路由器管控功能設(shè)計(jì)

1、路由器管控功能設(shè)計(jì)摘要：路由器是互聯(lián)網(wǎng)的主要結(jié)點(diǎn)設(shè)備。路由器通過路由決定數(shù)據(jù)的轉(zhuǎn)發(fā)。轉(zhuǎn)發(fā) 策略稱為路由選擇，這也是路由器名稱的由來。作為不同網(wǎng)絡(luò)之間互相連接的樞 紐，路由器系統(tǒng)構(gòu)成了基于TCP/IP的國際互聯(lián)網(wǎng)絡(luò)Internet的主體脈絡(luò)，也 可以說，路由器構(gòu)成了 Internet的骨架。Linux系統(tǒng)是一個(gè)強(qiáng)大的網(wǎng)絡(luò)操作系 統(tǒng)，本身就是具有路由器的功能，只要經(jīng)過非常少的幾步設(shè)置，就會使用Linux 系統(tǒng)本身成為一臺出色的路由器。該論文研究內(nèi)容既是將Linux系統(tǒng)配置成具有 管理控制功能的路由器，并使其具備FTP，TFTP，Telnet，SSH，QoS（如源IP過 濾，業(yè)務(wù)流類型調(diào)度）功能。分

2、為兩個(gè)部分，基礎(chǔ)知識介紹和具體搭建過程的介 紹。關(guān)鍵字：Linux, SSH, Router, FTP, QOS設(shè)計(jì)思路與方案該設(shè)計(jì)主要是完成路由器的管控功能，因此，首先需要將Linux系統(tǒng)配置成 路由器。然后設(shè)置其管控功能，并測試。在整個(gè)過程中，主要用Linux系統(tǒng)自帶 的以下功能來完成。1.1. Linux防火墻功能所謂防火墻指的是一個(gè)由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之 間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障，是一種獲取安全性方法的形 象說法，它是一種計(jì)算機(jī)硬件和軟件的結(jié)合，使Internet與Intranet之間建立 起一個(gè)安全網(wǎng)關(guān)（Security Gateway），從

3、而保護(hù)內(nèi)部網(wǎng)免受非法用戶的侵入， 防火墻主要由服務(wù)訪問規(guī)則、驗(yàn)證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個(gè)部分組成，防火 墻就是一個(gè)位于計(jì)算機(jī)和它所連接的網(wǎng)絡(luò)之間的軟件或硬件。在Linux系統(tǒng)中到數(shù)據(jù)包進(jìn)入系統(tǒng)后，首先在內(nèi)核維護(hù)的網(wǎng)絡(luò)內(nèi)存空間隊(duì)列 中排隊(duì)，在內(nèi)核接手?jǐn)?shù)據(jù)包后，TCP/IP協(xié)議棧會對數(shù)據(jù)包IP頭部進(jìn)行拆解，檢 測目的IP。如果目的IP指向自己，則繼續(xù)檢測TCP首部，并將數(shù)據(jù)包遞交給處 于內(nèi)核空間和用戶空間的套接字，讓用戶程序來處理數(shù)據(jù)包。如果IP地址不是 自己，則對比路由表，如果存在相關(guān)條目則轉(zhuǎn)發(fā)數(shù)據(jù)包。具體的，在Linux內(nèi)核中有一款自帶的防火墻軟件IPtables，可以實(shí)現(xiàn)網(wǎng)絡(luò) 流量的控制、

4、數(shù)據(jù)包的過濾和轉(zhuǎn)發(fā)等功能。IPtables分為兩個(gè)部分，一個(gè)部分 在內(nèi)核中用來存放規(guī)則，稱為NetFilter；另一部分在用戶空間，用來定義規(guī)則， 并將其傳遞到內(nèi)存中，稱為iptables。在內(nèi)核中，規(guī)則主要存放在5個(gè)表中， 每個(gè)表又有不同的鏈組成，其各自的功能用途如下：Filter （過濾器）：主要與進(jìn)入Linux本機(jī)的數(shù)據(jù)包有關(guān)，為默認(rèn)的表；INPUT： 與進(jìn)入Linux系統(tǒng)的包有關(guān)；OUTPUT： 與 Linux系統(tǒng)發(fā)送的包有關(guān)；FORWARD： 與 Linux系統(tǒng)轉(zhuǎn)發(fā)的包有關(guān)。Nat （地址轉(zhuǎn)換）：主要進(jìn)行源IP地址和目的IP地址或其端口的轉(zhuǎn)換。主要 用于有內(nèi)網(wǎng)的情況。PREROUTI

