由 Unicode 在 01-20-2003 01:32 发表:
各位弟兄,第一次发贴——双网卡充当防火墙和代理服务器的几个问题,谢谢解答
一台Redhat 6.2服务器,配置了双网卡,充当局域网防火墙和代理服务器,虽然现在工作正常,但有些问题还是模棱两可的,迫切希望得到各位兄弟的指点:
1. /etc/hosts.allow文件的作用?
我的理解:本服务器的服务对象。
比如hosts.allow文件中定义如下规则:
ALL:192.168.2.,202.118.
那么它表示的含义是:192.168.2.网段和202.118.网段的所有机器都可以要求本服务器的服务。
我的疑问:服务器受理哪些服务时需要用到hosts.allow,哪些服务不需要检查这个文件?
2. ipchains和hosts.allow的关系?
我的理解:ipchains是用来做“过滤服务器”的,也就是可以将某些客户机对某些ip的访问过滤掉。
比如有如下语句:
ipchains ... 192.168.2.0/24 ... 61.170.0.0/16 -j MASQ
(其中...表示一些参数,现在记不住了:)
那么它表示的含义是:192.168.2.网段内的机器对61.170.网段ip的访问允许,并且ip伪装。
我的疑问:如果在ipchains中指明可以ip伪装的网段不在hosts.allow文件中,即有如下语句:
ipchains ... 1.1.1.0/24 ... 61.170.0.0/16 -j MASQ
此时1.1.1.网段的机器通过此服务器对61.170.网段的访问是否允许?
3. 透明代理的实现机制?
我的做法:在/etc/rc.d/rc.local文件中增加了一系列语句,如上面的ipchains规则,把局域网内能够访问的ip限制在教育网内。客户机上只用设置网关为192.168.2.1(本linux服务器ip),本机ip为192.168.2.*,即可上internet。
我的疑问:首先是/etc/rc.d/rc.local文件,它是一个启动脚本文件,我觉得它只是在机器启动时运行一次。这样的话,当客户机192.168.2.*向 www.sina.com.cn发出一个浏览请求时,
服务器靠什么来判断这个请求的合法性?难道再去查找/etc/rc.d/rc.local文件中的ipchains语句?
4. 要对局域网外的机器提供代理服务,怎么办?
我的疑问:ipchains能胜任吗?若能,应该怎么设置?
5. 端口映射问题
我想将外部ip对服务器192.168.2.1 2021端口的访问映射到客户机192.168.2.118的21端口。我知道的一种做法是基于xinetd的,实现起来特别简单,但非常不幸,redhat 6.2中运行的是inetd,那么,在inetd中应该如何实现端口映射?另外,我要是下载安装最新的xinetd,需不需要卸载原来的inetd?
由 hyoga 在 01-20-2003 08:13 发表:
1.ALL表示设置对所有服务起作用。in.telnetd:192.168.2.表示对telnet服务起作用。
2.对防火墙我不了解:)但是一般来讲,hosts.allow中无论指定与否,在hosts.deny中没有屏蔽的,就没有关系。还有我个人理解,hosts.deny的优先权应该大于ipchains的。(这一点请兄弟们指正)
3.rc.local确实执行一次,但我想那些语句应该是启动一个守护进程,一直监视着客户端的请求。
4.你说的是反向代理吗?(实在不好意思,代理服务器这方面我是空白)
5.我想这两个东西不要同时使用,将inetd停止吧
被国人毁了的四个词