登录模块加载中...
会员投稿 投稿指南 今天是:
打印本页 | 关闭窗口 | 双击滚屏 您的位置首页>>网页制作学习园地>>服务器类>>防火墙和路由>>企业网中用Linux作为路由器
企业网中用Linux作为路由器
来源:不详 ‖ 作者: ‖ 点击: ‖ 时间:08-07-07 16:49:54 ‖ 【 】‖ 我要投稿
    现在,因为使用线缆和DSL的Internet连接速度已经超过了T1(传输速率可达1.544Mb/s的通讯线路),所以这两种连接方式已经在商业领域得到了广泛的应用。对于DSL和线缆连接来说,使用Linux来做路由器,是一个非常经济的解决方案。特别是和一些高端商家(比如Cisco)的解决方案相比,这种优势尤为明显。

    使用Linux路由器作为一个现有的、已经成熟的网络的一个部分,将会有一个比较特殊的问题。如果我们使用Linux服务器作为DSL或者线缆连接的NAT(网络地址转换)服务器,那么我们将可通过Linux路由器对外提供服务。但是,对于大多数已经成熟的企业网络基础构架,这种方式却不一定实用,也不一定可行。比如,如果你的公司在现有的内部HTTP和SMTP服务上已经投入了可观的资金,或者在一个HTTP服务器上使用了负载平衡以支持电脑商务交易,那么你的公司将不太可能把这些服务移植到Linux服务器上。但是,如果公司想寻找一种经济的途径来同时控制一些Internet服务,那么基于Linux的路由器将是一个很好的选择。

NAT的使用
    让我们来看一看公司的DSL/线缆连接只有一个IP地址的情况。我们如何才能把这个只有一个IP地址的流入数据包映射到内部主机呢?事实上,Linux已经把这一功能内建到了自己的内核中,所以我们只需几个免费的软件工具就可以来管理这个功能。
    在数据包流出内部网时,我们使用一个叫做IP伪装的功能来提供NAT解决办法,它可以让众多的内部网主机共享一个IP地址。而对于外部连接来说,似乎所有的得到的信息都来自同一个IP地址。在Linux里,具有NAT功能的组件是一个比较容易搞混的功能,它可以在端口级别执行入站数据包的翻译(有进也叫反向NAT或者解除伪装)。Linux路由器会监听端口80(HTTP服务使用的默认端口)的所有连接请求,并且当检测到一个连接请求时,它会自动地把数据包转发到内部网对应的主机上。
    事实上,之所以我们对反向NAT功能不太了解,是因为在主流的Linux发行版本中,一般没有包括对该功能的配置工具。一个最一般的,也是用得最广泛的用于管理这一功能的应用程序是“ipmasqadm”。要检查你是否安装了这一应用程序,你可以以系统管理员的身份登录,并在shell提示符下输入“ipmasqadm”,如果得到“Command not found”的错误信息,那么你可以从网上下载最新的RPM安装包(比如:rpmfind.net就有)。

典型的网络配置
    下图描述的是一个线缆连接中使用Linux作为路由器的典型的网络结构图。其中一个以太网端口(eth0)为线缆调制解调器提供了物理连接,另外一个端口(eth1)把路由器连接到LAN。此外,我们还可以使用第三个以太网端口eth2,虽然这不是必需的,但是使用它来提供一个独立的DMZ (demilitarized zone,即非军事区)。DMZ是放置公共信息的最佳位置,这样用户、潜在用户和外部访问者都可以直接获得他们所需的关于公司的一些信息,而不用通过内网。你公司中的机密的和私人的信息可以安全地存放在内网中,即DMZ的后面。DMZ服务器上的破坏最多只可能造成在你恢复服务器时的一段中断服务。这样通过使用独立的NIC(网卡)把服务器隔离,我们就把他们所有的活动和企业局域网其它的部分分开。一般来说,我们使用DMZ来提供更好的防火墙保护,但是不管有无DMZ,在Linux服务器上的端口转发都不会受到影响。

端口转发的配置
端口转发的功能很简单:与Sendmail、Apache响应SMTP和HTTP信息不同,我们使用“ipmasqadm portfw”来转发所有的信息。
在激活端口转发之前,要确保所有相关的内核都已加载。和端口转发服务相关的有三个模块,具体命令是(以root身分执行

|<< << < 1 2 3 > >> >>|
加入收藏:  加入收藏夹  | 发送给好友:  发送给好友
责任编辑:admin
相关文章列表
无相关新闻
请文明参与讨论,禁止漫骂攻击。  
网友评论