1.下载文件到这里:
或者这个地址.
第一个安装比较简单.第二种安装需要编译.make solaris(详情参考INSTALL.Sol2)
2.在 /etc/system 中加入 set ip:dohwcksum=0 ,重起机器。
3.在邮件和网关起用一组ip 别名
1)solaris : ifconfig hme0:1 plumb
ifconfig hme0:1 192.168.0.12 up
2)linux: ifconfig eth0:1 192.168.0.35 up
将 linux的default 的缺省网关指向邮件的ip
4.编辑规则文件
vi /etc/ipnat.conf
加入
rdr hme0 202.195.48.12/32 port 25 -> 192.168.100.35 port 25
保存退出
执行 ipnat -f /etc/ipnat.conf
打开系统转发功能
/usr/sbin/ndd -set /dev/ip ip_forwarding 1
5.在网关添加域转发的时候指到 192.168.0.12 虚拟Ip就行
附加:
ipf.conf是设置包过滤方面的,ipnat.conf是设置NAT方面的,可以查看/etc/rc2.d/S65ipfboot的启动文件.
ipmon -o N
(实时显示当前NAT的状态)
ipf -F i (入)
ipf -F o(出)
(清除 入和出 的防火墙规则)
ipf -f /etc/opt/ipf/ipf.conf
(加载 新设定的防火墙规则)
ipnat -CF
(清除 NAT 规则)
ipnat -f /etc/opt/ipf/ipnat.conf
(加载 NAT 规则)
ipfstat -io
ipmod -a --->动态显示ipfilter对数据包的处理情况.
禁止就是block
通过就是pass
进来就是in
出去就是out
block in on pcn0 all
(禁止所有的包进入)
例如:
block out quick proto icmp from any to 10.4.128.163/32 icmp-type 0
(禁止对PING的响应)
网段:block in log proto tcp from 10.4.128.0/24 to any port = ftp
地址:block in log proto tcp from 10.4.128.163/32 to any port = ftp
pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet
block in log all from any to any
假如你希望禁止服务器的所有包而只希望一个IP只能够telnet的话,那么就可以加上quick关键字,quick的作用是当包符合这条规则以后,就不再向下进行遍历了。如果没有quick的情况下,每一个包都要遍历整个规则表,这样的开销是十分大的,但是如果滥用quick也是不明智的,因为它毕竟不会产生日志。
阅读(2099) | 评论(0) | 转发(0) |
