LinuxLinux实训课题实训课题实训内容实训内容1、squid代理服务器的配置2、httpd服务器的配置3、DNS服务器配置4、iptables防火墙配置5、iptables+squid正向透明代理6、VSFTP服务7、DHCP服务8、squid反向代理（选做）实训要求：1、按时到机房参与实训课。如旷课达6节者，平时成绩为0分。2、在实训中，请不要在机房玩游戏。3、请在实训积极与老师、同学交流，完成实训任务。4、实训完成后，请交回实训报告。实训小提示lDNS服服务器配置务器配置l本次实验只要求做gxcme.cn 的域名的正向和反向解释l参考配置l第一步:下载named.ca，放在/var/named/chroot/var/named目录下；l第二步：修改DNS配置文件vi/var/named/chroot/etc/named.conf在named.conf的options部分添加zone“example.comINtypemaster;file“example.com.zone;allow-updatenone;zone“50.127.202.in-addr.arpaINtypemaster;file“202.127.50.rev;allow-updatenone;DNS服务器配置l第三步配置域名文件(正向)内容使用以下命令自己建立域名文件内容vi/var/named/chroot/var/named/example.com.zone$TTL86400INSOAdns.example.com.root.dns.example.com.(42;serial(d.adams)3H;refresh15M;retry1W;expiry1D);minimumINNSdns.example.com.INMX5dns.example.com.dnsINA202.127.50.100wwwINCNAMEdns.example.com.ftpINA202.127.50.200movieINA202.127.50.105softINA202.127.50.106musicINA202.127.50.107jwINA202.127.50.108mailINA202.127.50.109DNS服务器配置l第四步：配置反向解释文件lvi/var/named/chroot/var/named/202.127.50.revINSOAdns.example.com.root.dns.example.com.(1997022700;Serial28800;Refresh14400;Retry3600000;Expire86400);MinimumINNSdns.example.com.100INPTRdns.example.com.100INPTRwww.example.com.200INPTRftp.example.com.105INPTRmovie.example.com.106INPTRsoft.example.com.107INPTRmusic.example.com.108INPTRjw.example.com.109INPTRmail.example.com.DNS服务器配置第五步：建立连接关系：#ln s /var/named/chroot/etc/named.conf /etc/named.conf#ln s /var/named/chroot/var/named/named.ca /var/named/named.ca#ln s /var/named/chroot/var/named/example.com.zone /var/named/example.com.zone#ln s /var/named/chroot/var/named/202.127.50.rev /var/named/202.127.50.rev第六步：测试#named-checkconf#named-checkzoneexample.com/var/named/example.com.zone#named-checkzoneexample.com/var/named/202.127.50.rev第七步：设置IP地址和DNS地址，激活网卡，查看网卡是否可用第八步：#vi/etc/hosts第九步：启动DNS服务#servicenamedrestart#/etc/init.d/namedstatus第十步：用host或nslookup检查是否已经能正常解释实训小提示lhttpd服服务器的配置务器的配置l在RedHatLinux中，Apache将自己的所有配置文件和日志文件分别放在了“/etc/httpd”和“/var/log/httpd”目录下l其中“/etc/httpd/conf”下为配置文件，“/var/log/httpd”下为日志文件。l在“/etc/httpd/”目录下有一个链接“logs”，可以直接进入/var/log/httpd目录。lhttpd服服务器的配置务器的配置l同时，它将建立“/var/www”目录，并在其下建立五个子目录：lhtml/：在这个目录下存放HTML（主页）文件；lcgi-bin/：在这个目录下可以存放一些CGI程序；lmanual/：apache系统的说明文档；lerror/：在这个目录下存放的是服务器的一些错误提示文件；licons/：在这个目录下是服务器自带的一些图标。Apache配置l1、单台服务只提供一个主页l将主页文件放入到/var/www/html就可以了l2、设置启动lchkconfig-level345httpdl3、手动重起服务lservicehttpdrestartl4、如果没有做好DNS，请在/etc/hosts文件里加入l192.168.1.1www.gxcme.cn等域名和IP的对应关系基于IP地址的虚拟主机l基于ip地址的虚拟主机就是在同一台服务器上用不同的IP地址来标识不同的虚拟主机。