新人请教，gentoo做软路由，服务器，能做到什么程度

dgkgnrt

正在学习中....推荐个网址分享：
http://www.chinaitlab.com/www/special/linux9.asp
http://www.chinaitlab.com/www/special/linuxjia.asp

http://www.linuxsir.cn/bbs/showthread.php?t=262166

i13m

Linux系统支持绝大部分的服务.但在Linux下安装完系统服务之后,仅仅是个开始.然后取决与能用多少时间来设置和调配它.

如果习惯于图形界面下环境的话,开始会比较困难.多数Linux服务器是不需要安装X系统的.一方面是浪费资源,另一方面是X系统比较臃肿,难免会有一些系统漏洞,而导致系统整体安全.当然不排除一些Linux发行版捆绑了一些GUI下的设置工具而导致需要X系统.

拿iptables来说,是一个很简练但很强大的packet filter放火墙.简简单单一个命令可以满足NAT,和实现防火墙下的基本功能.但它也有不足的地方,不是IDS/IPS,不能有效的控制arp spoofing等等.需要其他的服务来填补不足.squid是一个很好的选择.

在Linux下安装系统,很多时间是花费在分析问题的所在和设置其相应的策略上,(比如应该安装什么服务,如何设置,把不需要的服务减少到最小),而不是仅仅安装完某个软件后就能加强系统安全了.

选择Gentoo的好处就是其高度的可配置话.它可以把不需要的东西减少到最低限度.如果还不满足的话,就只有LFS.但个人认为LFS是不适和应用于production servers上.

bookstack

无论用什么linux发行，应该都是一样的，就是配置方便是否方便而已：

首先，我这个机器先要满足软路由，也就是NAT的任务，首要性就是安全，
－－ NAT， iptables.
http://gentoo-wiki.com/HOWTO_Iptables_and_stateful_firewalls

其次，这个NAT并不是仅仅满足上网就行了，还必须具有流量控制，队列管理，协议优先权设置的能力，
-- flow control http://gentoo-wiki.com/HOWTO_Packet_Shaping

能够远程重启机器（这点很重要，以前看过好几个专用的基于linux的路由软件都不能远程重启），能够远程管理，
-- ssh

能看见网内机器通过网关发送数据的流量和实时速度等。
-- ntop

然后就是我将来有可能在该机器上扩展http，
-- apache, lighttpd

ftp下载服务（主要对内网），
-- vsftpd

在线音乐和视频播放服务等（也对内网）。
-- icecast, samba

不建议把http server和ftp server部署在router 上。

abcbuzhiming

Post by i13m
Linux系统支持绝大部分的服务.但在Linux下安装完系统服务之后,仅仅是个开始.然后取决与能用多少时间来设置和调配它.

如果习惯于图形界面下环境的话,开始会比较困难.多数Linux服务器是不需要安装X系统的.一方面是浪费资源,另一方面是X系统比较臃肿,难免会有一些系统漏洞,而导致系统整体安全.当然不排除一些Linux发行版捆绑了一些GUI下的设置工具而导致需要X系统.

拿iptables来说,是一个很简练但很强大的packet filter放火墙.简简单单一个命令可以满足NAT,和实现防火墙下的基本功能.但它也有不足的地方,不是IDS/IPS,不能有效的控制arp spoofing等等.需要其他的服务来填补不足.squid是一个很好的选择.

在Linux下安装系统,很多时间是花费在分析问题的所在和设置其相应的策略上,(比如应该安装什么服务,如何设置,把不需要的服务减少到最小),而不是仅仅安装完某个软件后就能加强系统安全了.

选择Gentoo的好处就是其高度的可配置话.它可以把不需要的东西减少到最低限度.如果还不满足的话,就只有LFS.但个人认为LFS是不适和应用于production servers上.

