Linux Router

回覆文章
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

Linux Router

文章 yehlu »

最後由 yehlu 於 2005-08-18 09:05:05 編輯,總共編輯了 1 次。
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

freesco

文章 yehlu »

http://pczone.com.tw/vbb3/showthread.php?t=130407

reesco官方網站:http://www.freesco.org/

1.先到freesco官方網站下載freesco-033.zip這個壓縮檔,並解開後會得到一個FREESCO-033
的子目錄。到FREESCO-033子目錄下,找到make_fd.bat這個批次檔,先放入一塊1.44的軟碟
到軟碟機中,然後執行make_fd.bat這個批次檔,畫面會出現類似一個DOS的文字模式視窗,
並且會指示您放入軟碟片並按下enter鍵,按下enter鍵後,就會做出一張FREESCO的開機片。

2.拿著剛做好的FREESCO開機片,放入到您要作為freesco box電腦的軟碟機中,請記得將bios
設定成以軟碟開機,重新啟動電腦,硬碟等裝置可以先拔掉。開機後會看到一個企鵝畫面,
直接按enter或是等幾秒鐘就會進入一般的開機模式,接下來螢幕會顯示一些開機過程的畫面
裝過linux相關經驗的人應該會滿熟悉的。最後會進入一個類似啟動各各週邊程式的畫面,每
做完一件事,他就會顯示Done,請注意,如果有出現類似紅色字體的警告字句,就表示有問題
,可能是設定有問題,或是週邊網卡等有問題,需要進入設定程式後再排除,後面再說,先不
理會他。

3.開機完成後,應該會看到一個類似xxxx.inet login:的提示,鍵入setup後按enter,然後是
Password:,在預設的密碼是root,鍵入root後按enter,這個密碼再setup程式時記得要修改
。接下來應該會看到一個選單的畫面,自行看一下,不解釋了,直接按enter吧。然後會出現
另一個選單,這個選單就是讓您選擇您所要使用router的型態,一般我們都是拿來做DHCP加上
NAT的功能,可以選e這個選項。在這邊特別說,本選單中,d,l,e,b,p,r這幾個選項,都
是採取問答式設定,也就是選完後,freesco會直接一條一條以問答方式,讓使用者設定電腦
相關的參數,因此,您在設定過程時,請紀錄一下資料,當然設定完成後,還是可以針對某些
單項設定更改的,這是對初學者來說,是非常方便的。這部分暫時跳過不說明,使用者自行體
會說明吧!先講一下手動設定的部分。

4.如果您是採手動設定,請按a後enter,這時就會看到另一個選單,有linux相關經驗的朋友應
該很清楚了,沒有經驗的朋友應該也不難瞭解才對,只要依您的需求設定相關項目就行了,夠
簡單了吧!其中比較重要的幾個選項,自此稍加說明:

31項,rootadmin是有關root密碼及連線密碼modem連線密碼的設定,很重要,請將其更改吧!
43項,DHCP server是DHCP的設定,設定DHCP的IP範圍,也就是IP分享的設定。
44項,HTTP server是HTTP設定,如果要使用類似IE瀏覽器來登入您的freesco box,這個選項
就要設定,其中要注意的是他會問您Enable public HTTP server y/s/n 時,請回答s
較安全,因為s的意思是security的意思,就是只信任local端的網域,internet端的是無
法登入的,除非您會從家裡區網以外的地方登入主機,否則就選s吧! y就表示對外開放登
入喔!
45項,Control Panel and Time server是設定本機的時間同步的server,採用內定的時間
server即可,前面的幾個選項都內定即可,請稍微看一下說明就會知道了其中只要設定
454 Time offset UTC(GMT):這個問答項即可,請鍵入+0800,因為他是採用GMT標準時間,
台灣的時區要加8小時,這樣freesco box的時間就是台灣的標準時間了。
47項,Telnet server,不用多說了,跟前面44項,HTTP server的意思一樣,看您要不要打開
,在freesco也有SSH的package,如果您覺得telnet不安全,那就用SSH的package安裝上去
吧!這個部分自行研究吧!
53項,Ethernet cards是拿來設定您的網卡用的,如果您的網卡是PCI介面的,在I/O及IRQ都設
定為0即可,如果是ISA的網卡,就比較麻煩了,請參考我之前的貼文設定,ISA型態的I/O
的寫法是0x300這類的寫法,玩過linux的朋友都應該知道。
62項,Local networks是設定網卡的IP位址及作為DHCP時的IP位址範圍設定用的,記得一件事
,freesco的eth0一定是對外,其他的是對內的local networks,如果是固定制的ADSL,IP
位址的相關資料就是設定在這裡,如果是撥接式的,就不用設定他,但是在626項要設定成
yes。注意一件事,當您將626項設成y後,也就是使用撥接式的ADSL後,就會出現632項,
MTU=這個選項,記得要設定成1492這個值。
91項,Ethernet ISP這是撥接制的ADSL一定要設定的,就是您撥接時所用的ID及密碼了,進入
91項後,分別填入相關的資料即可,這裡其實就是pppoe的撥接程式設定,然後按s後存檔
離開。

