6.2 配制文件内容  

a. busybox.conf<6.2 配制文件内容   a. busybox.conf    [SUID]    su = sx- root.500 #su程序可以被root 和500组的成员所执行  

 b. inittab    ::sysinit:/etc/rc.d/rc.sysinit    tty1::respawn:/sbin/getty 9600 tty1tty2::respawn:/sbin/getty 9600 tty2c．

口令认证vi passwdroot:x:0:0:root:/:/bin/shtest:x:501:500:Linux User,,,:/home/test:/bin/shvi shadowroot::::::::test:/Ir/:12423:0:99999:7:::vi grouproot:x:0:testtest:x:500:vi gshadowtest:!::#只要前面我们配置busboxy选了suid认证，那么passwd和shadow、group和gshadow就要一一对应，缺一不可，否则系统挂载时提示busybox suid语法错误！  

 d. rc.sysinit    #!/bin/sh/bin/mount /proc /proc -t proc      #挂载进程文件系统，给我们提供和内核交互的空间/bin/mount  none /dev/pts -t devpts  # 挂载devpts文件系统，使可以从telnet登陆    #set hostname    /bin/hostname LinuxRouter-1.2     

#设置主机名  /etc/rc.d/netconfig    #开启网络功能/usr/sbin/telnetd    #打开tlentd 守护进程/usr/sbin/iptblesrules   #开启网络规则   e. netconfig    #!/bin/sh    /sbin/ifconfig lo 127.0.0.1 netmask 255.255.255.0/sbin/ifconfig eth0 159.226.139.5 netmask 255.255.255.192 up #外网地址#可以捆绑多个地址/sbin/ifconfig eth0:1 159.226.139.6 nemask 255.255.255.0 up /sbin/ifconfig eth0:1 159.226.139.7 nemask 255.255.255.0 up/sbin/ifconfig eth1 192.168.1.1 netmask 255.255.255.0 up　#####内网地址    /sbin/route add default gw 159.226.139.193    echo "1" >/proc/sys/net/ipv4/ip_forward 

＃激活转发，实现路由         /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.２ -j MASQUERADE  #添加源地址伪装规则，实现SNAT／sbin/iptables ?t nat ?A POSTROUTING ?o eth0:1 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables ?t  nat ?A POSTROUTING ?o eth0:2 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.5  --dport 21 -j DNAT  --to-destination 192.168.1.2

 #把内网ftp通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.13
9.6  --dport 21 -j DNAT  --to-destination 192.168.1.3

#把内网地址通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.7 --dport 80 -j DNAT  --to-destination 192.168.1.4 #把内网www通过真ip转换到目前为止一个具有网络通讯功能的平台就搭建好了，千万记住当前的系统没有任何防火墙的功能，它不具备封包过滤，现在我们根据iptables设计规则策略，要因地制宜设计。下面举列来探讨iptables的使用，怎样策划防火墙的思想。如下图所示，防火墙直接连接到外网（一般接路由器，在路由器下级设立屏障，所有封包只能由此通过）     外网159.226.139.5 /159.226.139.6.绑定多个内网服务区 内网工作区192.168.1.1/24（）                      192.168.10.10/24 f. iptablesrules程序清单#!/bin/shecho " iptables rules has started!"IPT=/sbin/iptablesrules    #定义环境变量$IPT ?F     

 $IPT -P INPUT DROP$IPT -P FORWARD  DROP$IPT -A FORWARD -p tcp -s 192.168.1.1/24 -d 0/0 -o eth0 -j ACCEPT$IPT -A FORWARD -p tcp -s 0/0 -d 192.168.1.1/24 -i eth0 -j ACCEPT$IPT -A INPUT -p tcp --dport 21:80 -i eth0 -j ACCEPT$IPT -A INPUT -p udp --dport 53 -i eth0 -j ACCEPT

#hacke deny

#IPT -A FORWARD -p tcp -s x.x.x.x -d 159.226.139.5 -j DROP$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP$IPT -A FORWARD -p tcp -s 0/0 --sport 1024:65535 -d 192.168.1.0/24 --dport 80 -jp>    [SUID]    su = sx- root.500