正在研究gentoo，Xwindows我不用的，linux玩的就是命令行啊，况且我是为了做一个软路由服务器，当然越精简越好了，Iptables我正在研究，你说的squid？这东西我查资料貌似是个网络数据的缓存器，我其实就是要一个NAT，要这个东西有什么用吗？

n多年有位前辈和我说，服务越少的系统越安全，比如win98，你想让他崩溃很容易，你想入侵它那真是非常之难，所以我都已经计划好了，其实linux的很多问题，多半都出在桌面上，看了几个论坛了，桌面区最火爆，我完全不涉及这方面，我的目标明确，软路由（NAT）+限速（非简单减速，最好能类似m0n0那种有优先队列控制的）模块+基于IP(amc)实时流量/速度监视模块+详细日志记录模块+若干协议服务器模块即可（目前仅考虑部署http服务），越少服务月安全

Post by bookstack
无论用什么linux发行，应该都是一样的，就是配置方便是否方便而已：

首先，我这个机器先要满足软路由，也就是NAT的任务，首要性就是安全，
－－ NAT， iptables.
http://gentoo-wiki.com/HOWTO_Iptables_and_stateful_firewalls

其次，这个NAT并不是仅仅满足上网就行了，还必须具有流量控制，队列管理，协议优先权设置的能力，
-- flow control http://gentoo-wiki.com/HOWTO_Packet_Shaping

能够远程重启机器（这点很重要，以前看过好几个专用的基于linux的路由软件都不能远程重启），能够远程管理，
-- ssh

能看见网内机器通过网关发送数据的流量和实时速度等。
-- ntop

然后就是我将来有可能在该机器上扩展http，
-- apache, lighttpd

ftp下载服务（主要对内网），
-- vsftpd

在线音乐和视频播放服务等（也对内网）。
-- icecast, samba

不建议把http server和ftp server部署在router 上。

高高……高手啊，我终于找到个知道用什么软件部署软路由的人了，枉我昨天泡在这里16个小时，翻了网络和服务器分区200页的帖子，精华看光，提到软路由部署解决方案的人都少的可怜啊，抱住，高手不要跑

关于用哪个发行版本我是这样看的，越小，服务越少的系统越安全，不管是windows还是linux都一样如此，就像我上面说的win98难以攻破，我之所以选了gentoo就是看重可定制特性。

iptables正在研究，貌似他可以做一个NAT，不具备流量控制能力

flow control啊，有所耳闻，但是没了解，我现在关注的是tc这个玩意，我现在需要的不是简单的针对一个IP（mac限速），而是能针对特定的应用进行优先级排序，网络闲置时杀手级应用P2P等可以开，非闲置时把P2P排最后去，避免出现一开P2P，整个adsl宽带全部挂的现象。这东西，有中文文档吗，谢谢啊

ntop，我昨天翻帖子时无疑中翻到一个人ntop在gentoo部署的图片，不过我有个疑问，他那图片是图像界面啊，我看不出来这东西是在他本机上启动的，还是远程访问的，如果本机启动，以他这界面难道我还得在去装个xwindows？
http://www.thit.net/bbs/Show.asp?id=96&BoardID=4&TB=1
我的理想方案是能够远程看，就像现在大多数路由器那样

-ssh,我想小心的问这东西有没有能在windows下运行版本，因为我大多数情况下是需要在windows下对我的linux路由进行维护的，也就是说通过windows远程管理linux。routos有一个winbox可以直接在windows下连接routos，不太清楚linux在这方面的机制，我多半不会在我这个软路由上部署xwindows的

至于http服务器，只对内不对外，否则有几条命都不够死，这点我还是很清楚的

谢谢高人指点

daqie

win 下用putty访问 ssh，不管http对内还是对外，最好不要把那么多功能都让routes的机器来提供，关于安全性，系统东西越少越好，最好到最后连gcc啥的都没有，　：） ，不论是gentoo还是lfs都可以做你想做的东西
ntop启动后是用浏览器访问来读取数据的，可以是本机的浏览器，也可以是其他任意一台机器上的

wxw

pfsense

abcbuzhiming

Post by daqie
win 下用putty访问 ssh，不管http对内还是对外，最好不要把那么多功能都让routes的机器来提供，关于安全性，系统东西越少越好，最好到最后连gcc啥的都没有，　：） ，不论是gentoo还是lfs都可以做你想做的东西
ntop启动后是用浏览器访问来读取数据的，可以是本机的浏览器，也可以是其他任意一台机器上的

