FreeBSD handbook中文版 2 开始安装FreeBSD(2)(2…
2008-02-23 08:02:11来源:互联网 阅读 ()
add 19999 allow tcp from any to any out //这三个组合起来是允许内部网
络访问出去,如果想服务器自己不和Internet进行tcp连接出去,可以把19997和19998去
掉。(不影响Internet对服务器的访问)
######udp##########
add 20001 allow udp from any 53 to me in recv xl0 //允许其他DNS服务器的
信息进入该服务器,因为自己要进行DNS解析嘛~
add 20002 allow udp from any to x.x.x.x 53 in recv xl0 //向整个Internet开
放DNS服务。
add 29999 allow udp from any to any out //允许自己的UDP包往外发送。
######icmp#########
add 30000 allow icmp from any to any icmptypes 3
add 30001 allow icmp from any to any icmptypes 4
add 30002 allow icmp from any to any icmptypes 8 out
add 30003 allow icmp from any to any icmptypes 0 in
add 30004 allow icmp from any to any icmptypes 11 in //允许自己ping别人的
服务器。也允许内部网络用router命令进行路由跟踪。
#######lan##########
add 40000 allow all from 192.168.0.0/16 to any
add 40001 allow all from any to 192.168.0.0/16 //允许内部网络访问Internet。
好了,还有natd没设置了,我们再次添加/etc/natd.conf这个文件,其内容如下:
log yes //启动natd的log记录。
redirect_port tcp 192.168.0.2:25 x.x.x.x:25 //把对服务器IP为x.x.x.x的smtp
访问转到192.168.0.2的25上去。
redirect_port tcp 192.168.0.2:80 x.x.x.x:80 //把对服务器IP为x.x.x.x的http
访问转到192.168.0.2的80上去。
redirect_port tcp 192.168.0.2:110 x.x.x.x:110 //把对服务器IP为x.x.x.x的pop3
访问转到192.168.0.2的110上去。
好了,natd也设置完了~重新启动一下系统让防火墙和natd生效,现在就是该装的服务没
装了,虽然防火墙已经让这些服务通行。
我们现在在Gateway上安装DNS服务,我现在选择的是bind 9.2.0,安装过程不是我们的
重点,所以这里就不详细介绍了,我这里只对bind的安全设置做一个说明,假设bind的
工作目录是/etc/namedb现在我们对bind设置一下,因为bind的大多数版本都存在问题,
这个版本虽然目前没有,但还是提防为好,我在这里建议使用chroot技术来增强bind的
安全,假设我们把chroot目录设在/chroot,我们做以下事情:
pw useradd bind -g 53 -u 53 -d /nologin -s /nologin
mkdir /chroot
mkdir /chroot/etc
mkdir /chroot/var
mkdir /chroot/var/run
cp -rp /etc/namedb /chroot/etc/namedb //建立bind的工作环境和目录。
然后再运行
$PATH/sbin/named -t /chroot -u bind
这样做了后运行ps -ax |grep named会发现bind是以bind这个权限很底的身份运行,
我们到/chroot/var/run目录下看,会发现有named.pid这个文件,表示bind已经很成
功的被chroot在/chroot这个目录里了,就算被“黑客”利用bind入侵了,由于权限很底,
而且被限制在/chroot这个目录里,并且里面没有任何的shell,不给“黑客”任何的破
坏条件。所以说bind这时已经相当安全了。
到此整个Gateway服务器就已经完全设置完毕。
现在就是内部服务器了,而内部服务器受到Gateway以及防火墙的保护,所以在安装上
没有多大的问题,只要注意一下邮件服务软件以及HTTP服务软件是否有漏洞就行了,
比如不要使用老版本的sendmail,因为sendmail的每个版本都存在一定的安全问题,
我这里建议使用Qmail,关于Qmail的安装可以下载我提供的Qmail安装包
http://www.linuxaid.com.cn/training/tips/showtip.jsp?i=245 ,而在HTTP上就
要注意不要使用带漏洞的新闻发布系统,论坛等。
好了,整个服务器都已经安装完了,以上本人已经在两台FreeBSD 4.5的机器上测试
通过。使用FreeBSD4.5的朋友们,如果按以上方法去设置自己的服务器的话,基本
能保证正常工作。
声明:该文章由iceblood本人原创,如有什么问题欢迎大家与我交流经验,文章如
要转载,请保持文章的完整性,包括“声名”部分
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
- FreeBSD handbook中文版 2 开始安装FreeBSD(1) 2008-02-23
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
