论坛风格切换切换到宽版
发帖 回复
返回列表
  • 728阅读
  • 9回复

[问题求助][保留] LINUX AS 3下配置vlan+nat+squid(经使用证明很稳定) [复制链接]

 上一主题 下一主题
离线和气生财.
初中二年级
 
发帖
1863
C币
-236116
威望
308
贡献值
1
银元
0
铜钱
4033
人人网人气币
0
只看楼主 倒序阅读 使用道具 楼主  发表于: 2009-05-01


QUOTE:更新:
11月27号:
这次加了很多端口的列表!
看.了网通的华为5200F上面有.很多封掉的端口,我就顺便在NAT上也做了!              乙肝
而且CPU的利用率也不高哈!
这个要视实际情况而.定哈!你觉得有些端口你对你没.有用你封了也行          婚庆

69        any
139        any
135        TCP
136        TCP
137        TCP
138        TCP
445        TCP
593        TCP
10.25        TCP
1068      .  TCP    健康
3333    .    TCP.
4444    .    TCP域名
4899    .    TCP<性病>
5554      .  TCP电脑
5800 .       TCP             汽车
59.00        TCP.
6667      .  TCP           女人
6881.        TCP健康
9995    .    TCP    美容
9996        .TCP.
135        UDP
136        UDP
137        UDP
138        UDP
593        UDP
1433      .  UDP          婚庆
143.4        UDP虚拟主机
3333     .   UDP    外汇
44.44        UDP服务器
5800    .    UDP外贸
5900   .     UDP.
6667       . UDP          婚庆
9000   .     UDP           建材
9月28号:
最近加了一条.规.则,把139、445端口的数据包丢了!           鲜花
这样子.就减少冲击波礴来的危害了哈!!             电子

我们学校.本来有两条线路电信+网通!            杀毒
但是路由.器太烂了!一开.始办公、服全和学生宿舍全部跑电信的线路[成人用品]
结果路由器吃不消了!
在没有新设备的情况下只好将.学生宿舍和办公分开!          婚庆
学生宿舍用网通算了!
今天就要做一个NA.T+SQUID电脑
但是我们宿舍楼有7栋!所以得有7个VL.AN..
在AS3下是支持VLAN的!
下面就是VALN的配置过程
vconfig add eth0 51 &#.VLAN的I.D健康

ip address add 217.221.181..1/.24 dev eth0.51 &#IP地址学习

ip lin.k set dev eth.0.51 up &#生效.
复制代码

呵呵!!
VLAN搞定了!
可以用ifconfig看一.下了!教育

再来就是squid配置

我只是简单配置一下!
详细的说明明天再写哈!
vi /etc/s.quid/squid.conf            杀毒

.................................学习



cache_mem 8. MB: --- 印刷



这东.西与你的内存有关,如果你的内存够大的话,这个 8 可以变大一些,例如你的内存有 256 MB 时,你可以设成 256*1/4 ==>; 64. M.B,如果你只有 64MB,而且主机还有其它用途,那使用预设的 8 MB 就好了。.

cache_dir ufs /var/spool/squid 10.00 16 25.6健康





visible_hos.tname cncgateway &# &一定要加这个!要不SQUID启动不了哈!呵呵!.!              乙肝
复制代码
然后再进行下面的指令:
rm -rf /var/spool/.squid 投资

mkdir /v.ar/spool/squid 学习

chown squi.d quid /var/spool/sq.uid .

/usr/sbin/squid .-z域名

/.etc/rc.d/init.d./squid restart 电影
复制代码


然后是NAT部分!
#!/bin/bash

echo 1 >; /proc/sys/net/ipv4/i..p_forward & &.

mo.dprobe ip_tables & & & & & &.              汽车

modprobe ip_.nat_ftp    外汇

modpr.obe ip_nat_irc学习

modprobe ip_c.onntrack            杀毒

modprobe ip_conntrac.k_ftp           女人

modprobe ip_conntrack_.irc              乙肝

/sbin/ipta.bles -F.

/.sbin/iptables -X虚拟主机

/sbin/iptables -Z..

/sb.in/iptables -F -t nat外贸

/sbin/iptable.s -X -t nat.

