Linux簡明系統維護手冊(四)
2024-08-28 00:23:37
供稿:網友
國內最大的酷站演示中心!
(7)安裝imap服務器
幾乎所有的發行包都帶有imap服務器軟件(一般是華盛頓大學版本),最好的辦法是用你的發行包安裝imap服務器。事實上,我個人覺得imap服務器很少被使用。下載最常規的imap服務器源碼地址是:ftp://ftp.cac.washington.edu/imap/imap.tar.z
tar zxvf imap.tar.z
cd imap-2001a
make slx
(如果不行依次試驗一下其他你覺得可能的系統類型,用vi看一下makefile中列的名稱)
然后配置/etc/inetd.conf,讓inetd允許imap服務。[本節內容沒有試驗成功,編譯總是過不去]
(8)安裝squid服務器
squid是一個優秀的代理服務器軟件,它可以很靈活的被配置為各種應用形式,其中包括正向代理,反向加速模式和透明代理等。但是squid目前只能代理http協議,代理ftp協議需要配置瀏覽器仿真主動ftp協議。下面的步驟是安裝squid的過程。
1、下載反向代理服務器軟件采用squid,下載地址:http://www.squid-cache.org/
下載后存放在/usr/local/src目錄里,文件名是squid-2.4.stable2-src.tar.gz
2、tar zxvf squid-2.4.stable2-src.tar.gz 解壓縮
3、cd /usr/local/src/squid-2.4.stable2 進入目錄
4、./configure --prefix=/usr/local/squid --enable-heap-replacement --disable-internal-dns建立環境,把squid安裝/usr/local/squid中。第二個參數是指定使用更先進的緩沖算法。第三個參數是取消內部dns解析(如果使用在遠程高速緩存模式,比如gslb,需要增加選項:--disable-internal-dns,目的是關閉內部dns.否則內部dns不理睬你在etc/hosts中的設定,直接尋找域名服務器,這樣就會造成轉發循環。就是cache發送給物理服務器的更新請求(因為用域名)也會被用戶的gsln設備解析回來而形成循環。)
5、make 開始編譯
6、make install 安裝到剛才--prefix=指定的路徑當中
7、安裝完成后,會在您指定的安裝路徑里產生一個squid目錄,squid目錄下有四個目錄:bin/ etc/ libexec/ logs/。其中etc里面是配置文件,bin里面是執行文件,logs里面是日志文件。
8、安裝結束后就是調試服務器,使其按照您的要求工作。squid的配置文件只有一個,在etc目錄里,名字是squid.conf,所有的配置選項都在這個文件里面。而且每個配置項目都有注釋說明。首先,在squid文件里面找到下列配置項:
cache_mem ---這里可以添上您準備給squid作為高速緩存使用的內存大小。注意,如果您的機器有n兆內存,那么,推薦您在這里添的數字是n/3。
cache_dir /usr/local/squid/cache 100 16 256 這里的第一個數字100是您準備給squid作為cache使用的硬盤空間大小,單位是兆。如果您想劃100m空間當作cache,那么這里就寫100。
cache_mgr [email protected]這里填寫cache管理員的email地址,系統出錯會自動提醒cache管理員。
cache_replacement_policy和memory_replacement_policy的參數由于使用了--enable-heap-replacement編譯參數,就不能使用缺省的lru算法了,你可以在下列三種里面選一個:
heap gdsf : greedy-dual size frequency
heap lfuda: least frequently used with dynamic aging
heap lru : lru policy implemented using a heap
例如:
cache_replacement_policy heap lru
memory_replacement_policy heap lru
下面設定acl訪問控制列表:為了簡單起見,我們在這里開放所有的權限。acl分為兩個部分:acl定義部分,和http_access部分。在access_http部分用到前面的定義。前面定義了:
acl all src 0.0.0.0/0.0.0.0
我們注釋掉所有的http_access行加一句:
http_access allow all ---注意:all是前面acl定義的。
這樣就開放了所有的權限。以后有需要的,再繼續往上加各種限制即可。
9、以root身份創建組nogroup :
%su root (如果當前不是root)
#groupadd nogroup
#useradd nobody (如果沒有這個用戶)
10、進行目錄/usr/local ,以root身份執行下面的命令,改變整個squid目錄的所有者為nobody.nogroup
#cd /usr/local
#chown nobody.nogroup -r squid
11、su 作為nobody,進行/usr/local/squid/bin目錄,執行#squid -z 創建cache交換目錄
#su nobody
$ cd /usr/local/squid/bin
$./squid -z
12、成功后,測試一下:/usr/local/squid/bin/squid -ncd1 該命令正式啟動squid。如果一切正常,你會看到一行輸出 :ready to serve requests.
