网络督察安装培训课件

资源描述

《网络督察安装培训课件》由会员分享，可在线阅读，更多相关《网络督察安装培训课件（96页珍藏版）》请在金锄头文库上搜索。

1、 Copyright 2006 Pronetway All rights reserved2006-3-8网络督察安装培训2 2 。 Copyright 2006 Pronetway All rights reserved目录目录安装准备安装准备安装方式安装方式网络配置网络配置接入方案接入方案后台设置后台设置3 3 。 Copyright 2006 Pronetway All rights reserved安装准备安装准备安装场地安装场地电源要求电源要求上架要求上架要求4 4 。 Copyright 2006 Pronetway All rights reserved场地要求场地要求网络督察设

2、备可以安装在工作台网络督察设备可以安装在工作台上，也可以安装在上，也可以安装在19”标准机架上。标准机架上。安装地方要预留适当的空间，以安装地方要预留适当的空间，以便通风散热和日常维护。便通风散热和日常维护。 5 5 。 Copyright 2006 Pronetway All rights reserved电源要求电源要求在安装网络督察前请检查输入电源，确保其符合要求并是稳定不间断的在安装网络督察前请检查输入电源，确保其符合要求并是稳定不间断的输入源，有必要的话要加装输入源，有必要的话要加装UPS等稳压设备。等稳压设备。设备要正确接地以避免雷击和电流波动等灾难。设备要正确接地以避免雷击和电流

3、波动等灾难。网络督察的输入交流电压是网络督察的输入交流电压是220V，需要一个，需要一个220V国标交流电插座。国标交流电插座。6 6 。 Copyright 2006 Pronetway All rights reserved上架要求上架要求设备上架前需要安装机架固定吊耳，吊耳在随机附件内。设备上架前需要安装机架固定吊耳，吊耳在随机附件内。19”机架必须有足够的安装空间，设备安装后空气流通循环通畅。机架必须有足够的安装空间，设备安装后空气流通循环通畅。设备上架时注意不要堵住设备的通风口，安装在滑动槽轨上时，注意能设备上架时注意不要堵住设备的通风口，安装在滑动槽轨上时，注意能固定的地方都要固定

4、稳妥。固定的地方都要固定稳妥。设备安装在一个封闭的并顶上装有风扇的机架的话，注意机架底部的设设备安装在一个封闭的并顶上装有风扇的机架的话，注意机架底部的设备之间要保留足够的通风空间备之间要保留足够的通风空间，以保证循环通风。，以保证循环通风。合理地布放机架隔板会使空气有效地循环，加强设备散热效果。合理地布放机架隔板会使空气有效地循环，加强设备散热效果。7 7 。 Copyright 2006 Pronetway All rights reserved上架要求上架要求设备上架前需要安装机架固定吊耳，吊耳在随机附件内。设备上架前需要安装机架固定吊耳，吊耳在随机附件内。19”机架必须有足够的安装空间

5、，设备安装后空气流通循环通畅。机架必须有足够的安装空间，设备安装后空气流通循环通畅。设备上架时注意不要堵住设备的通风口，安装在滑动槽轨上时，注意能设备上架时注意不要堵住设备的通风口，安装在滑动槽轨上时，注意能固定的地方都要固定稳妥。固定的地方都要固定稳妥。设备安装在一个封闭的并顶上装有风扇的机架的话，注意机架底部的设设备安装在一个封闭的并顶上装有风扇的机架的话，注意机架底部的设备之间要保留足够的通风空间备之间要保留足够的通风空间，以保证循环通风。，以保证循环通风。合理地布放机架隔板会使空气有效地循环，加强设备散热效果。合理地布放机架隔板会使空气有效地循环，加强设备散热效果。8 8 。 Copy

6、right 2006 Pronetway All rights reserved目录目录安装准备安装准备安装方式安装方式网络配置网络配置接入方案接入方案后台设置后台设置9 9 。 Copyright 2006 Pronetway All rights reserved安装方式安装方式旁路方式旁路方式网桥模式网桥模式网关模式网关模式1010 。 Copyright 2006 Pronetway All rights reserved旁路方式旁路方式采用旁路方式的主要优点采用旁路方式的主要优点安装时不影响原有网络拓朴结构安装时不影响原有网络拓朴结构设备配置简单设备配置简单不影响数据传输性能不影响数

7、据传输性能设备故障不影响业务设备故障不影响业务采用旁路方式的主要缺点采用旁路方式的主要缺点部分控制功能不能实现部分控制功能不能实现需要共享网络设备或交换机镜像需要共享网络设备或交换机镜像1111 。 Copyright 2006 Pronetway All rights reserved网桥方式网桥方式采用网桥方式的主要优点采用网桥方式的主要优点安装基本不影响原有网络拓朴结构安装基本不影响原有网络拓朴结构设备配置简单设备配置简单完全监控网络进出数据完全监控网络进出数据采用网桥方式的主要缺点采用网桥方式的主要缺点部分防火墙功能不能实现部分防火墙功能不能实现设备故障影响业务设备故障影响业务1212

8、。 Copyright 2006 Pronetway All rights reserved网关方式网关方式采用网关方式的主要优点采用网关方式的主要优点能实现防火墙所有功能能实现防火墙所有功能易于远程维护易于远程维护完全监控网络进出数据完全监控网络进出数据采用网关方式的主要缺点采用网关方式的主要缺点安装可能影响原有网络结构安装可能影响原有网络结构设备配置复杂设备配置复杂设备故障影响业务设备故障影响业务1313 。 Copyright 2006 Pronetway All rights reserved目录目录安装准备安装准备安装方式安装方式网络配置网络配置接入方案接入方案后台设置后台设置14

