Chinaunix首页 | 论坛 | 博客
  • 博客访问: 595269
  • 博文数量: 142
  • 博客积分: 10016
  • 博客等级: 上将
  • 技术积分: 1835
  • 用 户 组: 普通用户
  • 注册时间: 2008-07-10 14:30
个人简介

工作中~

文章分类

全部博文(142)

文章存档

2009年(25)

2008年(117)

我的朋友

分类: LINUX

2008-09-27 20:13:05

简单静态路由器架设
                                           lxq007

缘由:
  最近正在看鸟哥的书,以前对路由这块是懂非懂的,现在终于搞明白啦,关于静态路由器架设蛮感兴趣的,便自己试着搞了下。




因为只要实体线路是连接在一起的(基本上是处在一个私有网段中),那么当数据通过广播时,你就可以通过类似 tcpdump 的指令来监听数据包数据, 并且予以窃取。 所以,如果你的部门之间的资料可能需要独立, 或者是某些重要的资料数据在公司内部也需要予以保护时,可以将那些重要的电脑放到一个独立的实体网域, 并额外加设防火墙、路由器等连接上公司内部的网域。
  可以如下规划:
  

如图,这家公司主要有两个C 段的网域,分别是 192.168.1.0/24 及 192.168.0.0/24 , 其中 192.168.1.0/24 是用来做为一般员工连接网际网路用的,至于 192.168.0.0/24 则是给特殊的部门用的。PC1 代表的是一般员工的电脑, PC2 及 PC3, PC4 则是特殊部门的工作用电脑, Linux Router 则是这个特殊部门用来连接到公司内部网域的路由器。在这样的架构下, 该特殊部门的封包就能够具有基础的保护了。

   只要是具有路由器功能的设备 (如Router A, Linux Router) 都会具有两个以上的接口, 分别用来沟通不同的网段,同时该路由器也都会具有一个默认路由!
  ^_^! 另外,你还可以加上一些防火墙的软件在 Linux Router 上, 以保护 PC2~PC4 的内部电脑!

在 Router A 的部分,由于它具有 Public IP 与 Private IP ,所以这个Router 必须要具有 NAT 的功能(IP转换,修改数据包的IP表头中的来源及目标IP,使来自私有IP的数据包可以转换成NAT主机的公共IP)。现在的重点就在于 Linux Router !在该主机下, 最好配备两张网卡,一张给 192.168.1.58,另一张给 192.168.0.1 这个 IP。



1.设置linux Router
  
Linux Router 如果为debian系统,可以在/etc/network/interfaces中设置:
1.设置IP
root:~# nano /etc/network/interfaces
auto lo

iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.1.58
netmask 255.255.255.0
gateway 192.168.1.1

auto eth1
iface eth1 inet static
address 192.168.0.1
netmask 255.255.255.0
gateway 192.168.0.1

root:~# /etc/init.d/networking restart  

2.启动IP转发
root:~# echo "1" > /proc/sys/net/ipv4/ip_forward
或者
root:~# nano /etc/sysctl.conf
net.ipv4.ip_forward = 1

root:~# sysctl -p      //使设置生效

3.观察路由
root:~# route -n
Kernel IP routing table
Destination   Gateway     Genmask       Flags Metric Ref    Use Iface
192.168.1.0   0.0.0.0     255.255.255.0   U     0     0      0  eth0
192.168.0.0   0.0.0.0     255.255.255.0   U     0     0      0  eth1
0.0.0.0      192.168.1.1   0.0.0.0        UG    0     0      0  eth0

       如果是Cent OS系统,可以如下设置:

1. 先设置 eth0 
[root@linux ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0
BOOTPROTO=static
BROADCAST=192.168.1.255
IPADDR=192.168.1.58
NETMASK=255.255.255.0
NETWORK=192.168.1.0
GATEWAY=192.168.1.1 <==这个设定比较重要
ONBOOT=yes

2. 再设置 eth1
[root@linux ~]# vi /etc/sysconfig/network-scripts/ifcfg-eth1
DEVICE=eth1
BOOTPROTO=static
BROADCAST=192.168.0.255
IPADDR=192.168.0.1
NETMASK=255.255.255.0
NETWORK=192.168.0.0
ONBOOT=yes


3. 启动IP转发
[root@linux ~]# echo "1" > /proc/sys/net/ipv4/ip_forward
# 可以将它加入 /etc/rc.d/rc.local 当中去!

4. 重新启动网络,並且观察路由
[root@linux ~]# /etc/init.d/network restart
[root@linux ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 192.168.1.1 0.0.0.0 UG 0 0 0 eth1


这样Linux Router就设置OK啦。

2.设置受保护网段

  以PC2为例,其网络设置如下:
   IP:192.168.0.20
   Netmask:255.255.255.0
   network:192.168.0.0
   broadcast:192.168.0.255
   gateway: 192.168.0.1     //这个设置比较重要

3.设置路由器 Router A——新增路由规则


  假如Router A为Linux 系统,那么应该加入一个新路由规则:
 
root:~# route add -net 192.168.0.0  netmask 255.255.255.0 \
 gw 192.168.1.58
  这条规则是“将目标为192.168.0.0/24的数据包传送给192.168.1.58处理”。

 我的Router A是TP-LINK的,可以直接登录路由,添加一条规则便可。

这个PC1与Linux Router下的PC2之间便可以沟通啦
   
结束语:
    本文为经过实际操作后写的,我这人记性不好,所以免得万一哪天需要用的时候又得重头搞,^_^!!

                                            作者:小强 lxq007    

阅读(1326) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~