Linux网络管理实 验 指 导
?
Linux網絡管理
?
實
驗
指
導
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗一? TCP/IP網絡接口配置
一、實驗目的
● 掌握Linux下TCP/IP網絡的設置方法。
● 學會使用命令檢測網絡配置。
● 學會啟用和禁用系統服務。
二、項目背景
某企業新增了Linux服務器,在但還沒有配置TCP/IP網絡參數,請設置好各項TCP/IP參數,并連通網絡。
三、實驗內容
練習Linux系統下TCP/IP網絡設置,網絡檢測方法。
四、實驗步驟
子項目1. 設置IP地址及子網掩碼
● 查看網絡接口eth0的配置信息。
● 為此網絡接口設置IP地址、廣播地址、子網掩碼、并啟動此網絡接口。利用ifconfig命令查看系統中已經啟動的網絡接口。仔細觀察所看到的現象,記錄啟動的網絡接口。
子項目2. 設置網關和主機名
● 顯示系統的路由設置。
● 設置默認路由。并再次顯示系統的路由設置,確認設置成功。
● 顯示當前的主機名設置;并以自己姓名縮寫重新設置主機名。再次顯示當前的主機名設置,確認修改成功。
子項目3. 網絡設置檢測
●? ping網關的IP地址,檢測網絡是否連通。
● 用netstat命令顯示系統核心路由表。
● 用netstat命令查看系統開啟的TCP端口。
子項目4. 設置域名解析
● 編輯/etc/hosts文件,加入要進行靜態域名解析的主機的IP地址和域名。
● 用ping命令檢測上面設置好的網關的域名,測試靜態域名解析是否成功。
● 編輯/etc/resolv.conf文件,加入域名服務器的IP地址,設置動態域名解析。
● 編輯/etc/host.conf文件,設置域名解析順序為:hosts,bind。
● 用nslookup命令查詢一個網址對應的IP地址,測試域名解析的設置。
子項目5. 啟動和停止守護進程
● 用service命令查看守護進程sshd的狀態。
● 如果顯示sshd處于停用狀態,可以試著用ssh命令來連接本地系統,看看是否真的無法登錄。
● 然后用service命令啟動sshd,再用ssh命令連接本地系統,看看sshd服務是否真的已經啟動。
● 用ntsysv命令設置sshd在系統啟動時自動啟動。
● 用service命令停止sshd守護進程。
五、實驗思考題
1.當無法連接遠程主機的時候,例如,用telnet命令無法連接到遠程主機remost.net,此時應該按什么順序,用什么方法,分別檢測系統中的哪些設置?
2.靜態域名解析和動態域名解析有什么區別?分別在哪些文件里進行設置?系統如何決定用哪種方式對一個域名進行解析?
3.利用ifconfig和route命令配置的IP地址、子網掩碼和默認網關等信息和利用netcofig及編輯/etc/syscofig/network-scripts/if-eth0文件配置的IP地址、子網掩碼和默認網關等信息有什么不同?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗二?Samba服務器配置與管理
一、實驗目的
● 掌握Linux與Windows的資源共享和互訪方法。
● 掌握Samba服務器的安裝和配置方法。
● 了解使用Samba共享用戶認證和文件系統。
二、項目背景
某公司有system、develop、productdesign和test等4個小組,個人辦公機操作系統為Windows2000/XP/2003,少數開發人員采用Linux操作系統,服務器操作系統為RHEL 4,需要設計一套建立再RHEL 4之上的安全文件共享方案。每個用戶都有自己的網絡磁盤,develop組到test組有共用的網絡硬盤,所有用戶(包括匿名用戶)有一個只讀共享資料庫;所有用戶(包括匿名用戶)要有一個存放臨時文件的文件夾。網絡拓撲如下圖所示。
項目目標:
●? System組具有管理所有Samba空間的權限。
● 各部門的私有空間:各小組擁有自己的空間,除了小組成員及system組有權限以外,其他用戶不可訪問(包括列表、讀和寫)。
● 資料庫:所有用戶(包括匿名用戶)都具有讀權限而不具有寫入數據的權限。
●? Develop組與test組的共享空間,develop組與test組之外的用戶不能訪問。
● 公共臨時空間:讓所有用戶可以讀取、寫入、刪除。
?