大致上,freesco就是這樣設定的,記得按x離開到前一個畫面,記得一定要存檔離開,然後就是
鍵入reboot指令重開機了,當然也可以直接按reset鍵也可或是按ctrl+alt+del鍵也可。

特別說明:當freesco開機完成,請登入主機後以dmesg|more指令查看一下系統是否有抓到相關的
網路卡,可以從是否有出現eth0,eth2等等的句子可以知道,看一下內容,是否系統
真的取得網卡,同時記住,這裡所出現的eth0,就是對外的那一張網卡,在前面講的
第62項設定中的第一塊網卡,就是配合這個eth0的網卡,別弄錯了!因為第62項網卡的
設定其中有一個620項Interface Name,這個網路卡的名字是我們自己取的,一般來說
第一塊網卡都會用eth0這樣的名稱,可是這個名稱與系統抓到的eth0是沒有任何關係
的,但是62項中的第一塊網卡設定值,一定就是指系統抓到的那個eth0,其餘的也以
此類推,所以,最好是不要用相同晶片的網卡會比較好設定,否則,您就要慢慢試了,
因為會弄不清楚哪塊是對外,哪塊是對內。

freesco支援10個network,也就是可裝10塊網卡(只是不知如何裝),這是官方說的,不
是我說的,做不出來別打我。也就是可以讓使用者劃分9個內部網域,1個對外。根據我
個人的使用經驗,網卡支援度還算不錯,尤其是被linux界稱為是惡魔卡的d-link系列,
也可以被抓到,當成是ne2000相容卡使用,只是ISA的網卡除非是pnp型的,否則必須要
找出網卡的設定程式,先設定好I/O及IRQ,這點對初學者比較困難。realtek也就是俗
稱的螃蟹卡沒問題,3com的,intel的SMC的都沒問題,可能是老外寫的,這些國外大廠
都沒問題。至於用什麼樣的電腦配備,根據我所使用的經驗,我用過386加8M RAM跑,足
足有餘,沒當過機,486加16M RAM不錯,pentium加32M RAM更讚!別忘了,他可以透過
modem做遙控,最好用外接式的,對於內接式的modem,freesco支援度不足。

之前我的大樓社區,因為用IP分享器,3天兩頭當機掛點,最後我搬出這套,解決所有問
題,同時編寫一些防火牆規則,關閉一些不必要的PORT,攔截一些中毒電腦的封包後,
網路更順,已經沒有住戶在叫沒法上網了。又因為我將社區用3塊網卡切成3個網域,彼
此區隔開,較不容易有封包流竄的問題,有問題也容易找。如果不是很多的人上網,大約
50到100個人的上網環境,只要網域切的適當,相當好管制的,自從完成後,幾乎沒去過
機房了,反正透過家裡的IE就可連線設定,碰到鄰居因為使用一些遊戲或軟體,需要打開
相關的port,只要透過家裡的IE登入主機,打開一些port就行了,透過IE登入主機下達命
令是臨時性的,只要重開機後,設定就會消失。如果要永久設定,就必須在主機上修改相
關檔案才行,這些有機會時再寫吧!