5、NG :存儲進(jìn)行路由判斷前所要進(jìn)行的規(guī)則；POSTROUTING :存儲路由判斷之后所要進(jìn)行的規(guī)則；OUTPUT： 與系統(tǒng)發(fā)送的包裹有關(guān)。Mangle：這個(gè)表格主要與特殊數(shù)據(jù)包表頭有關(guān)，較少使用。用到的鏈有：PREROUTING；INPUT；OUTPUT；FORWARD；POSTROUTINGo基于以上表和鏈的系統(tǒng)防火墻的運(yùn)行示意圖如下:PREROLT1XGTYlLillgkPR EROL TING甘仇傅出I.LIIUK 衣憾的資源nrmngl 巳OUTPUTOUTPUTmanglePNTROLENUDUTPUlFORWARDTYlLillgkINPU PREROLT1XGTYlLillgkP

6、R EROL TING甘仇傅出I.LIIUK 衣憾的資源nrmngl 巳OUTPUTOUTPUTmanglePNTROLENUDUTPUlFORWARDTYlLillgkINPU IPOSIKOUHNGINPLTmciiihtleFORWARD該設(shè)計(jì)主要涉及到nat和filter中規(guī)則的制定，用它們來完成路由和IP過 濾的功能。iptables 語法為了實(shí)現(xiàn)Linux系統(tǒng)的防火墻功能，需要對在用戶態(tài)中通過iptables對其 進(jìn)行設(shè)置。Iptable定義規(guī)則的一般機(jī)制(更加具體的語法參照man文檔)如下： Iptables -t table sub command CHAINnumcretir

7、ia-j ACCTION -t：默認(rèn)沒有指定是filter，也可以指定mangle, nat, rawsub_command:rule: -A(append):追加-I(insert):插入，如-I INPUT 3-D (delete):刪除，指定標(biāo)準(zhǔn)或者num如-D OUTPUT 8-R(replace):替換-R FORWARDchain： -F (flush):清空鏈-N (new):新增一條鏈-X :刪除用戶自定義的空鏈-Z：清空計(jì)數(shù)器;關(guān)于計(jì)數(shù)器：每條規(guī)則都有2條計(jì)數(shù)器1：記錄被本條規(guī)則匹配到的包個(gè)數(shù)2：記錄匹配到本條規(guī)則到的包的體積之和-E :重命名鏈policy： -P chai

8、n ACCEPT|DROPexample:將INPUT鏈的默認(rèn)策略修改為DROP。ptables -1 filter -P INPUT - j DROPview： -L顯示定義的規(guī)則-n:使用這個(gè)選項(xiàng)，就不會去反向解析IP地址的主機(jī)名，加快察看速度-v:詳細(xì)信息，可以多加幾個(gè)v,越多越詳細(xì)-x:精確顯示數(shù)據(jù)包體積-line-numbers匹配條件：-s IP/NETWORK:源地址-d IP/NETWORK ：目標(biāo)地址-p tcp|udp|icmp:指定協(xié)議-i input interface：指定數(shù)據(jù)包進(jìn)入的接口-o output interface :指定數(shù)據(jù)包出去的接口1.2. Linu

9、x軟路由功能軟路由是指利用臺式機(jī)或服務(wù)器配合軟件形成路由解決方案，主要靠軟件的 設(shè)置，達(dá)成路由器的功能。通常使用普通的計(jì)算機(jī)充當(dāng)，并使用通用的操作系統(tǒng)， 如Linux，因此歸根結(jié)底就是對Linux系統(tǒng)的設(shè)置。通常只需要幾步操作就可以 將其配置為強(qiáng)大的路由器：首先，查看Linux系統(tǒng)內(nèi)核中是否打開了 IP轉(zhuǎn)發(fā)功能，具體命令環(huán)境搭 建過程；如果命令返回值為0，則表明Linux內(nèi)核沒有啟用IP轉(zhuǎn)發(fā)的路由功能， 需要開啟；通過命令 echo 1 /proc/sys/net/ipv4/ip_forward，開啟 IP 轉(zhuǎn)發(fā)功能。但是這種方法只能保證當(dāng)次有效，計(jì)算機(jī)重啟后將消失。因此，為了保證系 統(tǒng)能夠每

