快捷搜索:  as  test  1111  test aNd 8=8  test++aNd+8=8  as++aNd+8=8  as aNd 8=8

八达国际线路:在Linux下配置基于策略的路由



基于策略的路由比传统路由更强大年夜,应用更机动,它使收集治理者不仅能够根据目的地址而且能够根据报文大年夜小、利用或IP源地址来选择转发路径。在现实的收集利用中,这种选择的自由性照样很必要的。而Linux从2.1版本的内核开始就实现了对策略路由的支持,下面就先容一个设置设置设备摆设摆设实例,以期对读者有所赞助。

实例背景

如图所示,两个内部网经由过程远端路由器1与因特网相联,经由过程远端路由器2与上级网相联, Linux办事器做策略路由器,内有4块网卡。IP地址的分配环境如表所示。

在利用需求方面,内网1容许经由过程远端路由器1(172.22.254.254)连接因特网,但只容许Http协议、Ftp协议常常性经由过程,其他协议分光阴段开放(这样做是为了避免员工在上班光阴打收集游戏和谈天),例如在上班光阴(7:30~16:30)封闭,在放工光阴(16:30~7:30)和周六、日全天开放。而且,内网1无权造访内网2及上级网,但可以造访内八达国际线路网2上的办事器。而容许内网2造访外网,上级网则只能造访内网2上的192.168.1.2办事器。而防火墙主要用来阻拦外网主动造访内网,防止收集进击。

实现历程

这里我们选择Red Hat Enterprise Linux WS 3操作系统,其内核版本是2.4.21,对策略路由已经有了很好的支持,下面的设置设置设备摆设摆设也以此为根基。

1.设置IP地址

首先,履行如下敕令:

ifconfig eth0 10.89.9.1 netmask 255.255.255.0

ifconfig eth1 192.168.1.1 netmask 255.255.255.0

ifconfig eth2 八达国际线路172.22.254.14 netmask 255.255.255.0

ifconfig eth3 10.140.133.14 netmask 255.255.255.0

为了让谋略机启动时自动设置IP地址,还必要分手改动/etc/sysconfig/network-scripts/下的四个文件:ifcfg-eth0、ifcfg-eth1、ifcfg-eth2、ifcfg-eth3,将ONBOOT属性设为yes,即“ONBOOT=yes”,文件款式如下:

# Intel Corp. 82545EM Gigabit Ethernet Controller (Copper)

DEVICE=eth0

BOOTPROTO=none

HWADDR=0八达国际线路0:0c:76:20:54:71

ONBOOT=yes

TYPE=Ethernet

USERCTL=yes

2.添加路由

履行如下敕令:

ip route add default via 10.89.9.1 八达国际线路table int1

ip route add default via 192.168.1.1 table int2

ip route add default via 172.22.254.254 table int3

ip route add 192.168.0.0/16 via 10.140.133.254 table int4

ip route add default via 172.22.254.254 table int4

这里在int4路由表中添加了两条路由,当进入到该路由表之后,要到192.168.0.0/16的数据包则路由到10.140.133.254,其他数据包则路由到172.22.254.254。

3.标记(MARK)特殊包

履行如下两条敕令:

iptables -t mangle -A PREROUTING -p tcp -m multiport --dports 80,8080,20,21 -s 10.89.9.0/24 -j MARK --set-mark 1

iptables -t mangle -A八达国际线路 PREROUTING -p udp --dport 53 -s 10.89.9.0/24 -j MARK --set-mark 2

这两条敕令是将来自10.89.9.0/24的目的端口是80、8080、20或21的数据包和UDP端口是53的数据包分手标记为1或2,然后就可以针对这些标记过的数据包拟订响应的规则了。(对外发出的DNS哀求用的是UDP 53端口)

为了实现防火墙的功能,只容许已经建立联机的数据包进入内网,就要把进入两个内网的已经建立联机的数据包进行标记。履行如下敕令:

iptables -t mangle -A PREROUTING -p ALL -d 10.89.9.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 3

iptables -t mangle -A PREROUTING -p ALL -d 192.168.1.0/24 -m state --state ESTABLISHED,RELATED -j MARK --set-mark 4

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

您可能还会对下面的文章感兴趣: