1688.html

著名的linux英雄站点的文档打包

1. 黄志伟，IP Masquerade HOWTO中文版<br>
请访问：http://www.linux.org.tw/CLDP/gb/IP-Masquerade-HOWTO.html<br>
& 4.6 相关技巧<br>
1. 要是控制模块不存在，或许是不在路径下，可以执行depmod -a<br>
& 4.7 小结<br>
使用ipchains作为企业上网IP伪装十分实用，而且其配置十分简单， 并且功能强大，管理起来也十分简单。当然，其在安全性上还有不足，需要改进。<br>
<br>
<br>
<br>
标 题: 中小企业服务器配置方案(Squid代理服务器)<br>
第五节 Squid代理服务器<br>
& 5.1 简介<br>
　作为一种免费的网络操作系统，Linux越来越受到广大网络爱好者的欢迎，目前因特网（Internet）上运行的主机有相当一部分采用的就是 linux操作系统，而且中国已经把linux操作系统作为政府上网年的指定网络操作系统，种种迹象表明，linux操作系统正在逐渐走向成熟。在本章我将向大家介绍一种能在Linux系统下使用的比较优秀的代理服务器软件的配置方法。<br>
众所周知，当今因特网发展速度极其迅猛，IP地址资源非常紧张。而如果您想访问因特网，共享因特网的丰富资源，您的机器必须拥有一个标准的IP 地址。在因特网上，IP地址是识别您的机器的唯一标志。目前，有两种方式可以让您的机器拥有标准的IP地址：一种是局域网通过专线接入因特网，您的机器可以拥有静态的IP地址。所谓静态IP地址，就是对使用者来说，是固定不变的IP地址，这个IP地址给您使用后，其他人就不能再用了。一种是通过电话线拨号或ISDN拨号等方式接入因特网，您的机器可以在您拨号上网的在线期间从ISP的访问服务器的IP地址池中获得一个临时的标准IP地址，这个IP地址在您下线后就不归您使用了，而您下次拨号再上网，很可能分配给您的机器的是另外一个临时的IP地址了。这种临时分配的IP地址，称为动态IP地址。无论是静态地址还是动态地址，在您的机器访问因特网时，使用起来没有什么区别。<br>
　现在因特网发展速度这么快，而IP地址资源又这么紧张，这不能不说是一个尖锐的矛盾。虽说Ipv6正在开发中，但远水不解近渴，好多的企业、公司内部的Intranet现在就想接入因特网这个浩瀚的资源海洋，但又苦于没有充足的IP地址资源，怎么办？还好，有代理服务这个好东西。代理服务是指由一台拥有标准IP地址的机器代替若干没有标准IP地址（以下称内部地址）的机器和因特网上的其他主机打交道，提供代理服务的这台机器称为代理服务器。拥有内部地址的机器想到因特网上查找资料时，先把这个请求发给拥有标准IP地址的代理服务器，由代理服务器把这个请求通过它的标准IP地址发到请求的目标地址。然后目标地址的服务器把返回的结果发回给代理服务器，代理服务器再原封不动的把资料发给最初那台拥有内部IP地址的机器。这样就完成了一次内部机器访问因特网的一个过程。若干拥有内部地址的机器就组成了内部网，代理服务器的作用就是勾通内部网和因特网，解决内部网访问因特网的问题。而且这种代理是不可逆的，因<br>
特网上的主机不能访问任何一台拥有内部地址的机器，这样又可以保障内部资料的安全性。<br>
能够完成这种代理功能的服务器软件有好多，我给大家推荐一种能在linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀，是因为它可以在代理服务器上作一个很大的缓存，可以把好多常去的网站内容存储到缓存中，这样，内部网的机器再访问那些网站，就可以从缓存里调用了。这样一方面可以加快内部网浏览因特网的速度，这就是所谓的提高客户机的访问命中率，另一方面，Squid不仅仅支持HTTP协议，而且还支持FTP,GOPHER,SSL和WAIS等协议考虑到简捷实用的原则，我们本章只向大家介绍如何设置HTTP代理，而其他的代理大同小异，各位理解了HTTP的配置也就明白应该如何配置其他的代理了。<br>
(LinuxByte下载Squid)<br>
& 5.2 所需资源<br>
&5.2.1 所需包<br>
squid-2.3.STABLE1-5.rpm<br>
&5.2.2 所需配置文件<br>
/etc/squid/squid.conf 系统自带，管理员配置<br>
&5.2.3 相关工具<br>
无<br>
& 5.3 配置方案<br>
1./etc/squid/squid.conf<br>
说明：squid主配置文件<br>
源文件：<br>
acl deny_ip_01 dst 1.1.1.1<br>
http_access deny deny_ip_01<br>
# 以上两行是基于IP的访问控制<br>
acl deny_url_01 url_regex http://www.www.www<br>