l只需要在/etc/httpd/conf/httpd.conf加入l（虚拟主机的IP地址）lServerAdmin lylgxcme.cn（管理员邮箱）lDocumentRoot /var/www/gxcme（存放主页的目录）（存放主页的目录）lServerName www.gxcme.cn (虚拟主机的域名虚拟主机的域名)ll（虚拟主机的IP地址）lServerAdmin lyljsjx.cn（管理员邮箱）lDocumentRoot /var/www/jsjx（存放主页的目录）（存放主页的目录）lServerName www.jsjx.cn (虚拟主机的域名虚拟主机的域名)l第第1台虚拟主机台虚拟主机第第2台虚拟主机台虚拟主机基于域名的虚拟主机l基于域名的虚拟主机是根据客户端提交的HTTP头中标识主机名的部分决定的。使用这种技术，很多虚拟主机可以共享同一个IP地址l只需要在只需要在/etc/httpd/conf/httpd.conf加入加入lNameVirtualHost210.36.144.15(重点必须要加)llServerNamewww.gxcme.comlDocumentRoot/var/www/htmllDirectoryIndexindex.htmllLogLevelwarnlHostNameLookupsofflllServerNamewww.gxcme.cn(主页域名)DocumentRoot/var/www/test(主页目录)ServerNamewww.gxcme.comDocumentRoot/var/www/test2第第1台虚拟主机台虚拟主机第第2台虚拟主机台虚拟主机主虚拟主机主虚拟主机VSFTP服务l第一步安装vsftpdl1、查询并安装vsftpdlrootlocalhostvar#rpm-qa|grepvsftpdl第二步l编辑配置文件lanonymous_enable=YESllocal_enable=YESlwrite_enable=YESllocal_umask=022lanon_umask=022lanon_upload_enable=YESlanon_mkdir_write_enable=YESlanon_other_write_enable=YESldirmessage_enable=YESlxferlog_enable=YESlconnect_from_port_20=YESlchown_uploads=YESlxferlog_std_format=YESlpam_service_name=vsftpdluserlist_enable=YESllisten=YEStcp_wrappers=YESVSFTPD服务l1、匿名用户（ftp）的权限设置l提示：默认情况下，匿名用户目录为/var/ftp，要实现匿名上传，必须在该目录内新建一个允许匿名用户上传的文件夹，并对权限做相应修改l在本实例中，我们在其中新建上传文件夹为uploadlrootlocalhostftp#mkdiruploadlrootlocalhostftp#chmod777uploadDHCP服务l第一步：查询是否已经安装好DHCP软件包lRpmqadhcpl若无请自己安装，若有请做第二步l第二步：lCp/usr/share/doc/dhcp-3.0.1/dhcpd.conf.sample/etc/dhcpd.confl第三步编辑如下：lddns-update-styleinterim;lignoreclient-updates;lsubnet192.168.1.0netmask255.255.255.0loptionrouters192.168.1.1;loptionsubnet-mask255.255.255.0;loptiondomain-name-servers192.168.1.1;lrangedynamic-bootp192.168.1.2192.168.1.254;ldefault-lease-time21600;lmax-lease-time43200;lDHCP服务l常见错误：l1、网卡的地址要设为静态IPl2、在dhcpd.conf中的子网IP要和网卡的静态IP同在一个网段。l3、错误日记在/var/log/messagesSquid服务配置1、安装squid软件2、编辑squid配置文件vi/etc/squid/squid.conf修改如下:lhttp_port3128(侦听端口)lcache_dirufs/var/squidlcache_mem32MBlcache_swap_low90lcache_swap_high95lvisible_hostnameNo1.proxylcache_access_log/var/squid/access.logcache_log/var/squid/cache.loglcache_store_log/var/squid/store.logsquid代理服务器的配置 比如aclallsrc0.0.0.0/0，其名称是all，控制方式是src源IP地址，控制目标是0.0.0.0/0的IP地址，即所有未定义的用户。出于安全考虑，总是在最后禁止这个列表。l下面这个列表代表高级用户，包括IP地址从192.168.1.2到192.168.1.254的所有计算机：acladvance192.168.1.2/24squid代理服务器的配置l如果是普通代理服务器，以上的配置已经足够。但是很多Squid都被用来做透明代理。所谓透明代理，就是客户端不知道有代理服务器的存在，当然也不需要进行任何与代理有关的设置，从而大大方便了系统管理员。相关的选项有以下几个：httpd_accel_hostvirtuallhttpd_accel_port80lhttpd_accel_with_proxyonhttpd_accel_user_host_headeron实训小提示liptables防火墙配置(透明代理选项)l在Linux上，可以用iptables/ipchains直接将对Web端口80的请求直接转发到Squid端口3128，由Squid接手，而用户浏览器仍然认为它访问的是对方的80端口。例如以下这条命令：iptables-tnat-APREROUTING-s192.168.1.1/24-ptcp-dport80-jREDIRECT3128就是将192.168.1.1的所有针对80端口的访问重定向到3128端口。实训小提示liptables防火墙配置(NAT选项)l建立IP转发和伪装iptablestablenatAPOSTROUTINGout-interfaceeth0-jMASQUERADE