記得,使用好一點的磁片及軟碟,因為freesco會讀取一些相關資料,並利用軟碟作為紀錄
,當然記憶體多會比較好,32M就夠用了,64M更好,也可以在42項設定Read only floppy
減少軟碟讀取。磁碟片不得取出,否則會有錯誤發生。

freesco也可以架各類的server,前題是必須植入硬碟中,相關方法,請大家自行到官方網
站查詢及下載相關的package安裝即可,小弟也是不學無術之人,沒法為他家解說了!到此
暫時打住了!

補充一下,設定開機完成後,鍵盤螢幕都可拿走,將這個主機放在某個角落,就可成為老外戲稱freesco box了,因為您真的會忘了他的存在!如果遇到電源斷電,負電後就會自行啟動開機,不用去煩惱!

說明文件在此:http://www.freesco.org/?L=man030,不是很詳細,慢慢看吧!
至於網路流量監看,也有:http://www.freescosoft.com/home/htm...滮葑o分享一下
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

用 putty 設 tunnels 管理 BrazilFW Firewall and Router

文章 yehlu »

如附件的教學
附加檔案
bad(2).zip
(397.83 KiB) 已下載 360 次
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

linux 通透模式

文章 yehlu »

最後由 yehlu 於 2006-03-27 19:44:25 編輯,總共編輯了 1 次。
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

Linux 防火牆入門

文章 yehlu »

yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

iptables l7-filter

文章 yehlu »

http://linux.chinaunix.net/jh/4/619047.html

下面的第一个引用是转贴(摘錄自旗標「Linux iptables 技術實務 - 防火牆、頻寬管理、連線管制」一書)
引用:使用 l7-filter 來過濾 P2P 或即時通訊軟體

因為 l7-filter 只是 iptables 的子系統, 僅在 iptables 的功能上作延伸, 因此封包過濾的方法和原本的 iptables 並沒有太大的不同。

7-filter 的語法格式

l7-filter 的語法與 iptables 類似, 在使用上差不多, 其格式大致如下:


iptables -t mangle -I POSTROUTING -m layer7 --l7proto http -j DROP
─┬── ───┬──── ──┬── ───┬───
使用 mangle 表格 │ 符合 Layer 7 的封包 │
使用 POSTROUTING 鏈 Layer 7 封包的通訊協定



其中比較需要注意的只有 --l7proto 參數後面所使用的 Layer 7 封包通訊協定, 它就是我們所要阻擋的封包類型。至於如何知道該填哪些名稱, 可由我們所安裝的 l7-filter 樣式檔得知。請檢視 /etc/l7-protocols 目錄下的 file_types、 protocols、weakpatterns、extra 及 malware 子目錄下附檔名為 pat 的檔案, 它們就是 l7- filter 的樣式檔。裡面有簡單的說明, 告訴您這個樣式檔可以過濾哪些類型網路軟體的封包, 以及它的過濾規則。而 --l7proto 參數後面僅需填樣式檔的名稱即可 (不含附檔名)。

以下是筆者所檢視的 msnmessenger.pat 檔, 您只要將 --l7proto http 換成 -- l7proto msnmessenger 即可阻擋 MSN。筆者檢視 /etc/l7- protocols/protocols/msnmessenger.pat 檔的內容如下:


# MSN Messenger - Microsoft Network chat client
↑由說明可知是阻擋 MSN 的樣式檔
# Pattern quality: good Messenger
#
# Usually uses port 1863
# http://www.hypothetic.org/docs/msn/index.php
#
# This pattern has been tested and is believed to work well.
# If it does not work for you, or you believe it could be
# improved, please
# post to l7-filter-developers@lists.sf.net . This list may be
# subscribed to at
# http://lists.sourceforge.net/lists/listinfo/l7-filter-
# developers

msnmessenger
# ver: allow versions up to 99.
# usr (in case ver didn't work):
^(ver [0-9]+ msnp[1-9][0-9]? [\x09-\0d -~]* cvr|usr md5 i [ -~]*)
↑符合的封包字串