http_access deny deny_url_01<br>
# 以上两行是基于URL的访问控制<br>
http_port 3128 # HTTP协议代理默认代理端口<br>
cache_mem 32 MB #开劈一块内存区域作为缓冲<br>
cache_dir ufs /home/squid/cache 1024 16 256<br>
# 开劈一块硬盘空间，作为硬盘缓冲区，这块区域的分布是连续的，逻辑关系由管理员设定<br>
cache_access_log /var/log/squid/access.log<br>
# 该log文件是用来描述每次客户请求HTTP内容时，高速缓存命中或未命中的项目。同时描述提出请求的主机身份及它们所需的内容。<br>
cache_log /var/log/squid/cache.log<br>
＃用于描述当squid守护进程启动时，可看到有多少内存、交换空间，高速缓存目录的位置，所接受的连接类型及接受连接的端口。<br>
cache_store_log /var/log/squid/store.log<br>
＃用于描述页面从高速缓存中被调入调出的情况。<br>
pid_filename /var/run/squid.pid<br>
＃管理员可以通过查看此文件了解当前执行的squid进程。<br>
dns_nameservers 192.168.0.1<br>
＃定义域名解析服务器的地址<br>
acl all src 0.0.0.0/0.0.0.0<br>
cache_mgr root@weboa.com.cn<br>
＃设置cache管理员的邮件箱地址<br>
reference_age 3 days<br>
＃设置缓冲区的更新周期<br>
maximum_object_size 4096 KB<br>
＃设置允许被缓存的一次性最大请求<br>
& 5.4 测试及管理办法<br>
&5.4.1 测试方法<br>
1. 在客户机下打开浏览器，设置好代理服务器，端口是3128，看看能不能上网就是拉。<br>
&5.4.2 管理方法<br>
1.修改完配置文件需要执行/etc/rc.d/init.d/squid restart使得配置生效。<br>
& 5.7 小结<br>
看完本章之后，我想各位一定有个深切的感受，squid的配置文件十分的长，而且能干的事情实在是太多了，但是我们作为一名合格的管理员应该从需求方案出发，以客户的需求为导向，配置出我们自己需要的服务器，这样不但可以满足需要，还能大大减少我们的工作量，配置squid就是一个鲜明的例子。<br>
<br>
标 题: 中小企业服务器配置方案(Modem拨号)<br>
第六节 Modem拨号<br>
& 6.1 简介<br>
首先向大家强调一点，我们这里所谈的PPP不是要将我们的服务器配置成为提供拨入服务的服务器，而是用户可以通过服务器拨号上网，简而言之就是，服务器可以按照客户的需求自动拨号上网，也就是所谓的按需拨号。<br>
为什么我们要向大家介绍这项配置呢？因为虽然现在许多企业都用DDN上网，但是Modem在很大程度上还是有它的作用的，所以我们将向大家介绍一下如何实现PPP自动拨号上网。<br>
& 6.2 所需资源<br>
&6.2.1 所需包<br>
ppp-2.3.11-4.i386.rpm<br>
&6.2.2 所需配置文件<br>
/etc/ppp/options<br>
/etc/ppp/modemdial 系统没有，管理员创建<br>
/etc/ppp/pap-secrets<br>
/root/dial<br>
&6.2.3 相关工具<br>
/usr/sbin/pppstats<br>
& 6.3 配置方案<br>
1./etc/ppp/options<br>
说明：PPP可选配置项<br>
源文件：<br>
demand # 启动按需拨号模式<br>
modem # 使用modem控制线<br>
lock # 打开设备锁<br>
crtscts # 清除发送<br>
defaultroute # 使用默认路由<br>
asyncmap 0 # 设置异步map=0<br>
ipcp-accept-local<br>
ipcp-accept-remote<br>
ipcp-max-configure 5<br>
ipcp-restart 1<br>
mtu 552 # 设置最大传输单位<br>
mru 552 # 设置最大接受单位<br>
name 169 # 设置用户名，与pap-secrets对应<br>
usepeerdns # 自动抓取ISP的DNS<br>
2./etc/ppp/modemdial<br>
说明：Modem拨号指令文件<br>
源文件：<br>
"" ATZ # 初始化设备<br>
OK ATDT169 # 拨号<br>
CONNECT "" # 握手连接<br>
3./etc/ppp/pap-secrets<br>