#su程序可以被root 和500组的成员所执行 

  b. inittab    ::sysinit:/etc/rc.d/rc.sysinit    tty1::respawn:/sbin/getty 9600 tty1tty2::respawn:/sbin/getty 9600 tty2c．

口令认证vi passwdroot:x:0:0:root:/:/bin/shtest:x:501:500:Linux User,,,:/home/test:/bin/shvi shadowroot::::::::test:/Ir/:12423:0:99999:7:::vi grouproot:x:0:testtest:x:500:vi gshadowtest:!::#只要前面我们配置busboxy选了suid认证，那么passwd和shadow、group和gshadow就要一一对应，缺一不可，否则系统挂载时提示busybox suid语法错误！  

 d. rc.sysinit    #!/bin/sh/bin/mount /proc /proc -t proc      #挂载进程文件系统，给我们提供和内核交互的空间/bin/mount  none /dev/pts -t devpts  # 挂载devpts文件系统，使可以从telnet登陆    #set hostname    /bin/hostname LinuxRouter-1.2      #设置主机名    /etc/rc.d/netconfig                #开启网络功能/usr/sbin/telnetd                  #打开tlentd 守护进程/usr/sbin/iptblesrules                  #开启网络规则   e. netconfig    #!/bin/sh    /sbin/ifconfig lo 127.0.0.1 netmask 255.255.255.0/sbin/ifconfig eth0 159.226.139.5 netmask 255.255.255.192 up #外网地址#可以捆绑多个地址/sbin/ifconfig eth0:1 159.226.139.6 nemask 255.255.255.0 up /sbin/ifconfig eth0:1 159.226.139.7 nemask 255.255.255.0 up/sbin/ifconfig eth1 192.168.1.1 netmask 255.255.255.0 up　#####内网地址    /sbin/route add default gw 159.226.139.193    echo "1" >/proc/sys/net/ipv4/ip_forward  ＃激活转发，实现路由                         /sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.1.２ -j MASQUERADE  #添加源地址伪装规则，实现SNAT／sbin/iptables ?t nat ?A POSTROUTING ?o eth0:1 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables ?t  nat ?A POSTROUTING ?o eth0:2 ?s 192.168.1.3 ?j MASQUERADE/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.5  --dport 21 -j DNAT  --to-destination 192.168.1.2 #把内网ftp通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.13
9.6  --dport 21 -j DNAT  --to-destination 192.168.1.3 #把内网地址通过真ip转换/sbin/iptables -t nat -A PREROUTING -p tcp -d 159.226.139.7 --dport 80 -j DNAT  --to-destination 192.168.1.4 #把内网www通过真ip转换到目前为止一个具有网络通讯功能的平台就搭建好了，千万记住当前的系统没有任何防火墙的功能，它不具备封包过滤，现在我们根据iptables设计规则策略，要因地制宜设计。下面举列来探讨iptables的使用，怎样策划防火墙的思想。如下图所示，防火墙直接连接到外网（一般接路由器，在路由器下级设立屏障，所有封包只能由此通过）     外网159.226.139.5 /159.226.139.6.绑定多个内网服务区 内网工作区192.168.1.1/24（）                      192.168.10.10/24 f. iptablesrules程序清单#!/bin/shecho " iptables rules has started!"IPT=/sbin/iptablesrules    #定义环境变量$IPT ?F      $IPT -P INPUT DROP$IPT -P FORWARD  DROP$IPT -A FORWARD -p tcp -s 192.168.1.1/24 -d 0/0 -o eth0 -j ACCEPT$IPT -A FORWARD -p tcp -s 0/0 -d 192.168.1.1/24 -i eth0 -j ACCEPT$IPT -A INPUT -p tcp --dport 21:80 -i eth0 -j ACCEPT$IPT -A INPUT -p udp --dport 53 -i eth0 -j ACCEPT#hacke deny#IPT -A FORWARD -p tcp -s x.x.x.x -d 159.226.139.5 -j DROP$IPT -A INPUT -i eth0 -p tcp --tcp-flags SYN,FIN SYN,FIN -j DROP$IPT -A FORWARD -p tcp -s 0/0 --sport 1024:65535 -d 192.168.1.0/24 --dport 80 -j