iptables劫持并拦截DNS查询53端口实现转向(Redirect)

企业内网中经常会有这样的需求,比如说业务服务器的IP地址为192.168.6.25,大家也就习惯于访问这个地址了,运维也很厚道的将某个域名解析到这个IP地址,这样大家也就不必记住繁琐的IP地址,同时运维也很方便的将业务服务器由192.168.6.25的主机迁移到192.168.6.26的主机而无需通知客户端更改地址,这也是域名发挥的作用,好了,现在问题来了:-)

客户说我们企业很小,不想另外购买域名,好吧,每年五十几块也是一笔费用,而且购买域名后还需要有人维护,比如要记得续费什么的,略麻烦。同样的还觉得将内网地址公布到外网上不是安全的行为。

经过我的询问得知该企业拥有一台自建的DNS服务器,为全网提供DNS查询,那这事情就好办多了,对DNS服务器软件硬绑定指定的域名到IP地址的记录(由于是我们自己的DNS服务器,这里的域名可以任意设置,当然最好设置为公网上没有的域名地址以避免冲突)。

继续阅读

Debian/树莓派Raspberry Pi加速上网体验之设置Squid3透明代理

上一篇文章介绍了如何通过设置DNS服务器来加速上网体验,今天我要向大家介绍的是如何设置透明代理实现HTTP的缓存,稍后将介绍如何过滤屏蔽相关广告站点。

首先我们已经配置好了无线热点,如果不清楚的话可以参考我前面的文章,配置好的效果是通过无线网卡连接到树莓派,然后流量经过wlan0网卡转到eth0然后出口,也就是说eth0相当于我们路由器的WAN口,而wlan0相当于局域网LAN口,理清这个关系后下面我们继续。

首先要安装squid3,这里可以直接通过下面的命令进行:

apt-get install squid3

继续阅读

配置iptables防火墙维护Linux/VPS服务器安全

也算是最近配置VPS的笔记吧,系统是Debian 5.0。

1. 什么是iptables

摘自百度百科:iptables 是与最新的 2.4.x 版本 Linux 内核集成的 IP 信息包过滤系统。如果 Linux 系统连接到因特网或 LAN、服务器或连接 LAN 和因特网的代理服务器, 则该系统有利于在 Linux 系统上更好地控制 IP 信息包过滤和防火墙配置。

准确的说iptables是IP信息包过滤系统,实际应用可以看作是防火墙,而且配置灵活,功能强大。如果我把Windows平台服务器迁移到Linux上面来的话,这个应该是取代ISA(Internet Security and Acceleration)或者ForeFront TMG的首选。

2. 如何获取iptables

可能有些Linux系统上已经安装了,如果没有安装,请使用下面的命令快速安装:

1
2
3
4
# Debian Ubuntu 系列使用apt-get
apt-get install iptables
# 或者CentOS Fedora 系列使用yum
yum install iptables

3. 如何使用iptables

3.1 查看规则和清理规则

使用iptables -L查看所有规则,正常情况下应该没有任何规则,如下:

1
2
3
4
5
6
7
8
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

如果不是这样,建议使用下面的指令清空现有规则,以便于我们下一步操作:

1
iptables -F

继续阅读