9、14 。 Copyright 2006 Pronetway All rights reserved接入方案接入方案网络结构网络结构邮件构架邮件构架实现功能实现功能管理方式管理方式接入方案举例接入方案举例1515 。 Copyright 2006 Pronetway All rights reserved网络结构网络结构用户出口的流量和需管理的电脑数量用户出口的流量和需管理的电脑数量网络督察接入的接口类型网络督察接入的接口类型用户是多网段的还是单网段的用户是多网段的还是单网段的用户用户IP地址是固定的还是动态分配地址是固定的还是动态分配局域网核心交换机到局域网核心交换机到Internet出口部分

10、的网络结构出口部分的网络结构邮件服务器系统的安装位置，邮件系统使用的协议邮件服务器系统的安装位置，邮件系统使用的协议用户上网的路由，是否有多条路径用户上网的路由，是否有多条路径是否通过代理服务器上网，使用什么代理协议是否通过代理服务器上网，使用什么代理协议1616 。 Copyright 2006 Pronetway All rights reserved邮件系统工作原理邮件系统工作原理1717 。 Copyright 2006 Pronetway All rights reserved邮件构架邮件构架用户使用什么客户端收发邮件，采用什么协议用户使用什么客户端收发邮件，采用什么协议邮件服务器在

11、局域网内还是外网邮件服务器在局域网内还是外网有没有通过代理收发邮件有没有通过代理收发邮件邮件服务器的安装位置，邮件服务器采用什么协议外发邮件邮件服务器的安装位置，邮件服务器采用什么协议外发邮件用户需要监控邮件还是拦截邮件，还是二者兼有用户需要监控邮件还是拦截邮件，还是二者兼有注意注意LotusNotes或或Exchange邮件服务器可能采用专用的协议和客户端邮件服务器可能采用专用的协议和客户端通信通信1818 。 Copyright 2006 Pronetway All rights reserved实现功能实现功能功能功能旁路方式旁路方式网关方式网关方式网网桥方式方式上网监控上网控制（TCP

12、）上网控制（UDP） ( QQ除外 )上网统计分析内容监控邮件拦截带宽管理用户管理用户同步认证自动备份防火墙网关注：表示不能实现表示可实现1919 。 Copyright 2006 Pronetway All rights reserved管理方式管理方式管理方式管理方式描述描述优先级优先级基于IP地址根据数据包的源IP地址信息确认用户身份3基于MAC地址根据数据包的源IP地址信息查询得到的MAC地址信息确认用户身份3本地验证根据验证通过的用户信息确认用户身份3第三方验证采集其它验证设备的信息来确认用户身份3禁止访问禁止设定范围内的IP上网，常用于空闲IP管理2免监控对设定范围内的IP不做

13、任何控制和记录1注：基于IP地址、基于MAC地址、本地验证和第三方验证的管理IP范围段不能重复2020 。 Copyright 2006 Pronetway All rights reserved需求一需求一Internet和内部局域网通过防火墙隔和内部局域网通过防火墙隔离，内部局域网划分成多个离，内部局域网划分成多个VLAN段，段，用户计算机的用户计算机的IP地址都是动态分配的，地址都是动态分配的，邮件服务器在局域网内邮件服务器在局域网内需实现功能需实现功能访问日志和内容记录访问日志和内容记录用户上网权限控制用户上网权限控制带宽管理带宽管理邮件拦截邮件拦截2121 。 Copyright

14、2006 Pronetway All rights reserved方案一方案一网络督察的二个口做成网桥模式网络督察的二个口做成网桥模式网络督察串接在防火墙和局域网核心网络督察串接在防火墙和局域网核心交换机之间交换机之间将连接将连接DHCPDHCP端口数据镜像到网络督察端口数据镜像到网络督察一个空闲的端口一个空闲的端口采用基于采用基于MACMAC地址管理方式，也可采用地址管理方式，也可采用本地验证方式，不需要镜像本地验证方式，不需要镜像DHCPDHCP端口端口2222 。 Copyright 2006 Pronetway All rights reserved需求二需求二有有ADSL和和DDN

15、两个网络出口。邮件两个网络出口。邮件服务器上有二块网卡，一块配公网服务器上有二块网卡，一块配公网IP连连Internet，一块配内网，一块配内网IP连局域网，连局域网，总共一个局域网段总共一个局域网段需实现功能需实现功能访问日志和内容记录访问日志和内容记录用户上网权限控制用户上网权限控制带宽管理带宽管理邮件拦截邮件拦截2323 。 Copyright 2006 Pronetway All rights reserved方案二方案二增加一个交换机，将增加一个交换机，将ADSLADSL和和DDNDDN路由器路由器内网接口都连接到交换机上内网接口都连接到交换机上网络督察的三个口都做成网桥模式网络督

16、察的三个口都做成网桥模式网络督察串接在交换机和局域网核心网络督察串接在交换机和局域网核心交换机之间交换机之间邮件服务器内网接口连接到网络督察邮件服务器内网接口连接到网络督察采用基于采用基于IPIP或或MACMAC地址管理方式，可以地址管理方式，可以做做IPIP和和MACMAC地址绑定地址绑定2424 。 Copyright 2006 Pronetway All rights reserved需求三需求三Internet和内部局域网通过防火墙隔离，内和内部局域网通过防火墙隔离，内部局域网访问部局域网访问Internet都需要通过代理服务都需要通过代理服务器器。用户的。用户的IP地址都是固定的，

17、被划分在地址都是固定的，被划分在不同的不同的VLAN段内，其网关设置路由器的地段内，其网关设置路由器的地址，路由器跟其他城市的集团网相连。用址，路由器跟其他城市的集团网相连。用户访问户访问Internet通过在浏览器等工具里设置通过在浏览器等工具里设置代理服务器实现。防火墙只有代理服务器实现。防火墙只有5个连接许可个连接许可需实现功能需实现功能访问日志和内容记录访问日志和内容记录用户上网权限控制用户上网权限控制带宽管理带宽管理2525 。 Copyright 2006 Pronetway All rights reserved方案三方案三由于防火墙上的许可有限，在网络督察上启动由于防火墙上的许