10、次自動設(shè)置，需要用編輯器修改配置文件/etc/sysctl.conf。另外，每臺計(jì)算機(jī)都有一個(gè)自己的路由表，存儲了一定的路由信息。路由表 中含有網(wǎng)絡(luò)周邊的拓?fù)湫畔?。路由表建立的主要目?biāo)是為了實(shí)現(xiàn)路由協(xié)議和靜態(tài) 路由選擇。在現(xiàn)代路由器構(gòu)造中，路由表不直接參與數(shù)據(jù)包的傳輸，而是用于生 成一個(gè)小型指向表，這個(gè)指向表僅僅包含由路由選擇選擇的數(shù)據(jù)包傳輸優(yōu)先路 徑，這個(gè)表格通常為了優(yōu)化硬件存儲和查找而被壓縮或提前編譯。當(dāng)然Linux也 不能例外，但是Linux并沒有將這這兩種情況進(jìn)行區(qū)分，而是使用“多張路由表” 將二者統(tǒng)一了起來。在Linux中，內(nèi)置了三張路由表：local，main，default， 其

11、中l(wèi)ocal路由表的優(yōu)先級最高，并且不能被替換，在有數(shù)據(jù)包進(jìn)來的時(shí)候，首 先無條件的查找local路由表，如果找到了路由，則數(shù)據(jù)包就是發(fā)往本機(jī)的，如 果找不到，則接著在其它的路由表中進(jìn)行查找。主機(jī)發(fā)送數(shù)據(jù)時(shí)就查看該路由表決定數(shù)據(jù)發(fā)送的方向，而當(dāng)本機(jī)路由表無相 關(guān)記錄時(shí)，則將數(shù)據(jù)發(fā)送到默認(rèn)路由上，有默認(rèn)路由來選擇路線。在Linux系統(tǒng) 中的靜態(tài)路由可以通過route命令來編輯，具體語法如下： route command -net|-host網(wǎng)域或主機(jī)地址netmask mask gw|dev command: -add增加一條路由-del刪除一條路由-net目標(biāo)為網(wǎng)絡(luò)地址-host目標(biāo)位主機(jī)Ne

12、tmask子網(wǎng)掩碼gw網(wǎng)關(guān)地址dev網(wǎng)絡(luò)接口號軟件選型Linux 上的 FTPFTP即文件傳輸協(xié)議，是應(yīng)用層的協(xié)議，它基于傳輸層，為用戶服務(wù)，它們 負(fù)責(zé)進(jìn)行文件的傳輸。FTP是一個(gè)8位的客戶端-服務(wù)器協(xié)議，能操作任何類型 的文件而不需要進(jìn)一步處理。但是，F(xiàn)TP有著極高的延時(shí)，這意味著，從開始請 求到第一次接收需求數(shù)據(jù)之間的時(shí)間會非常長，并且不時(shí)的必需執(zhí)行一些冗長的 登錄進(jìn)程。FTP服務(wù)一般運(yùn)行在20和21兩個(gè)端口。端口 20用于在客戶端和服 務(wù)器之間傳輸數(shù)據(jù)流，而端口 21用于傳輸控制流，并且是命令通向ftp服務(wù)器 的進(jìn)口。Linux 一種常見的服務(wù)器叫vsftpd。它可以運(yùn)行在諸如Linux