過濾常見的即時通訊軟體

常見的即時通訊軟體有 MSN Messenger、Yahoo Messenger 和 ICQ, 若要擋下這些軟體, 所需要用到的 l7- filter 樣式檔有 /etc/l7-protocols/protocols/ 目錄下的 msnmessenger.pat、 yahoo.pat 與 aim.pat。其中因為 ICQ 已經賣給 AOL (American online), 所以亦叫 AIM (AOL instant messenger)。

知道要使用哪些 l7-filter 樣式檔之後, iptables 的寫法如下:


[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto msnmessenger -j DROP
       ↑阻擋 MSN Messenger
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto yahoo -j DROP
       ↑阻擋 Yahoo Messenger
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto aim -j DROP
↑阻擋 ICQ



設定好後, 可如下檢視:


[root@free ~]# iptables -t mangle -L POSTROUTING
         ↑檢視 mangle 表格的 POSTROUTING 鏈
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere LAYER7 l7proto aim
DROP all -- anywhere anywhere LAYER7 l7proto yahoo
DROP all -- anywhere anywhere LAYER7 l7proto msnmessenger
              ↑阻擋常見的即時通訊軟體



此後,只要使用者開啟即時通訊軟體時, 就會發現無法連上網路:

過濾常見的 P2P 軟體

常見的 P2P 軟體有 eMule、eDonkey、Kazaa 與 Bittorrent...等, 要擋這些軟體需要用到的 l7- filter 樣式檔有 /etc/l7-protocols/protocols 目錄下的 bittorrent.pat 與 fasttrack.pat 和 /etc/l7-protocols/weakpatterns 目錄下的 edonkey.pat 檔。

其中 bittorrent.pat 可以阻擋所有使用 bittorrent 通訊協定的軟體, 如 ABC、Bitcomet ...等。 fasttrack.pat 可以阻擋 kazaa。edonkey.pat 可以阻擋所有使用 eDonkey 通訊協定的軟體, 如 eDonkey 與 eMule... 等。

設定方式如下:


[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
    --l7proto bittorrent -j DROP ←阻擋 bittorrent 通訊協定
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto fasttrack -j DROP ←阻擋 kazaa
[root@free ~]# iptables -t mangle -I POSTROUTING -m layer7
--l7proto edonkey -j DROP ←阻擋 eDonkey



檢視 mangle 表格的 POSTROUTING 鏈:


[root@free ~]# iptables -t mangle -L POSTROUTING
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
DROP all -- anywhere anywhere LAYER7 l7proto edonkey
DROP all -- anywhere anywhere LAYER7 l7proto fasttrack
DROP all -- anywhere anywhere LAYER7 l7proto bittorrent
DROP all -- anywhere anywhere LAYER7 l7proto aim
DROP all -- anywhere anywhere LAYER7 l7proto yahoo
DROP all -- anywhere anywhere LAYER7 l7proto msnmessenger




這樣 P2P 軟體使用時會發生連線錯誤,日後也不能使用了。

l7-filter 還可以過濾很多的封包, 比方說可以限制傳輸 jpg 或 gif 格式的圖檔。當然還有其他更多的功能, 您可以自行閱讀 /etc/l7-protocols/ 目錄下的 l7-filter 樣式檔的說明以取得相關資訊


