Chinaunix首页 | 论坛 | 博客
  • 博客访问: 2519122
  • 博文数量: 867
  • 博客积分: 10010
  • 博客等级: 上将
  • 技术积分: 9800
  • 用 户 组: 普通用户
  • 注册时间: 2006-07-27 14:44
文章分类

全部博文(867)

文章存档

2007年(6)

2006年(861)

我的朋友

分类: LINUX

2006-07-30 21:56:36

6.2 配制文件内容  

a. busybox.conf<6.2 配制文件内容   a. busybox.conf    [SUID]    su = sx- root.500 #su程序可以被root 500组的成员所执行  

 b. inittab    ::sysinit:/etc/rc.d/rc.sysinit    tty1::respawn:/sbin/getty 9600 tty1tty2::respawn:/sbin/getty 9600 tty2c

口令认证vi passwdroot:x:0:0:root:/:/bin/shtest:x:501:500:Linux User,,,:/home/test:/bin/shvi shadowroot::::::::test:/Ir/:12423:0:99999:7:::vi grouproot:x:0:testtest:x:500:vi gshadowtest:!::#只要前面我们配置busboxy选了suid认证,那么passwdshadowgroupgshadow就要一一对应,缺一不可,否则系统挂载时提示busybox suid语法错误!  

 d. rc.sysinit    #!/bin/sh/bin/mount /proc /proc -t proc      #挂载进程文件系统,给我们提供和内核交互的空间/bin/mount  none /dev/pts -t devpts  # 挂载devpts文件系统,使可以从telnet登陆    #set hostname    /bin/hostname LinuxRouter-1.2     

#设置主机名  /etc/rc.d/netconfig    #开启网络功能/usr/sbin/telnetd    #打开tlentd 守护进程/usr/sbin/iptblesrules   #开启网络规则   e. netconfig    #!/bin/sh    /sbin/ifconfig lo 127.0.0.1 netmask 255.255.255.0/sbin/ifconfig eth0 159.226.139.5 netmask 255.255.255.192 up #外网地址#可以捆绑多个地址/sbin/ifconfig eth0:1 159.226.139.6 nemask 255.255.255.0 up /sbin/ifconfig eth0:1 159.226.139.7 nemask 255.255.255.0 up/sbin/ifconfig eth1 192.168.1.1 netmask 255.255.255.0 up #####内网地址    /sbin/route add default gw 159.226.139.193    echo "1" >/proc/sys/net/ipv4/ip_forward 

#激活转发,实现路由         /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1. -j MASQUERADE  #添加源地址伪装规则,实现SNATsbin/iptables ?t nat ?A POSTROUTING ?o eth0:1 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables ?t  nat ?A POSTROUTING ?o eth0:2 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.5  --dport 21 -j DNAT  --to-destination 192.168.1.2

 #把内网ftp通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.13
9.6  --dport 21 -j DNAT  --to-destination 192.168.1.3

#把内网地址通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.7 --dport 80 -j DNAT  --to-destination 192.168.1.4 #把内网www通过真ip转换到目前为止一个具有网络通讯功能的平台就搭建好了,千万记住当前的系统没有任何防火墙的功能,它不具备封包过滤,现在我们根据iptables设计规则策略,要因地制宜设计。下面举列来探讨iptables的使用,怎样策划防火墙的思想。如下图所示,防火墙直接连接到外网(一般接路由器,在路由器下级设立屏障,所有封包只能由此通过)     外网159.226.139.5 /159.226.139.6.绑定多个内网服务区 内网工作区192.168.1.1/24                      192.168.10.10/24 f. iptablesrules程序清单#!/bin/shecho " iptables rules has started!"IPT=/sbin/iptablesrules    #定义环境变量$IPT ?F     

 $IPT -P INPUT DROP$IPT -P FORWARD  DROP$IPT -A FORWARD -p tcp -s 192.168.1.1/24 -d 0/0 -o eth0 -j ACCEPT$IPT -A FORWARD -p tcp -s 0/0 -d 192.168.1.1/24 -i eth0 -j ACCEPT$IPT -A INPUT -p tcp --dport 21:80 -i eth0 -j ACCEPT$IPT -A INPUT -p udp --dport 53 -i eth0 -j ACCEPT