三、實驗內容
練習Linux系統Samba服務器配置與訪問方法。
四、實驗步驟
子項目1. 創建共享資源目錄
各目錄說明如下:
/data/share:管理員目錄,負責管理其下所有目錄。
/data/share/develop:develop的主目錄,除了用戶本身和system之外,其他用戶都是不可讀不可寫。
/data/share/productdesign:productdesign的主目錄,除了用戶本身和system組以外,其他用戶都是不可讀不可寫。
/data/share/test:test的主目錄,除了用戶本身和system組以外,其他用戶都是不可讀不可寫。
/data/share/library:資料庫目錄,所有用戶(除了system組有權限寫入外)只讀目錄。
/data/share/develop_testrw:develop組和test組的共享空間,develop組與test組之外的用戶不能訪問。
/data/share/temp:用于所有用戶(包括匿名用戶)的可讀可寫。
子項目2. 權限設置
● 添加用戶組。
● 添加用戶。
● 添加Samba用戶。
● 配置相關目錄的權限與歸屬。
子項目3. Samba服務器的配置(/etc/samba/smb.conf)
●全局環境配置。
● 資料庫共享資源的配置。
● 公共臨時共享空間的配置。
●develop組與test組的共享空間。
●各部門的私有空間。
子項目4. 客戶端的訪問效果
五、實驗思考題
1.Samba服務的主要守護進程有哪些?Samba服務的功能是什么?
2.建立Samba服務器,并根據一下要求配置Samba服務器。
●? 設置Samba服務器所述的群組名稱為student。
●? 設置可訪問Samba服務器的子網為192.168.0.0/24。
●? 設置Samba服務器監聽的網卡為eth0。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗三 NFS服務器配置與管理
一、實驗目的
● 掌握Linux系統之間資源共享和互訪方法。
● 掌握企業NFS服務器和客戶端的安裝與配置方法。
二、項目背景
某企業的銷售部有一個局域網,域名為xs.mq.cn。網絡拓撲圖如下圖所示。網內有一臺Linux的共享資源服務器shareserver,域名為shareserver.xs.mq.cn。現要在shareserver上配置NFS服務器,使銷售部內的所有主機都可以訪問shareserver服務器中的/share共享目錄中的內容,但不允許客戶機更改共享資源的內容。同時,讓主機china在每次系統啟動時自動掛載shareserver的/share目錄中的內容到china3的/share1目錄下。
三、實驗內容
練習Linux系統NFS服務器與NFS客戶端的配置方法。
四、實驗步驟
子項目1. NFS服務器的配置
● 檢測系統是否安裝了NFS服務器對應的軟件包,如果沒有安裝的話,進行安裝。
●按照項目背景的要求,配置NFS服務器。
●啟動NFS服務。
子項目2. NFS客戶端的配置
● 按照項目背景的要求,配置NFS的客戶端。
●重新啟動NFS客戶端,將會自動加載到/share1目錄下。
五、實驗思考題
1.在利用chkconfig--list命令檢測nfs服務器的自啟動狀態時,該服務在哪個運行級別下是開啟的,哪個運行級別下是關閉的。試想除了利用chkconfig命令之外還有哪些命令可以設置nfs服務的自啟動狀態。
2.在nfs客戶端利用命令mount和通過配置/etc/fstab文件掛載nfs服務器的共享目錄的區別是什么?
3.簡述exportfs命令的格式及功能。
?
?
實驗四?DHCP服務器配置與管理
一、實驗目的
● 掌握Linux下DHCP服務器的安裝和配置方法。
● 掌握Linux下DHCP客戶端的配置。
二、項目背景
某企業計劃構建一臺 DHCP服務器來解決IP地址動態分配的問題,要求能夠分配 IP地址以及網關、DNS等其它網絡屬性信息。同時要求DHCP服務器為DNS、WEB、Samba服務器分配固定IP 地址。該公司網絡拓撲圖如下圖所示。
假設企業DHCP服務器IP地址為192.168.1.2。DNS服務器的域名為dns.jnrp.cn,IP地址為192.168.1.3;WEB服務器IP地址為192.168.1.10;Samba服務器IP地址為192.168.1.5;網關地址為192.168.1.254;地址范圍為192.168.1.3到192.168.1.150,掩碼為255.255.255.0。
三、實驗內容
練習Linux系統DHCP服務器與DHCP客戶端的配置方法。
四、實驗步驟
子項目1. DHCP服務器的配置
● 檢測系統是否安裝了dhcp服務器對應的軟件包,如果沒有安裝的話,進行安裝。
● 按照項目背景的要求,配置DHCP服務器。
● 利用“servicedhcpd start”命令,啟動dhcpd服務。
子項目2. Linux下DHCP客戶端的配置
● 以root賬號登錄系統。
● 使用命令“vi /etc/sysconfig/network-scripts/ifcfg-eth0”打開網卡配置文件,找到語句“BOOTPROTO=none”,將其改為“BOOTPROTO=dhcp”。
● 使用命令“ifdown eth0; ifup eth0”重新啟動網卡。
● 使用命令“ifconfig eth0”測試DHCP客戶端是否已配置好。
五、實驗思考題
1.Windows操作系統下通過什么命令可以知道本地主機當前獲得的IP地址。