中间的引用我先秀一下我的机器模块
引用:[root@localhost ~]# lsmod
Module Size Used by
ipt_layer7 17576 6
iptable_mangle 7168 1
ipt_ipp2p 12672 3
ipt_REJECT 10240 1
ipt_LOG 11648 1
ipt_limit 6784 3
ipt_connlimit 7680 3
ipt_multiport 6912 3
ipt_state 6144 3
ip_nat_ftp 7680 0
ip_conntrack_ftp 77200 1 ip_nat_ftp
ipt_MASQUERADE 7936 1
iptable_nat 27700 3 ip_nat_ftp,ipt_MASQUERADE
ip_conntrack 49032 6 ipt_connlimit,ipt_state,ip_nat_ftp,ip_conntrack_ftp,ipt_MASQUERADE,iptable_nat
arc4 6272 0
ppp_mppe_mppc 19972 0
ppp_synctty 15488 0
ppp_async 16896 1
crc_ccitt 6400 1 ppp_async
ppp_generic 35476 7 ppp_mppe_mppc,ppp_synctty,ppp_async
slhc 11264 1 ppp_generic
iptable_filter 7296 1
ip_tables 26368 12 ipt_layer7,iptable_mangle,ipt_ipp2p,ipt_REJECT,ipt_LOG,ipt_limit,ipt_connlimit,ipt_multiport,ipt_state,ipt_MASQUERADE,iptable_nat,iptable_filter
vfat 18176 1
fat 57244 1 vfat
dm_mod 64156 0
video 19972 0
button 10896 0
battery 13572 0
ac 9092 0
uhci_hcd 38928 0
ehci_hcd 39688 0
hw_random 9748 0
i2c_i801 13068 0
i2c_core 25728 1 i2c_i801
snd_intel8x0 37184 0
snd_ac97_codec 84988 1 snd_intel8x0
snd_pcm_oss 57504 0
snd_mixer_oss 23168 1 snd_pcm_oss
snd_pcm 97924 3 snd_intel8x0,snd_ac97_codec,snd_pcm_oss
snd_timer 30212 1 snd_pcm
snd 61924 6 snd_intel8x0,snd_ac97_codec,snd_pcm_oss,snd_mixer_oss,snd_pcm,snd_timer
soundcore 14048 1 snd
snd_page_alloc 15240 2 snd_intel8x0,snd_pcm
sk98lin 176096 0
8139too 32640 0
mii 9984 1 8139too
floppy 64212 0
ext3 139656 2
jbd 65048 1 ext3
scsi_mod 97508 0
[root@localhost ~]#



再下来我贴一下我现在的iptables脚本:
引用:
#!/bin/sh
#
modprobe ppp_mppe_mppc
modprobe ipt_MASQUERADE
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -F
iptables -t nat -F
iptables -X
iptables -t nat -X
iptables -t mangle -F
###########################INPUT键###################################
iptables -P INPUT DROP
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m multiport --dports 110,80,25 -j ACCEPT
iptables -A INPUT -p tcp -s 192.168.0.0/24 --dport 139 -j ACCEPT
#允许内网samba,smtp,pop3,连接
iptables -A INPUT -i eth1 -p udp -m multiport --dports 53 -j ACCEPT
#允许dns连接
iptables -A INPUT -p tcp --dport 1723 -j ACCEPT
iptables -A INPUT -p gre -j ACCEPT
#允许外网vpn连接
iptables -A INPUT -s 192.186.0.0/24 -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -s 192.186.0.0/24 -p tcp --syn -m connlimit --connlimit-above 15 -j DROP
#为了防止DOS太多连接进来,那么可以允许最多15个初始连接,超过的丢弃
iptables -A INPUT -p icmp -m limit --limit 3/s -j LOG --log-level INFO --log-prefix "ICMP packet IN: "
iptables -A INPUT -p icmp -m limit --limit 6/m -j ACCEPT
iptables -A INPUT -p icmp -j DROP
#设置icmp阔值 ,并对攻击者记录在案
iptables -t nat -A POSTROUTING -o ppp0 -s 192.168.0.0/24 -j MASQUERADE
#内网转发
iptables -t mangle -I POSTROUTING -m layer7 --l7proto bittorrent -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto fasttrack -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto edonkey -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypeout -j DROP
iptables -t mangle -I POSTROUTING -m layer7 --l7proto skypetoskype -j DROP
#上面几句你用心看第一个转贴你会看得懂,我希望有大牛可以在这里玩出更多的花#样,比如可以禁止某种格式的档案通过,比如可以像string一样,比如你开发的..比如你#想像的..比如
iptables -N syn-flood
iptables -A INPUT -p tcp --syn -j syn-flood
iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-burst 6 -j RETURN
iptables -A syn-flood -j REJECT
#防止SYN攻击 轻量
#######################FORWARD链###########################
iptables -P FORWARD DROP
iptables -A FORWARD -m layer7 --l7proto qq -m time --timestart 8:15 --timestop 12:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
iptables -A FORWARD -m layer7 --l7proto qq -m time --timestart 13:00 --timestop 20:30 --days Mon,Tue,Wed,Thu,Fri,Sat -j DROP
#按时间放行qq
iptables -A FORWARD -p tcp -s 192.168.0.0/24 -m multiport --dports 80,110,21,25,1723 -j ACCEPT
iptables -A FORWARD -p udp -s 192.168.0.0/24 --dport 53 -j ACCEPT
iptables -A FORWARD -p gre -s 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -p icmp -s 192.168.0.0/24 -j ACCEPT
#允许 vpn客户走vpn网络连接外网
iptables -I FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m ipp2p --edk --kazaa --bit -j DROP
iptables -A FORWARD -p tcp -m ipp2p --ares -j DROP
iptables -A FORWARD -p udp -m ipp2p --kazaa -j DROP
#禁止BT连接(有点重复,因为上面的layer7已经可以很好的禁止了现在不管什么bt都 #完蛋了
iptables -A FORWARD -p tcp --syn --dport 80 -m connlimit --connlimit-above 15 --connlimit-mask 24 -j DROP
#只允许每组ip同时15个80端口转发
#######################################################################
sysctl -w net.ipv4.ip_forward=1 &>;/dev/null
#打开转发
#######################################################################
sysctl -w net.ipv4.tcp_syncookies=1 &>;/dev/null
#打开 syncookie (轻量级预防 DOS 攻击)
sysctl -w net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=3800 &>;/dev/null
#设置默认 TCP 连接痴呆时长为 3800 秒(此选项可以大大降低连接数)
sysctl -w net.ipv4.ip_conntrack_max=300000 &>;/dev/null
#设置支持最大连接树为 30W(这个根据你的内存和 iptables 版本来,每个 connection 需要 300 多个字节)
#######################################################################
iptables -I INPUT -s 192.168.0.50 -j ACCEPT
iptables -I FORWARD -s 192.168.0.50 -j ACCEPT
#192.168.0.50是我的机子,全部放行!
############################完#########################################
###########################枫影-乡下猫#################################




