快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

新蒲京澳门赌场网站有赢的人吗?:Linux下基于路由策略的IP地址控制实例



一、背景描述

LINUX是一台网关办事器,内有3块网卡。

eth1绑定172.17.0新蒲京澳门赌场网站有赢的人吗?.0/16的IP,该网段IP可以经由过程172.17.1.1上网。

eth0绑定192.168.10.0/24的IP,新蒲京澳门赌场网站有赢的人吗?该网段IP可以经由过程192.168.10.1上网。

eth2绑定192.168.1.1,是内网用户的网关。

二、需求阐发

内网用户应该走172.17.1.1这个路由上网。

但因为事情必要,部分用户应该有造访图中“专用收集”的权限。

也便是说,应该走192.168.10.1这个路由。

别的一点,所有人应该可以造访FTP办事器,这个办事器的IP是192.168.10.96

也便是说,走172.17.1.1路由的人,也应该能造访192.168.10.96,且可以上网。

三、办理规划

要办理这个问题,用到了一下几个敕令,详细应用措施必要另查资料。ip route

ip rule

arp

注:关于ip敕令的用法,请查阅ip中文手册,www.google.com上有。

1、绑定IP

ifconfig eth1 172.17.3.x netmask 255.255.0.0

ifconfig eth0 192.168.10.2 netmask 255.255.255.0

ifconfig eth2 192.168.1.1 netmask 255.255.255.0

然后分手改动/etc/sysconfig/network-script/ifcfg-ethx文件,以使谋略机启动自动设置IP地址。

2、创建特殊路由表

vi /etc/iproute2/rt_table

代码:

#

# reserved values

#

255 local

254 main

253 default

0 unspec

200 NET10

#

# local

#

#1 inr.ruhep

上面那个200 NET10为新添加,自定义编号为200,名字为NET10

3、向NET10路由中添加它自己的默认路由。

代码:

ip route add default via 192.168.10.1 table NET10

留意,这个table NET10必然不要忘了写,否则写到了主路由表中。

4、创建特殊路由规则

用ip rule可以看到谋略机当前的路由规则。

引用:

0: from all lookup local

32766: from all lookup main

32767: from all lookup default

可以看到,规则中走了3个路由表,local、main、default

我们寻常用route看到的,实际是路由表main

这些规则是按序号大年夜小顺序走的,一个不合,则走下一个,知道通路或走完为止。

开始添加我们自己的路由NET10到路由表中。

代码:

ip rule add from 192.168.1.222 pref 10000 table NET10

这个意思是说,假如来自IP地址为192.168.1.222的造访,则启用NET10的路由表中的路由规则。

而NET10的路由规则是什么呢?上面已经设置了,走的是192.168.10.1的网段。

接下来,使LINUX可以NAT(这里不再细说HOW TO了)

5、让所有人可以造访192.168.10.xx(这个IP不便说出来)

由于另外人都走了172.17.1.1这个路由,以是他们是无法造访192.168.10.xx的 。

怎么才能实现呢?再添加个策略就可以了!

代码:

ip rule add to 192.168.10.xx pref 10001 table NET10

这句话的意思是说,所有人,假如目的IP是192.168.10.xx,则临时应用NET10的路由表。

这样做,安然会不会有安然问题呢?路由变了,他们会不会造访到专用收集呢?

不会的,由于路由规则是to 192.168.10.xx,也便是目标是96时,才该路由的,造访其余网站照样走原本的路由。

假如说造访到专用收集的机械,也就只有10.xx这一台而已。

这里,我新蒲京澳门赌场网站有赢的人吗?们还可以做一个小技术,不奉拜别人192.168.10.xx的地址,只奉告他们网关192.168.1.1上有这个办事

iptables -t nat -A PREROUTING -d 192.168.1.1/32 --dport 21 -j DNAT --to 192.168.10.xx:21

6、防止其他人窜改IP地址而得到特殊权限

arp有个静态功能CM,不是C,大年夜家可能知道。

假如给一个IP地址强行绑定一个非他自己的MAC,会怎么样呢?双方会话将会掉败!

好,我们来使用这一点!

首先,我写了一个文件iproute.c

代码:

#include

#include

main ()

{

int i;

for(i=2;i

gcc iproute.c -o iproute

将编译出一个可履行文件

注:不应该包括主机IP地址本新蒲京澳门赌场网站有赢的人吗?身,以是从2轮回到254(255是广新蒲京澳门赌场网站有赢的人吗?播)

其次,天生一个C的IP地址和全为00的MAC地址。

代码:

./iproute > /etc/ethers

再次,改动IP-MAC匹配列表。

vi /etc/ethers

详细怎么该我就不用细说了,信托大年夜家都邑。

着末,做静态IP-MAC绑定。

arp -f

7、为了安然,建立防火墙,改动main路由表

默认的路由表应该有192.168.10.0/24和172.17.0.0/16网段的内容,为了安然,可以去掉落。

别的,假如是AS3的话,还会有169.254.0.0/16的路由,详细为什么我不知道,去掉落。

然后写一个防火墙脚本,使用iptables,把你的机械变得加倍稳固!

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: