下载中心  |   网站地图  |   站内搜索  |   加入收藏
*新更新
业界动态
产品信息
安恒动态
技术文章


安恒公司 / 技术文章 / 网络管理与网络测试 / 网络管理 / LINUX 下基于路由策略的IP地址控制实例
LINUX 下基于路由策略的IP地址控制实例
2003-05-31          阅读:

*、背景描述

如图,LINUX是*台网关服务器,内有3块网卡
eth1绑定172.17.0.0/16的IP,该网段IP可以通过172.17.1.1上网
eth0绑定192.168.10.0/24的IP,该网段IP可以通过192.168.10.1上网
eth2绑定192.168.1.1,是内网用户的网关

二、需求分析

内网用户应该走172.17.1.1这个路由上网
但由于工作需要,部分用户应该有访问图中“专用网络”的权限
也就是说,应该走192.168.10.1这个路由

另外*点,所有人应该可以访问FTP服务器,这个服务器的IP是192.168.10.96
也就是说,走172.17.1.1路由的人,也应该能访问192.168.10.96,且可以上网

三、解决方案

要解决这个问题,用到了*下几个命令,具体使用方法需要另查资料
ip route
ip rule
arp
注:关于ip命令的用法,请查阅ip中文手册,www.google.com上有

1、绑定IP
ifconfig eth1 172.17.3.x netmask 255.255.0.0
ifconfig eth0 192.168.10.2 netmask 255.255.255.0
ifconfig eth2 192.168.1.1 netmask 255.255.255.0
然后分别修改/etc/sysconfig/network-script/ifcfg-ethx文件,以使计算机启动自动设置IP地址

2、创建特殊路由表
vi /etc/iproute2/rt_table
代码:

#
# reserved values
#
255     local
254     main
253     default
0       unspec

200     NET10
#
# local
#
#1      inr.ruhep
 

上面那个200 NET10为新添加,自定义编号为200,*字为NET10

3、向NET10路由中添加它自己的默认路由

代码:

ip route add default via 192.168.10.1 table NET10


注意,这个table NET10*定不要忘了写,否则写到了主路由表中

4、创建特殊路由规则

ip rule可以看到计算机当前的路由规则
引用:

0: from all lookup local
32766: from all lookup main
32767: from all lookup default
 

可以看到,规则中走了3个路由表,local、main、default
我们平常用route看到的,实际是路由表main
这些规则是按序号大小顺序走的,*个不同,则走下*个,知道通路或走完为止

开始添加我们自己的路由NET10到路由表中
代码:

ip rule add from 192.168.1.222 pref 10000 table NET10
 

这个意思是说,如果来自IP地址为192.168.1.222的访问,则启用NET10的路由表中的路由规则
而NET10的路由规则是什么呢?上面已经设置了,走的是192.168.10.1的网段
接下来,使LINUX可以NAT(这里不再细说HOW TO了)

5、让所有人可以访问192.168.10.xx(这个IP不便说出来)

因为其余人都走了172.17.1.1这个路由,所以他们是无法访问192.168.10.xx的
怎么才能实现呢?再添加个策略就可以了!
代码:

ip rule add to 192.168.10.xx pref 10001 table NET10
 

这句话的意思是说,所有人,如果目的IP是192.168.10.xx,则临时使用NET10的路由表
这样做,安全会不会有安全问题呢?路由变了,他们会不会访问到专用网络呢?
不会的,因为路由规则是to 192.168.10.xx,也就是目标是96时,才该路由的,访问别的网站还是走原来的路由。
如果说访问到专用网络的机器,也就只有10.xx这*台而已。
这里,我们还可以做*个小技巧,不告诉别人192.168.10.xx的地址,只告诉他们网关192.168.1.1上有这个服务
iptables -t nat -A PREROUTING -d 192.168.1.1/32 --dport 21 -j DNAT --to 192.168.10.xx:21

6、防止其他人篡改IP地址而获得特殊权限

arp有个静态功能CM,不是C,大家可能知道
如果给*个IP地址强行绑定*个非他自己的MAC,会怎么样呢?双方会话将会失败!
好,我们来利用这*点!

