| 当前位置:首页>>防火墙>>配置相关>>正文 |
| 防火墙设置实例(安装TIS代理伺服器) |
| 文章出处: 发布时间:2005-06-12 点击:0 |
| |
|
高级设置
在在我们快要结束时,不妨再举一个例子,来说明设置的方法。前面的例子适合多数使用情况。下面再以一个高级设置为例,以便能说明一些问题。如果前面的例子不能解答你的问题,或者还想了解代理伺服器和防火墙的其他特性,请注意下面的例子。
1.1 注重安全的大型网路
假设一个民团首脑要设置网路,其中共有50台电脑和有一个32个IP地址的次级网。由于随从的级别不同,民团首脑想在网路上设置不同级别的使用权。因此,网路的一部分不能与另一部分互通。各种级别有∶
外围。这是人人都可到达的层面。这是吸引新成员的层面。
部队人员这一层面的人物已经超过外围。这个层面的人可以知道一些计谋和制造武器的方法。
外籍军团这是真正完成计划之处。
网路的设定
IP号码的设定方法如下∶
一个地址为192.168.2.255,这是广播地址,不可使用。
32 IP地址中23个地址分配给23台机器,这些机器可同网际网路联结。
一个IP地址用于网路上的linux机。
一个IP地址用于网路上的另一个linux机。
两个IP
#\'s用于router
剩下的四个地址随便定四个名字,使人捉摸不定真正的用户。
保护网路的地址为192.168.2.xxx
这样就建立了两个不同的网路。这两个网路通过红外线Ethernet联网,外界完全看不到它们的存在。红外线Ethernet的作用和一般Ethernet的作用相同。这两个网路各自连到有IP地址运行linux的电脑。同时有一个文档伺服器接连到这两个保护网路,因为征服世界的计划中需要一些训练精良的部队。文档伺服器中有部队网路的IP地址192.168.2.17和外籍军团网路的IP地址192.168.2.23。有不同IP地址的原因是因为有不同Ethernet卡的缘故。网路上IP
Forwarding的功能关闭停用。两台Linux机上IP
Forwarding的功能也都停用。除非有明确规定,否则router不会转送送往192.168.2.xxx的数据包,因此网路无由进入。关闭IP
Forwarding功能的原因是部队网路发出的数据包不让到达外籍军团网路,外籍军团网路的数据包也不让到达部队网路。可以设定NFS伺服器的设置,使其把不同文档送往不同网路。这种方法颇为好用,在symblic
links上做番手脚可使文档让大家共享。利用这种设置和加一张ethernet卡可使一台文档伺服器用于所有三个网路。
代理伺服器的设置
由于三批人马都需要了解网上的情况,因此他们都需要上网。外部网路直接连到网际网路,因此在代理伺服器上不需要作出任何更动。外籍军团网路和部队网路在防火墙之後,因此需要在代理伺服器上作出一些设置。两个网路的设置非常类似。它们仍旧使用分配给它们的IP地址。不过在这里得设定一些参数。
任何人都不得使用文档伺服器上网,否则文档伺服器可能会遭到病毒或其他坏东西得入侵。这种问题至为严重,因此不得使用文档伺服器。
不让部队人员上网。他们正在接受训练,如果让他们拥有这种检索资讯的能力可能对他们有害。
因此,在部队网路的linux机上sockd.conf档内应有下列一行∶
deny 192.168.2.17
255.255.255.255
并且在外籍军团机内的设定是∶
deny 192.168.2.23
255.255.255.255
同时,部队网路的linux机内设定∶
deny 0.0.0.0 0.0.0.0
eq 80
这行的意义是不让任何机器使用埠号80,既http埠。不过这些机器仍然可用所有其他功能,只是不让上网。然後在两台机器的sockd.conf档内都添加∶
permit 192.168.2.0
255.255.255.0
使所有在192.168.2.xxx网上的电脑都使用这台代理伺服器,但不让使用的电脑除外(既从部队网路进入文档伺服器和网际网路)。
部队网路的sockd.conf档的内容如下∶
deny 192.168.2.17
255.255.255.255
deny 0.0.0.0 0.0.0.0
eq 80
permit 192.168.2.0
255.255.255.0
外籍军团网路的sockd.conf档的内容如下∶
deny 192.168.2.23
255.255.255.255
permit 192.168.2.0
255.255.255.0
这样的配置应该没有问题。每一个网路都能单独作业,并有适当的相互关系。人人都应该心满意足才对。
|
|
| 作者: |
| [返回顶部↑]
[推荐好友]
[查看评论] |
|
|
|
|
|
|
|
【设为首页】
【
【