问题:如何通过服务器上外网
服务器上外网执行操作(操作顺序可调):
(1)iNode连接
(2)执行StartMyNetwork.sh 终端运行命令后会自动关闭
问题:有哪些自己写的脚本文件,存在什么路径下
服务器网络配置脚本存放位置:
/bin/MyFireWall.sh
/bin/StartMyNetwork.sh
/etc/rc.local (开机修改MAC)
或者到/home/administrator/MyNetwork修改ln /bin/StartMyNetwork.sh /home/administrator/MyNetwork
ln /bin/MyFireWall.sh /home/administrtor/MyNetwork
ln /bin/StartMyNetwork.sh /home/administrator/桌面
问题:如何绑定新的MAC
添加MAC: sudo MyFireWall.sh 00:00:00:00:00:00 Tomy’sMAC
注:描述Tomy'sMAC中间无空格的字符串,也可不写,MAC位数不对会出错
或在桌面上addmac.txt文件中添加
添加MAC后重启iptables:sudo StartMyNetwork.sh
或执行桌面上StartMyNetwork.sh脚本
问题:如何重启iptables
sudo StartMyNetwork.sh
或执行桌面上的StartMyNetwork.sh脚本
1、iNode认证客户端安装
首先在/etc/rc.local 中添加
ifconfig eth0 down
ifconfig eth0 hw ether ******
ifconfig eth0 up
(1)学校网站下载linux版本。
(2)修改install.sh权限(755),执行install.sh。
(3)修改iNodeClient权限(755),运行iNodeClient认证。
2、MyFireWall.sh防火墙设置
#!/bin/bash
#written by *** 2012/3/29 QQ***
#1.主要作用:只有经过该脚本绑定的MAC才可通过本机访问外网,其余MAC一律拒绝访问外网。
#2.该脚本的$1和$2为新添加的MAC和描述,且重定向到addmac.txt中。
#打开IP转发功能,相当于让内核做路由
echo "1" > /proc/sys/net/ipv4/ip_forward
###清除iptables规则
iptables -F
iptables -X
iptables -Z
iptables -F -t nat
iptables -X -t nat
iptables -Z -t nat
###清除iptables规则
###设置默认规则
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD DROP #只有FORWARD链默认DROP
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
###设置默认规则
###启动nat转发及FORWARD state允许转发外网对内网请求响应的包
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
###启动nat转发及FORWARD state允许转发外网对内网请求响应的包
###本脚本默认允许通过的MAC(其余允许通过的MAC在~/桌面/addmac.txt中)
iptables -A FORWARD -m mac --mac-source *** -j ACCEPT
iptables -A FORWARD -m mac --mac-source *** -j ACCEPT
###本脚本默认允许通过的MAC(其余允许通过的MAC在~/桌面/addmac.txt中)
###重定向脚本的$1 $2
#eg:sudo MyFireWall.sh 00:00:00:00:00:00 ZhangSan
#意思是将00:00:00:00:00:00 ZhangSan作为一行添加到addmac.txt中
if [ $1 ];then
#if [ $2 ];then
#echo \# $2 >> /bin/MyFireWall.sh #反斜杠\转义注释符号#
#else
# :
#fi
#echo iptables -A FORWARD -m mac --mac-source $1 -j ACCEPT >> /bin/MyFireWall.sh
echo $1 $2 >> /home/administrator/桌面/addmac.txt
else
:
fi
###重定向脚本的$1 $2
###从addmac.txt读取用户添加的MAC,并允许其访问外网
#管道| 即读取cat 显示的文件的每一行,并将以行存在LINE变量中。
#read有读取一行的作用。
cat /home/administrator/桌面/addmac.txt | while read LINE
do
usermac=`echo $LINE | awk '{print $1}'`
#username=`echo $LINE | awk '{print $2}'`
#echo \# $username >> /bin/MyFireWall.sh
#if else 语句的作用是避免将读到的空行作为MAC赋给iptables语句。
if [ $usermac ];then
iptables -A FORWARD -m mac --mac-source $usermac -j ACCEPT
else
:
fi
done
###从addmac.txt读取用户添加的MAC,并允许其访问外网
3、DHCP服务器
(1)
安装dhcp3-server:apt-get install dhcp3-server
(2)
a、gedit /etc/default/dhcp3-server
INTERFACES="eth1"
b、gedit /etc/dhcp3/dhcpd.conf
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.2 192.168.0.254;
