[菜鸟分享]用Linux架设局域网 网关/FTP/BBS/cron管理/CVS服务 整体解决方案,献给和

waxmax

前面在论坛里头贴了一个帖子
想找人帮忙,大家看看怎么制作一个网关的机器的整体的解决方案
但是一直没有人回复,只是说外包给他们就行了
我个人感觉极不符合GNU/Linux精神
所以,自己在坛子里头爬啊爬,另外网上搜索资料,在有一些网上的朋友的热心帮助,
现在终于逐步搭建起来,现在已经正常服役在我们实验室的网关上了,
我就把我一步步怎么配置的,贴出来,给和我一样的菜鸟们看,希望大家能有所帮助,共同进步

[color="Red"]也欢迎提问,指出我的问题,让我们作的更好

当时写的要求是:

标题: [菜鸟求助]求一个用Linux架设局域网 网关/FTP/BBS 整体解决方案

虽然网上的说明文档很多,但是
看了两天的vsftpd的配置,还是搞不定,请各位XD帮忙,给个解决方案.

我们实验室的网关是windows 2003 server的,因为病毒还有其他原因,老出错,现在想换成LINUX的网关.
该机器内网大概有近100台电脑,通过专线连如互联网,外网的IP是固定的.
==================================================================
在该机器上需要架设:

网关服务:将该机器设定为网关,只有特定的机器能全天上网,另外的机器分时段上网?最好能绑定IP和mac地址防止别人盗用IP.如果能限制BT下载最好.

FTP服务:需要分级别管理,匿名用户只能访问有限的资源,通过不同的用户名和密码可以访问特定的资源.
具体要求:
内网FTP,从外网不能访问以下资源

匿名登陆以后,只能看到folderA,folderB,对这两个目录,folderA只读,folderB可读可写
以用户名entertainment登陆,能看到folderC,可读可写
以用户名Workshop登陆,则能看到folderA,folderB,folderD,其中folderA,folderB,完全读写,folderD只读
以用户名administrator登陆,则对folderA,folderB,folderD有完全读写的情况



HTTP:需要架设一个内部的论坛bbs,和一个内部的blog服务,如果采用Apache+php+Mysql,各选择什么程序好一些呢?

谢谢各位了,很着急,刚好是利用十一放假期间,把服务器整个都替换了,
原本是windows的,感觉还很熟悉,但是Linux完全不懂,所以感觉到很茫然.

有没有谁能给出一个类似配置的例子?

原贴地址:
http://www.linuxsir.cn/bbs/showthread.php?t=274470

==================================================================

现在还没有完全配置完,但是已经基本上可以用了,
以下的帖子,我就慢慢更新,配置好多少,就更新多少,直到最后形成完整解决方案

供别的菜鸟参考,希望各位前辈看到其中的错误,还请多多指教批评.

waxmax

2006/10/12
今天把网关设置了
网关设置成功了

网关配置的需求情况是:
外网的IP是:  202.115.117.65
内网的网段是:  192.168.0.0
内网的电脑大概是100台
通过网关电脑连接到互联网,
内网的电脑,有一部分是可以全天上网的,且IP没有限制,
而另外的,是受限制的,只能在固定的时间内上网.时间是每天下午5:00之后到晚上11:00

首先,我们一共需要配置的文件大概如下:
/etc/sysconfig/network  主网络设置文件
/etc/sysconfig/network-scripts/ifcfg-eth0 网卡设置文件
/etc/sysconfig/network-scripts/ifcfg-eth1 网卡设置文件
/etc/hosts 网络主机名配置,可以先不管
/etc/sysconfig/static-routes 静态路由表文件
/etc/rc.d/rc.local  脚本
/etc/sysctl.conf  Linux内核的IP转发启用文件

第一步:配置两块网卡的地址和相关内容

由于在装Linux系统的时候,就配置好了两块网卡的属性,分别为:

网卡(外网的网卡)eth0:
          Link encap:Ethernet  HWaddr 00:E0:4C:FD:3D:CA
          inet addr:202.115.117.65  Bcast:202.115.117.255  Mask:255.255.255.0