2.描述DHCP服務的地址分配過程。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗五、 ?DNS服務器配置與管理
一、實驗目的
● 掌握Linux系統中主DNS服務器的配置。
● 掌握Linux下輔助DNS服務器的配置。
二、項目背景
某企業有一個局域網(192.168.1.0/24),網絡拓撲如下圖所示。該企業中已經有自己的網頁,員工希望通過域名來進行訪問,同時員工也需要訪問Internet 上的網站。該企業已經申請了域名 jnrplinux.com,公司需要Internet 上的用戶通過域名訪問公司的網頁。為了保證可靠,不能因為DNS的故障,導致網頁不能訪問。
現要求在企業內部構建一臺 DNS服務器,為局域網中的計算機提供域名解析服務。DNS服務器管理 jnrplinux.com 域的域名解析,DNS服務器的域名為dns.jnrplinux.com,IP地址為192.168.1.2。輔助DNS服務器的IP地址為192.168.1.3。同時還必須為客戶提供Internet上的主機的域名解析。要求分別能解析以下域名:財務部(cw.jnrplinux.com:192.168.1.11),銷售部(xs.jnrplinux.com:192.168.1.12),經理部(jl.jnrplinux.com:192.168.1.13),OA系統(oa.jnrplinux.com:192.168.1.13)。
三、實驗內容
練習Linux系統下主及輔助DNS服務器的配置方法。
四、實驗步驟
子項目1. 主DNS服務器的配置
● 檢查DNS服務對應的軟件包是否安裝,如果沒有安裝的話,安裝相應的軟件包。
● 編輯/etc/named.conf文件,添加“jnrplinux.com”正向區域及“1.168.192.in-addr.arpa”反向區域。
● 創建/var/named/chroot/var/named/jnrplinux.com.zone正向數據庫文件。
● 創建/var/named/chroot/var/named/1.zone反向數據庫文件。
● 啟動服務。
子項目2. 輔助DNS服務器的配置
●在192.168.1.3輔助DNS服務器上,編輯/etc/named.conf文件,添加jnrplinux.com區域。
●在192.168.1.2主DNS服務器上,編輯/etc/named.conf文件的options選項,設置允許進行區域傳輸。
五、實驗思考題
1.簡單敘述域名解析的工作過程。
2.簡單敘述主DNS、輔助DNS和轉發器DNS服務器的配置過程。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗七、 Web服務器配置與管理
一、實驗目的
● 掌握Linux系統中Apache服務器的安裝與配置。
● 掌握個人主頁、虛擬目錄、基于用戶和主機的訪問控制及虛擬主機的實現方法。
二、項目背景
假如你是某學校的網絡管理員,學校的域名為www.king.com,學校計劃為每位教師開通個人主頁服務,為教師與學生之間建立溝通的平臺。該學校網絡拓撲圖如下圖所示。
學校計劃為每位教師開通個人主頁服務,要求實現如下功能:
(1)網頁文件上傳完成后,立即自動發布,URL為http://www.king.com/~用戶名。
(2)在Web服務器中建立一個名為private的虛擬目錄,其對應的物理路徑是/data/private。并配置Web服務器對該虛擬目錄啟用用戶認證,只允許kingma用戶訪問。
(3)在Web服務器中建立一個名為的虛擬目錄,其對應的物理路徑是/dir1 /test,并配置Web服務器僅允許來自網絡jnrp.net域和192.168.1.0/24網段的客戶機訪問該虛擬目錄。
(4)使用192.168.1.2和192.168.1.3兩個IP地址,創建基于IP地址的虛擬主機。其中IP地址為192.168.1.2的虛擬主機對應的主目錄為/var/www/ip2,IP地址為192.168.1.3的虛擬主機對應的主目錄為/var/www/ip3。
(5)創建基于www.mlx.com和www.king.com兩個域名的虛擬主機,域名為www.mlx.com虛擬主機對應的主目錄為/var/www/mlx,域名為www.king.com虛擬主機對應的主目錄為/var/www/king。
三、實驗內容
練習Linux系統下WEB服務器的配置方法。
四、實驗步驟
子項目1.Apache服務的安裝、啟動與停止
●安裝Apache服務。
●Apache服務的啟動與停止。
●啟動Apache服務之后,從客戶端看到的測試效果。
子項目2.配置用戶個人主頁
●編輯httpd.conf文件,設置用戶個人主頁。
●設置用戶個人主頁所在目錄的訪問權限。
●創建存放用戶個人主頁空間的目錄。
●創建個人主頁空間的默認首頁文件。
●編輯httpd.conf文件,將UserDir的值設置為public_html。
●重新啟動httpd服務。
子項目3. 設置基于用戶認證的虛擬目錄/private
●編輯httpd.conf文件,添加/private虛擬目錄并設置用戶訪問控制。
●利用htpasswd命令生成用戶密碼文件,并為kingma用戶設置登錄密碼。
子項目4. 設置基于主機訪問控制的虛擬目錄/test
●編輯httpd.conf文件,添加/test虛擬目錄并設置基于主機的訪問控制。
●重新啟動httpd服務,即可。
子項目5. 創建基于IP地址的虛擬主機
●分別創建“/var/www/ip2”和“/var/www/ip3”兩個主目錄和默認首頁文件。?
