在於封包處理能力Intel 有別於DLink 更不用說螃蟹了)

因此我有個遐想,公司裡常有一大堆淘汰的舊電腦丟棄實在可惜而這些電腦CPU都在550以上於是我最近就用這些汰舊電腦的零件拼湊一部DNS / NAT - Firewall /防毒伺服器為公司省下一筆可觀的費用,以下是我的製作心得.

硬體資源為:
AMD K7 800 CPU 256+128 兩支155 SDR
磐英主機板七盟300W電源供應
20G ATA66硬碟ㄧ個 (我另加一個40G 作FTP 儲存上傳下載資料用)
Intel pro /100s Management 網卡一張(WAN的Net adapter)
Intel pro /100s Server網卡一張(LAN用的的Net adapter)

軟體資源為:
FedoraCore 3
趨勢的InterScan VirusWall防毒軟體

這部伺服器功能規劃為:
1. 對外公佈的LAN所有伺服器的紀錄
2. 做為WAN和LAN間的NAT並執行Firewall 的功能
3. 做為WAN進入LAN濾毒功能
4. 做為Home Page(s) 的網頁伺服器, NAT對LAN只開放Port 443:tcp
5. 做為上傳下載的FTP

平台安裝要點:
1. 首先向FedoraCore 下載FedoraCore 3作業平台,下DVD版安裝較省事,平台安裝以英文版執行效率較佳,bug較少
2. 伺服平台安裝選項選:
a. DNS 執行DNS功能
b. HTTP 讓沒機密性資料傳輸(ie. Home page) 在此執行
c. FTP 讓這部主機做點事,別杵在那裡
3. 伺服網段設定
a. 工作站網卡設定為eth0, WAN實體ip.
b. server網卡設定為eth1, LAN虛擬ip.
4. 硬碟區域規劃
a. / (系統區) 8G. b. swap 區約記憶體 x 2.5
c. /Home 及 /fat (供windows 存取) 依需要決定

DNS 設定及啟用 :
以下實例中假設:
. 網域註冊名稱為abc.com.tw .網域管理員信箱為[email protected]
. 主DNS全名為mdns.abc.com.tw ;實體ip為aaa.bbb.ccc.ddd
. 次DNS全名為sdns.abc.com.tw;實體ip為aaa.bbb.ccc.eee
. http server全名為www.abc.com.tw;實體ip為aaa.bbb.ccc.ddd
. mail server全名為mail.abc.com.tw;實體ip為aaa.bbb.ccc.fff

首先以文字編譯器編輯一個named.abc.com文字檔並存於/var/named/ chroot/var/named 是為正解檔內容為:

$TTL 86400
abc.com.tw. IN SOA mdns.abc.com.tw. someone.abc.com.tw(
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
abc.com.tw. IN NS mdns.abc.com.tw.
mdns.abc.com.tw. IN A aaa.bbb.ccc.ddd
abc.com.tw. IN A aaa.bbb.ccc.ddd
sdns.abc.com.tw. IN A aaa.bbb.ccc.eee

** 以下各主機資料自己依格式每筆一行加上, ie. : www.abc.com.tw. IN A aaa.bbb.ccc.ddd
上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100

接下來以文字編譯器編輯一個named.aaa.bbb.ccc文字檔並存於var/named/ chroot/var/named 是為反解檔內容為:

$TTL 86400
abc.com.tw. IN SOA mdns.abc.com.tw. someone.abc.com.tw(
1997022700 ; Serial
28800 ; Refresh
14400 ; Retry
3600000 ; Expire
86400 ) ; Minimum
ccc.bbb.aaa.IN-addr.arpa IN NS mdns.abc.com.
ddd IN PTR mdns.abc.com.

** 以下各主機資料自己依格式每筆一行加上, ie. : fff IN PTR mail.abc.com (fff為實體ip最後一組碼) ,上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100

接下來以文字編譯器開啟在var/named/chroot/etc 檔案夾裡named.conf檔案加入正反檔途徑紀錄內容為:

zone "mdns.abc.com" IN {
type master;
file "named.abc.com";
allow-update { none; };
};
zone "ccc.bbb.aaa.in-addr.arpa" IN {
type master;
file "named.aaa.bbb.ccc";
allow-update { none; };
};

接下來啟用及測試DNS,開啟終端機並轉入系統[root@mdns /]根目錄下:

1. 執行ntsysv 指令([root@mdns /]# ntsysv ),於ntsysv選項目錄點選named項目, 設定開機自動啟用DNS.

2. DNS首次以手動開啟於終端機執行/etc/rc.d/init.d/named start ([root@mdns /]# /etc/rc.d/init.d/named start)

3. 再執行各項nslookup測試各項紀錄是否上路了

4. 萬一通不了請以tail -n 15 /var/log/messages | grep named 檢查named(DNS)執行記錄發覺正,反解檔或正反檔途徑紀錄錯誤,紀錄修正後再於終端機於根目錄下執行/etc/rc.d/init.d/ named restart ([root@mdns /]# /etc/rc.d/init.d/ named restart)重複這些程序直到錯誤完全修正.