系统是cos4.1
引用:[root@localhost etc]# uname -a
Linux localhost.localdomain 2.6.13 #1 SMP Mon Sep 26 18:17:45 CST 2005 i686 i686 i386 GNU/Linux
[root@localhost etc]#
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

bridging firewall

文章 yehlu »

yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

Bridge Mode 的 coyote

文章 yehlu »

http://www.routerclub.com/viewthread.ph ... a=page%3D1

#清除設定
iptables -F
iptables -F -t mangle
iptables -P FORWARD ACCEPT
#可上 INTERNET
iptables -A FORWARD -s 10.10.40.3 -j ACCEPT
#除 VPN 外全禁止
iptables -A FORWARD -s 10.10.40.0/24 -d ! 10.0.0.0/8 -j DROP
#鎖 MSN
iptables -t mangle -A FORWARD -s 10.10.40.3 -m layer7 --l7proto msnmessenger -j DROP
附加檔案
1010731.rar
(2.64 MiB) 已下載 307 次
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

Coyote Addon 安裝

文章 yehlu »

http://dolly.czi.cz/coyote/

mt
mount /dev/hda1 /mnt
(mount /dev/fd0 /mnt)
cd /mnt
wget http://dolly.czi.cz/coyote/binary/packa ... iptraf.tgz
cd /
umount /mnt
reboot
yehlu
Site Admin
文章: 3245
註冊時間: 2004-04-15 17:20:21
來自: CodeCharge Support Engineer

config data

文章 yehlu »

coyote.cfg
==============================================================
INETTYPE='ETHERNET_STATIC'
DNS1='168.95.1.1'
DOMAINNAME='sinya.com.tw'
HOSTNAME='coyote'
LOCAL_IPADDR='10.10.40.251'
LOCAL_NETMASK='255.255.255.0'
LOCAL_BROADCAST='10.10.40.255'
LOCAL_NETWORK='10.10.40.0'
IPADDR='10.10.40.252'
NETMASK='255.255.255.0'
GATEWAY='10.10.40.254'
DHCPSERVER='NO'
TZ='GMT8'
USE_DNS_CACHE='YES'
ENABLE_EXTERNAL_PING='YES'
ENABLE_EXTERNAL_SSH='YES'
ENABLE_WEBADMIN='YES'
WEBADMIN_PORT='8180'
SSH_PORT='22'
DISABLE_NAT='YES'
==============================================================