/sbin/iptables -Z. -t nat           女人

/s.bin/i.ptables -P INPUT ACCEPT(广告)

/sbin/ipta.bles -P O.UTPUT ACCEPT电脑

/s.bin/iptables -P FOR.WARD ACCEPT(广告)

/.sbin/ip.tables -t nat -P PREROUTING ACCEPT学习

/.sbin/iptable.s -t nat -P POSTROUTING ACCEPT[成人用品]

/sbin/ip.tables -t nat -P OU.TPUT ACCEPT              乙肝

#加载模块

modprobe ip_tables 2>; /dev/.null.外贸

modp.ro.be ip_nat_ftp 2>; /dev/null.

modprobe ip_nat_irc 2.>; /dev/null.    美容

modprob.e ip_conntrack 2>; /dev/nul.l<性病>

modprobe ip._conntrack_ftp 2>; /d.ev/null.

modprobe. ip_conntra.ck_irc 2>; /dev/null教育



#IP伪装

/sbin/iptables -t nat -A POSTROUTING -o eth1 ..-s 217.221.176.0./20 -j MASQUERADE服务器



/sbin/iptables -t nat -A POSTROUTING -o eth1 -s 211.4.1.120..0/21 -.j MASQUERADE     健康



#SQUID

iptables -t nat -A PREROUTING -i eth1 -p tcp -s 217.221.176.0/20 --dport 80 -j. .REDIRECT --to-port 31.28              电子



iptables -t nat -A PRER.OUTING -i eth1 -p tcp .-s 211.4.1.120.0/21 --dport 80 -j REDIRECT --to-port 3128 .
复制代码

最后.把VLAN+NAT写到nat.s.h中,在rc.local中启动虚拟主机

在交换机上把VLAN配好!
测试通过!P4 1.8.G/256M .
用uptime看一下
[root@cncgateway roo.t]# uptim.e     健康

18:47:29 &up &4:14, &1 user, &load .av.erage: 0.00, 0.00, 0.00           鲜花
复制代码

学生宿舍上网.的速.度明显加快!这样也缓解办公楼上网问题!    健康
不足之处请指出!
下面是整个脚本nat.sh
#!/bin/bash

echo 1 >; /proc/sys/n.et/ipv4/ip_f.orward & &.

vconfig add eth0 .51.

ip address add 21.7.221.181..1/24 dev eth0.51             电子

ip link set dev eth.0.51 .up           鲜花



vconfig .add eth0 52投资

ip address .add 217.221.182.1/24 dev eth0..52          婚庆

ip link .set dev eth0.52 u.p(广告)



vconfig add eth0. 53(        游戏          )

ip add.ress add 217.221.183..1/24 dev eth0.53             电子

ip link set d.e.v eth0.53 up外贸



vconfig add et.h0 54             电子

ip ad.dress add .217.221.184.1/24 dev eth0.54

ip link se.t dev eth0.54 up..



vcon.fig add eth0 55教育

ip addres.s add 217.221.185..1/24 dev eth0.55              乙肝

ip li.nk set dev eth0.55 u.p           鲜花



vconfig add eth.0 56             电子

i.p address add 217.221.186.1/24 dev eth0.5.6教育

ip li.n.k set dev eth0.56 up             电子



v.config add eth0 57.

ip address add 217.2.21.187.1/24 dev eth0..57           鲜花

ip li.nk set dev. eth0.57 up教育



m.od.probe ip_tables & & & & & &           婚庆

modprobe ip_nat_.ftp.

modpr.obe ip_nat_irc.

modprobe ip_.conntrack--- 印刷

modp.robe ip_conntrack_ftp          婚庆

modprobe ip_.conntrack_irc.

/sbin/iptabl.es -F           女人

/sb.in/iptables -X电脑

/.sbin/iptables -Z.

/sbin/iptables -F -t na.t(        游戏          )

/sbin/iptabl.es -X -t nat教育

/sbin/ip.tables -Z -t nat             电子

/sb.in/.iptables -P INPUT ACCEPT.

/sbin/iptables -P OUTPUT .ACCEP.T教育

/sbin/iptables -P FORWARD. ACC.EPT.

/sbin/iptables. -t nat -P .PREROUTING ACCEPT.

