- 論壇徽章:
- 0
|
更新:
11月27號(hào):
這次加了很多端口的列表!
看了網(wǎng)通的華為5200F上面有很多封掉的端口��,我就順便在NAT上也做了!
而且CPU的利用率也不高哈����!
這個(gè)要視實(shí)際情況而定哈��!你覺(jué)得有些端口你對(duì)你沒(méi)有用你封了也行
69 any
139 any
135 TCP
136 TCP
137 TCP
138 TCP
445 TCP
593 TCP
1025 TCP
1068 TCP
3333 TCP
4444 TCP
4899 TCP
5554 TCP
5800 TCP
5900 TCP
6667 TCP
6881 TCP
9995 TCP
9996 TCP
135 UDP
136 UDP
137 UDP
138 UDP
593 UDP
1433 UDP
1434 UDP
3333 UDP
4444 UDP
5800 UDP
5900 UDP
6667 UDP
9000 UDP
9月28號(hào):
最近加了一條規(guī)則����,把139、445端口的數(shù)據(jù)包丟了��!
這樣子就減少?zèng)_擊波礴來(lái)的危害了哈������!
我們學(xué)校本來(lái)有兩條線路電信+網(wǎng)通!
但是路由器太爛了��!一開(kāi)始辦公�、服全和學(xué)生宿舍全部跑電信的線路
結(jié)果路由器吃不消了�����!
在沒(méi)有新設(shè)備的情況下只好將學(xué)生宿舍和辦公分開(kāi)�����!
學(xué)生宿舍用網(wǎng)通算了�����!
今天就要做一個(gè)NAT+SQUID
但是我們宿舍樓有7棟�!所以得有7個(gè)VLAN.
在AS3下是支持VLAN的����!
下面就是VALN的配置過(guò)程
- vconfig add eth0 51 &#VLAN的ID
- ip address add 217.221.181.1/24 dev eth0.51 &#IP地址
- ip link set dev eth0.51 up &#生效
呵呵!�����!
VLAN搞定了����!
可以用ifconfig看一下了!
再來(lái)就是squid配置
我只是簡(jiǎn)單配置一下�!
詳細(xì)的說(shuō)明明天再寫(xiě)哈!
- vi /etc/squid/squid.conf
- ...............................
- cache_mem 8 MB:
- 這東西與你的內(nèi)存有關(guān)���,如果你的內(nèi)存夠大的話����,這個(gè) 8 可以變大一些,例如你的內(nèi)存有 256 MB 時(shí)��,你可以設(shè)成 256*1/4 ==>; 64 MB�����,如果你只有 64MB��,而且主機(jī)還有其它用途�����,那使用預(yù)設(shè)的 8 MB 就好了���。
- cache_dir ufs /var/spool/squid 1000 16 256
- visible_hostname cncgateway &# &一定要加這個(gè)�!要不SQUID啟動(dòng)不了哈���!呵呵�����!
然后再進(jìn)行下面的指令:
- rm -rf /var/spool/squid
- mkdir /var/spool/squid
- chown squid quid /var/spool/squid
- /usr/sbin/squid -z
- /etc/rc.d/init.d/squid restart
然后是NAT部分!
- #!/bin/bash
- echo 1 >; /proc/sys/net/ipv4/ip_forward & &
- modprobe ip_tables & & & & & &
- modprobe ip_nat_ftp
- modprobe ip_nat_irc
- modprobe ip_conntrack
- modprobe ip_conntrack_ftp
- modprobe ip_conntrack_irc
- /sbin/iptables -F
- /sbin/iptables -X
- /sbin/iptables -Z
- /sbin/iptables -F -t nat
- /sbin/iptables -X -t nat
- /sbin/iptables -Z -t nat
- /sbin/iptables -P INPUT ACCEPT
- /sbin/iptables -P OUTPUT ACCEPT
- /sbin/iptables -P FORWARD ACCEPT
- /sbin/iptables -t nat -P PREROUTING ACCEPT
- /sbin/iptables -t nat -P POSTROUTING ACCEPT
- /sbin/iptables -t nat -P OUTPUT ACCEPT
- #加載模塊
- modprobe ip_tables 2>; /dev/null
- modprobe ip_nat_ftp 2>; /dev/null
- modprobe ip_nat_irc 2>; /dev/null
- modprobe ip_conntrack 2>; /dev/null
- modprobe ip_conntrack_ftp 2>; /dev/null
- modprobe ip_conntrack_irc 2>; /dev/null
- #IP偽裝
- /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 217.221.176.0/20 -j MASQUERADE
- /sbin/iptables -t nat -A POSTROUTING -o eth1 -s 211.41.120.0/21 -j MASQUERADE
- #SQUID
- iptables -t nat -A PREROUTING -i eth1 -p tcp -s 217.221.176.0/20 --dport 80 -j REDIRECT --to-port 3128
- iptables -t nat -A PREROUTING -i eth1 -p tcp -s 211.41.120.0/21 --dport 80 -j REDIRECT --to-port 3128
最后把VLAN+NAT寫(xiě)到nat.sh中�����,在rc.local中啟動(dòng)
在交換機(jī)上把VLAN配好!
測(cè)試通過(guò)�!P4 1.8G/256M
用uptime看一下
- [root@cncgateway root]# uptime
- 18:47:29 &up &4:14, &1 user, &load average: 0.00, 0.00, 0.00
學(xué)生宿舍上網(wǎng)的速度明顯加快!這樣也緩解辦公樓上網(wǎng)問(wèn)題���!
不足之處請(qǐng)指出���!
下面是整個(gè)腳本nat.sh
|
|
免費(fèi)注冊(cè)
發(fā)表于 2004-09-17 23:00
