Linux ××× 服务器
架设linux下最简单的×××系统
作者:yuehuiw 来源:chinaunix (2005-03-21 13:30:45)
小弟是个新手,水平比较低,第一次发文章,有不妥之处请各位多多指教!此文基本上是我个人的原创,同时也参考了很多相关的文章,在此对那些作者表示感谢! 本文是根据我公司的实际应用情况写的,但是稍加修改即可应用到很多地方,系统运行的两个月来,证明还是安全可靠稳定的,呵...
我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做×××系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的 ××× Server,再通过××× Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全×××隧道.由此可以保证我公司的所有应用需求的安全性和便捷性. 1.硬件资源:服务器一台
PIX 525UR防火墙一台
2.软件资源:Mandrake 9.2
kernelmod
pptpd
Super-freeswan
iptables
公网ip地址 注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台.
下面就是安装过程:
1.操作系统安装:
安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.
2.安装kernelmod:
tar zxvf kernelmod-0.7.1.tar.gz
cd /kernelmod
./ 3.安装pptpd:
①升级ppp
rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
②安装pptpd
rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm 4.安装Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm 5.升级iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm 呵...至此,全部的安装过程就完成了,简单吧,
注:以上软件都可以在rpmfind.net找到!
下面是最主要的配置过程: 1.操作系统的配置:
①升级openssh
②关闭不需要的服务(sendmail isdn …)
③编辑/etc/sysctl.conf
net.ipv4.ip_forward = 0=>1
net.ipv4.conf.default.rp_filter = 1=>0 2.Pix配置文件(×××部分):
access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司×××用户的IP段" 255.255.255.0
access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司×××用户的IP段" 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer "×××服务器的IP"
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key "密码" address "×××服务器的IP" netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 28800 3.PPtP配置
①/etc/pptpd.conf
speed 115200
option /etc/ppp/options
localip "公司×××用户的网关(例如10.0.1.1)"
remoteip "公司×××用户的IP段(例如10.0.1.200-250)" ②/etc/ppp/chap-secrets
“用户名” "×××服务器的IP" “密码” 10.0.1.20X (200<X<250) ③/etc/ppp/options
lock
name "×××服务器的IP"
mtu 1490
mru 1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
ms-dns X.X.X.X
deflate 0 4.Super-freeswan配置
①/etc/freeswan/ipsec.conf # basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
nat_traversal=yes # defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand conn pix
left="×××服务器的IP"
leftnexthop="×××服务器的网关"
leftsubnet="公司×××用户的IP段(例如10.0.1.0/32)"
right="南京PIX525UR的IP"
rightnexthop=%direct
rightsubnet="南京IP段"
authby=secret
pfs=no
auto=start ②/etc/freeswan/ipsec.secrets
"×××服务器的IP" "南京PIX525UR的IP": PSK "密码" 5.iptables配置(样本),用以限制公司×××用户的访问权限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE service iptables save 注:1.添加用户名及修改密码 /etc/ppp/chap-secrets
2.用户权限设定 编辑修改iptables规则
3. 如果公司路由器上有access-list,则添加
permit 47 any host 219.238.213.244
4. 校验IPsec服务是否启动成功
ipsec verify
小弟是个新手,水平比较低,第一次发文章,有不妥之处请各位多多指教!此文基本上是我个人的原创,同时也参考了很多相关的文章,在此对那些作者表示感谢! 本文是根据我公司的实际应用情况写的,但是稍加修改即可应用到很多地方,系统运行的两个月来,证明还是安全可靠稳定的,呵...