/.sbin/.iptables -t nat -P POSTROUTING ACCEPT(广告)

/s.bin/iptables -t .nat -P OUTPUT ACCEPT[成人用品]





modprobe ip_tables 2>.; /dev./null.

modprob.e ip_nat_ftp 2>; ./dev/null.

modpro.be ip_nat_irc 2>;. /dev/null

modprobe ip_conntr.ack 2>;. /dev/null    外汇

modprobe. ip_conntrack_ftp 2>; /dev/nul.l           建材

modprobe i.p_conn.track_irc 2>; /dev/null.





/sbin./iptables -t nat -A POSTROUTING -o eth1. -s 217.2.21.176.0/20 -j MASQUERADE电影



/sbin/iptables -t nat -A POSTRO.UTING -o eth.1 -s 211.41.120.0/21 -j MASQUERADE. (广告)

#挡病毒的端口列表

/sbin/iptables -.t .filter -A FORWARD -s 0/0 -p tcp --dport 69 -j DROP电脑

/sbin./ipta.bles -t filter -A FORWARD -s 0/0 -p tcp --dport 135 -j DROP域名

/sbin/iptables -t filter -A FORWARD .-s 0/0 -p t.cp --dport 136 -j DROP.

/sbin/ip.tables -t filter -A FORWARD -s 0/0 -p t.cp --dport 137 -j DROP    美容

/sbin/iptables -t filter. -A FORWARD -s 0/0 -p tcp --dport 139 -j DRO.P投资

/sbin/iptables -t filte.r -A FORWA.RD -s 0/0 -p tcp --dport 138 -j DROP    外汇

/sb.in/iptables -t fil.ter -A FORWARD -s 0/0 -p tcp --dport 445 -j DROP服务器

/sbin/iptables -t filter -A FORWARD -s 0/0 -p tcp --dport 5.93 -.j DROP(广告)

/sbin/iptables -t filter -A .FORWARD -s 0/0 -p tcp --dport 1025 -j D.ROP.

/sbin/iptables -t filter -A FORWARD .-s 0/0 -p tcp --dport 1.068 -j DROP电影

/sbin/iptables -t f.ilter -.A FORWARD -s 0/0 -p tcp --dport 3333 -j DROP    健康

/sbin/iptab.les -t filter -A FORWARD -s 0/0 -p tcp --dport .4444 -j DROP(        游戏          )

/sbin/iptables -t fil.ter -A .FORWARD -s 0/0 -p tcp --dport 4899 -j DROP投资

/sbin/ipt.ables -t filt.er -A FORWARD -s 0/0 -p tcp --dport 5554 -j DROP           女人

/sbin/iptables -t filter -A FORWARD -s 0/0 -p. tcp --dport. 5800 -j DROP    外汇

/sbin/iptables -t filt..er -A FORWARD -s 0/0 -p tcp --dport 5900 -j DROP域名

/sbin./iptables -t f.ilter -A FORWARD -s 0/0 -p tcp --dport 6667 -j DROP教育

/sbin/iptables -t filter. .-A FORWARD -s 0/0 -p tcp --dport 6881 -j DROP--- 印刷

/sbin/iptable.s -t filter -.A FORWARD -s 0/0 -p tcp --dport 9995 -j DROP

/sbin/iptables -t filter -A FORWARD -.s 0/0 -p tcp --dport 9996 -j. DROP域名

/sbin/iptables -t filter -A FORWARD -s 0/0 -p udp .--dport 69 -.j DROP服务器

/sbin/iptables -t fil.ter -A FORWARD -s 0/0 -p udp --dport 135 .-j DROP电影

/sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dport 136 -.j DRO.P.

/sbin/iptables -t filter. -A F.ORWARD -s 0/0 -p udp --dport 137 -j DROP<性病>

/sbin/iptable.s -t filter -A FO.RWARD -s 0/0 -p udp --dport 138 -j DROP.

/sbin/iptabl.es -t filter -A .FORWARD -s 0/0 -p udp --dport 139 -j DROP<性病>

/sbin/iptables -t filter -A FORWAR.D -s 0./0 -p udp --dport 593 -j DROP           鲜花

/sbin/iptables -t filter -A FORWARD -s 0/0 -p u.dp --dport 1433 -j D.ROP.

/sbin/iptables -t filter -A FORWARD -s 0/0 -p u.dp --dport 1434 -j. DROP健康

/sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dp.ort 333.3 -j DROP           鲜花

/sbin/iptables -t filte.r -A FORWARD -s 0/0 -p udp --dport 4444 .-j DROP.