#hacke deny

#IPT -A FORWARD -p tcp -s x.x.x.x -d 159.226.139.5 -j DROP$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP$IPT -A FORWARD -p tcp -s 0/0 --sport 1024:65535 -d 192.168.1.0/24 --dport 80 -jp>    [SUID]    su = sx- root.500

#su程序可以被root 500组的成员所执行 

  b. inittab    ::sysinit:/etc/rc.d/rc.sysinit    tty1::respawn:/sbin/getty 9600 tty1tty2::respawn:/sbin/getty 9600 tty2c

口令认证vi passwdroot:x:0:0:root:/:/bin/shtest:x:501:500:Linux User,,,:/home/test:/bin/shvi shadowroot::::::::test:/Ir/:12423:0:99999:7:::vi grouproot:x:0:testtest:x:500:vi gshadowtest:!::#只要前面我们配置busboxy选了suid认证,那么passwdshadowgroupgshadow就要一一对应,缺一不可,否则系统挂载时提示busybox suid语法错误!  

 d. rc.sysinit    #!/bin/sh/bin/mount /proc /proc -t proc      #挂载进程文件系统,给我们提供和内核交互的空间/bin/mount  none /dev/pts -t devpts  # 挂载devpts文件系统,使可以从telnet登陆    #set hostname    /bin/hostname LinuxRouter-1.2      #设置主机名    /etc/rc.d/netconfig                #开启网络功能/usr/sbin/telnetd                  #打开tlentd 守护进程/usr/sbin/iptblesrules                  #开启网络规则   e. netconfig    #!/bin/sh    /sbin/ifconfig lo 127.0.0.1 netmask 255.255.255.0/sbin/ifconfig eth0 159.226.139.5 netmask 255.255.255.192 up #外网地址#可以捆绑多个地址/sbin/ifconfig eth0:1 159.226.139.6 nemask 255.255.255.0 up /sbin/ifconfig eth0:1 159.226.139.7 nemask 255.255.255.0 up/sbin/ifconfig eth1 192.168.1.1 netmask 255.255.255.0 up #####内网地址    /sbin/route add default gw 159.226.139.193    echo "1" >/proc/sys/net/ipv4/ip_forward  #激活转发,实现路由                         /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1. -j MASQUERADE  #添加源地址伪装规则,实现SNATsbin/iptables ?t nat ?A POSTROUTING ?o eth0:1 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables ?t  nat ?A POSTROUTING ?o eth0:2 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.5  --dport 21 -j DNAT  --to-destination 192.168.1.2 #把内网ftp通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.13
9.6  --dport 21 -j DNAT  --to-destination 192.168.1.3 #
把内网地址通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.7 --dport 80 -j DNAT  --to-destination 192.168.1.4 #把内网www通过真ip转换到目前为止一个具有网络通讯功能的平台就搭建好了,千万记住当前的系统没有任何防火墙的功能,它不具备封包过滤,现在我们根据iptables设计规则策略,要因地制宜设计。下面举列来探讨iptables的使用,怎样策划防火墙的思想。如下图所示,防火墙直接连接到外网(一般接路由器,在路由器下级设立屏障,所有封包只能由此通过)     外网159.226.139.5 /159.226.139.6.绑定多个内网服务区 内网工作区192.168.1.1/24                      192.168.10.10/24 f. iptablesrules程序清单#!/bin/shecho " iptables rules has started!"IPT=/sbin/iptablesrules    #定义环境变量$IPT ?F      $IPT -P INPUT DROP$IPT -P FORWARD  DROP$IPT -A FORWARD -p tcp -s 192.168.1.1/24 -d 0/0 -o eth0 -j ACCEPT$IPT -A FORWARD -p tcp -s 0/0 -d 192.168.1.1/24 -i eth0 -j ACCEPT$IPT -A INPUT -p tcp --dport 21:80 -i eth0 -j ACCEPT$IPT -A INPUT -p udp --dport 53 -i eth0 -j ACCEPT#hacke deny#IPT -A FORWARD -p tcp -s x.x.x.x -d 159.226.139.5 -j DROP$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP$IPT -A FORWARD -p tcp -s 0/0 --sport 1024:65535 -d 192.168.1.0/24 --dport 80 -j

阅读(902) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~