架設linux下最簡單的***系統

作者：yuehuiw

小弟是個新手,水平比較低,第一次發文章,有不妥之處請各位多多指教!此文基本上是我個人的原創,同時也參考了很多相關的文章,在此對那些作者表示感謝!

本文是根據我公司的實際應用情況寫的,但是稍加修改即可應用到很多地方,系統運行的兩個月來,證明還是安全可靠穩定的,呵...


我公司在北京,但是主要設備都在南京電信的一個主要IDC裏,那邊有我們的兩個PIX525UR(做了故障切換),上面做了嚴格的訪問控制,因此,爲了方便公司裏的移動,出差及在家的員工辦公,纔有了做***系統的想法.好使具有相應權限的使用者從個人PC通過支持MPPE128的加密隧道連接至公司的*** Server,再通過*** Server將數據轉發到南京IDC的我公司應用網絡,其間的連接也是基於IPSEC的安全***隧道.由此可以保證我公司的所有應用需求的安全性和便捷性.

1.硬件資源:服務器一臺
PIX 525UR防火牆一臺
2.軟件資源:Mandrake 9.2
kernelmod
pptpd
Super-freeswan
iptables
公網ip地址

注:我在測試了幾種LINUX(包括Redhat,SuSE,Mandrake,Astaro)後,感覺Mandrake是最簡單,最穩妥的平臺.


下面就是安裝過程:
1.操作系統安裝:
安裝過程無特殊要求,在選擇安裝組件的時候除開發工具外其它一概不選,主要是出於安全性考慮.


2.安裝kernelmod:
tar zxvf kernelmod-0.7.1.tar.gz
cd /kernelmod
./ kernelmod.sh



3.安裝pptpd:
①升級ppp
rpm –Uvh ppp-2.4.2-0.1b3.i386.rpm
②安裝pptpd
rpm –ivh pptpd-1.1.4-1b4.fr.i386.rpm

4.安裝Super-freeswan:
rpm –ivh super-freeswan-1.99.8-8.2.100mdk.i586.rpm

5.升級iptables
rpm –Uvh iptables-1.2.8-12.i386.rpm

呵...至此,全部的安裝過程就完成了,簡單吧,
注:以上軟件都可以在rpmfind.net找到!


下面是最主要的配置過程:

1.操作系統的配置:
①升級openssh
②關閉不需要的服務(sendmail isdn …)
③編輯/etc/sysctl.conf
net.ipv4.ip_forward = 0=>1
net.ipv4.conf.default.rp_filter = 1=>0

2.Pix配置文件(***部分):
access-list inside_outbound_nat0_acl permit ip "南京IP段" 255.255.255.0 "公司***用戶的IP段" 255.255.255.0
access-list outside_cryptomap_20 permit ip "南京IP段" 255.255.255.0 "公司***用戶的IP段" 255.255.255.0
nat (inside) 0 access-list inside_outbound_nat0_acl
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set peer "***服務器的IP"
crypto map outside_map 20 set transform-set ESP-3DES-MD5
crypto map outside_map interface outside
isakmp enable outside
isakmp key "密碼" address "***服務器的IP" netmask 255.255.255.255 no-xauth no-config-mode
isakmp identity address
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 28800



3.PPtP配置
①/etc/pptpd.conf
speed 115200
option /etc/ppp/options
localip "公司***用戶的網關(例如10.0.1.1)"
remoteip "公司***用戶的IP段(例如10.0.1.200-250)"

②/etc/ppp/chap-secrets
“用戶名” "***服務器的IP" “密碼” 10.0.1.20X (200<X<250)

③/etc/ppp/options
lock
name "***服務器的IP"
mtu 1490
mru 1490
proxyarp
auth
-chap
-mschap
+mschap-v2
require-mppe
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 3
lcp-echo-interval 5
ms-dns X.X.X.X
deflate 0



4.Super-freeswan配置
①/etc/freeswan/ipsec.conf

# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
nat_traversal=yes

# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
#leftrsasigkey=%dnsondemand
#rightrsasigkey=%dnsondemand

conn pix
left="***服務器的IP"
leftnexthop="***服務器的網關"
leftsubnet="公司***用戶的IP段(例如10.0.1.0/32)"
right="南京PIX525UR的IP"
rightnexthop=%direct
rightsubnet="南京IP段"
authby=secret
pfs=no
auto=start

②/etc/freeswan/ipsec.secrets
"***服務器的IP" "南京PIX525UR的IP": PSK "密碼"

5.iptables配置(樣本),用以限制公司***用戶的訪問權限:
iptables -t nat -A POSTROUTING -o eth0 -s 10.0.1.201/32 -d "南京IP段" -j MASQUERADE

service iptables save

注:1.添加用戶名及修改密碼 /etc/ppp/chap-secrets
2.用戶權限設定 編輯修改iptables規則
3. 如果公司路由器上有access-list,則添加
permit 47 any host 219.238.213.244
4. 校驗IPsec服務是否啓動成功
ipsec verify