●在httpd.conf文件中,設置基于IP地址的虛擬主機,配置內容如下。?
?
●重新啟動httpd服務,即可。
子項目6. 創建基于域名的虛擬主機
●分別創建“/var/www/mlx”和“/var/www/king”兩個主目錄和默認文件。??
●在httpd.conf文件中,設置基于域名的虛擬主機,配置內容如下。
●重新啟動httpd服務,即可。
五、實驗思考題
1.怎樣改變Apache服務器的監聽端口?如何在Apache服務器中使用SSL功能?
2.在配置用戶認證的時候,如果密碼文件中包含多個用戶,如何設置只允許其中的某幾個用戶訪問一個認證區域?
3.請將本實驗的子項目4使用.htaccess文件重新進行配置。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗九?FTP服務器配置與管理
一、實驗目的
● 掌握Vsftpd服務器的配置方法。
● 熟悉FTP客戶端工具的使用。
● 掌握常見的FTP服務器的故障排除。
二、項目背景
某企業網絡拓撲圖如下圖所示,該企業想構建一臺FTP服務器,為企業局域網中的計算機提供文件傳送任務,為財務部門、銷售部門和OA系統提供異地數據備份。要求能夠對 FTP 服務器設置連接限制、日志記錄、消息、驗證客戶端身份等屬性,并能創建用戶隔離的FTP站點。
三、實驗內容
練習Linux系統下Vsftpd服務器的配置方法及FTP客戶端工具的使用。
四、實驗步驟
子項目1. 設置匿名帳號具有上傳、創建目錄權限
| //修改本地權限,使匿名用戶對/var/ftp目錄具有寫入權限 [root@RHEL4 var]# chmod o+w /var/ftp [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf //添加下面兩行: anon_upload_enable=YES anon_mkdir_write_enable=YES |
子項目2. 設置禁止本地user1用戶登錄ftp服務器
| ?[root@RHEL4 var]#vi /etc/vsftpd.ftpusers //添加下面的行: user1 //重新啟動vsftpd服務,即可。 |
子項目3. 設置本地用戶登錄FTP服務器之后,在進入dir目錄時顯示提示信息“welcome”
| //以user2用戶登錄系統,并進入user2用戶家目錄/home/user2目錄下的dir1目錄 [user2@RHEL4 dir]$cd ~/dir //新建.message文件并輸入”welcome” [user2@RHEL4 dir]$ echo "welcome">.message //以下為測試結果 [user2@RHEL4 dir]$ ftp 192.168.1.2 Name (192.168.1.2:user2): user2 Password: ftp> cd dir?? ??????????//切換到dir目錄 250-welcome?????????? //顯示.message文件的內容 250 Directory successfully changed. |
子項目4.設置將所有本地用戶都鎖定在家目錄中
| //修改vsftpd.conf文件,做如下設置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf chroot_list_enable=NO????????? //修改該參數的取值為NO chroot_local_user=YES??????? ???//修改該參數的取值為YES //重新啟動vsftpd服務即可 //測試部分略 |
子項目5. 設置只有指定本地用戶user1和user2可以訪問FTP服務器
| //將例14-1中/etc/vsftpd.ftpusers文件中的user1刪除 //修改vsftpd.conf文件,做如下設置 [root@RHEL4 ftp]# vi /etc/vsftpd/vsftpd.conf userlist_enable=YES????????? //修改該參數的取值為YES usrelist_deny=NO??? ????????//添加此行 userlist_file=/etc/vsftpd.user_list?? //添加此行 //利用vi編輯器打開/etc/vsftpd.user_list文件 [root@RHEL4 ~]# vi /etc/vsftpd.user_list //添加如下兩行并保存退出: user1 user2 //重新啟動vsftpd服務即可 //測試部分略 |
子項目6. 配置基于主機的訪問控制
實現如下功能:
● 拒絕192.168.6.0/24訪問。
● 對域jnrp.net和192.168.2.0/24內的主機不做連接數和最大傳輸速率限制。
● 對其他主機的訪問限制每IP的連接數為1,最大傳輸速率為20KB/S