18、可有限，在网络督察上启动NAT功能做地址转换，网络督察做成网关模式功能做地址转换，网络督察做成网关模式网络督察替换掉原来的代理服务器，外网口连网络督察替换掉原来的代理服务器，外网口连防火墙，内网口连局域网交换机，外网口和内防火墙，内网口连局域网交换机，外网口和内网口的地址均为原来代理服务器的地址网口的地址均为原来代理服务器的地址用户计算机上去掉原来的代理设置，访问用户计算机上去掉原来的代理设置，访问Internet都通过路由模式实现都通过路由模式实现在连通其他城市的路由器上修改配置，将访问在连通其他城市的路由器上修改配置，将访问Internet的数据包转发到网络督察的内网口上的数据包转发到网络

19、督察的内网口上采用基于采用基于IPIP地址管理方式地址管理方式2626 。 Copyright 2006 Pronetway All rights reserved需求四需求四有四个有四个ADSL出口，出口，ADSL都连接在一都连接在一普通交换机上，可上网的计算机都集普通交换机上，可上网的计算机都集中在公共上网区域中在公共上网区域需实现功能需实现功能访问日志和内容记录访问日志和内容记录用户上网权限控制用户上网权限控制利用员工利用员工IC卡来验证用户卡来验证用户2727 。 Copyright 2006 Pronetway All rights reserved方案四方案四将普通交换机换成集

20、线器将普通交换机换成集线器网络督察做成旁路模式网络督察做成旁路模式每个公共上网计算机都连接一个每个公共上网计算机都连接一个ICIC卡卡读卡器读卡器采用基于第三方验证同步采用基于第三方验证同步ICIC卡验证方卡验证方式，需在公共上网计算机上安装式，需在公共上网计算机上安装ICIC卡卡同步验证程序同步验证程序2828 。 Copyright 2006 Pronetway All rights reserved需求五需求五有二个网络出口，核心交换机、路由有二个网络出口，核心交换机、路由器都是二个，邮件服务器为器都是二个，邮件服务器为LotusNotes，邮件通过，邮件通过MailRelay转发转发

21、需实现功能需实现功能邮件拦截邮件拦截2929 。 Copyright 2006 Pronetway All rights reserved方案五方案五网络督察的做成网桥模式网络督察的做成网桥模式网络督察串接在核心交换机和网络督察串接在核心交换机和Mail Mail RelayRelay服务器之间服务器之间3030 。 Copyright 2006 Pronetway All rights reserved需求六需求六有有DDN和和ADSL二个网络出口，客户二个网络出口，客户计算机的缺省网关指向三层核心交换计算机的缺省网关指向三层核心交换机，客户计算机上网通过机，客户计算机上网通过ISA代理服代

22、理服务器，三层交换机的缺省路由指向连务器，三层交换机的缺省路由指向连接接DDN的路由器的路由器，用户，用户IP地址固定地址固定需实现功能需实现功能访问日志和内容记录访问日志和内容记录用户上网权限控制用户上网权限控制带宽管理带宽管理3131 。 Copyright 2006 Pronetway All rights reserved方案六方案六网络督察的做成网桥模式网络督察的做成网桥模式网络督察串接在网络督察串接在ISAISA服务器和局域网核服务器和局域网核心交换机之间心交换机之间采用基于采用基于IPIP地址管理方式地址管理方式3232 。 Copyright 2006 Pronetway

23、All rights reserved需求七需求七每个机房有台教师机，上有二块网卡，每个机房有台教师机，上有二块网卡，学生机通过教师机学生机通过教师机NAT上网。三层交上网。三层交换机接防火墙，防火墙有二个出口，换机接防火墙，防火墙有二个出口，分别连分别连Internet和教育网。和教育网。需实现功能需实现功能所有电脑的访问日志和内容记录所有电脑的访问日志和内容记录用户上网权限控制用户上网权限控制带宽管理带宽管理3333 。 Copyright 2006 Pronetway All rights reserved方案七方案七网络督察的做成网桥模式网络督察的做成网桥模式网络督察串接在防火墙和三层

24、核心交网络督察串接在防火墙和三层核心交换机之间换机之间机房的交换机直接和三层交换机相连机房的交换机直接和三层交换机相连在三层交换机上划分网段、设置路由在三层交换机上划分网段、设置路由3434 。 Copyright 2006 Pronetway All rights reserved需求八需求八每个学校分别连接到对应的市或区教每个学校分别连接到对应的市或区教委，市或区教委都有单独的委，市或区教委都有单独的Internet出口出口需实现功能需实现功能所有电脑的访问日志和内容记录所有电脑的访问日志和内容记录用户上网权限控制用户上网权限控制3535 。 Copyright 2006 Pronetwa

25、y All rights reserved方案八方案八采用分布式管理系统采用分布式管理系统每个市或区教委在每个市或区教委在InternetInternet出口处使出口处使用旁路方式接个网络督察用旁路方式接个网络督察在市教委安装一台网络督察管理中心在市教委安装一台网络督察管理中心在管理中心上统一监控全市学校的上在管理中心上统一监控全市学校的上网情况网情况3636 。 Copyright 2006 Pronetway All rights reserved目录目录安装准备安装准备安装方式安装方式网络配置网络配置接入方案接入方案后台设置后台设置3737 。 Copyright 2006 Pronet

26、way All rights reserved网络配置网络配置Linux网络配置网络配置iptables介绍介绍旁路配置旁路配置网桥配置网桥配置网关配置网关配置邮件拦截配置邮件拦截配置3838 。 Copyright 2006 Pronetway All rights reserved登录登录Linux系统系统HostName栏填设备的栏填设备的IP地址地址Port栏填栏填22Protocol选选SSH3939 。 Copyright 2006 Pronetway All rights reserved配置查看配置查看IP地址地址ifconfiginterfaceifconfiginterfa