说明：PAP模式口令加密文件<br>
源文件：<br>
169 * 169 # 用户名 * 密码<br>
4./root/dial<br>
说明：pppd进程启动文件<br>
源文件：<br>
killall -9 pppd # 杀掉残留pppd进程<br>
/usr/sbin/pppd -d /dev/ttyS0 115200 connect "/usr/sbin/chat<br>
-t 3 -V -v -f /etc/ppp/modemdial"<br>
# -d后跟设备名称，115200是连接速率，connect后跟拨号脚本<br>
&6.4 测试及管理办法<br>
&6.4.1 测试方法<br>
1. 可以执行ps auxw|grep pppd，查看是否有pppd的守护进程。<br>
&6.4.2 管理方法<br>
1. 执行 tail –f /var/log/message 可以观察拨号过程,当你看到已经从ISP分配到了IP并成功抓取到了DNS之后，说明拨号正确。<br>
2. 执行 pppstats可以观察Modem的工作情况。<br>
& 6.5 其他参考资料<br>
1. diald:http://home.loonie.net/~eschenk/diald.html<br>
2. webppp:(http://www.ajusd.org/~edward/webppp/<br>
& 6.6 相关技巧<br>
1. 如果在字符界面下无法拨号，可以考虑装个Xwindows，用用她的拨号器。<br>
& 6.7 小结<br>
其实这一切很简单，通过我上面的叙述，大家不难发现，其实所谓的按需拨号，它的实现应该被划分成两个步骤：第一，先将服务器本身配置好，让它可以拨号上网；第二，编写自动拨号配置文件，使Linux服务器具备自动拨号的能力。其实，从客户端自动拨号与从服务器自动拨号的原理是一样的，只要有向外的请求，就应该自动启动拨号进程，而从客户机来的请求，最终将通过sendmail，squid等从服务器发送到Internet。所以我们只要配置好服务器上的自动拨号，也就能实现客户机的自动拨号。<br>
<br>
标 题: 中小企业服务器配置方案(DNS服务器)<br>
第二章 DNS服务器<br>
第一节 主DNS服务器<br>
& 1.1 简介<br>
域名系统为一个分布式数据库,它使本地负责控制整个分布式数据库的部分段,每一段中的数据通过客户,服务器模式在整个网络上均可存取,通过采用复制技术和缓存技术使得整个数据库可靠的同时,又拥有良好的性能.<br>
域名服务器包含数据库的部分段的信息,并可提供被称之为解析器的客户来访问.<br>
DNS的数据库结构形成一个倒立的树状结构,根的名字用空字符串""来表示,但在文本中用"."来书写.树的每一个节点都表示整个分布式数据库中的一个分区(域),每个域可再进一步划分成子分区(域),每个域都有一个标签(LABEL),标明了它与父域的关系.域也有一个域名(domain name),给出它在整个分布式数据库中的位置.在DNS中,域名全称是一个从该域到根的标签序列,以"."分隔这些标签.该标签最多可包含63个字符. 树中每一节点的完整域名为从该节点到根之间路径上的标签序列.<br>
如果根域在节点的域名中出现,该名字看起来就象以点结尾(实际上是以点和空标签作结尾).这些以点结尾的域名被称之为绝对域名(Absoulte Domain Name).不以点结尾的域名被称之为相对域名.<br>
域(Domains)即为树状域名空间中的一棵子树,域的域名同该子树根节点的域名一样.也就是说,域的名字就是该域中最高层节点的名字.举例来说,zhuhai.gd.cn域的顶端就是名为zhuhai.gd.cn的节点.<br>
在DNS中,每个域分别由不同的组织进行管理.每个组织都可以将它的域再分成一定数量的子域并将这些子域委托给其他组织进行管理.域既能包括主机又能包括其他域(它的子域).域名被用做DNS数据库中的索引.子域中任何域名被认为是域的一部分.<br>
事实上,主机即为域,域名仅是DNS数据库中的索引,"主机"可由指向相关主机信息的域名来索引,域包含所有其域名在该域的主机.<br>
在域名树中,叶节点的域通常代表主机,它们的域名可指向网络地址,硬件信息和邮件路由信息.在树内的节点,其域名既可命名一台主机,也可指向有关该域的子孙或子域的结构信息,在域名树中的内部域名并不受唯一性限制,它们既可表示它们所对应的域,又可代表网络中某台特定的主机.例如,sun.com 既是sun的域,又是在sun和internet间转发信件的邮件服务器的域名.<br>
& 1.2 所需资源<br>
&1.2.1 所需包<br>
RedHat6.2 服务器模式安装<br>
&1.2.2 所需配置文件<br>
/etc/named.conf 系统自带，管理员配置<br>
/etc/hosts 系统自带，管理员配置<br>
/etc/resolv.conf 系统自带，管理员配置<br>