13、、BSD、Solaris、 HP-UNIX等系統(tǒng)上面，是一個(gè)完全免費(fèi)的、開發(fā)源代碼的ftp服務(wù)器軟件，支持 很多其他的FTP服務(wù)器所不支持的特征。當(dāng)在系統(tǒng)中安裝好vsftpd后，需要對 其進(jìn)行參數(shù)配置，即修改其默認(rèn)配置文件/etc/vsftpd.conf，使其支持本地用戶 登錄和匿名登錄。具體配置情況見搭建過程。當(dāng)本地主機(jī)通過FTP登錄到遠(yuǎn)端主機(jī)后，需要一些指令來完成相應(yīng)操作，常 見的有：ls：列出遠(yuǎn)程機(jī)的當(dāng)前目錄；cd：在遠(yuǎn)程機(jī)上改變工作目錄；led :在本地機(jī)上改變工作目錄；ascii：設(shè)置文件傳輸方式為ASCII模式；binary :設(shè)置文件傳輸方式為二進(jìn)制模式；close：終止當(dāng)前的f

14、tp會話；hash :每次傳輸完數(shù)據(jù)緩沖區(qū)中的數(shù)據(jù)后就顯示一個(gè)#號；get （mget）:從遠(yuǎn)程機(jī)傳送指定文件到本地機(jī)；put （mput）：從本地機(jī)傳送指定文件到遠(yuǎn)程機(jī)；open:連接遠(yuǎn)程ftp站點(diǎn)；quit:斷開與遠(yuǎn)程機(jī)的連接并退出ftp；?：顯示本地幫助信息；!:轉(zhuǎn)到Shell中。Linux 上的 TFTPTFTP是一種小型的文件傳輸協(xié)議，通過少量存儲器就能輕松實(shí)現(xiàn)。它是基于 UDP協(xié)議的，端口為69。其只能完成對遠(yuǎn)程服務(wù)器的讀或?qū)懖僮?，不能列出目?內(nèi)容。每一個(gè)TFTP傳輸?shù)奈募紭?gòu)成了一個(gè)獨(dú)立的交換，且任何時(shí)間網(wǎng)絡(luò)上僅 僅傳遞一個(gè)包，在很多鏈接情況下僅提供較低的吞吐量。由于該傳輸協(xié)議

15、缺少安 全性，所有普遍僅僅用于私人本地網(wǎng)絡(luò)。Linux 上的 TelnetTelnet協(xié)議時(shí)TCP/IP協(xié)議族中客戶機(jī)/服務(wù)器的一種，是遠(yuǎn)端登錄服務(wù)的標(biāo) 準(zhǔn)協(xié)議和主要方式，常用于網(wǎng)頁控制服務(wù)器的遠(yuǎn)端控制，也可提供使用者在本地 主機(jī)執(zhí)行遠(yuǎn)端主機(jī)上的工作。它提供了三種基本服務(wù)：a）定義了一個(gè)網(wǎng)絡(luò)虛擬終端為遠(yuǎn)程系統(tǒng)提供一個(gè)標(biāo)準(zhǔn)接口；b）包括一個(gè)允許客戶機(jī)和服務(wù)器協(xié)商選項(xiàng)的機(jī)制，而且它還提供一組標(biāo)準(zhǔn) 選項(xiàng)；c）對稱處理連接的兩端。Linux 上的 SSH傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因 為它們在網(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)，別有用心的人非常容易就可以截獲這些

16、口令和數(shù)據(jù)。因此在最新的Linux版本中，telnet不再是默認(rèn)啟動項(xiàng)，需要用 戶自己開啟。而更好的方式是使用ssh來進(jìn)行遠(yuǎn)程登錄。SSH全稱Secure SHell，顧名思 義就是非常安全的shell的意思，SSH協(xié)議是IETF（Internet Engineering Task Force）的Network Working Group所制定的一種協(xié)議。SSH是一種加密過后的 數(shù)據(jù)包，既是數(shù)據(jù)包被竊取了，其中的信息也是需要解密才能被了解的。因此，安全性較telnet要好很多。ssh協(xié)議目前有SSH1和SSH2, SSH2協(xié)議兼容SSH1。 目前實(shí)現(xiàn)SSH1和SSH2協(xié)議的主要軟件有Opens