| //修改vsftpd.conf文件 [root@RHEL4 ~]# vi? /etc/vsftpd/vsftpd.conf tcp_wrappers=YES?????????? //確保支持tcp_wrappers?? //添加如下兩行并保存退出: local_max_rate=20000 anon_max_rate=20000 max_per_ip=1 //編輯/etc/host.allow文件 [root@RHEL4 ~]# vi /etc/hosts.allow //添加下面兩行: vsftpd:jnrp.net,192.168.2.0/24 :setenv VSFTPD_LOAD_CONF /etc/vsftpd/vsftpd_tcp_wrap.conf vsftpd:192.168.6.0/24:DENY //編輯/etc/vsftpd/vsftpd_tcp_wrap.conf文件 [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd_tcp_wrap.conf //添加下面三行: local_max_rate=0 anon_max_rate=0 max_per_ip=0 //重新啟動vsftpd服務即可 //測試部分略 |
子項目7. 使用PAM實現基于虛擬用戶的FTP服務器的配置。
● 創建虛擬用戶口令庫文件。
| //生成建立口令庫文件的文本文件 [root@RHEL4 ~]# cat /root/login.txt peter????????????? //此行指定虛擬用戶peter 123456?????????? //此行設置peter用戶的FTP密碼 tom????????????? //此行指定虛擬用戶tom 213456?????????? //此行設置tom用戶的FTP密碼 ? //使用db_load命令生成口令庫文件 [root@RHEL4 /]# db_load -T -t hash -f /root/login.txt /etc/vsftpd/vsftpd_login.db //修改數據庫文件的本地權限 [root@RHEL4 ~]# chmod 600 /etc/vsftpd/vsftpd_login.db |
● 生成虛擬用戶所需的PAM配置文件/etc/pam.d/vsftpd。
| [root@RHEL4 ~]#vi /etc/pam.d/vsftpd //添加如下兩行 auth?????? required??? /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login account??? required?? /lib/security/pam_userdb.so db=/etc/vsftpd/vsftpd_login |
● 修改vsftpd.conf文件。
| [root@RHEL4 ~]# vi /etc/vsftpd/vsftpd.conf //保證具有下面三行 guest_enable=YES??? //啟用虛擬用戶功能 guest_username=ftp?? //將虛擬用戶映射成ftp帳號,利用虛擬用戶登錄后,會在ftp用戶所在目錄下。 pam_service_name=vsftpd? //指定PAM配置文件是vsftpd |
● 利用下面的命令重新啟動vsftpd服務即可。
| [root@RHEL4 ~]# service vsftpd restart |
● 測試。
五、實驗思考題
1.簡單敘述FTP服務器的配置過程。
2.簡單說一下FTP服務器中的文件在Linux系統本身的權限和通過FTP訪問時的權限之間的關系。
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗十?郵件服務器配置與管理
一、實驗目的
● 能熟練完成企業POP3郵件服務器的安裝與配置。
● 能熟練完成企業Sendmail郵件服務器的安裝與配置。
二、項目背景
企業需求:企業需要構建自己的郵件服務器供員工使用;本企業已經申請了域名jyg.com,要求企業內部員工的郵件地址為 username@jyg.com 格式。員工可以通過瀏覽器或者專門的客戶端軟件收發郵件。除此之外,最好可以提供網絡硬盤、反垃圾郵件,自動回復等功能。
任務:假設郵件服務器的IP地址為192.168.1.2,域名為mail.jyg.com。請構建POP3 和SMTP 服務器,為局域網中的用戶提供電子郵件;郵件要能發送到 Internet 上,同時 Internet 上的用戶也能把郵件發到企業內部用戶的郵箱。要設置郵箱的最大容量為20M,郵箱內郵件數不得超過500封,單個郵件不得超過4M。之外希望能提供郵件自動回復功能,提供反垃圾郵件功能。
三、實驗內容
練習Linux系統下郵件服務器的配置方法。
四、實驗步驟
子項目1.sendmail服務的安裝、啟動與停止
●安裝sendmail服務。
●啟動與停止sendmail服務。
子項目2. sendmail郵件服務器的配置
●編輯/etc/mail/sendmail.mc文件,修改郵件服務器的監聽IP。
將:
修改為:
●利用m4宏編譯工具將sendmail.mc文件編譯生成新的sendmail.cf文件。
●修改/etc/mail/local-host-names文件,設置本地郵件服務器所投遞的域。
●向系統中添加測試帳號yuangong1和yuangong2,并分別設置密碼。
●修改DNS服務器的MX資源記錄,將MX資源記錄修改為mail.jyg.com。
●修改好之后,重新啟動sendmail服務即可。
子項目3.POP3郵件服務器的配置
●插入RHEL4的第四張安裝,安裝dovecot軟件。
●修改/etc/dovecot.conf配置文件,使其支持POP3服務。
●啟動dovecot服務,使其支持POP3服務。
五、實驗思考題
1.如果在sendmail中,開放了對遠程服務器的中繼權限,同時又設置了SMTP認證,則在遠程服務器通過本地Mail服務器發送郵件時,本地服務器將首先應用哪一種控制策略?如何檢驗?