option domain-name-servers 218.30.19.40,202.117.112.3;
option subnet-mask 255.255.255.0;
option routers 192.168.0.1;
option broadcast-address 192.168.0.255;
default-lease-time 86400;
max-lease-time 172800;
}
host WorkStation{
hardware ethernet 2c:41:38:94:51:90;
fixed-address 192.168.0.30;
}
注:主机名任意,若客户端手动配置,以客户端配置为准。
(3)
/etc/init.d/dhcp3-server start
4、StartMyNetwork.s放在桌面上由用户执行的操作
执行需要输入密码
sudo /sbin/ifconfig eth0 hw ether **:**:**:**:**:**
sudo /home/administrator/MyNetwork/MyFireWall.sh
sudo /sbin/dhclient eth0
5、/etc/network/interfaces配置eth0 、eth1
auto eth0
iface eth0 inet dhcp
pre-up ifconfig eth0 hw ether **:**:**:**:**:** #修改网卡为外网认证网卡
auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
6、/etc/rc.local设置开机启动项
开机修改网卡为外网认证网卡,开机启动iNode服务
/sbin/ifconfig eth0 down
/sbin/ifconfig eth0 hw ether **:**:**:**:**:**
/sbin/ifconfig eth0 up
/etc/init.d/iNodeAuthService start
exit 0
6、修改ubuntu10.10和windows XP双系统启动顺序
在windows xp操作系统下右击--我的电脑--属性--高级--启动和故障恢复--设置--默认操作系统下拉框选择默认启动操作系统和类表显示时间等。
7、服务器启用ssh
服务器安装openssh-server:sudo apt-get install openssh-server
8、卸载NetworkManager
9、服务器定时关机
gedit /etc/crontab
30 23 * * * root /sbin/shutdown -h now
每天23:30关机。
10、脚本StartMyNetwork.sh MyFireWall.sh作为命令执行
将StartMyNetwork.sh MyFireWall.sh拷贝到PATH标明的路径下(/bin)。
如:将这两个脚本拷贝到/bin文件夹下,则在终端的任意路径下都可执行这两个脚本。
补充:
PATH含义:在当前目录下找不到命令或脚本,则到PATH标明的路径下查找。
PATH环境变量查看:echo $PATH 或 export (查看所有环境变量)
PATH修改:export PATH=**:**:**
11、Xmanager切换中英文输入法(需要先在首选项--键盘输入法启用):shift
在首选项--键盘输入法里设置
12、查看DHCP的IP历史分配情况
cat /var/lib/dhcp3/dhcpd.leases
注:无法查看固定分配的IP(客户端指定和服务端指定都无法查看)
或推荐用管道查看日志
cat /var/log/messages | grep DHCPACK
注:/var/log/messages存放的是一天的messages
/var/log/messages.1存放的是?多长时间
13、查看正在使用的IP,即查看当前有哪些客户端连接到服务器
(1)arp #所有接口
(2)arp –i eth1 #查看连到eth1接口的IP及对应MAC
注:如果/etc/dhcp3/dhcpd.conf中给特定MAC分配指定的IP,则ARP可以解析 该IP与对应MAC。(客户端指定可解析出)用ARP命令时是解析的当前在活动的包,所以有时客户端虽然连服务器,但解析不出客户端。
14、/var/lib/dhcp3/dhcpd.leases字段含义
{starts 6 2010/12/25 21:20:08; ends 6 2010/12/25 23:20:08; cltt 6 2010/12/25 21:20:08; binding state active; next binding state free;} {starts 0 2010/12/19 15:56:00; ends 0 2010/12/19 17:56:00; tstp 0 2010/12/19 17:56:00; cltt 0 2010/12/19 15:56:00; binding state free;}start和end时间使用starts和ends语句记录。Tstp语句指定在使用失败恢复协议时,伴侣认为租约过期的时间,tsfp语句也用在失败恢复协议使用时,指定伴侣确认的租约过期时间。 binding state语句声明租约的绑定状态,当DHCP服务器没有配置使用失败恢复协议时,租约的绑定状态会是激活(active)和自由(free),失败恢复协议添加了一些新的传送状态 cltt 我找了下dhcp的英文介绍 这么解释的The time of the last transaction with the client on this lease. 大概就是客户端最后一次续约时。
FAQ
问题一:iNode一直认证失败(connect failed)
解决:用户权限问题?(将administrator UID设为0后会出现failed问题)
将UID改回1000,或者是该iNode的执行权限原因,改变其执行权限,或改变所有者,所属组?断开再连。或者重启iNode再连。
问题二:iNode连接超时(overtime)。
解决:断开再连。(或者重启再连。)
问题三:iNode连接时显示MAC不对。
