作者:yuehuiw
小弟是個新手,水平比較低,第一次發文章,有不妥之處請各位多多指教!此文基本上是我個人的原創,同時也參考了很多相關的文章,在此對那些作者表示感謝!
本文是根據我公司的實際應用情況寫的,但是稍加修改即可應用到很多地方,系統運行的兩個月來,證明還是安全可靠穩定的,呵...
我公司在北京,但是主要設備都在南京電信的一個主要IDC裏,那邊有我們的兩個PIX525UR(做了故障切換),上面做了嚴格的訪問控制,因此,爲了方便公司裏的移動,出差及在家的員工辦公,纔有了做***系統的想法.好使具有相應權限的使用者從個人PC通過支持MPPE128的加密隧道連接至公司的*** Server,再通過*** Server將數據轉發到南京IDC的我公司應用網絡,其間的連接也是基於IPSEC的安全***隧道.由此可以保證我公司的所有應用需求的安全性和便捷性.
1.硬件資源:服務器一臺
PIX 525UR防火牆一臺
2.軟件資源:Mandrake 9.2
kernelmod
pptpd
Super-freeswan
iptables
公網ip地址
注:我在測試了幾種LINUX(包括Redhat,SuSE,Mandrake,Astaro)後,感覺Mandrake是最簡單,最穩妥的平臺.
下面就是安裝過程:
1.操作系統安裝:
安裝過程無特殊要求,在選擇安裝組件的時候除開發工具外其它一概不選,主要是出於安全性考慮.
2.安裝kernelmod:
tar zxvf kernelmod-0.7.1.tar.gz
cd /kernelmod
./ kernelmod.sh
3.安裝pptpd:
①升級ppp
rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
②安裝pptpd
rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm
4.安裝Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm
5.升級iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm
呵...至此,全部的安裝過程就完成了,簡單吧,
注:以上軟件都可以在rpmfind.net找到!
下面是最主要的配置過程:
1.操作系統的配置:
①升級openssh
②關閉不需要的服務(sendmail isdn …)
③編輯/etc/sysctl.conf
net.ipv4.ip_forward = 0=>1
net.ipv4.conf.default.rp_filter = 1=>0
2.Pix配置文件(***部分):
access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司***用戶的IP段" 255.255.255.0
access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司***用戶的IP段" 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer "***服務器的IP"
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key "密碼" address "***服務器的IP" netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 28800
3.PPtP配置
①/etc/pptpd.conf
speed 115200
option /etc/ppp/options
localip "公司***用戶的網關(例如10.0.1.1)"
remoteip "公司***用戶的IP段(例如10.0.1.200-250)"
②/etc/ppp/chap-secrets
“用戶名” "***服務器的IP" “密碼” 10.0.1.20X (200<X<250)
③/etc/ppp/options
lock
name "***服務器的IP"
mtu 1490
mru 1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
ms-dns X.X.X.X
deflate 0
4.Super-freeswan配置
①/etc/freeswan/ipsec.conf
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
nat_traversal=yes
# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand
conn pix
left="***服務器的IP"
leftnexthop="***服務器的網關"
leftsubnet="公司***用戶的IP段(例如10.0.1.0/32)"
right="南京PIX525UR的IP"
rightnexthop=%direct
rightsubnet="南京IP段"
authby=secret
pfs=no
auto=start
②/etc/freeswan/ipsec.secrets
"***服務器的IP" "南京PIX525UR的IP": PSK "密碼"
5.iptables配置(樣本),用以限制公司***用戶的訪問權限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE
service iptables save
注:1.添加用戶名及修改密碼 /etc/ppp/chap-secrets
2.用戶權限設定 編輯修改iptables規則
3. 如果公司路由器上有access-list,則添加
permit 47 any host 219.238.213.244
4. 校驗IPsec服務是否啓動成功
ipsec verify
架設linux下最簡單的***系統
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章
Linux核心技能与应用
wy53780
2020-04-23 14:02:05
Python與家國天下
豌豆花下貓
2019-02-24 22:22:40
linux上安裝Docker(非常簡單的安裝方法)
幸運券發放
2019-02-24 19:38:01
2019年Java面試-併發容器篇
王知無
2019-02-24 15:12:46
淺淡個人學習嵌入式Linux過程
wx5c317e5b736d2
2019-02-24 13:31:30
DHCP服務原理與搭建(Linux系統+路由器,二選一方案)
wx5c7174443c6f9
2019-02-24 13:23:18
Redis安裝與配置
劉遄
2019-02-24 13:12:51
如果同事暗中傷害你,應該怎麼辦?
這個饅頭有餡
2019-02-24 13:59:08
職場中,抱怨越多的員工,越被領導瞧不起!
這個饅頭有餡
2019-02-24 13:59:08
老程序員被裁,應屆生卻能月薪 1.3 萬?這你能忍?
前端高達
2019-02-24 13:48:04
遇到到處蹭吃卻從不請客吃飯的主怎麼辦?
樑軍年
2019-02-24 13:26:35
Linux基本操作命令
wbzjacky
2019-02-24 13:12:38
高標準機房綜合配線安裝
wbzjacky
2019-02-24 13:12:38