我公司在北京,但是主要设备都在南京电信的一个主要IDC里,那边有我们的两个PIX525UR(做了故障切换),上面做了严格的访问控制,因此,为了方便公司里的移动,出差及在家的员工办公,才有了做×××系统的想法.好使具有相应权限的使用者从个人PC通过支持MPPE128的加密隧道连接至公司的 ××× Server,再通过××× Server将数据转发到南京IDC的我公司应用网络,其间的连接也是基于IPSEC的安全×××隧道.由此可以保证我公司的所有应用需求的安全性和便捷性. 1.硬件资源:服务器一台
PIX 525UR防火墙一台
2.软件资源:Mandrake 9.2
kernelmod
pptpd
Super-freeswan
iptables
公网ip地址 注:我在测试了几种LINUX(包括Redhat,SuSE,Mandrake,Astaro)后,感觉Mandrake是最简单,最稳妥的平台.
下面就是安装过程:
1.操作系统安装:
安装过程无特殊要求,在选择安装组件的时候除开发工具外其它一概不选,主要是出于安全性考虑.
2.安装kernelmod:
tar zxvf kernelmod-0.7.1.tar.gz
cd /kernelmod
./ 3.安装pptpd:
①升级ppp
rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
②安装pptpd
rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm 4.安装Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm 5.升级iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm 呵...至此,全部的安装过程就完成了,简单吧,
注:以上软件都可以在rpmfind.net找到!
下面是最主要的配置过程: 1.操作系统的配置:
①升级openssh
②关闭不需要的服务(sendmail isdn …)
③编辑/etc/sysctl.conf
net.ipv4.ip_forward = 0=>1
net.ipv4.conf.default.rp_filter = 1=>0 2.Pix配置文件(×××部分):
access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司×××用户的IP段" 255.255.255.0
access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司×××用户的IP段" 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer "×××服务器的IP"
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key "密码" address "×××服务器的IP" netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 28800 3.PPtP配置
①/etc/pptpd.conf
speed 115200
option /etc/ppp/options
localip "公司×××用户的网关(例如10.0.1.1)"
remoteip "公司×××用户的IP段(例如10.0.1.200-250)" ②/etc/ppp/chap-secrets
“用户名” "×××服务器的IP" “密码” 10.0.1.20X (200<X<250) ③/etc/ppp/options
lock
name "×××服务器的IP"
mtu 1490
mru 1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
ms-dns X.X.X.X
deflate 0 4.Super-freeswan配置
①/etc/freeswan/ipsec.conf # basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
nat_traversal=yes # defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand conn pix
left="×××服务器的IP"
leftnexthop="×××服务器的网关"
leftsubnet="公司×××用户的IP段(例如10.0.1.0/32)"
right="南京PIX525UR的IP"
rightnexthop=%direct
rightsubnet="南京IP段"
authby=secret
pfs=no
auto=start ②/etc/freeswan/ipsec.secrets
"×××服务器的IP" "南京PIX525UR的IP": PSK "密码" 5.iptables配置(样本),用以限制公司×××用户的访问权限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE service iptables save 注:1.添加用户名及修改密码 /etc/ppp/chap-secrets
2.用户权限设定 编辑修改iptables规则
3. 如果公司路由器上有access-list,则添加
permit 47 any host 219.238.213.244
4. 校验IPsec服务是否启动成功
ipsec verify
你可能想看:
Linux虚拟机下载/LINUX虚拟器下载/虚拟LINUX/模拟LINUXLinux虚拟机下载
查看linux系统版本信息(Oracle Linux、Centos Linux、Redhat Linux、Debian、Ubuntu)查看Linux版本信息
【Linux】linux | linux安装安全狗 | safedogLinux安装安全狗
Linux入门,Linux入门教程:Linux文件管理linux shell 教程
【Linux】linux | 验证端口是否开放 | 基于linux工具linux检测端口是否开放
Linux与Linux和Linux与Windows使用key登录windows和linux
Linux中搭建常用服务器(搭建telnet服务器\搭建web服务器\搭建DNS服务器\建DHCP服务器\建FTP服务器)linux安装telnet服务器
linux、windows登录到远程linux服务器windows远程登录linux服务器
linuxNTP时间服务器、DHCP服务器、Samba服务器、NFS文件系统、FTP服务器linux dhcp服务器