為便利日後檔案維護,有如Windows的系統管理工具捷徑,建議在桌面自設的檔案名稱自訂(我是定名Link to),以上各檔按建立”連結至” 的捷徑並移置於Link to檔案夾裡,我也在該夾裡建立一個cmd文字檔將所有用於終端指令的指令全部複製到cmd,免得日後再打長串指令更省的去記那些長串指令.

NAT 設定及啟用
以下實例中假設:
.WAN實體ip為aaa.bbb.ccc.eee .LAN 虛擬ip 為10.10.1.5
.LAN 虛擬ip 為A級的10.10.1.0 網段 .Web Server (https) ip 為10.10.1.21
修改 /etc/rc.d 檔案夾裡rc.local檔案加入NAT資料:
echo "1" > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_conntrack_irc
iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE
iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 443 -j DNAT --to 10.10.1.21:443
***如果LAN使用其他網段,在iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE 中之CIDR (10.10.1.0/8) 請上http://public.pacbell.net/dedicated/cidr.html 查表修改,其他NAT table 自行加入 ie.: iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 10.10.1.21:21等等

接下來把所有藉此主機到WAN 的電腦TCP/IP預設閘道改為10.10.1.5,防火牆設定看個人功力再此不作介紹,主機重新開機,好了一部低價高階的DNS/ NAT – Firewall / FTP /Web 主機就這樣誕生了, 如果經費允許不仿把LAN那張卡改成GIGA 卡,機殼再噴上深橘色或法拉利紅色那就更專業了,保證老闆愛死你了,說不定把他的愛女---恐龍妹下嫁給你呢?

在此特別感謝NO1ADSL兄熱心的指導,本篇文章基本原理請上http://linux.vbird.org/(鳥哥網站)學習

**no1adsl** · 2005-01-17, 09:02 PM

如果你還有圖的話
會有一堆網友愛死你了
呵呵..

**阿土** · 2005-01-17, 11:25 PM

幫忙美化部分說明 , 勿介意

類似的文章很多 , 有心學習者先把一些觀念搞懂後再上機實做 , 這樣就不會太困難
鳥哥那邊是一個好地方

**paul.us** · 2005-01-18, 12:47 AM

謝謝,no1adsl兄及ㄚ土兄,這篇文章主旨在於鼓勵剛入lunix門的論友們依樣畫葫裝一部給他們信心所以未論及理論部分,這篇文章也是我的網站裡MIS小偏方裡的一篇(非主文),因為不知如何在PCZONE用格式文章所以暫時貼在我的網站paultec.com直到明天(1月18日),以色彩標示檔案內容,指令等等比較清楚歡迎各位下載,至於圖示部分對於lunix我還是新手不知何種軟體可擷取畫面這方面可否請先學no1adsl兄幫忙重整這篇文章造福大家功德一件

**paul.us** · 2005-01-18, 02:20 PM

各位很抱歉,爲進行paultec.com的站務維護這篇文章的正式版就不貼在home page主文上,而收藏於mis小偏方(mis Tips)裡,不過我還是盡力把mis Tips其他小偏方貼上來,因為未來這些小偏方是paultec.com組職裡成員心得報告我必須徵詢他們同意才能貼到PCZONE,這點請見諒

**rushoun** · 2005-01-18, 03:22 PM

如果團體中有懂linux的，以淘汰電腦去當server當然是最好的選擇。
一般硬體式的分享器之類的防火牆，說真的，個人的經驗是，很難跟
linux的電腦server相比的，只是，有時也需考慮電費，維修等等的問題，
對一般user來說，架個server是比較困難的。

**repsol** · 2005-01-18, 06:08 PM

其實學習 unix 的東西，先跨出第一步，之後最重要的要能夠持續下去。
要有 try & error 的心態，才可以累積自己的能力。

Linux 有很漂亮也有很方便的安裝介面，安裝起來就跟安裝 M$ 的東西一樣簡單
但是很多情形都是

安裝好 Linux 之後，接下來要做什麼??

安裝和應用是兩碼事...

**無心插柳柳橙汁** · 2005-01-18, 06:33 PM

小弟也是有此打算
公司一些舊電腦，跑起RH7.3可是嚇嚇叫呢！
最近想更新成FC3，剛好可以參考，謝謝分享喔！

**paul.us** · 2005-01-18, 09:20 PM

如果以獨立的DNS(約250W),硬體Firewall(約60w),防毒伺服器(約250W)總計560W,這部3合1只耗250W當然划算,換裝後內部電腦出去速度明顯提升,防火規則較靈活,目前我打算以同樣原理裝部GIGA CPU的GIGA甚至光纖等級傳輸率的ROUTER無論如何都划算,lunix很合適充當這類職責,lunix servers 沒那麼高深莫測由其第3版以後除ap通行性外似乎比windows好用,不過我要聲明的是我爲自己的機構可以這麼做,以上班規則第x條明哲保身少做少錯原則下最好不要,老闆錢多的是錢多花個4~50萬算什麼,縱使要做請先做舊DRAM撤底測試,硬碟換新的,電源供應器換新的品質好足瓦,主機板不要低於asus等級,否則任何差錯為你是問那我可就造孽了.