17、sh和SSH Communicationso設(shè) 計(jì)采用Openssh來完成。當(dāng)SSH登錄遠(yuǎn)程主機(jī)后，可以像本地終端一樣向遠(yuǎn)程主 機(jī)發(fā)送命令。另外，本設(shè)計(jì)主要是在軟件VMware Workstation上完成的。搭建過程和測試3.1.環(huán)境搭建本設(shè)計(jì)是在虛擬情況下建立了一個(gè)虛擬的內(nèi)網(wǎng)/24。該內(nèi)網(wǎng)中 有兩臺主機(jī)和一個(gè)路由器。通過該路由器，內(nèi)網(wǎng)中主機(jī)可以與外網(wǎng)相連。具體網(wǎng) 絡(luò)結(jié)構(gòu)如下圖所示。另外，該路由器可以提供FTP服務(wù)和SSH服務(wù)，且只有一臺內(nèi)網(wǎng)主機(jī)可以登錄該路由，即IP選擇功能。搭建環(huán)境的具體工程如下。實(shí)驗(yàn)室主機(jī)07實(shí)驗(yàn)室主機(jī)07（外網(wǎng)）11FTPSSH11FTPSSH（內(nèi)網(wǎng)）29TFTP H

18、2Telnet路由主機(jī). QoS（IP過濾）H1路由器授權(quán)主機(jī)28302830首先，在VMware Workstation軟件中建立三臺虛擬機(jī)H1、H2和R。其中，H2為路由主機(jī)，配有兩張網(wǎng)卡，具體網(wǎng)卡配置如下圖。設(shè)備eth0為橋連的方式 接入實(shí)驗(yàn)室中的局域網(wǎng)中，其IP地址為11； eth1的IP地址為 29，處在所建立虛擬內(nèi)網(wǎng)中。renxH2:ifconfigetho Link encap:以太網(wǎng) 硬件地址 00:0c:29:cd:ce:ccinet 地址：192.168.1 111 廣播:55 掩碼：255 255.255日inet6 地址：fe80: :20c:29ff :fecd:ce

19、cc/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU： 1500 嵌點(diǎn)數(shù)接收數(shù)據(jù)包15650錯(cuò)誤：。丟棄：。過載：3幀數(shù)2發(fā)送數(shù)據(jù)包：2164錯(cuò)誤：。丟棄：。過載：3載波：3碰捶2發(fā)送隊(duì)列長度：1000接收字節(jié)：5251826(5.2 MB)發(fā)送字節(jié)：154121 (154.1 KB)申斷：19基本地址：0 x2324ethl Link encap:以太網(wǎng) 硬件地址 00:0c:29:cdl:ce:d6inet 地址：192.168.15A 129 廣播：192.168 152二55 掩碼：255.255 255 3 inet6 地址：fe80:

20、 :20c:29ff :fecd:ced6/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU： 1500 映點(diǎn)數(shù)接收數(shù)據(jù)包：196錯(cuò)誤田丟棄過載：日幀數(shù)發(fā)送數(shù)據(jù)包*7錯(cuò)誤丟棄仲過載仲載波仲碰捶2發(fā)送隊(duì)列長度：1009接收字節(jié)：21748 (21.7 KB)發(fā)送字節(jié)：14377 (14.3 KB)申斷：19基本地址：0X況&4renxrenxiatj： 4苗R為一內(nèi)網(wǎng)主機(jī)，網(wǎng)卡配置情況如下圖。IP地址為30。其通 過路由主機(jī)H2來訪問外網(wǎng)，由此來測試H2的路由管理功能。因此在沒有建立路 由連接前，主機(jī)renxrenxiatj： 4苗renxrenxi

21、ao:$ ifconfigetho Link encap:以太網(wǎng) 硬件地址 O9:0c:29:81:42:5a inet 地址：192.168.152*130 廣播:192.168*152.255 掩碼：255 255.255 tnet6 地址：fe8D: :23c:29ff :fe81:42Sa，64 ScopeiLink UP BROADCAST RUNNING MULTICAST MTU： 1500 底點(diǎn)數(shù)：1 接收數(shù)據(jù)包：4錯(cuò)誤W丟棄仲過載:日幀數(shù)2 發(fā)送數(shù)據(jù)包：麗4錯(cuò)誤：0丟棄2過莪載波：0 碰撞2發(fā)送隊(duì)列長度：1000_接收字節(jié)：8。6(806.0 B) 發(fā)送字節(jié)：17600 (1

