公司有4M网络出口网络,公司把公司网站也构架在内网上。由于某些员工不自觉,经常使用高流量的应用,经过调整效果很好,先应用记录如下:
公司网络拓扑架构
网络: 192.168.1.xxx
网关:192.168.1.2 DNS:取自运营商
无线:192.168.1.1(原始设置,通过LAN口和主交换机连接)
交换机:最基本的TPLink交换机
系统运行CentOS Linux 5.x系统,eth0连接内网,eth1/ppp0连接电信ADSL。通过免费DNS解析一个花生壳免费DNS. temptest.51vip.biz,具体ppp0和免费域名参见其它,资料太多了,遍地都是。
网络管理就是绑定 MAC/IP 使每个人都使用DHCP获取IP,且和人绑定,这样发现问题可以有案可查。
网络划分:
192.168.1.1 -- 127 无限制 127个
192.168.1.128--254 127个 UDP限制,只允许MSN/QQ/DNS 其他基于UDP的p2p应用不予开放
192.168.1.176-191 16个,TCP端口限制,高区TCP随机端口屏蔽防止p2p应用
192.168.1.192-229 38个, DHCP分配方案
/etc/rc.local 启动文件配置
#/etc/rc.local 添加
modprobe ip_nat_ftp
#10 hours
echo 36000 > /proc/sys/net/ipv4/netfilter/ip_conntrack_tcp_timeout_established
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv4/ip_dynaddr
#屏蔽除QQ外 UDP ,防止基于UDP p2p 应用, IP>128的则屏蔽
iptables -i eth0 -A FORWARD -s 192.168.1.128/25 -p udp --sport 4001:55000 --dport ! 53 -j DROP
iptables -i eth0 -A FORWARD -s 192.168.1.128/25 -p udp --sport 1500:3999 --dport ! 53 -j DROP
#192.168.1.176-191 屏蔽 TCP 群发端口
iptables -i eth0 -A FORWARD -s 192.168.1.176/28 -p tcp --dport 8100:45000 -j DROP
#ban IP CallIE.exe
iptables -i eth0 -A FORWARD -s 192.168.1.176/28 -p tcp -d 119.167.216.0/24 -j DROP
iptables -i eth0 -A FORWARD -s 192.168.1.176/28 -p tcp -d 119.184.126.0/24 -j DROP
iptables -i eth0 -A FORWARD -s 192.168.1.176/28 -p tcp -d 123.125.114.0/23 -j DROP
#ban Xunlei
iptables -i eth0 -A FORWARD -s 192.168.1.128/25 -p udp --dport 53 -m string --algo bm --string 'sandai.net' -j DROP
iptables -i eth0 -A FORWARD -s 192.168.1.128/25 -d 219.134.132.0/24 -j DROP
#开启转发
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -o eth1 -j MASQUERADE
我把相关的内容放在 /etc/dhcp_manager 目录下 /etc/dhcp_manager/log 是保存dhcpd.conf目录 chkMAC.sh dhcp_manager.sh refreshdns.sh dhcp_manager.awk dhcpdhead.txt ComputerList.txt 分别构成不同模块
dhcp_manager.sh dhcp_manager.awk dhcphead.txt ComputerList.txt 是DNS辅助工具
ComputerList.txt 是网络内的MAC地址数据库
文本文件,Tab制表符分割。第三列使用者不能重复,名称必须唯一。一共8列,第一行注释,不要写具体内容,凡已经知道的都保存在这里,一台设备分配一个地址。注意:如果一个笔记本既有有线网,也有无线网,请分配一个地址,且使用者不要重复。
IP Mac 电脑名称(唯一) 使用者(中文) 类型 Machine DeskTop/Laptop Cable/Wireless
192.168.1.50 00:00:E8:14:1B:AA mycompany1 Unknow 管理员 PC DeskTop Cable
192.168.1.11 6C:62:6D:21:27:D3 mycompany3 Unknow 管理员 PC DeskTop Cable
192.168.1.13 CC:08:E0:37:C9:C0 mycompany5 Unknow 管理员 PC DeskTop Cable
192.168.1.14 00:14:2A:7A:F3:AA mycompany6 Unknow 管理员 PC DeskTop Cable
192.168.1.15 00:14:2A:2D:B2:04 mycompany7 Unknow 管理员 PC DeskTop Cable
192.168.1.18 00:11:5B:E9:F4:2D mycompany10 Unknow 管理员 PC DeskTop Cable
192.168.1.19 00:40:63:E0:FC:14 mycompany11 Unknow 管理员 PC DeskTop Cable
192.168.1.20 00:40:63:FF:FF:41 mycompany12 Unknow 管理员 PC DeskTop Cable
dhcphead.txt 是dhcpd.conf文件的基本配置
dhcp_manager.awk dhcpmanager.sh 会根据dhcphead.txt文件生成dhcpd.conf配置文件, 如果要定义一些dhcpd.conf需要在此配置
dhcphead.txt