2.停止了Sendmail服務后,能否繼續通過本地服務器向外發送郵件?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗十一?Iptables防火墻配置與管理
一、實驗目的
● 能熟練完成利用Iptables架設企業NAT服務器。
● 能熟練完成企業Squid代理服務器的架設與維護。
二、項目背景
項目1:假如某公司需要Internet接入,由ISP分配IP地址202.112.113.112。采用iptables作為NAT服務器接入網絡,內部采用192.168.1.0/24地址,外部采用202.112.113.112地址。為確保安全需要配置防火墻功能,要求內部僅能夠訪問Web、DNS及Mail三臺服務器;內部Web服務器192.168.1.100通過端口映象方式對外提供服務。網絡拓撲結構如下圖所示。
項目2:某公司用Squid作代理服務器(內網IP地址為192.168.1.2),該代理服務器配置為奔騰1.6G/512M/80G,公司所用IP地址段為192.168.1.0/24,并且想用8080作為代理端口。
三、實驗內容
練習Linux系統下NAT及Iptables防火墻的配置。
四、實驗步驟
子項目1.NAT服務器的架設與維護
●載入相關模塊。
●設置WEB服務器。
●設置DNS服務器。
●設置郵件服務器。
●設置不回應ICMP封包。
●防止網絡掃描。
●允許管理員以SSH方式連接到防火墻修改設定。
子項目2.Squid代理服務器的架設與維護
●編輯/etc/squid/squid.conf文件,內容如下。
●啟動Squid代理服務。
●配置代理服務器的客戶端。
五、實驗思考題
1.如果設置Iptables防火墻進行記錄?
2.如何使Iptables將日志傳遞到系統日志文件,而不是控制終端?
?
?
?
?
?
?
實驗十二?Squid代理服務器配置與管理
一、實驗目的
● 能熟練完成企業Squid代理服務器的架設與維護。
二、項目背景
某公司用Squid作代理服務器(內網IP地址為192.168.1.2),該代理服務器配置為奔騰1.6G/512M/80G,公司所用IP地址段為192.168.1.0/24,并且想用8080作為代理端口。
三、實驗內容
練習Linux系統下Squid代理服務器的配置。
四、實驗步驟
●編輯/etc/squid/squid.conf文件,內容如下。
●啟動Squid代理服務。
●配置代理服務器的客戶端。
五、實驗思考題
1.如果設置Iptables防火墻進行記錄?