/sbin/iptables -t filter -A FORWARD -s 0/0 -p udp --dpo..rt 5800 -j DROP虚拟主机

/sbin/i.pta.bles -t filter -A FORWARD -s 0/0 -p udp --dport 5900 -j DROP(        游戏          )

/sbin/iptables -t filter -A FORWARD -s. 0/0. -p udp --dport 6667 -j DROP           建材

/sbin/iptables -t filter -A FORWARD -s .0/0 -p udp --dport 9000 .-j DROP虚拟主机



iptables -t nat -A PREROUTING &-p t.cp -s 217.221.176.0/20. --dport 80 -j. REDIRECT --to-port 3128 .



iptabl.es -t nat -A PREROUTING &-p tcp -s .211.41.120.0/21 --dport 80 -j REDIRECT --to-port 31.28 &.
复制代码
评价一下你浏览此帖子的感受

精彩
感动
搞笑
开心
愤怒
无聊
灌水
回复
举报
分享到 淘江湖 新浪 QQ微博 QQ空间 开心 人人 豆瓣 网易微博 百度 鲜果 白社会 飞信
离线gssasd.
初中三年级
发帖
2090
C币
-60639
威望
395
贡献值
1
银元
-3
铜钱
4719
人人网人气币
0
只看该作者 沙发  发表于: 2010-04-13
Re:[保留]
好像VLAN一定要网卡支持才行得,你得网卡应该是服务器专用得网卡吧。
回复
举报
离线haliao8.
初中三年级
发帖
2227
C币
-60440
威望
385
贡献值
1
银元
-2
铜钱
4841
人人网人气币
0
只看该作者 板凳  发表于: 2010-04-13
Re:[保留]
谢谢主啊,不错
回复
举报
离线domin.
初中三年级
发帖
2039
C币
-140119
威望
374
贡献值
1
银元
-3
铜钱
4565
人人网人气币
0
只看该作者 地板  发表于: 2010-04-13
Re:[保留]
請問 Linux 支持Vlan是什麼定義?
回复
举报
离线buhuien.
初中三年级
发帖
2060
C币
-140284
威望
363
贡献值
1
银元
-1
铜钱
4428
人人网人气币
0
只看该作者 4楼 发表于: 2010-04-13
Re:[保留]
[quote]原帖由 "fvane"]請問 Linux 支持Vlan是什麼定義?[/quote 发表:

不外乎是IEEE802.1Q
回复
举报
离线绿豆宝贝.
初中二年级
发帖
1876
C币
-235812
威望
366
贡献值
1
银元
-3
铜钱
4235
人人网人气币
0
只看该作者 5楼 发表于: 2010-04-13
Re:[保留]
[quote]原帖由 "zhouqiming"]好像VLAN一定要网卡支持才行得,你得网卡应该是服务器专用得网卡吧。[/quote 发表:


不哈!我用的一是8139的网卡哈!
回复
举报
离线liuqhe.
初中三年级
发帖
2082
C币
-593658
威望
412
贡献值
2
银元
-2
铜钱
4835
人人网人气币
0
只看该作者 6楼 发表于: 2010-04-13
Re:[保留]
你这样,各个VLAN之间能访问吗?
回复
举报
离线blueii.
初中三年级
发帖
1982
C币
-152858
威望
353
贡献值
1
银元
-2
铜钱
4430
人人网人气币
0
只看该作者 7楼 发表于: 2010-04-13
Re:[保留]
[quote]原帖由 "zjsxyj"]你这样,各个VLAN之间能访问吗?[/quote 发表:



可以的哈!
回复
举报
离线dk97531.
初中三年级
发帖
2014
C币
2762
威望
379
贡献值
1
银元
-1
铜钱
4492
人人网人气币
0
只看该作者 8楼 发表于: 2010-04-13
Re:[保留]
可以,不错,楼主进步不小哦
回复
举报
离线大傻111.
初中三年级
发帖
2118
C币
-235601
威望
380
贡献值
1
银元
-1
铜钱
4662
人人网人气币
0
只看该作者 9楼 发表于: 2010-04-13
Re:[保留]
VLan不需要网卡支持吧。

和硬件无关的,

当然,也可以由硬件实现。
回复
举报
发帖 回复
返回列表
快速回复
限100 字节
批量上传需要先选择文件,再选择上传
 
上一个 下一个