27、ceaftypeoptions|address.举例：举例：ifconfig|more查看所有网络接口的配置参数和运行状态查看所有网络接口的配置参数和运行状态ifconfigeth0查看查看eth0网络接口的配置参数和运行状态网络接口的配置参数和运行状态ifconfigeth0down关闭关闭eth0网络接口网络接口ifconfigeth0up启动启动eth0网络接口网络接口ifconfigeth0promisc将将eth0网卡置为混杂模式网卡置为混杂模式ifconfigeth0192.168.0.118netmask255.255.255.0配置配置eth0的的IP地址为地址为192.168

28、.0.1184040 。 Copyright 2006 Pronetway All rights reserved配置查看路由配置查看路由route-nrouteadd-net|-host目标主机或网段目标主机或网段netmaskgw|devroutedel-net|-host目标主机或网段目标主机或网段netmaskgw|dev举例：举例：route-n查看路由查看路由routeadddefaultgateway192.168.0.1添加缺省网关添加缺省网关routeadd-net172.16.0.0/16gateway192.168.0.254添加添加172.16.0.0/16网段的路由网

29、段的路由routedel-net172.16.0.0/16gateway192.168.0.254 删除删除172.16.0.0/16网段的路由网段的路由4141 。 Copyright 2006 Pronetway All rights reserved配置查看网桥配置查看网桥brctladdbr网桥名网桥名brctladdif网桥名网桥名网络接口网络接口brctldelbr网桥名网桥名brctldelif网桥名网桥名网络接口网络接口举例：举例：brctladdbrpronc添加网桥添加网桥proncbrctladdifpronceth0将网卡将网卡eth0绑定到绑定到pronc网桥网桥br

30、ctladdifpronceth1将网卡将网卡eth1绑定到绑定到pronc网桥网桥brctlshow显示所设定的网桥显示所设定的网桥4242 。 Copyright 2006 Pronetway All rights reserved配置配置DNS/etc/resolv.conf举例：举例：more/etc/resolv.confnameserver202.96.209.6nameserver202.96.199.1334343 。 Copyright 2006 Pronetway All rights reserved配置配置ADSL/usr/sbin/adsl-setup配置配置ADSL

31、拨号参数拨号参数/usr/sbin/adsl-start启动启动PPPOE客户端软件进行连接。如果成功，将出现客户端软件进行连接。如果成功，将出现Connected，如果不成功，请检查网线、，如果不成功，请检查网线、ADSLMODEM等物理设备，并查看等物理设备，并查看/var/log/messages中的信息中的信息/usr/sbin/adsl-stop关闭关闭ADSL和和ISP的连接。的连接。/usr/sbin/adsl-status查看当前连接的状态。查看当前连接的状态。4444 。 Copyright 2006 Pronetway All rights reserved网络配置网络配置

32、Linux网络配置网络配置iptables介绍介绍旁路配置旁路配置网桥配置网桥配置网关配置网关配置邮件拦截配置邮件拦截配置4545 。 Copyright 2006 Pronetway All rights reserved防火墙基本上都是设定防火墙规则防火墙基本上都是设定防火墙规则(RULES)来规范封包的处理。来规范封包的处理。iptables将不同的规则集合起来将不同的规则集合起来放进不同的链放进不同的链(CHAINS)。iptables的的三三个个内内建建链链(Built-inChains)分分别别是是INPUTOUTPUT与与FORWARD。iptables工具主要具备三个工具主要具

33、备三个tables，table中包含中包含chains，chains里面包含的就是里面包含的就是rules和和policies。 Iptables结构结构4646 。 Copyright 2006 Pronetway All rights reserved TheIPdatagramisreceived.(1)Ifthedatagramisforthismachine,itisprocessedlocally.(2)Forward(3)Datagramsfromlocalprocessesaresenttotheroutingsoftwareforforwardingtotheappropri

34、ateinterface.(4)TheIPdatagramistransmitted.(5)Inputruleisappliedatflow2.Outputruleisappliedatflow4.IP数据包流向数据包流向4747 。 Copyright 2006 Pronetway All rights reservedOUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行S

35、NAT的socket替換。OUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。OUTPUT是是localprocess产生的封包才会经过。产生的封包才会经过。PREROUTING就是在就是在ROUTING之前之前通常是封包从一个界面进入之后通常是封包从一个界面进入之后尚未交给路由判断之前的处理尚未交给路由判断之前的处理在这里进行在这里进行DNAT的

36、的socket替换替换POSTROUTING则是在路由判断之后则是在路由判断之后通常是当封包离开界面之前的处理，通常是当封包离开界面之前的处理，在这里进行在这里进行SNAT的的socket替换。替换。Chain结构结构4848 。 Copyright 2006 Pronetway All rights reservedOUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNA

37、T的socket替換。OUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。增强网络地址转换增强网络地址转换(NAT) SNAT (Source Network Address Translation) change source address of packet. DNAT (Destination Network Address Transl

38、ation) change destination address of packet. 增强的封包检视增强的封包检视 IPTables可以检查所有可以检查所有6个个TCP旗标。旗标。IPTables可以详细的指定一连串的来源或目的端口，而非只有单一端口。可以详细的指定一连串的来源或目的端口，而非只有单一端口。 MAC地址过滤地址过滤可以使用可以使用MAC AddressMAC Address做为过滤的条件。做为过滤的条件。一定比例的限制条件一定比例的限制条件抵挡拒绝服务的攻击抵挡拒绝服务的攻击(像是大量像是大量syn)和端口的扫描，而且也限制重复的程序上登入的次数。和端口的扫描，而且也

39、限制重复的程序上登入的次数。服务的优先级类型服务的优先级类型(TOS) 传输可以依优先级到不同的排列里。效率尽可能在可靠度最大、花费最少及标准的服务。传输可以依优先级到不同的排列里。效率尽可能在可靠度最大、花费最少及标准的服务。 Iptables主要功能主要功能4949 。 Copyright 2006 Pronetway All rights reservedOUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通

40、常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。OUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。#iptables-t table commandmatch target / jump the -t option specifies which table to use, Per default, the filter ta

41、ble is used.nattablethe nat table is used mainly for Network Address Translation.mangletablethis table is used mainly for mangling packets. Examples of this would be to change the TTL, TOS or MARK.filtertableThe filter table should be used for filtering packets generally.5050 。 Copyright 2006 Pronet

42、way All rights reservedOUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。OUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面

43、之前的處理，在這裡進行SNAT的socket替換。#iptables-t table commandmatch target / jump 建立一个新的(自定)链 ( -N )。删除一个空的(自定)链 ( -X )。改变一个内建链的原则 ( -P )。列出一个链中的规则 ( -L )。清除一个(内建)链中的所有规则 ( -F )。在一个链的最后面新增( append ) 一条规则 ( -A )。在链内某个位置插入( insert ) 一条新规则( -I )。在链内某个位置替换( replace ) 一条规则 ( -R )。在链内某个位置删除( delete ) 一条规则 ( -

44、D )。 command (manage whole chains)5151 。 Copyright 2006 Pronetway All rights reservedOUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。OUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之

45、後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。#iptables-t table commandmatch target / jump Genericmatchesiptables-AINPUT-ptcpiptables-AINPUT-s192.168.1.1iptables-AINPUT-d192.168.1.1iptables-AINPUT-ieth0iptables-AFORWARD-oeth0iptables-AINPUT-fragmentTCPmatches

46、iptables-AINPUT-ptcp-sport22iptables-AINPUT-ptcp-dport22iptables-ptcp-tcp-flagsSYN,ACK,FINSYNUDPmatchesiptables-AINPUT-pudp-sport53iptables-AINPUT-pudp-dport53ICMPmatchesiptables-AINPUT-picmp-icmp-type8MACmatchiptables-AINPUT-mac-source00:00:00:00:00:015252 。 Copyright 2006 Pronetway All rights rese

47、rvedOUTPUT是localprocess產生的封包才會經過。PREROUTING就是在ROUTING之前通常是封包從一個界面進入之後尚未交給路由判斷之前的處理在這裡進行DNAT的socket替換POSTROUTING則是在路由判斷之後通常是當封包離開界面之前的處理，在這裡進行SNAT的socket替換。#iptables-t table commandmatch target / jump ACCEPTtarget接受这个封包接受这个封包也就是可以通过规则检验而放行也就是可以通过规则检验而放行顺利通过这个链。顺利通过这个链。iptables-AINPUT-ieth0-s210.74.23

48、9.0/24-jACCEPTDROPtarget丢弃这个封包丢弃这个封包也就不能通过规则检验而被挡掉。也就不能通过规则检验而被挡掉。iptables-AINPUT-ieth1-picmp-jDROPSNATtargetiptables-tnat-APOSTROUTING-oeth0-jSNAT-to-source140.116.164.179修改为特定的源地址修改为特定的源地址DNATtargetiptables-tnat-APREROUTING-ptcp-d140.116.164.179-dport80-jDNAT-to-destination1.2.3.1-1.2.3.9修改为特定的目的地

49、址和端口修改为特定的目的地址和端口MASQUERADEtarget动态的根据路由判断后的接口而修改源地址动态的根据路由判断后的接口而修改源地址iptables-tnat-APOSTROUTING-oppp0-jMASQUERADEREDIRECTtargetiptables-tnat-APREROUTING-ieth0-ptcp-dport80-jREDIRECT-to-port3128重定向重定向80端口到端口到3128端口端口5353 。 Copyright 2006 Pronetway All rights reserved网络配置网络配置Linux网络配置网络配置iptables介绍介

50、绍旁路配置旁路配置网桥配置网桥配置网关配置网关配置邮件拦截配置邮件拦截配置5454 。 Copyright 2006 Pronetway All rights reserved旁路接入（集线器）旁路接入（集线器）5555 。 Copyright 2006 Pronetway All rights reserved旁路接入（集线器）界面配置旁路接入（集线器）界面配置5656 。 Copyright 2006 Pronetway All rights reserved旁路接入（集线器）命令配置旁路接入（集线器）命令配置rootProEIMbin#more/home/ncmysql/nc/bin/s

51、tartnet#ThisByProEIMVersion5.05#PoweredByPronetway#ConfigNetworkInterfaceIpAddress/sbin/ifconfigeth00.0.0.0netmask255.255.255.0/sbin/ifconfigeth1192.168.0.194netmask255.255.255.0/sbin/ifconfigeth2192.168.218.218netmask255.255.255.0#AccesswayisBypass#ConfigRoute/sbin/routeadddefaultgateway192.168.0.1

52、#ConfigIptables5757 。 Copyright 2006 Pronetway All rights reserved旁路接入（交换机镜像）旁路接入（交换机镜像）5858 。 Copyright 2006 Pronetway All rights reserved旁路接入（交换机镜像）界面配置旁路接入（交换机镜像）界面配置5959 。 Copyright 2006 Pronetway All rights reserved旁路接入（交换机镜像）命令配置旁路接入（交换机镜像）命令配置rootProEIMbin#more/home/ncmysql/nc/bin/startnet#Th

53、isByProEIMVersion5.05#PoweredByPronetway#ConfigNetworkInterfaceIpAddress/sbin/ifconfigeth0192.168.0.194netmask255.255.255.0/sbin/ifconfigeth10.0.0.0netmask255.255.255.0/sbin/ifconfigeth2192.168.218.218netmask255.255.255.0#AccesswayisBypass#ConfigRoute/sbin/routeadddefaultgateway192.168.0.1#ConfigIpt

54、ables6060 。 Copyright 2006 Pronetway All rights reserved网络配置网络配置Linux网络配置网络配置iptables介绍介绍旁路配置旁路配置网桥配置网桥配置网关配置网关配置邮件拦截配置邮件拦截配置6161 。 Copyright 2006 Pronetway All rights reserved网桥接入网桥接入6262 。 Copyright 2006 Pronetway All rights reserved网桥接入界面配置网桥接入界面配置6363 。 Copyright 2006 Pronetway All rights reserv