网卡(内网的网卡)eth1:
          Link encap:Ethernet  HWaddr 00:E0:4C4:E5:0A
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0

外网网关地址: 202.115.117.254
DNS服务器地址: 202.117.112.3

可以通过FC5的图形界面administration底下的网络设置配置各个网卡的属性
也可以通过命令行的方式配置网卡的属性:

配置的方法是
修改
/etc/sysconfig/network
/etc/sysconfig/network-scripts/ifcfg-eth0
/etc/sysconfig/network-scripts/ifcfg-eth1

这三个文件 中
network文件是主网络文件,
ifcfg-ethX是网卡配置,例如:
DEVICE=eth0是你的硬件设备名
BOOTPROTO=static 是你的配置方式（也可以添PPPOE）
BROADCAST=192.168.0.255是你的 广播地址
IPADDR=192.168.0.1 是你的IP地址
NETMASK=255.255.255.0 是你的子网掩码
NETWORK=192.168.0.0 是你的整个网段的地址
GATEWAY=192.168.0.1 是你的网关
ONBOOT=yes 意思是你是否启用网卡（也就是起用这个文件的意思。默认是开启的）

第二步,配置Linux内核IP转发启用
配置的方法是
编辑/etc/sysctl.conf 文件,里头关键的几个参数的设置.
net.ipv4.ip_forward=1
net.ipv4.conf.default.rp_filter=1
kernel.sysrq=0
另外的一种方法好像是在/etc/rc.d/rc.local里头加上一句
echo "1" > /proc/sys/net/ipv4/ip_forward  即可

第三步,检查路由表
通过 /sbin/route 命令可以查看本机的路由表配置,是否如下图所示.

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.0     *               255.255.255.0   U     0      0        0 eth0
202.115.117.0   *               255.255.255.0   U     0      0        0 eth1
169.254.0.0     *               255.255.0.0     U     0      0        0 eth1
default         202.115.117.254 0.0.0.0         UG    0      0        0 eth1

如果是,则证明配置好了,如果不是,则需要修改/etc/sysconfig/static-routes文件来使得路由表类似.

第四步,检查是否可以转发了
在内部网络的机器上,ping服务器地址的外网ip值,如果可以ping通,证明转发是成功的.
具体的操作方法是
在内网任意一台电脑上用ping命令,比如我在我实验室内网的192.168.0.41的电脑上ping服务器的202.115.117.65这个地址.有响应,证明静态的路由表,以及内核转发设置成功.
接下来就可以对iptables进行配置了.

第五步,配置iptables

现在最简单的情形是,让所有的内部的人都能访问外网,不作任何的限制
命令是
/sbin/iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE

含义是作好NAT地址转发,伪装数据包

/sbin/iptables -A FORWARD -s 192.168.0.0/24 -i eth0 -j ACCEPT

含义是 把192.168.0.0网段的所有数据24代表3*8掩码为D段 (来自eth0)的数据全部转发.

之后

/sbin/iptables save

这样之后,所作的更改就保存在 /etc/sysconfig/iptabls文件下
可以将iptables文件作好相应的备份工作.以备后用.
这样,就可以进行基本的上网了,
如果需要进一步的配置,则可以对iptables文件进行修改,或者用/sbin/iptables 命令加参数完成配置.
关于iptables的配置,论坛置顶有好多说明.

需要说明的是,启用iptables的命令是 /sbin/service iptables start
在操作之前,确认iptables的运行状态.

waxmax

在FC5下,让vsftpd服务器开机就运行(独立模式),
方法是 /usr/sbin/ntsysv,图形界面配置,勾选上就可以开机启动了.
或者可以用/sbin/chkconfig --list vsftpd 来检查vsftpd服务的工作状态
用/sbin/chkconfig --level 35 vsftpd on 来使服务在3级和5级上启动.

ftp配置需要配置的方案是:
建立两个用户,另外一个匿名登录的用户,共三个.建立的两个用户分别是core和pro,均属于coregroup组的成员.
建立三个目录,公共空间,超级空间,核心空间.超级空间(pro目录下)和核心空间(core目录下)设置为group可读可写,公共空间为任何人可读可写(var/ftp目录下).
建立影射,匿名登录后的指定目录里头,映射超级空间的;core登录后家目录里头映射公共空间和超级空间;pro登录后家目录里头映射核心空间和公共空间.
由于Linux的权限和vsftpd的权限是完全相同的,也就是说,如果这个目录,在本地登录的用户可以访问,则用户通过ftp方式访问的时候仍然是可以访问的,所以只要设置好了用户/用户组的权限,自然就可以进行相应的操作.

