伺服器防火墙设置实例(安装TIS代理伺服器).doc

防火墙设置实例(安装TIS代理伺服器)教育资源库

高级设置

在在我们快要结束时不妨再举一个例子来说明设置的方法。前面的例子适合多数使用情况。下面再以一个高级设置为例以便能说明一些问题。如果前面的例子不能解答你的问题或者还想了解代理伺服器和防火墙的其他特性请注意下面的例子。

1.1注重安全的大型网路

假设一个民团首脑要设置网路其中共有50台电脑和有一个32个IP地址的次级网。 由于随从的级别不同 民团首脑想在网路上设置不同级别的使用权。 因此 网路的一部分不能与另一部分互通。各种级别有∶

外围。这是人人都可到达的层面。这是吸引新成员的层面。

部队人员这一层面的人物已经超过外围。这个层面的人可以知道一些计谋和制造武器的方法。

外籍军团这是真正完成计划之处。

网路的设定

IP号码的设定方法如下∶

一个地址为192.168.2.255这是广播地址不可使用。

32 IP地址中23个地址分配给23台机器这些机器可同网际网路联结。

一个IP地址用于网路上的linux机。

一个IP地址用于网路上的另一个linux机。

两个IP#'s用于ro uter

剩下的四个地址随便定四个名字使人捉摸不定真正的用户。

保护网路的地址为192.168.2.xxx

这样就建立了两个不同的网路。这两个网路通过红外线Ether联网外界完全看不到它们的存在。红外线Ether的作用和一般Ether的作用相同。这两个网路各自连到有IP地址运行linux的电脑。 同时有一个文档伺服器接连到这两个保护网路 因为征服世界的计划中需要一些训练精良的部队。文档伺服器中有部队网路的IP地址192.168.2.17和外籍军团网路的IP地址192.168.2.23。有不同IP地址的原因是因为有不同Ether卡的缘故。 网路上IP Forblic links上做番手脚可使文档让大家共享。利用这种设置和加一张ether卡可使一台文档伺服器用于所有三个网路。

代理伺服器的设置

由于三批人马都需要了解网上的情况 因此他们都需要上网。

外部网路直接连到网际网路 因此在代理伺服器上不需要作出任何更动。外籍军团网路和部队网路在防火墙之後 因此需要在代理伺服器上作出一些设置。两个网路的设置非常类似。它们仍旧使用分配给它们的IP地址。不过在这里得设定一些参数。

任何人都不得使用文档伺服器上网否则文档伺服器可能会遭到病毒或其他坏东西得入侵。这种问题至为严重 因此不得使用文档伺服器。

不让部队人员上网。他们正在接受训练如果让他们拥有这种检索资讯的能力可能对他们有害。

因此在部队网路的linux机上sockd.conf档内应有下列一行∶deny 192.168.2.17255.255.255.255

并且在外籍军团机内的设定是∶deny 192.168.2.23255.255.255.255

同时部队网路的linux机内设定∶deny 0.0.0.00.0.0.0 eq 80

这行的意义是不让任何机器使用埠号80既http埠。不过这些机器仍然可用所有其他功能只是不让上网。然後在两台机器的sockd.conf档内都添加∶permit 192.168.2.0255.255.255.0

使所有在192.168.2.xxx网上的电脑都使用这台代理伺服器但不让使用的电脑除外既从部队网路进入文档伺服器和网际网路 。

部队网路的sockd.conf档的内容如下∶deny 192.168.2.17255.255.255.255deny 0.0.0.00.0.0.0 eq 80permit 192.168.2.0255.255.255.0

外籍军团网路的sockd.conf档的内容如下∶deny 192.168.2.23255.255.255.255permit 192.168.2.0255.255.255.0

这样的配置应该没有问题。每一个网路都能单独作业并有适当的相互关系。人人都应该心满意足才对。

友情提醒 特别