55、ed网桥接入命令配置网桥接入命令配置rootProEIMbin#more/home/ncmysql/nc/bin/startnet#ConfigNetworkInterfaceIpAddress/sbin/ifconfigeth0192.168.169.169netmask255.255.255.0/sbin/ifconfigeth1192.168.168.168netmask255.255.255.0/sbin/ifconfigeth2192.168.218.218netmask255.255.255.0#AccesswayisBridge#BeginConfigBridge/home/nc

56、mysql/nc/bin/brctladdbrpronc/sbin/ifdowneth0/sbin/ifconfigeth00.0.0.0/home/ncmysql/nc/bin/brctladdifpronceth0/sbin/ifdowneth1/sbin/ifconfigeth10.0.0.0/home/ncmysql/nc/bin/brctladdifpronceth1/sbin/ifconfigpronc192.168.0.194netmask255.255.255.0#EndConfigBridge#ConfigRoute/sbin/routeadddefaultgateway19

57、2.168.0.16464 。 Copyright 2006 Pronetway All rights reserved网络配置网络配置Linux网络配置网络配置iptables介绍介绍旁路配置旁路配置网桥配置网桥配置网关配置网关配置邮件拦截配置邮件拦截配置6565 。 Copyright 2006 Pronetway All rights reserved网关接入（动态网关接入（动态IP）6666 。 Copyright 2006 Pronetway All rights reserved网关接入（动态网关接入（动态IP）界面配置）界面配置6767 。 Copyright 2006 Pron

58、etway All rights reserved网关接入（动态网关接入（动态IP）命令配置）命令配置rootProEIMbin#more/home/ncmysql/nc/bin/startnet#ThisByProEIMVersion5.05#PoweredByPronetway#ConfigNetworkInterfaceIpAddress/sbin/ifconfigeth00.0.0.0netmask255.255.255.252/sbin/ifconfigeth1192.168.0.1netmask255.255.255.0/sbin/ifconfigeth2192.168.218.2

59、18netmask255.255.255.0#AccesswayisGateway#ConfigRoute#ConfigIptables/sbin/iptables-tnat-APOSTROUTING-oppp0-jMASQUERADE6868 。 Copyright 2006 Pronetway All rights reserved网关接入（固定网关接入（固定IP）6969 。 Copyright 2006 Pronetway All rights reserved网关接入（固定网关接入（固定IP）界面配置）界面配置7070 。 Copyright 2006 Pronetway All r

60、ights reserved网关接入（固定网关接入（固定IP）命令配置）命令配置rootProEIMbin#more/home/ncmysql/nc/bin/startnet#ThisByProEIMVersion5.05#PoweredByPronetway#ConfigNetworkInterfaceIpAddress/sbin/ifconfigeth0192.236.50.154netmask255.255.255.252/sbin/ifconfigeth1192.168.0.1netmask255.255.255.0/sbin/ifconfigeth2192.168.218.218ne

61、tmask255.255.255.0#AccesswayisGateway#ConfigRoute/sbin/routeadddefaultgateway192.236.50.153#ConfigIptables/sbin/iptables-tnat-APOSTROUTING-oeth0-jSNAT-to192.236.50.1547171 。 Copyright 2006 Pronetway All rights reserved网络配置网络配置Linux网络配置网络配置iptables介绍介绍旁路配置旁路配置网桥配置网桥配置网关配置网关配置邮件拦截配置邮件拦截配置7272 。 Copyri

62、ght 2006 Pronetway All rights reserved邮件拦截邮件拦截7373 。 Copyright 2006 Pronetway All rights reserved邮件拦截界面配置邮件拦截界面配置7474 。 Copyright 2006 Pronetway All rights reserved邮件拦截命令配置邮件拦截命令配置rootProEIMbin#more/home/ncmysql/nc/bin/startnet#ConfigNetworkInterfaceIpAddress/sbin/ifconfigeth0192.168.169.169netmask2

63、55.255.255.252/sbin/ifconfigeth1192.168.168.168netmask255.255.255.0/sbin/ifconfigeth2192.168.218.218netmask255.255.255.0#AccesswayisBridge#BeginConfigBridge/home/ncmysql/nc/bin/brctladdbrpronc/sbin/ifdowneth0/sbin/ifconfigeth00.0.0.0/home/ncmysql/nc/bin/brctladdifpronceth0/sbin/ifdowneth1/sbin/ifcon

64、figeth10.0.0.0/home/ncmysql/nc/bin/brctladdifpronceth1/sbin/ifdowneth2/sbin/ifconfigeth20.0.0.0/home/ncmysql/nc/bin/brctladdifpronceth2/sbin/ifconfigpronc192.168.0.194netmask255.255.255.0#EndConfigBridge#ConfigRoute/sbin/routeadd-net192.168.0.0/16gateway192.168.0.2/sbin/routeadddefaultgateway192.168

65、.0.1#ConfigIptables/sbin/iptables-tnat-APREROUTING-ipronc-ptcp-dport25-jREDIRECT-to-port80257575 。 Copyright 2006 Pronetway All rights reserved目录目录安装准备安装准备安装方式安装方式网络配置网络配置接入方案接入方案后台设置后台设置日常维护日常维护7676 。 Copyright 2006 Pronetway All rights reserved启动脚本启动脚本rootProEIMbin#more/etc/rc.local/sbin/modprobei

66、p_conntrack_ftp#加载加载FTP模块模块/sbin/modprobeipt_REDIRECT/sbin/modprobeip_nat_ftpsleep5cd/home/ncmysql/nc/bin#配置网络配置网络./ncstartnet/home/ncmysql/nc/bin/startnetsleep3cd/usr/local/mysql/bin#启动数据库启动数据库./safe_mysqld&sleep3cd/home/ncmysql/nc/httpd/logs#启动启动Web服务服务rm-fhttpd.pidrm-fssl_gcache_datacd/home/ncmys