ddns-update-style interim;
ignore client-updates;
subnet 192.168.1.0 netmask 255.255.255.0 {
# default-lease-time 21600;
# max-lease-time 43200;
#
default-lease-time 1800;
max-lease-time 7200;
option time-offset -18000; # Eastern Standard Time
option routers 192.168.1.2;
option subnet-mask 255.255.255.0;
range dynamic-bootp 192.168.1.192 192.168.1.229;
option domain-name-servers 210.22.70.3,210.22.70.227;
dhcp_manager.awk
根据dhcpdhead.txt和computerlist.txt文件生成一个dhcpd.conf配置文件,包含mac地址IP地址绑定
#awk IP,MAC,uid
BEGIN {
FS="\t"
system("cat dhcpdhead.txt");
}
END {
print "\n\n}"
}
{
if ( NR > 1 ) {
print "\t\t\t host " $3 " \t{"
print "\t\t\t\t hardware ethernet " $2 ";"
print "\t\t\t\t fixed-address " $1 ";"
print "\t\t\t\t #" $3 " " $4 " " $5 " " $6 " " $7
print "\t\t\t }"
}
}
dhcp_manager.sh
dhcp_manager执行文件,会保存当前dhcpd.conf原始文件,并生成dhcpd.conf文件
#!/bin/bash
#
cd /etc/dhcp_manager
day=`date +%Y%m%d%H%M%S`
/etc/init.d/dhcpd stop
mv ../dhcpd.conf log/dhcpd.conf.$day
awk -f dhcp_manager.awk ComputerList.txt > ../dhcpd.conf
/etc/init.d/dhcpd start
refreshdns.sh
刷新dhcpd.conf DNS分配,该文件置于rc.local末尾,可以刷新DNS,防止运营商更改DNS后,无法解析
#!/bin/bash
dnsfile=/etc/resolv.conf
if [ -e $dnsfile ] ;then
if grep nameserver $dnsfile ;then
dns1=`cat $dnsfile |grep nameserver | cut -d' ' -f2 |tail -n1 | head -n1`
dns2=`cat $dnsfile |grep nameserver | cut -d' ' -f2 |tail -n2 | head -n1`
echo $dns1
echo $dns2
sed -e "s/\(^[ \t]\+option domain-name-servers[ \t]\)\+.\+/\1 $dns1,$dns2;/g" /etc/dhcpd.conf > /etc/dhcpd.conf2
cd /etc
/etc/init.d/dhcpd stop
mv -f dhcpd.conf2 dhcpd.conf
/etc/init.d/dhcpd start
fi
fi
chkMAC.sh
网络检查软件,该文件自动监控网络中的MAC地址,如果不是通过dhcpd.conf的规范地址,则会屏蔽其对于Internet的使用。每个5分钟检查一次,放在crontab中处理
#!/bin/bash
#!/bin/bash
export PATH=$PATH:/sbin:/usr/sbin
arplog=/var/log/arp.log
msglog=/var/log/messages
IPList=/etc/dhcp_manager/ComputerList.txt
curbanIP=/tmp/curBanfwdips.txt
curARPIP=/tmp/curARPIP.txt
lastIPTables=/tmp/lastiptables.txt
LANDev=eth0
resvBegin=1
resvEnd=127
dhcpBegin=192
dhcpEnd=229
IDWORD=chkmac
#Save arp log
arp -n -i eth0 |grep ether| awk '{print strftime("%F %H:%M %w")"\t"$1"\t"$3"\t"$2}' >> $arplog
iptstate -s | grep 192.168 | cut -d':' -f1 | cut -d' ' -f1 | sort | uniq -c | awk '{ print strftime("%F %H:%M %w")"\t"$2"\t"$1"\t state"}' >> $arplog
#remove IP in INPUT
iptables --line-numbers -L FORWARD -nv | grep MAC | awk '{if(match($9,"^!")) print $1"\t"substr($9,2)"\t"$12"\t"$2;else print $1"\t"$9"\t"$12"\t"$2 }' | tac > $curbanIP
arp -i $LANDev -n | grep ether | awk '{print $1"\t"$3}' > $curARPIP
num=`cat $curbanIP | wc -l`
if [ $num -gt 0 ] ;then
#>0
cat $curbanIP | while read idx IP MAC pkgs
do
if grep $MAC $curARPIP > /dev/null ;then
#exist
if [ $IP = anywhere ] || [ $IP = '0.0.0.0/0' ];then
#baned already
IPinArp=`grep $MAC $curARPIP | tail -n1 | cut -f1 | cut -d'.' -f4`