哦，谢谢啊，原来如此啊，今天又看了一天的资料，有几个问题

根据资料目前介绍的情况，我的理解是gentoo的安装方式是先安装一下基础的部分，然后根据配置的策略从网上下载其他模块和软件的包，然后在本地进行编译安装，根据资料描述，本地编译花的时间很长的说，我现在的情况，不允许我这么干，所以我的设想就是，要么我自己手动下载那些包，在自己机器上编译好，刻盘，安装。或者，那个700M的livecd，据说能直接启动系统，不过我想知道的是这东西，能不能安装到硬盘上去，并且自定义想安装的模块，这样省略我下载+本地编译的过程，要轻松不少。

现在确实感觉英文好很重要，上面介绍的那些模块，如果不是经人介绍，我甚至不知道他们存在，都是英文的。如果大伙还有什么涉及软路由构建的模块，麻烦介绍给我。貌似昨天看过一个人介绍一个是叫“l7”还是"I7"的东西，也是控制流量的，忘记在哪里了

Post by wxw
pfsense

我之所以选了linux，就是因为我不想让160G硬盘就挂个软路由，那简直浪费，freebsd的这两个防火墙都不能在路由以外挂点东西，只好暂时放弃了

wxw

redwall 新版是基于 gentoo 的。有非常多的内容。可以 livecd 运行，也可以硬盘安装。

抽烟斗的狗

嘿嘿~~,我来说两句吧,哈哈~~~
看楼主的要求,你想把gentoo处理成双宿主机吧?意思是带两个网卡,一个对外连接(Internet),一个对内局域网.
此时的gentoo不要带X-window,网卡要设置为混杂模式,可以监控网络进出的包,内核要允许包过滤功能,安装iptable包过滤,ssh随机启动,远程监控.这个主机不要搞太多项目了,除非他很空闲,哈哈~~~
/usr/portage/net-analyzer目录下有许多网络监控工具,把他玩一遍,看谁好用,给个列表你:
aimsniff         httping                 nessus-core       scanssh
amap             hunt                    nessus-libraries  scapy
angst            hydra                   nessus-plugins    scli
argus            hyperic-hq-agent        netcat            sec
argus-clients    ibmonitor               netcat6           sflowtool
arping           ifmetric                netdiscover       sguil-client
arpoison         ifstat                  netdude           sguil-sensor
arp-sk           ifstatus                nethogs           sguil-server
arptools         iftop                   neti              siphon
arpwatch         ike-scan                netio             slurm
authforce        ipac-ng                 netperf           smokeping
barnyard         ipaudit                 netselect         sniffit
base             ipband                  net-snmp          snmpmon
bigeye           ipcad                   netspeed_applet   snmptt
bing             iplog                   nettop            snort
bmon             ippl                    netwag            snortalog
braa             iptraf                  netwox            snortsam
bsnmp            iptstate                nfdump            sonar
bwbar            isic                    ngrep             squid-graph
bwm-ng           jffnms                  nikto             squidsites
bwmon            jnettop                 nipper            ssldump
cacti            knetscan                nload             ssmping
cacti-cactid     knocker                 nmap              sussen
calamaris        labrea                  nmbscan           sysmon
carl             lft                     ns                tcpdump
chaosreader      libnasl                 nsat              tcpflow
cnet             linkchecker             nstats            tcpreen
cryptcat         macchanger              ntop              tcpreplay
cutter           mbrowse                 nttcp             tcpslice
darkstat         metadata.xml            oinkmaster        tcpstat
dnstracer        metasploit              p0f               tcptrace
dosdetector      midas-nms               packit            tcptraceroute
driftnet         mirmon                  paketto           tcptrack
dsniff           mping                   pathload          thcrut
echoping         mrtg                    pathrate          thrulay
egressor         mrtg-ping-probe         pbnj              tleds
etherape         mtr                     pchar             tptest
ethloop          munin                   pinger            traceproto
ethstatus        mwcollect               pktstat           traceroute
ettercap         nagios                  pmacct            traceroute-nanog
fail2ban         nagios-core             poink             trafd
fe3d             nagios-imagepack        portmon           traffic-vis
ffp              nagios-nrpe             portsentry        trafshow
firewalk         nagios-nsca             postal            ttcp
FlowScan         nagios-plugins          prelude-nessus    ttt
flow-tools       nagios-plugins-snmp     prewikka          upnpscan
fping            nagios-sap-ccms-plugin  quidscor          vnstat
fprobe           nam                     raddump           webfuzzer
fragroute        nast                    rain              wireshark
ftester          nb                      rrdcollect        xnetload
fwlogwatch       nbaudit                 rrdtool           xprobe
gensink          nbtscan                 rtg               yersinia
gnome-netstatus  ndoutils                rtpbreak          zabbix
gnome-nettool    ndsad                   sancp             zabbix-agent
gnu-netcat       nepenthes               sara              zabbix-frontend
gspoof           nessus                  sarg              zabbix-server
honeyd           nessus-bin              sbd               zniper
hping            nessus-client           scanlogd

