會員 | 【軟體】用舊電腦製作高階DNS-NAT-Firewall-AntiVire Server(FedoraCore 3 架DNS結論篇) 我曾經問過製造防火牆公司有關硬體等級問題據了解價值80k的防火牆也只有2~300 CPU的能力,網卡更是螃蟹兩隻(如果DLINK等值約100K, 不要以為WAN頻寬低螃蟹就可打發掉,網卡好壞在於封包處理能力Intel 有別於DLink 更不用說螃蟹了) 因此我有個遐想,公司裡常有一大堆淘汰的舊電腦丟棄實在可惜而這些電腦CPU都在550以上於是我最近就用這些汰舊電腦的零件拼湊一部DNS / NAT - Firewall /防毒伺服器為公司省下一筆可觀的費用,以下是我的製作心得. 硬體資源為: AMD K7 800 CPU 256+128 兩支155 SDR 磐英主機板 七盟300W電源供應 20G ATA66硬碟ㄧ個 (我另加一個40G 作FTP 儲存上傳下載資料用) Intel pro /100s Management 網卡一張(WAN的Net adapter) Intel pro /100s Server網卡一張(LAN用的的Net adapter) 軟體資源為: FedoraCore 3 趨勢的InterScan VirusWall防毒軟體 這部伺服器功能規劃為: 1. 對外公佈的LAN所有伺服器的紀錄 2. 做為WAN和LAN間的NAT並執行Firewall 的功能 3. 做為WAN進入LAN濾毒功能 4. 做為Home Page(s) 的網頁伺服器, NAT對LAN只開放Port 443:tcp 5. 做為上傳下載的FTP 平台安裝要點: 1. 首先向FedoraCore 下載FedoraCore 3作業平台,下DVD版安裝較省事,平台安裝以英文版執行效率較佳,bug較少 2. 伺服平台安裝選項選: a. DNS 執行DNS功能 b. HTTP 讓沒機密性資料傳輸(ie. Home page) 在此執行 c. FTP 讓這部主機做點事,別杵在那裡 3. 伺服網段設定 a. 工作站網卡設定為eth0, WAN實體ip. b. server網卡設定為eth1, LAN虛擬ip. 4. 硬碟區域規劃 a. / (系統區) 8G. b. swap 區約記憶體 x 2.5 c. /Home 及 /fat (供windows 存取) 依需要決定 DNS 設定及啟用 : 以下實例中假設: . 網域註冊名稱為abc.com.tw .網域管理員信箱為[email protected] . 主DNS全名為mdns.abc.com.tw ;實體ip為aaa.bbb.ccc.ddd . 次DNS全名為sdns.abc.com.tw;實體ip為aaa.bbb.ccc.eee . http server全名為www.abc.com.tw;實體ip為aaa.bbb.ccc.ddd . mail server全名為mail.abc.com.tw;實體ip為aaa.bbb.ccc.fff 首先以文字編譯器編輯一個named.abc.com文字檔並存於/var/named/ chroot/var/named 是為正解檔內容為: 引用:
上述serial參數為啟動序號自己編,通常是陽曆+00** ie.: 2005123100 接下來以文字編譯器編輯一個named.aaa.bbb.ccc文字檔並存於var/named/ chroot/var/named 是為反解檔內容為: 引用:
接下來以文字編譯器開啟在var/named/chroot/etc 檔案夾裡named.conf檔案加入正反檔途徑紀錄內容為: 引用:
1. 執行ntsysv 指令([root@mdns /]# ntsysv ),於ntsysv選項目錄點選named項目, 設定開機自動啟用DNS. 2. DNS首次以手動開啟於終端機執行/etc/rc.d/init.d/named start ([root@mdns /]# /etc/rc.d/init.d/named start) 3. 再執行各項nslookup測試各項紀錄是否上路了 4. 萬一通不了請以tail -n 15 /var/log/messages | grep named 檢查named(DNS)執行記錄發覺正,反解檔或正反檔途徑紀錄錯誤,紀錄修正後再於終端機於根目錄下執行/etc/rc.d/init.d/ named restart ([root@mdns /]# /etc/rc.d/init.d/ named restart)重複這些程序直到錯誤完全修正. 為便利日後檔案維護,有如Windows的系統管理工具捷徑,建議在桌面自設的檔案名稱自訂(我是定名Link to),以上各檔按建立”連結至” 的捷徑並移置於Link to檔案夾裡,我也在該夾裡建立一個cmd文字檔將所有用於終端指令的指令全部複製到cmd,免得日後再打長串指令更省的去記那些長串指令. NAT 設定及啟用 以下實例中假設: .WAN實體ip為aaa.bbb.ccc.eee .LAN 虛擬ip 為10.10.1.5 .LAN 虛擬ip 為A級的10.10.1.0 網段 .Web Server (https) ip 為10.10.1.21 修改 /etc/rc.d 檔案夾裡rc.local檔案加入NAT資料: echo "1" > /proc/sys/net/ipv4/ip_forward modprobe ip_tables modprobe ip_nat_ftp modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 443 -j DNAT --to 10.10.1.21:443 ***如果LAN使用其他網段,在iptables -t nat -A POSTROUTING -o eth0 -s 10.10.1.0/8 -j MASQUERADE 中之CIDR (10.10.1.0/8) 請上http://public.pacbell.net/dedicated/cidr.html 查表修改,其他NAT table 自行加入 ie.: iptables -t nat -A PREROUTING -p tcp -i eth0 --dport 21 -j DNAT --to 10.10.1.21:21等等 接下來把所有藉此主機到WAN 的電腦TCP/IP預設閘道改為10.10.1.5,防火牆設定看個人功力再此不作介紹,主機重新開機,好了一部低價高階的DNS/ NAT – Firewall / FTP /Web 主機就這樣誕生了, 如果經費允許不仿把LAN那張卡改成GIGA 卡,機殼再噴上深橘色或法拉利紅色那就更專業了,保證老闆愛死你了,說不定把他的愛女---恐龍妹下嫁給你呢? 在此特別感謝NO1ADSL兄熱心的指導,本篇文章基本原理請上http://linux.vbird.org/(鳥哥網站)學習 | |||
回覆 |
Yanzi | 如果你還有圖的話 會有一堆網友愛死你了 呵呵.. |
回覆 |
校長兼撞鐘 | 幫忙美化部分說明 , 勿介意 類似的文章很多 , 有心學習者先把一些觀念搞懂後再上機實做 , 這樣就不會太困難 鳥哥那邊是一個好地方 |
回覆 |
會員 | 謝謝,no1adsl兄及ㄚ土兄,這篇文章主旨在於鼓勵剛入lunix門的論友們依樣畫葫裝一部給他們信心所以未論及理論部分,這篇文章也是我的網站裡MIS小偏方裡的一篇(非主文),因為不知如何在PCZONE用格式文章所以暫時貼在我的網站paultec.com直到明天(1月18日),以色彩標示檔案內容,指令等等比較清楚歡迎各位下載,至於圖示部分對於lunix我還是新手不知何種軟體可擷取畫面這方面可否請先學no1adsl兄幫忙重整這篇文章造福大家功德一件 |
回覆 |
會員 | 各位很抱歉,爲進行paultec.com的站務維護這篇文章的正式版就不貼在home page主文上,而收藏於mis小偏方(mis Tips)裡,不過我還是盡力把mis Tips其他小偏方貼上來,因為未來這些小偏方是paultec.com組職裡成員心得報告我必須徵詢他們同意才能貼到PCZONE,這點請見諒 |
回覆 |
散人 | 如果團體中有懂linux的,以淘汰電腦去當server當然是最好的選擇。 一般硬體式的分享器之類的防火牆,說真的,個人的經驗是,很難跟 linux的電腦server相比的,只是,有時也需考慮電費,維修等等的問題, 對一般user來說,架個server是比較困難的。 |
回覆 |
進階會員 | 其實學習 unix 的東西,先跨出第一步,之後最重要的要能夠持續下去。 要有 try & error 的心態,才可以累積自己的能力。 Linux 有很漂亮也有很方便的安裝介面,安裝起來就跟安裝 M$ 的東西一樣簡單 但是很多情形都是 安裝好 Linux 之後,接下來要做什麼?? 安裝和應用是兩碼事... |
回覆 |
會員 | 小弟也是有此打算 公司一些舊電腦,跑起RH7.3可是嚇嚇叫呢! 最近想更新成FC3,剛好可以參考,謝謝分享喔! |
回覆 |
會員 | 如果以獨立的DNS(約250W),硬體Firewall(約60w),防毒伺服器(約250W)總計560W,這部3合1只耗250W當然划算,換裝後內部電腦出去速度明顯提升,防火規則較靈活,目前我打算以同樣原理裝部GIGA CPU的GIGA甚至光纖等級傳輸率的ROUTER無論如何都划算,lunix很合適充當這類職責,lunix servers 沒那麼高深莫測由其第3版以後除ap通行性外似乎比windows好用,不過我要聲明的是我爲自己的機構可以這麼做,以上班規則第x條明哲保身少做少錯原則下最好不要,老闆錢多的是錢多花個4~50萬算什麼,縱使要做請先做舊DRAM撤底測試,硬碟換新的,電源供應器換新的品質好足瓦,主機板不要低於asus等級,否則任何差錯為你是問那我可就造孽了. |
回覆 |
會員 | 我們也是採用 tp+nat+dns cache 這樣也不錯用。省下不少錢。 |
回覆 |
|
類似的主題 | ||||
主題 | 主題作者 | 討論版 | 回覆 | 最後發表 |
MSN Messenger, Netmeeting 與 firewall, NAT | FYI | -- 網 路 技 術 版 | 18 | 2008-09-02 02:38 PM |
【求助】固定 IP 的 AR4031B 如何設才能用 NAT, Firewall 等功能 | gien | ---- ADSL 軟 硬 體 技 術 | 7 | 2004-06-11 02:51 AM |
【求助】Win2000 Server+NAT+Norton2002 Firewall | skynet | -- 網 路 技 術 版 | 5 | 2003-02-12 10:54 PM |
NAT + Firewall | zuyan | -- 防 駭 / 防 毒 版 | 2 | 2001-09-03 02:24 PM |
[問題] Nat server | TerryKuo | -- 網 路 技 術 版 | 1 | 2001-07-10 09:20 AM |
XML | RSS 2.0 | RSS |
本論壇所有文章僅代表留言者個人意見,並不代表本站之立場,討論區以「即時留言」方式運作,故無法完全監察所有即時留言,若您發現文章可能有異議,請 email :[email protected] 處理。