13、用ctrl-c退出前臺測試。
14、把squid作為守護進程啟動就直接運行:/usr/local/squid/bin/squid
15、檢查狀態用squid –k check
16、停止squid用squid -k shutdown
如果是配置基本的正向代理,上面的已經可以使用了。下面的步驟用于配置支持多域名的反向代理服務器。還好,squid的所有配置都在/usr/local/squid/etc下面,和反向代理有關的幾項介紹如下:
17、http_port 80 “http_port”參數指定squid監聽瀏覽器客戶請求的端口號。
18、icp_port 0 “icp_port”參數指定squid從鄰居(neighbour)服務器緩沖內發送和接收icp請求的端口號。這里設置為0是因為這里配置squid為內部web服務器的加速器,所以不需要使用鄰居服務器的緩沖。
19、emulate_httpd_log on 打開“emulate_httpd_log”選項,將使squid仿照web服務器的格式創建訪問記錄。如果希望使用web訪問記錄分析程序,就需要設置這個參數。
20、redirect_rewrites_host_header off 缺省地,squid將改寫任何重定向請求的主機頭部。若系統運行squid為加速器模式,則這時不需要重定向特性。該參數在負載過重的情況下要旁路重定向器時才打開
21、httpd_accel_host vartual 此處設置反向代理的主機名,如果對后面多個域名進行緩沖,請使用虛擬主機模式(如此)。
22、httpd_accel_port 80 此處設置反向代理的web服務端口號。
23、#httpd_accel_with_proxy off 把這行注釋掉,此處設置開反向代理的同時,是否開普通代理緩存服務。如果這行不注釋掉,就沒有高速緩存功能。
24、定義訪問控制列表:
acl port80 port 80
acl accel_host1 dstdomain .test.com
acl accel_host2 dstdomain .test.net
… …
http_access allow accel_host1 port80
http_access allow accel_host2 port80
http_access deny all;
25、完成后,用squid –k reconfigure重新裝載配置文件。
(9)安裝ssh
---
(10)配置linux為路由器
---
(11)配置linux網關和安裝ipchains/iptables防火墻
在linux上面的防火墻,最最常用的是ipchains,而且通常情況下是作為網關的附加部分安裝的。ipchains的規則是很復雜的,靈活性也很強,可以配制成各種五花八門的樣子。這些都需要和你自己的實際情況相結合。這里,我們只介紹一種基于網關的簡單配置。
安裝ipchains一般都不用你操心,因為幾乎所有的linux發行包都把該軟件作為必須安裝的卻省配置。另一個原因是ipchains是跟內核(kernel)有很大的關系,因此最好在安裝系統的時候選上相關選項(如果有)。在標題里面我們還提到了iptables,這個工具在表面上等同于ipchains,只不過是用于2.4內核的(2.4內核在這方面的代碼幾乎是重新寫過的,功能有了長足的提高)。關于iptables工具的配置我們在后面介紹。你只需要記住2.2核心下使用ipchains,2.4核心下使用iptables即可。
首先,你的服務器需要兩塊網卡(或更多),這種機器叫做“多宿主主機”,是專門的用于做網關或路由器的。這里插一句:一般情況下,作為普通服務器的主機即使負載再重就需要一塊網卡就夠了,只有做網關或路由器的時候才需要多宿主主機。這并不象一般人認為得那樣增加一塊網卡可以增加一份帶寬,事實上,一塊網卡就可以提供足夠的帶寬。并且,還有人錯誤的把兩塊網卡接在同一個交換機上分配兩個地址,這更是錯誤的,因為這樣產生了額外的循環路由,會產生大量的內部警告錯誤,某些系統就會報警。
1、制作一個雙界面(雙宿主)的主機。
通常,現在的發行包的安裝程序都可以識別兩塊網卡,這樣就省事了。但是也有不少發行包只識別第一塊網卡(也許是出于前面說的原因),或者你要在一臺在用的機器上加一塊網卡(因為你不愿意重裝系統),那么就按照下面的辦法處理。
1.1、我們就說pci網卡。安裝前首先看看網卡芯片,記住芯片的型號(希望你自己攢過機器)。
1.2、安裝man手冊(用發行包)
1.3、在/usr/doc/howto/english/txt/ethernet-howto文件(如果是壓縮的就釋放)中搜索你的網卡型號,找到對應的驅動模塊名稱。
1.4、如果模塊沒有,還需要重新編譯核心。在menuconfig網絡設備一欄選中你的型號然后標記為*或m,編譯完核心后別忘了編譯模塊:make modules;make modules_install。(不會的話再仔細溫習一下前面編譯內核的部分)