67、ql/nc/httpd/bin./apachectlstartsslsleep3cd/home/ncmysql/nc/bin#启动网络督察服务启动网络督察服务./proeim7777 。 Copyright 2006 Pronetway All rights reservedStartnc脚本脚本rootProEIMbin#more/home/ncmysql/nc/bin/startnc/cd/home/ncmysql/nc/bin./nc#启动网络督察主进程启动网络督察主进程sleep3./ncsmtp#启动邮件拦截进程启动邮件拦截进程sleep3echo“262144”/proc/sys/

68、net/ipv4/ip_conntrack_max #设置最大设置最大IP连接数连接数7878 。 Copyright 2006 Pronetway All rights reservedStopnc脚本脚本rootProEIMbin#more/home/ncmysql/nc/bin/stopnckillall-9nc#停止网络督察主进程停止网络督察主进程killall-9nckillall-9ncsmtp#停止邮件拦截进程停止邮件拦截进程killall-9ncsmtpsleep3/sbin/tcqdiscdeldeveth1root#清除带宽管理规则清除带宽管理规则/sbin/tcqdisc

69、deldeveth0rootsleep3/sbin/iptables-FFORWARD#清除所有清除所有iptables规则规则/sbin/iptables-tnat-F/home/ncmysql/nc/bin/nciptables.sh#调用其它有用的调用其它有用的iptables规则规则/home/ncmysql/nc/conf/nciptexe.undo/home/ncmysql/nc/conf/nciptexe.dosleep2/home/ncmysql/nc/bin/ncfirewall7979 。 Copyright 2006 Pronetway All rights reserv

70、ed网络督察服务网络督察服务启动网络督察服务启动网络督察服务proeim先调用先调用stopnc脚本脚本再调用再调用startnc脚本脚本停止网络督察服务停止网络督察服务proeimstop调用调用stopnc脚本脚本检查网络督察服务是否运行检查网络督察服务是否运行ps-x看是否有几个看是否有几个nc进程在运行进程在运行8080 。 Copyright 2006 Pronetway All rights reserved数据库服务数据库服务启动数据库启动数据库cd/usr/local/mysql/bin./safe_mysqld&停止数据库停止数据库cd/usr/local/mysql/bin

71、./mysqladmin-uroot-plymlq123shutdown检查数据库服务是否运行检查数据库服务是否运行mysql-unc-pnc-Dnc看是否能连接数据库看是否能连接数据库数据库存放位置数据库存放位置/usr/local/mysql/data/nc8181 。 Copyright 2006 Pronetway All rights reservedWeb服务服务启动启动Apache服务服务cd/home/ncmysql/nc/httpd/bin./apachectlstartssl停止停止Apache服务服务cd/home/ncmysql/nc/httpd/bin./apache

72、ctlstop检查检查Apache服务是否运行服务是否运行用用IE连接网络督察地址并刷新看是否有登录窗口连接网络督察地址并刷新看是否有登录窗口Apache配置文件配置文件/home/ncmysql/nc/httpd/conf/httpd.conf8282 。 Copyright 2006 Pronetway All rights reserved内核参数内核参数rootProEIMbin#more /etc/sysctl.conf#ControlsIPpacketforwardingnet.ipv4.ip_forward=1#数据包转发打开数据包转发打开#Controlssourceroute

73、verificationnet.ipv4.conf.default.rp_filter=1net.ipv4.icmp_echo_ignore_broadcasts=1net.ipv4.icmp_ignore_bogus_error_responses=1net.ipv4.tcp_syncookies=1net.ipv4.tcp_max_syn_backlog=8192#Donotacceptsourceroutingnet.ipv4.conf.default.accept_source_route=0#ControlstheSystemRequestdebuggingfunctionality

74、ofthekernelkernel.sysrq=0#ControlswhethercoredumpswillappendthePIDtothecore.#Usefulfordebuggingmulti-threadedapplications.kernel.core_uses_pid=1kernel.shmmax=134217728#可分配共享内存大小可分配共享内存大小8383 。 Copyright 2006 Pronetway All rights reserved控制登录管理界面控制登录管理界面rootProEIMbin#more/home/ncmysql/nc/bin/f#Whocan

75、AccessProeimCreatedByPronetway2005#1:Allowed-CanAccessNotAllowed-Denyaccess#2:Networkaddress#3:NetmaskAllowed0.0.0.00.0.0.0#Allowed192.168.0.100255.255.255.255#NotAllowed0.0.0.00.0.0.08484 。 Copyright 2006 Pronetway All rights reserved网络督察日志网络督察日志启动和运行日志启动和运行日志/home/ncmysql/nc/log/ncstart.log邮件拦截运行日

76、志邮件拦截运行日志/home/ncmysql/nc/log/smtp.log数据库检测日志数据库检测日志/home/ncmysql/nc/log/ncdbcheck.log8585 。 Copyright 2006 Pronetway All rights reserved目录目录安装准备安装准备安装方式安装方式网络配置网络配置接入方案接入方案后台设置后台设置维护诊断维护诊断8686 。 Copyright 2006 Pronetway All rights reserved恢复用户基础数据恢复用户基础数据1.用用SSH类软件将类软件将ncbase.dmp上传到网络督察上传到网络督察/home

77、目录下。目录下。2.用用SSH类软件登录网络督察，用户名是类软件登录网络督察，用户名是root，缺省密码是，缺省密码是pronetway。3.出现出现#提示符以后执行以下命令恢复基础数据。提示符以后执行以下命令恢复基础数据。cd/home/ncmysql/nc/binmysql-unc-pnc-Dnc/home/ncbase.dmp8787 。 Copyright 2006 Pronetway All rights reserved恢复出厂密码恢复出厂密码1.用用SSH类软件登录网络督察，用户名是类软件登录网络督察，用户名是root，缺省密码是，缺省密码是pronetway。2.出现出现#提示

