网络操作系统实践报告 wlgc200.docx
《网络操作系统实践报告 wlgc200.docx》由会员分享,可在线阅读,更多相关《网络操作系统实践报告 wlgc200.docx(10页珍藏版)》请在冰豆网上搜索。
网络操作系统实践报告wlgc200
网络操作系统综合实践
网络安全技术实践
班级:
网络工程0702
姓名:
学号:
030710422*
指导老师:
璇
完成日期:
2010-7-2
目录
一.实践的基本目的2
二.实践的主要任务3
三.需求分析4
1.需求分析及环境搭建:
4
2.环境搭建方案拓扑:
5
四.服务配置及防火墙设置说明5
1ftp服务器配置说明5
2samba服务器配置说明6
3dns服务器配置说明6
4dhcp服务器配置说明7
5web服务器配置说明7
6nfs服务与ssh服务的配置说明9
7邮件服务器的配置方法和步骤9
8防火墙的配置方法和步骤10
五.总结12
一、实践的基本目的
实践环节给学生提供了一个实践机会,让学生自己动手在在linux操作系统下安装配置服务器、防火墙,并实现利用防火墙来控制内网与外网的通信。
要求学生通过实践能熟练掌握linux操作系统的基本概念、基本命令及该系统的管理,了解linux操作系统的网络功能及利用linux操作系统进行网络服务器的配置,并通过客服端进行验证。
通过本实践环节的训练,学生应达到以下要求:
(1)理解ftp服务器和samba服务器的基本概念,并且能够在linux操作系统下安装、配置ftp服务器和samba服务器,并通过客户端验证。
(2)理解dhcp服务器、dns服务器和ssh服务器的基本概念,掌握在linux操作系统下安装、配置dhcp服务器、dns服务器及ssh服务器,并学习这些服务器的应用。
(3)理解web服务器和邮件服务器的基本概念,能够在linux操作系统下安装、配置web服务器和邮件服务器,并且通过web方式使用邮件服务器。
(4)理解防火墙的概念,在linux操作系统下安装、配置防火墙,并通过防火墙在实现内网和外网的通信。
二.实践的主要任务
实践的主要任务是:
构建基于linux服务器的小型企业网络,配置各种的网络服务,并提供相应的安全措施。
首先,设计Linux系统下网络互连拓扑图;接着,在该操作系统下实现nfs服务器、samba服务器、ftp服务器、samba服务器、dhcp服务器、web服务器、邮件服务器、ssh服务以及防火墙的配置,对于Linux下服务器使用动态分配IP地址,并通过防火墙实现Linux系统下的网络互连,将防火墙作为网关控制内网和外网的通信;最后,通过web方式使用邮件服务器。
下面详细介绍本次实践的的任务:
(1)通过实验熟练掌握linux的基本命令;
(2)掌握linux下ftp服务器的配置方法,架设ftp服务器,实现匿名访问及对登录用户配置相关权限;
(3)掌握linux和Windows的文件共享方法,掌握使用samba文件服务器实现资料的共享;
(4)掌握Linux下的域名服务器的配置方法,架设DNS服务器,在客服端的/etc/resolv.conf文件进行配置,用来指定DNS服务器的IP地址,实现在客服端正向及反向解析域名;
(5)掌握linux下web服务器的配置方法,架设一台web服务器,服务器使用Apache软件,实现用户权限认证访问web,基于ip地址的虚拟主机的配置,以及个人主页的访问;
(6)掌握linux下邮件服务器的配置方法,使用邮件服务器采用自带的Sendmail软件,只转发本地网络的信件,并且建立一个邮件列表,包含所有人的邮件地址;
(7)掌握Linux下服务器动态分配IP地址的方法,架设dhcp服务,客户机使用动态IP地址分配,并且为服务器分配一个固定的IP。
(8)掌握SSH服务器的配置,实现用户远程登陆系统,且具有用户在本地相同的功能;
(9)掌握nfs服务器的配置,在Linux系统之间实现资源的共享;
(10)在网关上安装防火墙,采用系统内置的netfilter/iptables软件,配置了一些基本的安全策略,实现内外网之间的通信:
再添加具体的安全策略:
允许内部局域网到互联网的全部数据通过防火墙,允许互联网上的计算机“ping”防火墙和访问WWW服务器。
三.需求分析
1.需求分析及环境搭建:
根据实践任务的要求,使用一台Linux作为内部网络的服务器,在此主机上配置所需的服务内容,在做dhcp服务时为其分配一个固定的IP(192.168.123.125/24)与其网卡绑定;另外使用一台Linux主机作为内部网络(192.168.123.126/24)的代表机,采用动态IP获取的方式;另外,使用一台Linux主机作为连接内外网络的网关路由,在上面安装防火墙,配置基本的安全策略;最后,把我自己的主机当成外网的测试机(192.168.1.123/24)。
2.环境搭建方案拓扑:
如上拓扑图所示,内部网络的服务器和内测机是连接在同一虚拟机的虚拟网卡上的,作为一个内部的局域网;为作为防火墙的Linux主机添加两张网卡,作为内网口的网卡及内部网络以host-only的方式连接到虚拟网卡vmnet3上,作为外网口的网卡以桥接方式同真实主机连接。
四、服务配置及防火墙设置说明
1ftp服务器配置方法和步骤
(1)创建/var/vsftpd/upload目录
(2)修改/var/vsftpd/upload目录的权限
(3)编辑vsftpd.conf,添加以下内容
write_enable=yes//可写
anonymous_enable=yes//启用匿名用户
anon_root=/var/vsftpd//匿名用户登录的指定目录
anon_umask=022//设置文件创建的掩码
anon_upload_enable=yes
//匿名用户可以向具备写权限的目录上传文件
anon_mkdir_write_enable=yes
//匿名用户可以在具备写权限的目录创建新目录
anon_other_write_enable=yes
//是否允许匿名用户可以使用除了建立文件夹和上传文件以外其他的ftp写操作命令