2.如何使Iptables將日志傳遞到系統日志文件,而不是控制終端?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
實驗十三?LDAP服務器的配置
一、實驗目的
?能熟練完成企業LDAP服務器的安裝、配置、管理與維護。
二、實驗內容
練習Linux系統下LDAP服務器的配置方法。
三?? 實驗步驟:
工作目錄在/usr/share/openldap/migration
配置/etc/openldap/slapd.conf
[root@RHCE5 migration]# slappasswd -s 1234567 --- ldap server 密碼加密
{SSHA}D+Pgu8OZ+0rhLhbjSXtYwSbMAn6oGABC
?[root@RHCE5 migration]# vi /etc/openldap/slapd.conf
# added by wyong 2008.5.27
database bdb
suffix "dc=wyong,dc=net" ---注意這里要不能用dc=ns,dc=wyong,dc=net
rootdn"cn=Manager,dc=ns,dc=wyong,dc=net"
rootpw secret
rootpw {SSHA}iAloxgWwl+ImMHdfNaJhN2xOdaE8jslY
2.開啟服務
[root@RHCE5 migration]# /etc/init.d/ldap start
?[root@RHCE5 migration]# ldapsearch -x -b '' -sbase '(objectclass=*)' namingContexts
3.帳號遷移
Red Hat 所提供的openldap-servers 包包含 PADL Software Pty Ltd. 公司的 MigrationTools 工具。我們將使用這些工具將數據從 Linux 系統文件(例如 /etc/group 和 /etc/password)轉換成 LDAP LDIF 格式,這是數據庫信息的一種文本格式的表示。這種格式是行界定、冒號分隔的屬性-值對。
有一組 Perl 腳本被安裝到 /usr/share/openldap/migration/ 中執行遷移。這些 Perl 腳本的配置信息包含在 migrate_common.ph 文件的開頭。對于我們的目的來說,只需要修改命名前綴的變量來使用條目的識別名就足夠了,如下所示:
$DEFAULT_BASE = "dc=wyong,dc=net"
在進行這些修改之后,請運行腳本 migrate_base.pl,它會創建根項,并為 Hosts、Networks、Group 和People 等創建低一級的組織單元
[root@RHCE5 migration]# vi migrate_common.ph
# modified by wyong 2008.5.27
# Default DNS domain
#$DEFAULT_MAIL_DOMAIN = "padl.com";
$DEFAULT_MAIL_DOMAIN ="ns.wyong.net";
# Default base
#$DEFAULT_BASE = "dc=padl,dc=com";
$DEFAULT_BASE ="dc=ns,dc=wyong,dc=net";
添加數據庫“樹干“
?[root@RHCE5 migration]# ./migrate_base.pl >base.ldif
[root@RHCE5 migration]# vi base.ldif
[編輯 base.ldif,刪除除wyong,people,group之外的所有條目:]在 LDAP 服務器上,使用 OpenLDAP 客戶機工具 ldapadd 將以下條目插入到數據庫中。簡單身份驗證必須要使用 -x 選項指定。在 slapd.conf 中定義的 rootdn 身份驗證識別名是“cn=Manager,dc=ns,dc=wyong,dc=net”。對于簡單身份驗證來說,必須使用密碼。選項 -W 強制提示輸入密碼。這個密碼就是在 slapd.conf 文件中指定的 rootpw 參數的值。包含這些條目的 LDIF 文件是使用 -f 選項指定的:
[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f base.ldif --- -v選項將輸出更詳細的內容
Enter LDAP Password:
adding new entry "dc=wyong,dc=net"
adding new entry"dc=ns,dc=wyong,dc=net"
adding new entry"ou=People,dc=ns,dc=wyong,dc=net"
adding new entry"ou=Group,dc=ns,dc=wyong,dc=net"
[root@RHCE5 migration]# passwd ldap --- 激活ldap用戶
Changing password for user ldap.
New UNIX password:
BAD PASSWORD: it is too short
Retype new UNIX password:
passwd: all authentication tokens updatedsuccessfully修改ldap目錄權限,否則可能會引起某些問題
[root@RHCE5 migration]# chown -R ldap.ldap /var/lib/ldap添加group和user數據庫
方法一:單獨添加,例如添加ldap
[root@RHCE5 migration]# grep ldap /etc/group> ldapuser.group
[root@RHCE5 migration]# ./migrate_group.plldapuser.group > ldapgroup.ldif
[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldapgroup.ldif
Enter LDAP Password:
adding new entry"cn=ldap,ou=Group,dc=ns,dc=wyong,dc=net"
[root@RHCE5 migration]# grep ldap /etc/passwd>ldapuser.passwd
[root@RHCE5 migration]# ./migrate_passwd.plldapuser.passwd >ldappasswd.ldif
[root@RHCE5 migration]# ldapadd -x -D"cn=Manager,dc=ns,dc=wyong,dc=net" -W -f ldappasswd.ldif
Enter LDAP Password:
adding new entry"uid=ldap,ou=People,dc=ns,dc=wyong,dc=net"
配置 LDAP 客戶機
一種快速而簡單的方法是運行 /usr/sbin/authconfig,并在兩個屏幕中輸入信息。(authconfig-gtk圖形化配置很簡單就不說了)
另外一種方法是通過編輯客戶機 LDAP 配置文件 /etc/ldap.conf,然后修改 /etc/nsswitch.conf、/etc/sysconfig/authconfig 和/etc/pam.d/system-auth。
?