78、符以后执行以下命令提示符以后执行以下命令cd/home/ncmysql/nc/binmysql-unc-pnc-Dncdssrv.dmp3.执行完以后执行完以后admin管理员的密码恢复成管理员的密码恢复成manager了了 8888 。 Copyright 2006 Pronetway All rights reserved修复硬盘数据修复硬盘数据1.在网络督察上接上显示器、插上键盘并启动。在网络督察上接上显示器、插上键盘并启动。2.启动设备显示启动设备显示CTRL-D.Reboot提示时输入提示时输入pronetway并按并按回车显示回车显示1#提示提示3.执行执行e2fsck-y/dev

79、/hda1，若碰到选项都输入，若碰到选项都输入Y，执行完以，执行完以后继续执行后继续执行e2fsck-y/dev/hda1，hda2等等，直到等等，直到hda7，这些命令是检查硬盘的分区，其中可能有几个分区是没有的，这些命令是检查硬盘的分区，其中可能有几个分区是没有的，若硬盘是若硬盘是SCSI或或SATA的用的用sda替代替代hda。4.fsck检查完所有分区以后，执行检查完所有分区以后，执行reboot命令重起机器，若最命令重起机器，若最后回车出现后回车出现login提示信息则表示正常。提示信息则表示正常。8989 。 Copyright 2006 Pronetway All rights

80、reserved修复数据库修复数据库1.用用SSH类软件登录网络督察，用户名是类软件登录网络督察，用户名是root，缺省密码是，缺省密码是pronetway。2.执行执行proeimstop停止网络督察服务。停止网络督察服务。3.修复数据库执行以下命令修复数据库执行以下命令cd /usr/local/mysql/data/ncmyisamchk-r*MYI4.执行执行proeim启动网络督察服务启动网络督察服务。9090 。 Copyright 2006 Pronetway All rights reserved不能登录管理界面不能登录管理界面登录不到网络督察管理页面可能是以下几种情况造成的

81、。登录不到网络督察管理页面可能是以下几种情况造成的。1.网络连线不好，接口松动，检查连线和接口。网络连线不好，接口松动，检查连线和接口。2.网络督察网络督察HTTP服务没有启动，重启网络督察服务。服务没有启动，重启网络督察服务。3.内部或外部计算机和网络督察内部或外部计算机和网络督察IP冲突。冲突。4.硬盘空间不够。硬盘空间不够。5.局域网病毒或木马爆发造成网络督察负荷超载，检查局域网局域网病毒或木马爆发造成网络督察负荷超载，检查局域网病毒和木马。病毒和木马。9191 。 Copyright 2006 Pronetway All rights reserved网络中断网络中断访问外部网中断可能

82、是以下几种情况造成的。访问外部网中断可能是以下几种情况造成的。1.设置了禁止的访问控制规则。设置了禁止的访问控制规则。2.带宽分配的速率过低。带宽分配的速率过低。3.网络督察数据包转发开关没有打开。网络督察数据包转发开关没有打开。4.超过网络督察限定的超过网络督察限定的IP连接数。连接数。5.网络设备与网络督察的网口不匹配。网络设备与网络督察的网口不匹配。6.网络接口或连线等损坏。网络接口或连线等损坏。7.网络异常造成负载过高丢包。网络异常造成负载过高丢包。8.设备软件设备软件BUG。9.设备硬件故障。设备硬件故障。9292 。 Copyright 2006 Pronetway All rig

83、hts reserved开启邮件拦截不能发送邮件开启邮件拦截不能发送邮件启动邮件拦截功能后不能发送邮件可能是以下几种情况造成的。启动邮件拦截功能后不能发送邮件可能是以下几种情况造成的。1.邮件拦截功能选项没有勾上，或勾上后没有重启服务。邮件拦截功能选项没有勾上，或勾上后没有重启服务。2.防火墙等网络设备禁止网络督察访问外网。防火墙等网络设备禁止网络督察访问外网。3.网络督察的路由设置不正确。网络督察的路由设置不正确。4.邮件发送的协议不是标准的邮件发送的协议不是标准的SMTP协议。协议。5.邮件服务器反垃圾检测过于严格。邮件服务器反垃圾检测过于严格。6.邮件并发数量过大，超出设备预定义处理能力

84、。邮件并发数量过大，超出设备预定义处理能力。9393 。 Copyright 2006 Pronetway All rights reserved不能监控用户上网不能监控用户上网不能监控用户上网可能是以下几种情况造成的。不能监控用户上网可能是以下几种情况造成的。1.管理网段设置不正确。管理网段设置不正确。2.用户免监控。用户免监控。3.镜像设置不正确。镜像设置不正确。4.网络督察监控端口不正确。网络督察监控端口不正确。5.用户存在其它上网途径。用户存在其它上网途径。6.监控对象不正确监控对象不正确。7.设备软件设备软件BUG。9494 。 Copyright 2006 Pronetway Al

85、l rights reserved查看系统状态查看系统状态查看系统负载查看系统负载uptimetop查看查看IP连接数连接数more/proc/net/ip_conntrack|wcmore/proc/sys/net/ipv4/netfilter/ip_conntrack_count查看数据包转发开关查看数据包转发开关more/proc/sys/net/ipv4/ip_forward查看查看iptables规则规则iptables-L-niptables-tnat-L-n9595 。 Copyright 2006 Pronetway All rights reserved抓取数据包抓取数据包ncipget抓取数据包并简单分析抓取数据包并简单分析 ncipget-ieth1-s192.168.0.116-d0.0.0.0:80-t2-c1-oipget.pkg&ncgetpkg抓取数据包，此数据包配合用户基础数据可以模拟回放抓取数据包，此数据包配合用户基础数据可以模拟回放 ncgetpkg-ieth1-s192.168.0.116-d0.0.0.0:80-t2-c1-ogetpkg.pkg&9696 。 Copyright 2006 Pronetway All rights reservedQ&A谢谢谢谢

展开阅读全文

网络督察安装培训课件

最新文档