具体的配置:
超级空间: owner可读可写可执行,group可读可执行,other可读可执行 所有者pro
骨干空间: owner可读可写可执行,group可读可写可执行,other无任何权限 所有者 core
公共空间: owner可读可写可执行,group可读可写可执行,other可读可写可执行 所有者 ftp

映射 命令是: mount --bind source_dir destination_dir

具体的操作是
映射超级空间到core和匿名的目录下
在core的自家目录下和/var/ftp/目录下先建立目录 超级空间
mkdir 超级空间
分别
mount –bind /home/core/超级空间  /home/pro/超级空间
mount –bind /var/ftp/超级空间  /home/pro/超级空间

同理 映射骨干空间到超级空间
在/home/pro/下建立目录 超级空间
mount –bind /home/pro/骨干空间  /home/core/骨干空间
最后映射公共空间到超级空间和骨干空间(方法同上.略)
然后配置/etec/vsftpd/vsftpd.conf文件,改动之前先作好备份工作
cp vsftpd.conf vsftpd.conf_backup_20061013

需要改动的几个配置属性是:
设置访问的欢迎词:ftpd_banner=Welcome to My FTP service.Have fun!
允许匿名用户登录:anonymous_enable=YES
允许本地用户登录:local_enable=YES
允许写写操作:write_enable=YES
本地写操作的掩码local_umask=022
匿名用户可以上传的权限:anon_upload_enable=YES
匿名用户其他的权限:anon_other_write_enable=YES
只能内网访问: listen_address=192.168.0.1
锁定用户只能在自家的目录下:chroot_local_user=YES
匿名用户上传的文件更改属性的掩码:anon_umask=022 (022是755的掩码,也就是说,匿名用户上传的文件的属性是755)

配置好之后,通过
/etc/init.d/vsftpd restart
或者
/sbin/service vsftpd restart
重新启动服务,就可以通过登录ftp的方式检查是否可以登录服务器了.

waxmax

CVS基本设置
FC的安装包里头也有CVS服务的安装包
但是我为了网关的安全,我的CVS服务器是用的实验室的另外的一台Ip是192.168.0.70的Redhat9的电脑,这样工作就和网关分离开了.


[color="Red"]下面的内容基本上是抄别人的,但是抄什么地方的我忘记了,反正google能搜索到.在我的服务器上跑的也很好:

在安装完成后，我们就可以进行相应的配置。一般cvs是用pserver的认证方式作为一种服务在Linux上运行，先要确定系统里/etc/services文件有cvs服务的入口，一般得有以下两行：
cvspserver 2401/tcp # cvs client/server operations
cvspserver 2401/udp # cvs client/server operations

用xinetd来启动cvs服务


你需要进入到/etc/xinetd.d/目录，然后编辑一个文本文件（名字随意），这里是用cvspserver作为文件
名，这个文件的内容如下所示：
service cvspserver
{
    socket_type = stream
    wait = no
    user = root
    env = HOME=
    server = /usr/bin/cvs
    server_args = --allow-root=/cvsroot pserver
}

注意上面的service后面的名称一定要和你在/etc/services文件中的cvs服务名称一样，在server_args行
我们指定了cvs使用pserver认证方式，可能容易产生误解的是env = HOME=这一行，添加这一行的目的就是为了解决在执行一些cvs操作时产生的读取/root/.cvsignore文件的错误，上面env那行的意思就是在运行cvs服务的时候将环境变量HOME置空，这样虽然执行cvs的用户是root,但是由于没有了HOME这个环境变量，所以cvs就不会在去读取/root/.cvsignore文件了。