user_config_dir=/etc/vsftpd/user_config_dir
//用户单独配置文件所在目录
local_enable=yes//启用本地用户
local_umask=026//设置文件创建的掩码
chroot_list_enable=no//不能切换到家目录之外,没有例外
chroot_local_user=yes//本地用户只能访问自己的家目录chroot_list_file=/var/vsftpd/chroot_list
//chroot_list的文件路径
userlist_enable=yes//启用userlist功能模块
userlist_deny=yes//拒绝userlist文件中用户登陆ftp服务
userlist_file=/var/vsftpd/user_list
//指定的userlist文件路径
(2)创建/var/vsftpd/chroot_list文件,内容如下:
Fayero//这两个用户只能登录到自己的家目录
clinux
(3)/var/vsftpd/user_list,内容如下:
root//不能用root用户登入ftp服务器
(4)在/var/vsftpd/user_config_dir目录下编辑clinux文件,内容如下:
write_enable=no//使clinux用户没有写的权限
2samba服务器配置说明
编辑配置文件:
vim/etc/samba/smb.conf,
(1)在[global]部分设置security=user//用户身份验证模式
(2)并添加以下内容:
[samba]
path=/tmp/samba//登录samba的目录
browsable=yes//允许浏览
readlist=user01//user01用户只有读的权限
writelist=@share//share组用户中有写的权限
3dns服务器配置说明
(1)配置主dns,编辑配置文件;
vim/var/named/chroot/etc/named.conf
vim/var/named/chroot/var/named/localhost.zone
vim/var/named/chroot/var/named/localhost.arpa
vim/var/named/chroot/var/named/jsj.zone
vim/var/named/chroot/var/named/jsj.arpa
查看错误:
tail/var/log/message
(2)配置辅助dns,只需配置主配置文件:
(3)修改/var/named的所有者和群组:
chown-Rnamed:
named/var/named
(4)在linux客户端,通过修改/etc/resolv.conf来设置主dns和辅dns:
nameserver192.168.2.x
nameserver192.168.2.y
4dhcp服务器配置说明
(1)编辑/etc/dhcpd.conf:
ddns-update-stylead-hoc;//更新方式
#default-lease-time28800;//默认租约期限
max-lease-time43200;//最大租约期限
optionsubnet-mask255.255.255.0;//子网掩码
optionbroadcast-address192.168.2.255;//广播地址
optionrouters192.168.2.10;//默认网关
optiondomain-name-servers59.77.139.1;//DNS服务器的IP地址
optiondomain-name"";//DNS域名
subnet192.168.2.0netmask255.255.255.0{
range192.168.2.1192.168.2.254;//可分配的IP地址范围
hosthostname{//给服务器绑定特定IP
hardwareethernet00:
0C:
29:
2B:
29:
3D;
fixed-address192.168.2.10;
}
}
5web服务器配置说明
(一)Apache服务器:
用户权限认证
(测试是否安装Apache服务器rpm–qa|grephttpd)
(1)编辑/etc/httpd/conf/httpd.conf,添加如下内容:
Alias/httpd“/var/www/httpd”//别名
OptionsIndexesMultiViews//允许列目录
DirectoryIndexindex.htmlindex.html.en//设置预设首页
AllowOverrideAuthConfig//启用身份认证
(2)在/var/www/httpd/目录下编辑.htgroup文件,内容如下:
allowuser:
jacktom//用户分组授权文件
(3)添加jack用户:
htpasswd–c/var/www/httpd/.htpasswdjack
(4)添加tom用户:
htpasswd/var/www/httpd/.htpasswdtom
(5)在//var/www/httpd目录下编辑.htaccess文件,内容如下:
AuthName“Thisisatest”//设置使用认证的领域
AuthTypeBasic//加密方式为Basic
AuthUserFile/var/www/httpd/.htpasswd//设置密码文件
AuthGroupFile//var/www/httpd/.htgroup//设置用户组文件路径
requiregroupallowuser//允许访问的群组
(二)基于ip地址的虚拟主机的配置
(1)编辑Apache主配置文件,主要内容如下:
ServerName192.168.2.11:
80//虚拟主机名
ServerAdminweb1@
DocumentRoot"/tmp/web1"//虚拟主机文档位置
DirectoryIndexindex.htmlindex.html.en//设置预设首页