22、7.6 KB) 甲斷：19基本地址:0 x2O24loLink encap:本地環(huán)回inet 地址: 掩碼：255.0.S0 tnet6 地址：:1/128 Scope:Host UP LOOPBACK RUNNING MTU： 16436 躍點(diǎn)數(shù)：1 接收數(shù)據(jù)包：96錯(cuò)誤2丟棄仲過載仲幀數(shù)：。 發(fā)送數(shù)據(jù)包：96錯(cuò)誤2丟棄過莪：日載波 碰撞2發(fā)送隊(duì)列長度 接收字節(jié)口552(7.5 KB)發(fā)送字節(jié)：7552(7.5 KB)H1也是內(nèi)網(wǎng)主機(jī)，其網(wǎng)卡信息如下如所示，IP地址為28。rootgHl:/home/renx# ifconftgethQ Link encap:以太網(wǎng) 硬件地址 00:0c:2

23、9:2b: 18:b6inet 地址：28 廣播：55 掩碼55.255.255.。tnet6 地址：fe80:20c:29ff:fe2b: 18b6/64 Scope:LinkUP BROADCAST RUNNING MULTICAST MTU： 15。嵌點(diǎn)數(shù)接收數(shù)據(jù)包：5錯(cuò)誤仲丟棄2過載仲幀數(shù)2發(fā)送數(shù)據(jù)包：74錯(cuò)誤2丟棄2過載2載波仲碰挫2發(fā)送隊(duì)列長度：1000接收字節(jié)：866(866.0 B)發(fā)送字節(jié)：11430 (11.4 KB)申斷19基本地址：6x20243.2.配置過程與測試首先，打開內(nèi)網(wǎng)主機(jī)R的終端，輸入下圖中的命令，建立默認(rèn)路由條目，其 網(wǎng)關(guān)為主機(jī)H2在內(nèi)網(wǎng)中的IP地址。ro

24、otrenxiao:/hone/renx# route add default gw 29 rootrenxiao:/hone/renx# route -n內(nèi)核IP路由嗟目標(biāo)網(wǎng)關(guān)子網(wǎng)撞碼標(biāo)志躍點(diǎn)引用使用接口0*0.0*029UG000ethoU10900Qetho192*168.152.00.0.0*0255.255.255*0U10ðoootgrenxiao:/hone/renx#同樣的，設(shè)置主機(jī)H1的默認(rèn)網(wǎng)關(guān)為路由器主機(jī)H2在內(nèi)網(wǎng)中的IP地址 。rootHl:/hone/renx# route add default 卯 192168,152129rootHl:/hone/renx#

25、 route -n內(nèi)核IP路由表目標(biāo)網(wǎng)關(guān)子網(wǎng)掩碼標(biāo)志躍點(diǎn)引用使用接口29 O.O.O.OUG090 ethO169*254.0*00*0.0*0255.255DMU100090 ethO O.0.0.0 U19Q ethOrootHl:/hone/renx#然后，在主機(jī)H2中打開終端，開啟系統(tǒng)的路由轉(zhuǎn)發(fā)功能。這樣主機(jī)H2在收 到目的地址不是本身時(shí)就可以執(zhí)行轉(zhuǎn)發(fā)操作。具體命令如下圖所示，圖可以看到此時(shí)ip_forward=1，即轉(zhuǎn)發(fā)功能已開啟。rootH2:/hone/renx# echo 1 /proc/sys/net/ipv4/ip_forward rootH2:/hone/renx# ca

26、t /proc/sys/net/ipv4/ip_fonward 1在終端中輸入命令，查看路由器的路由表中的表項(xiàng)，從下圖中可以看到主機(jī) 的默認(rèn)路由為，即實(shí)驗(yàn)室中路由器在局域網(wǎng)中的地址。另外有 兩條轉(zhuǎn)發(fā)信息，當(dāng)所接受數(shù)據(jù)包的目標(biāo)為網(wǎng)絡(luò)時(shí)，數(shù)據(jù)包從接 口 eht0送出；當(dāng)目標(biāo)位網(wǎng)絡(luò)192.168,152.0時(shí)，數(shù)據(jù)包從接口 eth1送出。rootH2:/hone/renx# oute -n內(nèi)核IP路由表目標(biāo)網(wǎng)關(guān)子網(wǎng)掩碼標(biāo)志躍點(diǎn)引用使用接口UG000ethO0.0.0*0255 *255 MMU109000ethO255.25S.255MU100ethO192*168.152.0255*255.255

