[问题求助]用pppoe和shorewall管理中小型网络 [复制链接]

本文纯属自己工作的一点经验总.结，你想怎么处.理都可以。--- 印刷

我们的网络有20.0.＋的用户，然后还有N台服务器，用户是要向我们交网络使用费的。           鲜花

采用PPPOE管理用户是比较方便的，只需要设定用户和密码就.什么都不.用管了。           建材

选择FREEBSD还是LINUX是个问题，以前我就是用的FREEBS.D，感觉不是很稳定。现在又准备用.LINUX。    美容
GOOGLE了一下，看到
http://www.jraitala.net/comp/articles/2002/pppoe/           建材
如上地址的结果。所以就选择了L.INUX。健康
况且LINUX上面有SHOREWALL作为软件防火墙，功能比较好，不用.自己编.IPTABLES的规则。.

选.择什么样的发行版作为这个带PPPOE防火墙呢？<性病>
首先这个操作系统要安装简单，
然后最好内置所.有制作这个防火墙需要的软件，    外汇
我还希望我的PPPOE能和RADIUS服务器联合起来使用，这样管理起来更加.方便.。.

我在CENTOS、UBUNTU和FC5中作了个选择，我.选择.了FEDORA 5。    健康
CENTOS带的PPPD不支.持RADIUS.的PLUGIN.
需要自己编译pppd，要支持内核模式的PPPOE需要重新.编.译rp－pppoe           女人
UBU.NTU和FE.DORA 5都代支持RADIUS的pppd，UBUNTU的p.ppd版本还是最新测试版，但他们两个都需要重新编译RP－PPPOE来支持内核模式的PPPOE。           鲜花
他们都带free.radi.us。还都带shorewall。教育

我选择了用得最.顺手的FEDORA。.
新装好的fedo.ra作pppoe服务器会不能用，于是我将rp－pppoe3。.8下载下来重新编译，发觉还是不.能用，于是又将其编译为内核模式，pppoe服务器就能够使用了。--- 印刷
到rp-pp.poe的src目录下面 ./configure .--enable-plugin然后make install 就好了。[成人用品]
在启动pppoe-server的时候记得加上-k的参.数（内核模式.的PPPOE）。学习

试着不改动系统原来的配置文件启动一下你的.pppoe－server，记得给.pap-secrets文件添加用户。其实这样就已经可以用了。<性病>

然后.拨号上来的用户.还需要上网，这时就需要配置shorewall了。对于我们这个简单的需求，我修改了interfaces文件和zone文件..，修改了masq文件，由于每个文件里面本来就有详细的配置使用说明，我就不多说了，然后启动shorewall，网络就可以用了。.
masq文件的.内容大概是这样的：.
eth0    172.18.6..0/24投资
eth0是我的外网界面。

[. 本帖最后由. 5day 于 2006-5-4 16:43 编辑 ](        游戏          )

单独一个shorewall就可以开一讲了~

对于这种情况的shorewall的配置大概是这样的。
eth0外网 eth1拨号的界面 eth2服务器区
interface 文件
loc   ppp+
net   eth0
dmz   eth2

zone文件
loc ipv4
net ipv4
dmz ipv4

masq文件(172.18.2.0是拨号分配的地址）
eth0    172.18.2.0/24

police文件和rules文件的编辑就看你的喜好了。
常用的police文件是这样的：
loc    net    ACCEPT
net    all    DROP
all    all    DROP
常用的rules文件大概是这样的：
DNAT net dmz:172.18.3.1  tcp  http  -  -  - 3/sec:10
DNAT net dmz:172.18.3.1  tcp  ssh,http  -  -  - 3/sec:10

当然，shorewall支持的高级配置是很多的，如果需要屏蔽bt,你还可以编译ipp2p模块，shorewall 也支持的。
编辑rules文件:
DROP    loc   net   ipp2p  all

其实基本的shorewall配置由于document比较齐全，查看一下，很好弄的。

多个网段怎么配置？

eth0 10.10.0.0/24 211.111.111.1
eth0 10.11.0.0/24 211.111.111.1

？？？ 是这样嘛？

QUOTE:常用的rules文件大概是这样的：
DNAT net dmz:172.18.3.1  tcp  http  -  -  - 3/sec:10
DNAT net dmz:172.18.3.1  tcp  ssh,http  -  -  - 3/sec:10

请问，后面的 3/sec:10 是什么意思呢？
是针对状态的，还是所有 tcp/80 的包？

QUOTE:原帖由 top123 于 2006-5-31 19:47 发表
多个网段怎么配置？

eth0 10.10.0.0/24 211.111.111.1
eth0 10.11.0.0/24 211.111.111.1

？？？ 是这样嘛？

没想到这么久了还有回贴，哈哈。
你的问题的确不太明白，我不太懂你的意思。
估计你的意思是给内网划分多个网段吧，你可以在masq文件里面定义的。看看shorewall 的 masq文件，里面很多例子。

QUOTE:原帖由 platinum 于 2006-5-31 19:52 发表

请问，后面的 3/sec:10 是什么意思呢？
是针对状态的，还是所有 tcp/80 的包？

#       RATE LIMIT      You may rate-limit the rule by placing a value in
#                       this colume:
#
#                               <rate>/<interval>[:<burst>]
#
#                       where <rate> is the number of connections per
#                       <interval> ("sec" or "min") and <burst> is the
#                       largest burst permitted. If no <burst> is given,
#                       a value of 5 is assumed. There may be no
#                       no whitespace embedded in the specification.
#
#                               Example: 10/sec:20
rulse文件里面的内容。

QUOTE:原帖由 5day 于 2006-6-14 10:01 发表

#       RATE LIMIT      You may rate-limit the rule by placing a value in
#                       this colume:
#
#                               <rate>/<interval>[:<burst>]
...

那逻辑上就不对了啊，看说明是不基于状态的，而是所有包
一个 TCP 里面包含很多包，有 ACK、SYN、PSH、RST 等
你只限制每秒 3 个 HTTP 包，有何用途？

那个example里面并没说<rate>/<interval>rate就是包的数目啊?
老实说，我对网络方面也只晓得些皮毛，用shorewall的目的也是如此。
我理解的rate/sec是每秒钟许可的连接数,不是每秒钟允许传递的 数据包的数目。
事实上我设置的1/sec网络也是通的。

欢迎砖头

[ 本帖最后由 5day 于 2006-6-14 15:23 编辑 ]

我没有分析过 shorewall，但我感觉它实际调用的还是 iptables，类似 webmin 那样
iptables 里针对速率的控制只有 limit，使用方法与上面贴的极其相似
若这个 number 是 connection 的数量的话，可以做一个试验
因为针对 connection 的控制，iptables 也有相应模块的，但它只能控制 TCP 连接
做个试验看行不行，改成


QUOTE:DNAT net dmz:172.18.3.1  udp  ntp  -  -  - 3/sec:10

看是否报错，若不报错，在系统里执行一下 iptables-save 并贴一下，我想看看我的猜测是否正确 ^_^