1.5、用depmod –a命令建立/etc/modules.conf(如果已經有就不用了),也有的發行包叫做conf.modules
1.6、編輯該文件加上一行:alias eth1 xxxx,其中xxxx是你剛才查到的模塊名稱。一般該模塊文件位于:/lib/modules/內核版本號/net…中的xxxx.o文件。這個文件是你編譯內核模塊的時候產生的,你在內核配置的時候,凡是標記為m的都會被編譯成.o文件放在這里。同樣的,你選擇的網卡驅動也是會編譯成模塊在這里的。
1.7、運行modprobe eth1使模塊有效。
1.8、修改/etc/sysconfig/network文件中需要修改的部分。
1.9、建立或修改/etc/sysconfig/network-script/ifcfg-eth1文件(照抄那個eth0的即可),設定地址是你的真實情況,比如設為eth1要接的網段。這兩個文件(eth0/eth1是啟動的時候的腳本參數文件)
1.10、重新啟動一下網絡:/etc/rc.d/init.d/network restart
1.11、用ifconfig看看是否eth0/eth1都啟動了。
1.12、大功告成
2、調整和編譯核心:如果作為網關,有些核心選項需要配置。注意:這里的內核編譯選項僅僅適合于2.2.x版本,2.4版本完全不同。
2.1、在/usr/src/linux中運行make menuconfig配置核心下列選項:
networking options中
[*] network firewalls
[*] ip: advanced router
[*] ip: firewalling
[*] ip: firewall packet netlink device
[*] ip: transparent proxy support
[*] ip: masquerading
[*] ip: icmp masquerading
[*] ip: masquerading special modules support
ip: ipautofw masq support (experimental)
ip: ipportfw masq support (experimental)
ip: ip fwmark masq-forwarding support (experimental)
[*] ip: masquerading virtual server support (experimental)
(12) ip masquerading vs table size (the nth power of 2)
具體選項不同版本的內核不盡相同,你看著差不多就可以了。編譯成模塊或編進核心[*]可以自由選擇。
2.2、按照前面說的編譯內核,重新啟動后就具有網關功能了。啟動后驗證一下文件:/proc/sys/net/ipv4/ip_forward內容是否為1。(別告訴我不知道怎么看8-))
3、設置ipchains
本來這項工作是非常復雜的,但是我們這里講的簡單,讓網關通了就行。
3.1、先看一下目前我們目前的假想環境:你的機器有兩塊網卡,一塊連接在內網交換機配內部網絡地址,另一塊在外網交換機配公網地址。在這個機器ping 內網和外網的機器應該都能通。并且在內網的機器ping 該機器的外網地址也通,在外網的機器ping該機器內網的地址也同樣通。這說明轉發功能是有效的。
3.2、再試驗一下:在內部網絡把網關設為你的機器的內網地址,然后ping 外網的任一臺機器(不是這臺機器的外網地址),結果是不通。原因是icmp包發出去后外網的機器不知道怎么回答,那里沒有合適的路由,因為這個包的回應地址是內網。
3.3、現在設置ipchains:(ipchains軟件適用2.2.x的內核,在2.4.x的內核中不適用。2.4.x的內核推薦使用iptables,關于該軟件的用法在下面介紹)
ipchains –a forward –s 192.168.1.0/24 –j masq
黑體部分是內網地址。這句話的意思是,把所有內網發送的包都偽裝成外部網的地址(那個機器的外網地址),這樣,外部其他機器回應的時候就會發送到這臺機器,經過轉發就回來內網了。好了,一個簡單的網關做好了。如果你需要實現防火墻(包過濾功能),則需要配置更加復雜的過濾規則,這些規則應該同時作用于input/output/forward鏈。
3.4、自動啟動:設定了復雜的鏈,需要保存。在/etc/rc.d中建立一個文件:rc.ipfwadm把你的鏈腳本加進去就可以了。最后給這個文件+x屬性(chmod +x rc.ipfwadm)。
4.在2.4.x內核中使用iptables建立linux防火墻(網關)。
4.1 說明和下載