fireloc.cfg
==============================================================
#清除設定
iptables -F
iptables -F -t mangle
iptables -P FORWARD ACCEPT
#可上 INTERNET
iptables -A FORWARD -s 10.10.40.2 -j ACCEPT
iptables -A FORWARD -s 10.10.40.3 -j ACCEPT
#除 VPN 外全禁止
iptables -A FORWARD -s 10.10.40.0/24 -d ! 10.0.0.0/8 -j DROP
#鎖 MSN
iptables -t mangle -A FORWARD -s 10.10.40.3 -m layer7 --l7proto msnmessenger -j DROP
==============================================================

/etc/rc.d/rc.local
==============================================================
#!/bin/sh
#
# Coyote local command init script
/usr/sbin/thttpd -u root -d /var/http/htdocs -nor -h 10.10.40.252 -p 8180 -c "/cgi-bin/*"
==============================================================

/etc/rc.d/pkgs/rc.ntpcli
==============================================================
#!/bin/sh
#
# rc.ntpclient - Start automatic ntp time update
#

echo "Starting ntp client ..."

#/usr/sbin/ntpclient -h ntp.cesnet.cz -s &
/usr/sbin/ntpclient -h time.stdtime.gov.tw &
==============================================================

/etc/bridge.sh
==============================================================
#! /bin/sh
#
# Author: Eicke Friedrich
#
# Bridge control script
#
# Interfaces eth0 and eth1 become br0
#
# If you want to give the bridge interface
# an IP adress put it here, else use 0.0.0.0
PUBLIC_IP=10.10.40.252
PUBLIC_NETMASK=255.255.255.0
PUBLIC_GATEWAY=10.10.40.254

PUBLIC_DEVICE=eth0

case "$1" in
start)
echo -n "Starting bridge ... "

brctl addbr br0
brctl stp br0 off

brctl addif br0 eth0
brctl addif br0 eth1

ifconfig eth0 down
ifconfig eth1 down

ifconfig eth0 0.0.0.0 up
ifconfig eth1 0.0.0.0 up

ifconfig br0 $PUBLIC_IP
ifconfig br0 netmask $PUBLIC_NETMASK
ifconfig br0 up
route add default gw $PUBLIC_GATEWAY

echo "done"
;;

stop)
echo -n "Stopping bridge ... "

brctl delif br0 eth0
brctl delif br0 eth1

ifconfig br0 down
brctl delbr br0

ifconfig $PUBLIC_DEVICE $PUBLIC_IP
ifconfig $PUBLIC_DEVICE netmask $PUBLIC_NETMASK
ifconfig $PUBLIC_DEVICE up

route add default gw $PUBLIC_GATEWAY

echo "done"
;;

restart)
echo -n "Restarting bridge ... "

ifconfig br0 down
ifconfig br0 up

echo "done"
;;

*)
echo "Usage: $0 {start|stop|restart}"
exit 1
;;
esac

exit 0
iptable -F
iptable -F -t nat
iptable -F -t mangle
==============================================================

/etc/rc.d/rc.line_up
==============================================================
#!/bin/sh
#
# Coyote Line UP Startup Script
#
# Author: Claudio Roberto Cussuol - 08/09/2004

# Reload dnsmasq due posible changes to dns servers
[ -x /etc/rc.d/rc.dnsmasq ] && . /etc/rc.d/rc.dnsmasq $1
# Reload firewall rules
[ -x /etc/rc.d/rc.firewall ] && . /etc/rc.d/rc.firewall $1
# Reload QOS
[ -x /etc/rc.d/rc.qos ] && . /etc/rc.d/rc.qos
./etc/bridge.sh start
==============================================================
回覆文章

回到「Linux」