再把这个主机环境处理成Live CD ,就完美了.需时不少啊~~~~

ntop是用web登陆的.

zhou3345

Post by abcbuzhiming
高高……高手啊，我终于找到个知道用什么软件部署软路由的人了，枉我昨天泡在这里16个小时，翻了网络和服务器分区200页的帖子，精华看光，提到软路由部署解决方案的人都少的可怜啊，抱住，高手不要跑

关于用哪个发行版本我是这样看的，越小，服务越少的系统越安全，不管是windows还是linux都一样如此，就像我上面说的win98难以攻破，我之所以选了gentoo就是看重可定制特性。

iptables正在研究，貌似他可以做一个NAT，不具备流量控制能力

flow control啊，有所耳闻，但是没了解，我现在关注的是tc这个玩意，我现在需要的不是简单的针对一个IP（mac限速），而是能针对特定的应用进行优先级排序，网络闲置时杀手级应用P2P等可以开，非闲置时把P2P排最后去，避免出现一开P2P，整个adsl宽带全部挂的现象。这东西，有中文文档吗，谢谢啊

ntop，我昨天翻帖子时无疑中翻到一个人ntop在gentoo部署的图片，不过我有个疑问，他那图片是图像界面啊，我看不出来这东西是在他本机上启动的，还是远程访问的，如果本机启动，以他这界面难道我还得在去装个xwindows？
http://www.thit.net/bbs/Show.asp?id=96&BoardID=4&TB=1
我的理想方案是能够远程看，就像现在大多数路由器那样

-ssh,我想小心的问这东西有没有能在windows下运行版本，因为我大多数情况下是需要在windows下对我的linux路由进行维护的，也就是说通过windows远程管理linux。routos有一个winbox可以直接在windows下连接routos，不太清楚linux在这方面的机制，我多半不会在我这个软路由上部署xwindows的

至于http服务器，只对内不对外，否则有几条命都不够死，这点我还是很清楚的

谢谢高人指点

呵呵，象bookstack兄弟这样的高手本论坛还是很多的，比如前版主fei，管着几百Linux服务器，还做了个国内的distfiles源；本论坛的兄弟们也是极热心的，像zhllg版主不但经常帮助大家解决实际问题，还经常指导解决问题的方法，更组织兄弟们进行gentoo文档的中文翻译，时间不长，成果不少，大都收在gentoo-cn.org中。gentoo是一个自由度极大却又极其方便的一个Linux发行版，当然其中的奥妙也不少。相对而言，gentoo的文档资料是很全的，从安装文档，到doc频道，到gentoo-wiki；另外forum频道，bug频道，凡常见的问题都找得到答案。这是我在其他发行版里所没见到的。
哈，说了些与问题无关的话，怎么象广告？欢迎新弟兄加入！