前面已經提到過2.4 內核中要使用iptables來做類似于ipchains在2.2內核中實現的事情。事實上,在2.4內核中的iptables包含了兩個完全不同的部分:包過濾和地址轉換。這兩個功能在邏輯上是分開的,考慮到操作習慣上的問題才集成在一個配置程序(iptables)上。如果你安裝了帶有2.4內核的發行包,那么一般都帶有iptables,并且在內核配置上也配置好了。如果要編譯新的內核或者原來的內核沒有支持iptables,需要選上相關的選項。使用make menuconfig 配置內核的時候操作:進入:networking options至少選擇上:
[*] network packet filtering (replaces ipchains)
[*] network packet filtering debugging (new)
進入:ip: netfilter configuration --->
[*] connection tracking (required for masq/nat) (new)
ftp protocol support (new)
irc protocol support (new)
等等……
把下面的選項全部標記<*>
逐級返回上面菜單后保存配置,然后按照編譯內核的那一套程序進行即可(參見前面的內容)。這里需要說明的是,內核支持了iptables功能,還需要有外部程序才行。如果你是直接安裝的帶有2.4內核的發行包,應該已經帶有iptables實用程序了。但是如果你是從2.2核心的發行包直接升級到2.4內核,盡管按照上面的做法配置的核心,但是還不能使用iptables。還必須下載和編譯iptables外部程序才能使用iptables功能。下載的地址是:http://www.netfilter.org ,下載的文件是iptables-1.2.6a.tar.bz2或更新的版本。
4.2 安裝:
這個.bz2文件比較奇怪吧?把文件復制到/usr/local/src中,然后用下列命令釋放編譯和安裝: bzip2 -dc iptables-1.1.2.tar.bz2 |tar vxf - (最后那個‘- ’別忘了)
你的系統可能沒有bzip2工具,如果沒有,你就去下一個:
進入新生成的目錄 :cd iptables-1.2.6a 編譯和安裝:make ; make install
4.3 配置
如果你需要配置一個簡單的網關,你僅僅需要配置一個轉發加地址轉換功能即可,我提供的參考腳本如下:
#begin
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe iptable_nat
modprobe ip_conntrack
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -f input
iptables -f forward
iptables –f output
iptables -f postrouting -t nat
iptables -t nat -f
iptables -p forward drop
iptables -a forward -s 192.168.1.0/24 -j accept
iptables -a forward -i eth1 -m state --state established,related -j accept
iptables -t nat -a postrouting -o eth1 -s 192.168.1.0/24
-j snat --to 21.9.22.2
#end
其中3行modprobe是當你在內核中把iptables相關功能編譯成模塊(選成)的時候才用到的(也可能不止3行)。其中插入模塊(modprobe)的幾行比較重要,有時候當你作完nat后,發現ftp不好用了,就要手工插入ip_nat_ftp模塊(語法是:modprobe ip_nat_ftp)。黑體的地址部分可能是需要根據你網絡的實際情況來決定的。最后一句話的意思是把凡是源地址是192.168.1.x的包做地址轉換,轉換為網關外側地址21.9.22.2。好了,你已經建立起一個基本的網關了。其實iptables的功能及其強大,配置也非常靈活。其中的防火墻功能通過-t filter參數實現,地址轉換功能通過-t nat實現(就像上面一樣)。防火墻功能(packet filter)主要是3個鏈:input,forward,output,地址轉換功(nat)主要是3個鏈:prerouting,postrouting,output。觀察當前的狀態可以使用下面的命令:iptables –l –t filter 或 iptables –l –t nat。
好了,要配置出更靈活的、更強大的防火墻功能,全靠你自己了。我推薦你兩個手冊:《linux 2.4 packet filter howto》和《linux 2.4 nat howto》。這兩個文檔是iptables的原作者寫的,相當經典。英文不好?沒關系,這兩個文檔都有中文版本。推薦你到:永遠的unix(http://www.fanqiang.com)下載。
