Linux远程终端工具Xmanager，iptables发布网站脚本

最新推荐文章于 2022-03-22 18:02:09 发布

weixin_34327223

最新推荐文章于 2022-03-22 18:02:09 发布

阅读量171

点赞数

原文链接：http://blog.51cto.com/hao360/1529811

版权

Xmanager介绍

Xmanager全称Netsarang Xmanager，是国外一套非常优秀的远程监控软件。在UNIX/Linux和Windows网络环境中，Xmanager是最好的连通解决方案。我推荐大家下载Enterprise版本，企业版带的工具更多功能更强大。我们通过Xmanager连接Linux远程桌面进行图形化管理其实就是利用了Xmanager套装里面的Xbrowser程序。

由于想到平时用的是CentOS，而不是redhat。因此，这里我会拿CentOS6.4和RedHat 5.4来做作为例子。

在win平台上用Xmanager连接到linux图形化界面之前，需要先在linux上做的一些操作。

CentOS 6.4

iptables和selinux都为关闭状态

一、安装xdm

默认mini安装和server安装出来的CentOS 6.4系统上面没有xdm。因为使用Xmanager要求linux系统中必须有xdm才行，因此我们需要先安装xdm。

yum install xdm -y

二、修改参数

1、修改xdm相关参数

[root@localhost ~]# vim /etc/X11/xdm/Xaccess
将该文件中如下行，解除注释
#*                                       #any host can get a login window

2、修改gdm相关参数

[root@localhost ~]# vim /etc/X11/xdm/Xaccess
# broadcast address, it sends DirectQuerys to each of the hosts in the list
# The fifth form tells xdm which addresses to listen for incoming connections
# on.  If present, xdm will only listen for connections on the specified
# interfaces and/or multicast groups.
#
# In all cases, xdm uses the first entry which matches the terminal;
# for IndirectQuery messages only entries with right hand sides can
# match, for Direct and Broadcast Query messages, only entries without
# right hand sides can match.
#
*                                       #any host can get a login window
#
# To hardwire a specific terminal to a specific host, you can
# leave the terminal sending indirect queries to this host, and
# use an entry of the form:
#
#terminal-a     host-a
#
[root@localhost ~]# vim /etc/gdm/custom.conf
# GDM configuration storage
[daemon]
[security]
AllowRomoteRoot=true        #添加上的，允许远程root登录
[xdmcp]
Port=177                    #添加上的，指定端口177
Enable=1                    #添加上的，允许
[greeter]
[chooser]
[debug]

如上配置完毕之后，最好将系统重启一下。

三、Win客户端配置

1、安装Xmanager软件

步骤略

2、相关设置

操作看图片

在打开的Xbrowser界面，进行操作（操作步骤在图片里）

创建完毕之后，双击打开即可实现连接

这样，对于CentOS 6.4系统，我们已经可以用Xmanager进行图形界面的远程连接操作了。

RedHat 5.4

iptables和selinux都为关闭状态

一、修改gdm配置

[root@localhost ~]# vim /usr/share/gdm/defaults.conf

将此文件中的如下配置行进行修改

Enable=true
DisplaysPerHost=2
Port=177             #配置默认端口，此行需要解锁
AllowRemoteRoot=true #这里默认是false，如果不改为true，则root用户就不能远程登录

做完上述修改之后，需要将gdm重启

[root@localhost ~]# gdm-restart

二、修改/etc/inittab配置

我们需要将/etc/inittab文件最后一行

x:5:respawn:/etc/X11/prefdm -nodaemon
修改为
x:5:respawn:/usr/sbin/gdm

这样子我们的linux端就配置好了

三、Win客户端配置

参考上面CentOS 6.4的第三步。

iptables发布网站脚本

玩过Linux的都知道iptables是什么，那么我们如何让企业内网用户通过防火墙的外网接口访问外网呢？还有当我们的内网服务器搭建好之后如何向外网发布，让其他人也能访问到我们的服务器，以及发布内网服务器之后如何从外网ssh远程内网服务器。这些都要用到iptables防火墙的一些知识！

假设我们的内网服务器网段为192.168.194.0/24，而防火墙主机连接外网的端口ip为100.1.1.25，Linux主机的ip_forward功能已开启，我们可以用下面的脚本设置我们的防火墙：

#!/bin/bash

LAN_IF="eth0"   #内网网卡eth0
LAN_NETS="192.168.194.0/24"   #内网网段
INET_IF="eth1"   #外网网卡eth1
INET_IP="100.1.1.25"   #防火墙连接的外网地址
IPT="/sbin/iptables"
WWW_IP="192.168.194.10"   #局域网web服务器ip
FTP_IP="192.168.194.20"   #局域网ftp服务器ip

sed -i '/IPTABLES_MODULES=/s/=".*"/="nf_nat_ftp nf_conntrack_ftp"/' /etc/sysconfig/iptables-config   #增加ftp相关的两个模块并重启服务
service iptables restart

$IPT -F
$IPT -X
$IPT -t nat -F
$IPT -N BLACKLIST   #自定义一条新链
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT ACCEPT

$IPT -t nat -A POSTROUTING -s $LAN_NETS -o $INET_IF -j SNAT --to-source $INET_IP   #实现内网通过NAT方式连接外网
$IPT -t nat -A PREROUTING -d $INET_IP -i $INET_IF -p tcp --dport 80 -j DNAT --to-destination $WWW_IP   #发布web网站
$IPT -t nat -A PREROUTING -d $INET_IP -i $INET_IF -p tcp --dport 20:21 -j DNAT --to-destination $FTP_IP   #发布ftp网站
$IPT -t nat -A PREROUTING -d $INET_IP -i $INET_IF -p tcp --dport 2222 -j DNAT --to-destination $WWW_IP:22   #实现远程控制web服务器
$IPT -t nat -A PREROUTING -d $INET_IP -i $INET_IF -p tcp --dport 2223 -j DNAT --to-destination $FTP_IP:22   #实现远程控制ftp服务器

$IPT -A FORWARD -s $LAN_NETS -j ACCEPT   #允许内网用户向任何网段转发数据包
$IPT -A FORWARD -d $WWW_IP -p tcp -m multiport --dports 80,22 -m state --state NEW -j ACCEPT   #当web服务器接收到80和22端口新建立的连接请求时ACCEPT
$IPT -A FORWARD -d $FTP_IP -p tcp -m multiport --dports 20:21,22 -m state --state NEW -j ACCEPT   #当ftp服务器接收到20:21和22端口新建立的连接请求时ACCEPT
$IPT -A FORWARD -d $LAN_NETS -m state --state ESTABLISHED,RELATED -j ACCEPT   #当内网络主机接收到将要或已经建立连接的包和与已知某个连接相关联的包时ACCEPT

for ip in `cat ~/bin/blist.txt`   #blist.txt为被列为黑名单的ip地址，格式为一行一个ip
do
 $IPT -I BLACKLIST -s $ip -j DROP   #把黑名单ip写入BLACKLIST
done
 $IPT -I INPUT -j BLACKLIST   #不允许黑名单访问防火墙主机
 $IPT -I FORWARD -j BLACKLIST    #不允许黑名单用户转发数据
 $IPT -I OUTPUT -d -s $ip -j DROP   #不允许内网主机访问黑名单主机

转载于:https://blog.51cto.com/hao360/1529811