解决:ifconfig eth0 hw ether **:**:**:**:**:** (改为可连外网MAC)
问题四:iNode显示认证通过,但是无法ping通 www.baidu.com
解决:dhclient eth0 (未获取IP)
问题五:DHCP服务器不可用
解决:内网网卡eth1的IP配置为192.168.0.1
问题六:使用NetworkManager后eth0的MAC改变
解决:ifconfig eth0 hw ether **:**:**:**:**:** (改为可连外网MAC)
或者直接执行MyFireWall.sh
DNS配置
1、DNS配置文件
/etc/hosts 这个是最早的 hostname 对应 IP 的档案;
/etc/resolv.conf :这个重要!就是 ISP 的 DNS 服务器 IP 记录处;
/etc/nsswitch.conf:这个档案则是在『决定』先要使用 /etc/hosts 还是
/etc/resolv.conf 的设定!
一般而言, Linux 的预设主机名与 IP 的对应搜寻都以 /etc/hosts 为优先,
2、DNS相关命令
root@ubuntu:~# dig +trace www.baidu.com
DNS 的正、反解查询指令: host, nslookup, dig
root@ubuntu:~# host www.baidu.com
www.baidu.com is an alias for www.a.shifen.com.
www.a.shifen.com has address 119.75.218.77
www.a.shifen.com has address 119.75.217.56
Host www.a.shifen.com not found: 3(NXDOMAIN)
root@ubuntu:~#
root@ubuntu:~# nslookup www.baidu.com
Server: 192.168.77.2
Address: 192.168.77.2#53
Non-authoritative answer:
www.baidu.com canonical name = www.a.shifen.com.
Name: www.a.shifen.com
Address: 119.75.218.77
Name: www.a.shifen.com
Address: 119.75.217.56
root@ubuntu:~#
3、配置实例
参考:http://www.xkedu.cn/blog/read.php?478
1. 配置环境:
一台server和若干client组成的简单局域网,在一个网段上。一台Server做为DNS server,注意DNS server Ip地址不能用DHCP,要用静态ip。Server的ip:192.168.0.1,Client的ip范围为:192.168.0.2——192.168.0.254,相互能ping通。
2. 检查是否安装bind
使用命令dpkg -l bind*查看相关软件是否安装
如果没有安装就进行下一步
3. Installing BIND9 (安装 BIND9)
命令: sudo apt-get install bind9
我们将配置DNS为主服务器类型
DNS 配置文件在/etc/bind 目录中。安装bind9后会生成如下三个配置文件:
named.conf;named.conf.options;named.conf.local。
其中 named.conf是主配置文件,里面包含了named.conf.options和named.conf.local,我们在架设本地dns时,只需改动named.conf.local即可。
设置实例
⑴环境:
Server的ip:192.168.0.1
Client的ip范围为:192.168.0.2——192.168.0.254,相互能ping通
现在将主机架设成主dns服务器,要求能解析
kxsrv.304.com 192.168.0.1
www.304.com 192.168.0.1
mail.304.com 192.168.0.30
⑵分析:根据上面的主机名称和ip对应可以看出:
①需要添加正向区域“304.com”和反向区域“0.168.192.in-addr.arpa”,
②在“304.com”区域中添加A记录kxsrv对应192.168.0.1, CNAME记录www对应kxsrv
③在“0.168.192.in-addr.arpa”区域中添加各个ip地址对应的主机名
⑶编辑配置文件 记得路径 /etc/bind/
①编辑named.conf.local
先要添加写权限:sudo chmod 646 named.conf.local
编辑用:sudo nano /etc/bind/named.conf.local
添加下列语句
//正向区域
zone "304.com" {
type master;
file "/etc/bind/db.304.com";
};
//反向区域
zone "0.168.192.in-addr.arpa" {
type master;
notify no;
file "/etc/bind/db.30.140.192";
};
然后保存
②建立named.conf.local中指定的区域文件
在/etc/bind下建立正向区域文件 (复制了一份)
命令:sudo cp /etc/bind/db.local /etc/bind/db.304.com
在/etc/bind下建立反向区域文件 (复制了一份)
命令:sudo cp /etc/bind/db.127 /etc/bind/db.0.168.192
③编辑正向区域文件
命令:sudo nano /etc/bind/db.304.com
将原文参照下文修改
;
; BIND data file for local loopback interface
;
$TTL 604800
@ IN SOA ns.304.com. root.304.com. (
2 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.304.com.