if [ $IPinArp -ge $dhcpBegin ] && [ $IPinArp -le $dhcpEnd ];then
iptables -D FORWARD $idx
echo `date '+%b %e %T'` $0 ": iptables -D FORWARD $idx $IP was obained by DHCP" >> $msglog
fi
else
IPinArp=`grep $MAC $curARPIP | head -n1 | cut -f1`
IPinList=`grep $MAC $IPList | head -n1 | cut -f1`
if [ $IPinArp = $IPinList ] ;then
iptables -D FORWARD $idx
echo `date '+%b %e %T'` $0 ": iptables -D FORWARD $idx $MAC $IP is OK" >> $msglog
fi
fi
else
#not in arp list
if grep $MAC $lastIPTables > /dev/null ;then
lastPkgs=`grep $MAC $lastIPTables|head -n1|cut -f4`
if [ $pkgs = $lastPkgs ] ;then
#no more forwareded pkgs
#removed
iptables -D FORWARD $idx
echo `date '+%b %e %T'` $0 ": iptables -D FORWARD $idx $MAC is no more forwarded pkgs" >> $msglog
fi
else
#removed
iptables -D FORWARD $idx
echo `date '+%b %e %T'` $0 ": iptables -D FORWARD $idx $MAC is not in arp-list" >> $msglog
fi
continue
fi
done
fi
num=`cat $curARPIP | wc -l`
if [ $num -gt 0 ];then
cat $curARPIP | while read IP MAC
do
if ! iptables -L FORWARD -nv|grep $MAC > /dev/null ;then
#New
if grep $MAC $IPList > /dev/null ; then
IPinList=`grep $MAC $IPList | head -n1 | cut -f1`
if [ $IP != $IPinList ] ;then
tmpStr=`date '+%F %T'`
tmpStmp=`date +%s`
iptables -i $LANDev -A FORWARD -m mac --mac-source $MAC -s ! $IPinList -j DROP -m comment --comment "tmstmp:$tmpStmp ,add at $tmpStr,baned by $IDWORD"
echo `date '+%b %e %T'` $0 ": $MAC $IP is illegal " >> $msglog
fi
else
#Not in Compulist.txt,check DHCP
subIP=`echo $IP|cut -d'.' -f4`
if [ $subIP -lt $dhcpBegin ] || [ $subIP -gt $dhcpEnd ];then
#Not in Computlist.txt and not in DHCP
tmpStr=`date '+%F %T'`
tmpStmp=`date +%s`
iptables -i $LANDev -A FORWARD -m mac --mac-source $MAC -j DROP -m comment --comment "tmstmp:$tmpStmp ,add at $tmpStr,baned by $IDWORD"
echo `date '+%b %e %T'` $0 ": $MAC $IP is out of DHCP " >> $msglog
fi
fi
fi
done
fi
iptables --line-numbers -L FORWARD -nv | grep MAC | awk '{if(match($9,"^!")) print $1"\t"substr($9,2)"\t"$12"\t"$2"\t"strftime("%F %T");else print $1"\t"$9"\t"$12"\t"$2"\t"strftime("%F %T") }' > $lastIPTables
rm -f $curbanIP
rm -f $curARPIP
日常运营
日常运营需要 arp iptables iptstate 等日常工具,一般ip占用资源书多的人,带宽占用多
iptstate -s | cut -d':' -f1 | sort | uniq -c
这条命令一般可以把占用多的人给列出来
FAQ:
为何不用 MAC/IP静态绑定?
答: 由于Centos 提供httpd samba 服务,所以私自使用IP者可以使用这些内网服务,但不能使用IP转发的Internet服务
我是Linux新手,需要掌握常用的那些Linux命令?
答:新手就是勤学勤练,多弄弄笔什么都好。建议弄个三台旧电脑,模拟一样环境。从我日常的需求要来看,主要需求如下:
iptables 设置路由器,查看路由器
iptstate 查看当前网络客户使用状态
arp 查看当前arp-ip映射,如果有arp风暴或者欺骗,一查就知道了,然后通过iptables 直接ban掉mac地址,确保网关安全
netstate 查看当前主机连接,某些攻击,这里一看就知道
grep cut uniq awk 等一些通于日常统计的简单命令
/var/log/message /var/log/secure 等常用日志文件,都要知道
先这点,以后补充,多学多用就是王道
更新日志
2012-06-25
更新chkMAC.sh 增加了 arp.log 记录,删除MAC地址是检查是否活跃,不活跃才删除,活跃继续保留。
225
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