PAM 和 NSS 模塊使用的基本配置文件是 /etc/ldap.conf。host 選項指定 LDAP 服務器,base選項指定這個目錄使用的 DN,最初我們希望關閉加密功能:
host ns.wyong.net
base dc=wyong,dc=net
ssl off
要讓 NSS 服務使用OpenLDAP 服務器,需要將 “ldap” 添加到/etc/nsswitch.conf 文件的 passwd、shadow和 group 行中,如下所示:
passwd: files ldap
shadow: files ldap
group: files ldap
要讓 PAM 身份驗證服務使用OpenLDAP 服務器,請將 pam_ldap 行加入到/etc/pam.d/system-auth 中,位置在對應的標準 pam_unix.so 條目之后。
實驗十四?VPN服務器配置與管理
一、實驗目的
● 能熟練完成企業VPN服務器的安裝、配置、管理與維護。
二、項目背景
某企業需要搭建一臺VPN服務器。使公司的分支機構以及SOHO員工可以從Internet訪問內部網絡資源(訪問時間:09:00-17:00)。
三、實驗內容
練習Linux系統下VPN服務器的配置方法。
四、實驗步驟
步驟1:編輯/etc/pptpd.conf文件,設置虛擬專用連接的地址池。
步驟2:編輯/etc/pptpd/chap-secrets文件,設置遠程登陸VPN客戶端撥入時所使用的用戶名、密碼和分配給該用戶的IP地址。
步驟3:設置/etc/ppp/options-pptpd文件。
| [root@RHEL4 ~]# grep -v "#" /etc/ppp/options.pptpd name pptpd?????????? //相當于身份驗證時的域,一定要和/etc/ppp/chap-secrets中的內容對應 refuse-pap??????????? //拒絕pap身份驗證 refuse-chap?????????? //拒絕chap身份驗證 refuse-mschap??????? //拒絕mschap身份驗證 require-mschap-v2???? //采用mschap-v2身份驗證方式 require-mppe-128????? //在采用mschap-v2身份驗證方式時要使用MPPE進行加密 ms-dns 192.168.0.9??? //給客戶端分配DNS服務器地址 ms-wins 192.168.1.1?? //給客戶端分配WINS服務器地址 proxyarp???????????? //啟動ARP代理 |
步驟4:啟動Linux的路由轉發功能。
步驟5:啟動VPN服務器。
步驟6:設置VPN服務器穿透防火墻。
步驟7:VPN客戶端的設置。
(1)在桌面上右擊【網上鄰居】并從彈出的快捷菜單中點擊【屬性】,接著在彈出的窗口中點擊【新建連接】,打開【網絡連接向導】對話框,如圖所示。
(2)單擊“下一步”,在該對話框中選擇網絡的連接類型為“通過Internet連接到專用網絡”,如圖所示。
(3)單擊“下一步”,選擇VPN客戶端接入Internet網絡的連接方式。在此選擇“不撥初始連接”,如圖所示。
(4)單擊“下一步”,設置VPN服務器的地址,在此輸入VPN服務器的IP地址或主機名,然后單擊“下一步”,如圖所示。
(5)單擊“下一步”,設置是否允許所有用戶使用此連接,在此我們選擇“所有用戶使用此連接”,如圖所示。
(6)單擊“下一步”,打開“完成網絡連接向導”在此設置此虛擬連接的名稱,在此輸入“jnrp-vpn”,如圖所示。單擊完成按鈕,即可完成該向導。
(7)在下圖所示的對話框中輸入登錄VPN服務器的用戶名和密碼,單擊“連接按鈕”,這時客戶端就開始與VPN服務器建立連接,完成用戶名和密碼的核對,網絡注冊等工作。分別如圖16-9和16-10所示。
(8)在連接成功之后在VPN客戶端利用ipconfig命令可以看到多了一個ppp連接,如圖所示。
(9)在VPN服務器端利用ifconfig命令可以看到多了一個ppp0連接,如圖所示。
五、實驗思考題
1.如果在sendmail中,開放了對遠程服務器的中繼權限,同時又設置了SMTP認證,則在遠程服務器通過本地Mail服務器發送郵件時,本地服務器將首先應用哪一種控制策略?如何檢驗?
2.停止了Sendmail服務后,能否繼續通過本地服務器向外發送郵件?
?
總結
以上是生活随笔為你收集整理的Linux网络管理实 验 指 导的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 读取CSV内容,根据不同的图片标签放到指
- 下一篇: YOLO-目标检测中计算AP、MAP方法