到这里我们就配置完了cvs的启动所需要的文件，但是要使cvs正常运行还需要对需要使用cvs的用户进行设置，下面是我在配置cvs是使用的方法。首先建立一个用户组cvs,可以使用groupadd或者addgroup命名，也可以直接编辑/etc/group文件添加这个组，然后添加一个用户cvsroot， 然后修改/etc/passwd文件使cvsroot用户的缺省组是cvs组，而不是cvsroot组。建立/cvsroot目录，然后修改/cvsroot的属主及属性：
#chown cvsroot.cvs /cvsroot
#chmod 755 /cvsroot
（原文这里是771，但是我们要配置cvsweb.cgi，下面再谈）。
对cvs进行初始化：cvs -d /cvsroot init
这样cvs服务器就可以使用了，用cvs -d :pserver:cvsroot@host:/cvsroot login登陆，输入cvsroot用户在服务器上的口令，没有出现错误提示就表示成功了。

实验室内部客户端用的是[color="Blue"]winCVS,也是非常好用的开源的客户端,晚上可以去搜索一下.

[color="Red"]下面继续抄,原作者不要打我
建立多用户的安全的cvs服务器
初始化完成后会在/cvsroot目录中就产生了CVSROOT目录，其中存放了一些配置文件，如config等，然后设置权限：
　　[root@terry root]# chown -R cvsroot.cvs /cvsroot
　　[root@terry root]# chmod -R ug+rwx /cvsroot
　　[root@terry root]# chmod 644 /cvsroot/CVSROOT/config
　　为了CVS系统的安全，我们要修改/home/cvsroot/CVSROOT/config文件，将"#SystemAuth =no"的前而的注释号#去掉，即改为“SystemAuth =no”，(我设置的时候没有修改这个部分,修改以后不能使用我就又改回去了,故此注释之前的可以不用设置)然后给开发者们逐一建立账号，新建的不要分配用户目录，因为它将作为一个虚拟用户帐号来使用，具体命令如：
　　[root@terry root]# useradd -g cvs -M bogus
　　[root@terry root]# passwd bogus
　　上面的命令就创建了一个并没有Home目录的用户bogus，接着将系统的shadow文件复制到CVSROOT, 并重命名为passwd:
　　[root@terry root]# chmod 0644 /cvsroot/CVSROOT/passwd
　　然后修改passwd文件，将除刚才设定的可使用CVS的用户bogus之外的所有行删除，然后去掉每行第二个冒号以后的所有内容，并添上字符串cvsroot, 改为如下格式：
　　[root@terry root]# cp /etc/shadow /cvsroot/CVSROOT/passwd
　　bogus:ND5$J8N9BW5DKV.nPdxfdsh:cvsroot
　　然后，删除掉刚刚在系统中添加的那个用户bogus(这个用户我没有删除,因为很多人还想继续使用他们的Linux账户):
　　[root@terry root]# userdel -f bogus
　　好了，做到这里，CVS的服务器端就已经安装设置好了，这样你的CVS用户就只能用passwd中规定的用户来登陆你的CVS服务器了，要注意的是：本文介绍的添加用户的方法适用于小数量的用户，如果是有大规模的开发人员，推荐采用连接LDAP或者数据库来进行用户的认证服务。通过这四层保护，相信可以使用你放心的使用CVS服务了，不过本文只是作了最简单的介绍，希望可以给大家起参考的作用.   

[color="Red"]抄完了

因为实验室中需要cvs协同工作的人大概有10多个,故上面的配置方法非常适用.
比之前用CVSNT在windows2003 server上搭建的要快且稳定很多.
运行了1个多月,并没有出现任何问题.

waxmax

发现了一个问题,就是各种服务配置的方法大概相同
基本上遵循一个原则就可以了:

安装服务包,修改conf文件,之后重新启动服务,认证就可以了
具体的参数根据各个服务的使用手册中的配置就可以了

稍微加一点小小的技巧

配置论坛的方法,完全是按照置定的精华贴中的
标题: php-4.3+mysql-3.23+apache-2.0+vbb-2.32论坛的架设方法
http://www.linuxsir.cn/forum.php?mod=viewthread&tid=76390
这个文章配置的
写的超级详细,我根据文章一部一步很容易就配置成功了
非常感谢作者的耐心和细心.