@ IN A 127.0.0.1
@ IN AAAA ::1
ns IN A 192.168.0.1
kxsrv IN A 192.168.0.1
mail IN A 192.168.0.30
www IN CNAME kxsrv
注意修改的地方,在原文的localhost处更改,再添加各个主机记录 注意用Tab键分开对齐
另外使用别名时:www IN cname 192.168.0.1 会出错,
要使用www IN cname kxsrv
④编辑反向区域文件
命令:sudo nano /etc/bind/db.0.168.192
将原文参照下文修改
;
; BIND reverse data file for local loopback interface
;
$TTL 604800
@ IN SOA ns.304.com. root.304.com. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS ns.
9 IN PTR ns.304.com.
9 IN PTR kxsrv.304.com.
9 IN PTR www.304.com.
9 IN PTR mail.304.com
注意修改的地方,在原文的localhost处更改,再添加各个主机记录 注意用Tab键分开对齐
(4)重新启动DNS服务
sudo /etc/init.d/bind9 restart
到此位置dns就配置完成了,你可以在XP下的cmd环境下用nslookup去试试看
注意:改动配置文件后都要重新启动bind9。
(5)
Linux 修改DNS,请修改/etc/resolv.conf文件。
例如:
编辑sudo nano /etc/resolv.conf
更改为
nameserver 192.168.0.1
nameserver 202.117.112.3
DNS客户端的配置
此时DNS服务器已经开始工作了,要使用该DNS服务器,以XP为例,到"控制面板"–"网络连接",找到上网的网卡,右键选择"属性",改变DNS地址为192.168.0.1
验证:在客户端
ping kxsrv.304.com
ping www.304.com
ping mail.304.com
总结:/etc/bind下文件之间的关系,
1、主要有三个配置文件:named.conf;named.conf.options;named.conf.local。(还有named.conf.default-zones等默认文件,不用管它)
2、其中named.conf是主配置文件,里面包含named.conf.options和named.conf.local,我们在架设本地dns时,只需改动named.conf.local即可。
3、先在named.conf.local中配置正向和反向区域,
正向区域的具体配置在/etc/bind/db.304.com文件中;(以本次试验为例)
正向区域的具体配置在/etc/bind/db.0.168.192文件中;(以本次试验为例)
然后到正向和反向的具体配置文件中配置。
再总结:只需改动在named.conf.local添加正向和反向区域;再到正向配置文件(在named.conf.local中指明了该文件的路径和名称)和反向配置文件(在named.conf.local中指明了该文件的路径和名称)中配置。
即以后要该域名直接替换上述三个文件的304字符串为要修改后的字符串即可。
要添加其他需要解析的域名(仍是304.com域,仍在192.168.0段内,非192.168.0.1地址),如添加ftp.304.com对应地址192.168.0.20,只需在/etc/bind/db.304.com和/etc/bind/db.0.168.192中添加相应域名和地址即可.