我的系统上安装了 Ubuntu 14.04,并将其作为办公室的服务器,有 15 名员工在工作。我的系统中有 2 个 LAN 卡:
- 一个用于从路由器输入到我的 Ubuntu 服务器
- 另外一个是从我的系统到交换机,通过 LAN 电缆将我所有的员工通过该交换机连接起来。
现在,我该如何配置我的两张 LAN 卡,因为我想阻止一些网站并对网络进行一些限制。
答案1
我假设在你的服务器上eth0连接到交换机,并且eth1连接到路由器。我假设您的 LAN 网络地址是 10.1.1.0/255.255.255.0 我假设您的路由器是 192.168.0.1/255.255.255.0
在连接到交换机的 NIC 上,分配一个与交换机所服务的 LAN 处于同一范围内的 IP 地址。但没有网关定义。在 /etc/network/interfaces 中:
auto eth0
iface eth0 inet static
address 10.1.1.1
netmask 255.255.255.0
在连接到路由器的 NIC 上,我看到有关您自己的设置的两种可能性:
- 您分配一个固定 IP,与路由器 IP 在同一范围内,并将默认网关设置为指向此路由器 IP。在这种情况下,您应该将其添加到您的
/etc/network/interfaces
auto eth1 iface eth1 inet static address 192.168.0.2 netmask 255.255.255.0 gateway 192.168.0.1
- 路由器能够动态分配 IP 到您的服务器(DHCP),那么您只需将此 NIC 配置为启用 DHCP 的 NIC。在这种情况下,您应该将其添加到您的
/etc/network/interfaces
auto eth1 iface eth1 inet dhcp
第二个设置是确保您能够在这两个 NIC 之间路由流量。为此,您必须调整文件/etc/sysctl.conf。在此文件中,取消注释以下行:
网.ipv4.ip_forward=1
此设置将在下次重启时激活,如果您想在不重启的情况下手动激活它,您可以执行以下操作:
sudo echo 1 | sudo tee /proc/sys/net/ipv4/ip_forward
第三步是确保所有员工的 PC 都配置为使用10.1.1.1,作为默认网关连接到交换机的网卡的IP。
上述步骤将帮助您设置服务器的网络连接,但如果您需要对员工实施限制,您还必须考虑以下事项:
- 使用iptables(又名 Linux 防火墙)来阻止一些你不允许进入互联网的流量。Iptables 规则管理起来可能非常复杂,所以我建议你安装并尝试名为联邦快递, 这简单的防火墙这将使你的 Iptables 生活更加轻松。有关此工具的更多信息,请访问Ubuntu 社区帮助维基等等。
- 你也可以考虑安装 Web 代理服务器,例如乌贼。Web 代理服务器将允许您限制员工可以访问的网站。Web 代理还可以启用身份验证,因此只有已知用户才允许使用它。Squid 中的规则可以设置为用户 1 和用户 2 不受相同限制。请查看本产品的网站了解有关如何设置的信息。
- 在每台 PC 的 Web 浏览器中,您必须指定服务器的内部 IP 地址(在我的示例中为 10.1.1.1)作为代理服务器。为确保您的员工不会绕过代理及其保护直接访问互联网,您必须在服务器上创建防火墙规则,以阻止从 LAN 到互联网的端口 80 和 443 的流量。
- 可以使用一些附加组件来完成 Squid 的设置,这些附加组件可以检索网站类别列表,以便更轻松地进行阻止。例如,鱿鱼卫士可以与 Squid 结合使用来检索网站的黑名单,以自动阻止对这些网站的访问,而无需在标准 Squid 配置中手动配置每个网站。更多信息。
上面提到的所有这三个软件都可以从标准 Ubuntu 存储库中获得,因此只需执行以下操作:
sudo apt-get install ufw squid squidguard
将安装该软件。您必须优化其配置以满足您的需求。
评论 :
如果您的服务器只有一个 NIC,也可以将您的服务器设为 Web 代理。根据您的路由器类型,可能可以在其中完成所有防火墙操作。在这种情况下,进行网络设置将更加容易:
- 路由器 IP 是网络上任何设备、PC 和服务器的默认网关
- 路由器、服务器和 PC 连接到同一个交换机
- 路由器、服务器和 PC 位于同一子网中,因此,如果路由器具有 DHCP 功能,它也可以为 PC 执行 DHCP,您不必担心每台 PC 上的网络配置
- Squid 和 squidguard 仍然可以安装在您的服务器上并供所有 PC 使用。