我根据实际的情况作了小小的调整

首先,论坛程序改成phpBB,作者文章说的那个论坛程序,我在网上没有找到,所以就换了一个国际上比较流行的.下载的地址是,http://www.cnphpbb.com/这个论 ... �成相应的代码

其次,实际情况是,我们的论坛不需要从外部能访问,则需要设置
/etc/httpd/conf/httpd.conf
中间
在<Directory "/var/www/html/bbs">
    Options Indexes FollowSymLinks
   AllowOverride None

    Order allow,deny
#    Allow from all
#add for only allow the intranet can visit the website.
#    Allow from 192.168.0.0/255.255.255.0
</Directory>
其中/var/www/html/bbs 是我们的论坛程序放置的路径.
另外,如果需要进行管理的时候,用户直接访问/var/www/html/bbs实在不方便,我们可以用mount --bind 命令把目录映射到ftp管理员的某个目录下,就很好管理了.

现在基本上,该使用的网络功能配置成功了,
因为实验室每天晚上没有人关机

另外需要把网关服务器,在每天晚上11:30分自动关机
则就需要cron服务,这个配置等我弄好了再写.

10030202

支持一下！！ 楼猪可以留下你的qq吗 我也是才学没多长时间 有好多问题想向你请教！！我的qq是281610208   ！！！

waxmax

呵呵,我也菜的很,共同讨论一下吧
QQ#1673483

waxmax

Ok
学习了一段时间 cron和iptables的相关知识

[color="DarkRed"]把如何设置 定时更改iptables策略

也弄好了

设置的方法是,
在/etc/rc.local中写入让开机的时候,清除iptables中fliter表里头的原先所有的策略(原策略设置的是让所有人都可以上网)

设定上网允许列表
如下
# Network whitelist
#Block all the transfer first
/sbin/iptables -P FORWARD DROP
/sbin/iptables -A FORWARD -f -j ACCEPT
/sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
#whitelist
#goout data
/sbin/iptables -A FORWARD -s 192.168.0.9   -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.10  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.11  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.13  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.14  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.15  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.17  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.28  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.35  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.36  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.37  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.38  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.40  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.41  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.44  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.48  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.50  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.58  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.61  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.62  -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.100 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.101 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.102 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.103 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.104 -j ACCEPT
/sbin/iptables -A FORWARD -s 192.168.0.113 -j ACCEPT
#comein data
/sbin/iptables -A FORWARD -d 192.168.0.9   -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.10  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.11  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.13  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.14  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.15  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.17  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.28  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.35  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.36  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.37  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.38  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.40  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.41  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.44  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.48  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.50  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.58  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.61  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.62  -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.100 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.101 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.102 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.103 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.104 -j ACCEPT
/sbin/iptables -A FORWARD -d 192.168.0.113 -j ACCEPT
这样,在开机的时候,就会自动启用这些策略,使得没有权限的计算机上网被禁止

然后,周一到周五,设置下午5点的时候开网
启动cron服务, cron服务的名称是crond 可以用rpm -qa|grep cron命令检查一下,是否计算机中安装了这个服务

然后在/etc/crontab 文件中加入
#adding The networking Police
30 17 * * * root /sbin/service iptables restart
30 2 * * * root poweroff
15 9 * * 6 root /sbin/service iptables restart

这些的意思是,每天下午17:30分 重新启动iptables服务,这样,原本后来添加的iptables策略就自动清除了,也就是所有的人又可以上网了
然后每天晚上2:30分关机
周六的时候 早上9:15 同第一条作用,重启iptables服务.

waxmax

OK, 经过以上几步,就可以设置一个完整的单服务器的,局域网解决方案了
包括
上面架设有一个FTP服务,可以供实验室内部匿名和分级别访问,外部则需要密码分不同用户和级别访问.
还有一个实验室内部论坛php+Apache+MySQL
另外,这个服务器还是实验室的网关,限定了一部分人上班时间的上网,用Cron+iptables实现


其实很简单,关键是我太菜,逐步学习弄好了一个Linux服务器,
运行了一段时间,很稳定 没有出现任何问题.

比原先windows 2003 server要省事很多.

Eric_DZT

好! 赞一个!!
真不愧为一位"Sir"...