ErrorLoglogs/web1/error_log//设置错误记录文档
CustomLoglogs/web1/access_logcombined
(2)添加两个虚拟IP,并创建相应的目录。
(三)Apache服务器:
个人主页(~test)配置
(1)添加用户test;
(2)编辑Apache主配置文件:
修改部分
UserDirdisable,在前面加“#”注释掉此行,并修改为UserDirenabletest;
继续向下查找UserDirpublic_html,将前面的“#”去掉,使生效。
保存退出//设置用户是否可以在自己的目录下建立public_html目录来放置网页。
(3)使用test用户登录:
在宿主目录下创建public_html目录,并在此目录下放置主页index.html,在home目录下,赋予其他用户对test有可执行的权限:
chmodo+xtest
6nfs服务的配置说明
编辑配置文件:
vim/etc/exports
/tmp/nfs192.168.2.10(rw,sync,no_root_squash)192.168.2.0/24(rw,sync,root_squash)//用户可读写,同步,有映射
/tmp/fayero*(rw,anonuid=501,anongid=501)
//登陆后映射为uid=501,gid=501的用户
7邮件服务器的配置方法和步骤
(一)邮件系统域名解析配置,MTA配置与安装,POP3与IMAP配置的步骤基本上和指导书上一致,参见附件。
(二)这里主要说明一下openwebmail软件安装时的注意事项。
(1)安装openwebmail软件包,所需软件包有
openwebmail-data-2.53-3.i386.rpm
openwebmail-2.53-3.i386.rpm
由于这两个软件包有依赖关系,安装时必须同时安装,否则会陷入死循环
rpm-ivhopenwebmail*.rpm
这两个软件包还有依赖性的软件包:
perl-suidperl-5.8.5-12.1.1.i386.rpm
perl-Text-Iconv-1.4-1.2.el4.rf.i386.rpm
需要在上面两个包安装前先安装。
(2)初始化openwebmail
cd/var/www/cgi-bin/openwebmail/
./openwebmail-tool.pl--init
(3)配置
vim/var/www/cgi-bin/openwebmail/etc/openwebmail.conf
修改domainnamesauto改成domainnames
default_languageen改成default_languagezh_CN.GB2312
default_iconsetCool3D.English改成default_iconsetCool3D.chinese.Simplified
8防火墙的配置方法和步骤
(1)防火墙的路由配置(eth0为内网口,eth1为外网口)
echo"1">/proc/sys/net/ipv4/ip_forward//开启linux的转发功能
(2)加载模块
modprodeip_tables//加载模块ip_tables
modprodeip_nat_ftp//加载模块ip_nat_ftp
(3)配置防火墙的nat转发功能
iptables-tnat-APREROUTING-d192.168.1.254-ieth1-jDNAT--to-destination192.168.2.10
//将外网目的地址为192.168.1.254的数据包转为目的地址192.168.2.10(服务器)上
iptables-tnat-APOSTROUTING-s192.168.2.10-oeth1-jSNAT--to-source192.168.1.254
//将源地址为192.168.2.10的数据包转为源地址为192.168.1.254的数据包
iptables-tnat-APREROUTING-d192.168.1.253-ieth1-jDNAT--to-destination192.168.2.1-192.168.2.254
//将目标地址和源地址对应
iptables-tnat-APOSTROUTING-s192.168.2.0/255.255.255.0-oeth1-jSNAT--to-source192.168.1.253//将源地址和目标地址对应
(4)允许内部局域网到互联网的全部数据通过防火墙,允许互联网上的计算机“ping”防火墙和访问WWW服务器。
iptables-PFORWARDDROP //FORWARD转发策略为DROP
iptables-AFORWARD-ieth1-oeth1-ptcp--dport80-jACCEPT
//转发从外网向内网发送的http请求,允许外网访问内网的web
Iptables–AFORWAED–ieth0–oeth1–jACCEPT
//允许转发内网向外网发送的任何数据
iptables–AFORWARD-ieth1-oeth0-mstate--stateESTABLISHED,RELATED-jACCEPT
//转发从外网到内网的处于ESTABLISHED,RELEAED状态的信息
iptables-PINPUTDROP
iptables-AINPUT-picmp-jACCEPT//只允许ping防火墙
六.总结
这次的实践,将我们所学的网络操作系统的知识联系在一起,还新加了我们还没有学过的邮件服务的配置,同时也让我们自行搭建网络环境。
实践的环境并不是现实的真实网络,我们用虚拟机虚拟了整个实验的环境,出现一个问题就要发好多时间来解决,调试。
在宿舍做实验的时候,装了两台虚拟机电脑就卡的不行了,把有的不用的一些配置关掉还是没多大改变,后来在同学的电脑上才能勉强完成实验要求的将服务器和防火墙连接起来。
通过实践,我对各种重要服务器的配置熟悉了很多,实验中遇到的种种问题也让我们感到烦躁痛苦,体会到我们在这方面的学习还有很多知识要学。
升级会员 