当前位置:Linux教程 - Linux文化 - 用pppoe和shorewall管理中小型网络

用pppoe和shorewall管理中小型网络


我们的网络有200+的用户,然后还有N台服务器,用户是要向我们交网络使用费的。

采用PPPOE管理用户是比较方便的,只需要设定用户和密码就什么都不用管了。

选择FREEBSD还是LINUX是个问题,以前我就是用的FREEBSD,感觉不是很稳定。现在又准备用LINUX。 GOOGLE了一下,看到 http://www.jraitala.net/comp/articles/2002/pppoe/ 如上地址的结果。所以就选择了LINUX。 况且LINUX上面有SHOREWALL作为软件防火墙,功能比较好,不用自己编IPTABLES的规则。

选择什么样的发行版作为这个带PPPOE防火墙呢? 首先这个操作系统要安装简单, 然后最好内置所有制作这个防火墙需要的软件, 我还希望我的PPPOE能和RADIUS服务器联合起来使用,这样管理起来更加方便。

我在CENTOS、UBUNTU和FC5中作了个选择,我选择了FEDORA 5。 CENTOS带的PPPD不支持RADIUS的PLUGIN 需要自己编译pppd,要支持内核模式的PPPOE需要重新编译rp-pppoe UBUNTU和FEDORA 5都代支持RADIUS的pppd,UBUNTU的pppd版本还是最新测试版,但他们两个都需要重新编译RP-PPPOE来支持内核模式的PPPOE。 他们都带freeradius。还都带shorewall。

我选择了用得最顺手的FEDORA。 新装好的fedora作pppoe服务器会不能用,于是我将rp-pppoe3。8下载下来重新编译,发觉还是不能用,于是又将其编译为内核模式,pppoe服务器就能够使用了。 到rp-pppoe的src目录下面 ./configure --enable-plugin然后make install 就好了。 在启动pppoe-server的时候记得加上-k的参数(内核模式的PPPOE)。

试着不改动系统原来的配置文件启动一下你的pppoe-server,记得给pap-secrets文件添加用户。其实这样就已经可以用了。

然后拨号上来的用户还需要上网,这时就需要配置shorewall了。对于我们这个简单的需求,我修改了interfaces文件和zone文件,修改了masq文件,由于每个文件里面本来就有详细的配置使用说明,我就不多说了,然后启动shorewall,网络就可以用了。 masq文件的内容大概是这样的: eth0 172.18.6.0/24 eth0是我的外网界面。 对于这种情况的shorewall的配置大概是这样的。 eth0外网 eth1拨号的界面 eth2服务器区 interface 文件 loc ppp+ net eth0 dmz eth2

zone文件 loc ipv4 net ipv4 dmz ipv4

masq文件(172.18.2.0是拨号分配的地址) eth0 172.18.2.0/24

police文件和rules文件的编辑就看你的喜好了。 常用的police文件是这样的: loc net ACCEPT net all DROP all all DROP 常用的rules文件大概是这样的: DNAT net dmz:172.18.3.1 tcp http - - - 3/sec:10 DNAT net dmz:172.18.3.1 tcp ssh,http - - - 3/sec:10

当然,shorewall支持的高级配置是很多的,如果需要屏蔽bt,你还可以编译ipp2p模块,shorewall 也支持的。 编辑rules文件: DROP loc net ipp2p all

其实基本的shorewall配置由于document比较齐全,查看一下,很好弄的


摘自:chinaunix.net

[ 关闭窗口 ]

Copyright © 1999-2000 LSLNET.COM. All rights reserved. 蓝森林网站 版权所有。 E-mail : [email protected]