/var/named/name2ip.conf 系统没有，管理员创建<br>
/var/named/ip2name.conf 系统没有，管理员创建<br>
/etc/named.boot 系统自带，不需要修改<br>
/etc/host.conf 系统自带，不需要修改<br>
/etc/nsswitch.conf 系统自带，不需要修改<br>
/var/named/named.local 系统自带，不需要修改<br>
/var/named/named.ca 系统自带，不需要修改<br>
&1.2.3 相关工具<br>
1. nslookup<br>
说明：检测DNS是否配置正确的工具，系统自带。<br>
& 1.3 配置方案<br>
1./etc/named.conf<br>
说明：DNS主配置文件，定义了域数据库信息的基本参数和源点，该文件可以存放在本地或远程的服务器上。<br>
源文件：<br>
options {<br>
directory "/var/named"; ＃定义了named要读写文件的路径<br>
};<br>
zone "." {<br>
type hint; ＃表明在启动时被用来初始化域名服务器的文件是一个线索文件，每个服务器都有一个线索区。<br>
file "named.ca";＃指定所要读取的文件名<br>
};<br>
zone "0.0.127.in-addr.arpa" {<br>
type master; ＃表明服务器是主域名服务器<br>
file "named.local";<br>
};<br>
zone "0.168.192.in-addr.arpa" { # 定义被解释网段<br>
type master;<br>
file "ip2name.conf";<br>
};<br>
zone "weboa.com.cn" in { # 被解释的域名<br>
type master;<br>
file "name2ip.conf";<br>
};<br>
2./var/named/name2ip.conf<br>
说明：正向解析配置文件,即实现域名到IP的对应<br>
源文件：<br>
@ IN SOA www.weboa.com.cn. root.www.weboa.com.cn.<br>
＃所有的区文件都以SOA开头，@指定当前的信息源，www.weboa.com.cn这个值可以将域<br>
名和named.conf连接起来。通常只有一个@符号。<br>
( 1997022700 ; Serial ＃序列号<br>
28800 ; Refresh ＃刷新周期,以秒为单位<br>
14400 ; Retry ＃循环周期<br>
3600000 ; Expire ＃中止时间<br>
86400 ) ; Minimum ＃time-to-live的时间<br>
IN NS www.weboa.com.cn.<br>
＃定义域名服务器<br>
IN MX 10 mail.weboa.com.cn.<br>
＃定义邮件服务器，10表示优先级，越小越高<br>
＃实现域到IP的映射:<br>
localhost IN A 127.0.0.1<br>
www IN A 192.168.0.1<br>
mail IN A 192.168.0.1<br>
pop3 IN A 192.168.0.1<br>
smtp IN A 192.168.0.1<br>
@ IN A 192.168.0.1<br>
3./var/named/ip2name.conf<br>
说明：DNS反向解析配置文件，即实现IP地址很域名的映射<br>
源文件：<br>
@ IN SOA www.weboa.com.cn. root.www.weboa.com.cn. (<br>
1997022700 ; Serial<br>
28800 ; Refresh<br>
14400 ; Retry<br>
3600000 ; Expire<br>
86400 ) ; Minimum<br>
IN NS www.weboa.com.cn.<br>
IN MX 10 mail.weboa.com.cn.<br>
1 IN PTR www.weboa.com.cn.<br>
＃其中那个1的意思是IP的最后一位，可以是0-255，它与/etc/named.conf中另外三位IP一起组成一个IP；定义逆向关系，即www.weboa.com.cn和192.168.0.1之间的对应。<br>
4./etc/hosts<br>
说明：实现与网上其他主要计算机的映射，它通常是当作DNS的备份出现的，也就是说，当DNS系统出现问题的时候才使用Hosts表。<br>
源文件：<br>
127.0.0.1 localhost.localdomain localhost<br>
192.168.0.1 www.weboa.com.cn www<br>