**,我写了*个文件iproute.c
代码:

#include <stdlib.h>
#include <stdio.h>
main ()
{
        int i;
        for(i=2;i<255;i++)
                printf("192.168.1.%d\t\t00:00:00:00:00:00\n",i);
}
 

gcc iproute.c -o iproute
将编译出*个可执行文件
注:不应该包括主机IP地址本身,所以从2循环到254(255是广播)

其次,生成*个C的IP地址和全为00的MAC地址
代码:

./iproute > /etc/ethers
 


再次,修改IP-MAC匹配列表
vi /etc/ethers
具体怎么该我就不用细说了,相信大家都会

*后,做静态IP-MAC绑定
arp -f

7、为了安全,建立防火墙,修改main路由表

默认的路由表应该有192.168.10.0/24和172.17.0.0/16网段的内容,为了安全,可以去掉
另外,如果是AS3的话,还会有169.254.0.0/16的路由,具体为什么我不知道,去掉
然后写*个防火墙脚本,利用iptables,把你的机器变得更加坚固!
 

责任编辑: admin

相关文章
UniPRO Mgig 1手持式以太网链路性能测试仪  13-06-08 - 阅: 198067
linux下使用ssd  11-03-10 - 阅: 283404
使用DTX电缆测试仪解决IP电话无法使用的问题案例  11-03-08 - 阅: 236249
IPv6时代选用什么样的网络测试仪  11-02-10 - 阅: 203498
AirMagnet企业版802.11n传感器探针通过FIPS 140-2认证  10-08-25 - 阅: 215936
无线网如何进行基于IPerf的吞吐量测试,无线网性能评估的简单方法  10-04-29 - 阅: 231978
关于EtherScope II系列网络通Linux系统的几个常见问题(ES2-LAN,ES2-WLAN,ES2-PRO,ES2-LAN-SX/I,ES2-PRO-SX  10-02-25 - 阅: 235091
FLUKE 工具与测试包(JackRapid、D914S、D914、D814、D-Impactor、IS60 Pro-Tool、IS50 Pro-Tool、D-Snip)  10-01-22 - 阅: 193105
在linux下用bt协议修复远程的文件  09-03-13 - 阅: 188876
linux下利用badblocks程序在线修复坏道  08-12-26 - 阅: 218680
OptiView综合网络分析仪成为*个能够识别IPv6安全风险的便携式分析仪, OPV-INA  08-11-25 - 阅: 195278
NetFlow Tracker获得Product Leadership Awards 2008银奖  08-04-12 - 阅: 173664
Hp 激光打印机 P1008在linux下的驱动  08-01-16 - 阅: 253320
PfR Manager支持动态路由路径*化,使用户大幅降低网络维护管理成本提高效率  07-12-26 - 阅: 180171
linux下的视频设备的复用  07-12-21 - 阅: 185307
多款设备采用Qtopia软件,奇趣科技统领VoIP设备Linux开发平台  07-12-17 - 阅: 246956
debian下的无盘linux系统安装要点  07-12-09 - 阅: 218893
ClearSight网络分析仪在VoIP系统运维上的测试应用  07-12-01 - 阅: 160586
专访:福禄克--全IP战略调整下的中国之路  07-11-29 - 阅: 140436
qmail 白*单功能以及iptables防火墙联动  07-10-17 - 阅: 208331
相关产品
贝迪IP300智能化标签打印机,高性能打印作业智能解决方案  08-03-25 - 阅: 664174
网络与 VoIP 性能解决方案中心  07-12-17 - 阅: 559362
Fluke Cable Stripper剥线器, Harris  07-05-31 - 阅: 784685
NetTool网络万用表|掌上型网络测试仪NT-PRO|VoIP选件  05-10-21 - 阅: 1706240

Email给朋友 打印本文
版权所有·安恒公司 Copyright © 2004   cisco.anheng.com.cn   All Rights Reserved    
      北京市海淀区*体南路9号 主语国际商务中心4号楼8层 安恒公司(邮编100048) 电话:010-88018877