27、*0U100ethlrootH2:/home/renx# |然后查看現(xiàn)有nat鏈表規(guī)則，如下圖。此時(shí)主機(jī)H2依然無法訪問外網(wǎng)，因?yàn)?主機(jī)H2中無任何地址轉(zhuǎn)換的條目。外網(wǎng)主機(jī)無法得知外內(nèi)地址。rootH2:/hone/renx# iptables -t nat - L Chain PREROUTING (policy ACCEPT) targetprot opt sourcedestinationChain INPUT (policy ACCEPT) targetprot opt sourcedestinationChain OUTPUT (policy ACCEPT) targetprot o

28、pt sourcedestinationChain POSTROUTING (policy ACCEPT) targetprot opt sourcerootH2:/home/renx# |destination隨后，我們在終端中輸入下圖中命令，建立內(nèi)網(wǎng)主機(jī)通向外網(wǎng)的源地址轉(zhuǎn)換 規(guī)則并查看。當(dāng)H2收到來自主機(jī)R的任何數(shù)據(jù)報(bào)在POSTROUTING中將源地址轉(zhuǎn) 換成 11，即 H2 接口 eth0 的地址。rootH2:/home/renx# iptables -t nat to 11rootH2:/home/renx# iptables -t nat Chain PREROUTING (pol

29、icy ACCEPT) targetprot opt sourceChain INPUT (policy ACCEPT)rootH2:/home/renx# iptables -t nat to 11rootH2:/home/renx# iptables -t nat Chain PREROUTING (policy ACCEPT) targetprot opt sourceChain INPUT (policy ACCEPT)targetprot opt sourceChain OUTPUT (policy ACCEPT)targetprotoptsourceChain POSTROUTIN

30、G (policy ACCEPT) targetprotoptsourceSNATallrenxiao.local-Ldestinationdestinationdestinationdestination anywhereto:192.168.1.Ill查看實(shí)驗(yàn)室局域網(wǎng)中的主機(jī)，即該設(shè)計(jì)中的外網(wǎng)主機(jī)的信息如下圖，IP地址 為 07。天fii掩網(wǎng)連本IP子默無線局域網(wǎng)適配器無線網(wǎng)絡(luò)連接:天fii掩網(wǎng)連本IP子默F(xiàn)e80：24b4：259a：b22a：455czll07在主機(jī)R上Ping外網(wǎng)主機(jī)07成功，即內(nèi)網(wǎng)主機(jī)R通過路由主機(jī)H2與外網(wǎng)建立了連接。并采用Tcpdump對該工程進(jìn)行了抓包操作。r

31、ootrenxiao:/home/renxfl ping 192.168.1*107 -c 4PING 192+168+1.107 (07) 56(84) bytes of data.工作區(qū)切換器64 Dytes Tcom64 bytes from64 bytes from192,168.1.107：192,168.1*107：192-168.1.107：192,168.1,107：icmp_req=licmp_req=2icnp_req=3tcmp_req=4ttl=63 time=0.549ttl=63 time=G.514ttl=63 tine=0.782 ttl=63 ttme=0.4

32、41msmsmsmsping statistics -4 packets transmitted, 4 received, 0% packet loss, time 2999ms rtt min/avg/max/mdev = 0.441/0*571/0.782/9.129 ms ootmEnxla。：/hons/enx#卸 renxrenxiao: renxgrenxiao:sudo tcpdump temp -I etho -v sudo password for renx:tcpdump: listening on etho, link-type EN10MB (Ethernet),0,

33、offset 0, flagecho request, id0, offset 0, flagecho request, id21187, offset D,echo reply, id 318, offset 0, flagecho request, id21213, offset O,renxido.local 07: ICMP 11:29:22.956854 IP (tOS 0 x0, ttl 63, Id P (1), length 84) renxiao.local: ICMP 11:29:23.956874 IP (tOS 0 x0, ttl 64, id length 84)re

34、nxiao.local 07: ICMP 11:20:23.957395 IP (tos 0 x0, ttl 63, id P (1), length 84)對主機(jī)H1做同樣的操作，得到如下結(jié)果。rootHl:/home/renx# ping 192*168.1*107PING 192*168.1.197 (192*168*1.197) 56(84) bytes of data.64 bytes from 192.168,1*107: icmp_req=l ttl=63 time=l*19 ms64 bytes from 192*168*1*197: icmp_req=2 ttl=63 tim

35、e=l*99 msy_ 192*168*1*197 ping statistics 2 packets transmitted, 2 received, 0% packet loss, time 1003ms rtt mi.n/avg/mdx/mdev = 1.093/1*099/1.195/0*006 ms到目前為止，已經(jīng)完成了主機(jī)H2的路由功能，即內(nèi)網(wǎng)/24通 過H2與外網(wǎng)建立了連接。因?yàn)門FTP與FTP功能上類似，telnet與SSH類似， 下面的管控功能設(shè)計(jì)中，我們只配置路由器上的FTP服務(wù)、SSH服務(wù)和QoS。在路由器主機(jī)H2上安裝VSFTPD服務(wù)器軟件，并更改其配置參數(shù)，同時(shí)開啟

36、本地登錄和匿名登錄，使其支持上傳或下載文件等功能。din OUTPUT (policy ACCEPT) rget prot opt source otH2:/home/renx# telnet 192* ying 192* 168*3* 17tH2:/home/renx# sudo apt-ge 讀取軟件包列表.完成 分析軟件包的依賴關(guān)系樹 讀取狀態(tài)信息完成未發(fā)現(xiàn)軟件包netspytH2:/home/renx# sudo geditdin OUTPUT (policy ACCEPT) rget prot opt source otH2:/home/renx# telnet 192* ying

37、192* 168*3* 17tH2:/home/renx# sudo apt-ge 讀取軟件包列表.完成 分析軟件包的依賴關(guān)系樹 讀取狀態(tài)信息完成未發(fā)現(xiàn)軟件包netspytH2:/home/renx# sudo gedit文件(F)編輯(E)查看(V)搜索(S)工具(T)文檔(D)撤消打開 El保存B撤消l2j vsftpd.conf XExample config file /etc/vsftpd,confThe default compiled in settings are fileloosens things up a bit, to make thePlease see vsftpd

38、conf*5 for alt |conpREAD THIS: This example file is NOT ai options*Please read the vsftpd*conf.5 nanual | vsftpdsif kHnnkT 1 i iri ac8下圖是從主機(jī)R采用FTP本地登錄H2成功后的截圖。 renxrenxiao: renxrenxido:$ ftp 192*168.152.129 Connected to 29.220 Welcome to H21s FTP service*Name (192.168,152*129:renx): renxiao331 Pleas

39、e specify the password.Password:230 Login successful.Remote system type is UNIX*Using binary node to transfer files. ftp I登錄成功之后就可以在對路由器實(shí)行文件上傳或下載的操作，由此來與路由 器建立的資源交互。如下圖，主機(jī)R執(zhí)行g(shù)et命令從路由器H2上獲得測試 所用空文件text，并存儲為本地名為text的文件。ftp get text textlocal: text remote: text290 PORT command successful* Consider usin

40、g PASV *150 Opening BINARY mode data connection for text (0 bytes).226 Transfer complete*ftp I通過在路由器主機(jī)H2上安裝openssh服務(wù)端軟件，實(shí)現(xiàn)對其的遠(yuǎn)程登陸。下 圖為從主機(jī)R采用SSH登錄H2成功的截圖。此時(shí)可以在該終端中對路由器主 機(jī)H2發(fā)送操作命令，實(shí)現(xiàn)對其的遠(yuǎn)程控制功能。i.接下來完成QoS中的IP地址過濾功能。在終端中輸入下圖中命令，設(shè)置主機(jī)H2防火墻拒絕來自內(nèi)網(wǎng)主機(jī)28的SSH請求，以此來保證路由器主機(jī)不能被其他未授權(quán)主機(jī)登錄。rootH2:/home/renx# iptables -t filter 2.129 -p tcp -dport 22 -rootH2:/home/renx# iptables -t filt