科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道如何实现Linux防火墙让远程办公有安全(上)

如何实现Linux防火墙让远程办公有安全(上)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

 目前,通过VPN来实现远程办公是比较常见的方法。该方法的不足之处主要有两点:第一,若要保证VPN用户随时访问内网,内网的计算机必须长时间保持开机状态,造成大量资源的浪费;第二,用户连入VPN之后,只能把远程计算机当成网络邻居中的一员来互传资料。

来源:论坛整理 2010年4月17日

关键字: 安全技术 系统安全 Linux

  • 评论
  • 分享微博
  • 分享邮件
 目前,通过VPN来实现远程办公是比较常见的方法。该方法的不足之处主要有两点:第一,若要保证VPN用户随时访问内网,内网的计算机必须长时间保持开机状态,造成大量资源的浪费;第二,用户连入VPN之后,只能把远程计算机当成网络邻居中的一员来互传资料。

  利用Linux实现远程办公可以弥补VPN方式的以上两点不足:可以实现按需开机;可以直接控制和监测远程计算机,以及远程计算机的桌面。此方法中Linux服务器必须是连接在公网上的一台机器,它“扮演”了网关和防火墙的角色,并且负责唤醒内网的计算机。

  环境配置

  1.安装wakelan软件

  wakelan是Linux下的一款远程唤醒程序,能唤醒与Linux服务器相连的计算机,并且其网卡MAC地址为指定地址。命令格式是“wakelan MAC地址”。

  wakelan的安装方法如下:

#tar wakelan-1.1.tar.gz
#cd wakelan-1.1
#./configure
#make
#make install

  2.添加广播路由

  在此实际工作环境中,局域网内的机器都通过交换机连在Linux服务器的eth1网卡上。Linux服务器要对整个局域网进行广播,需要添加以下一条路由:

#route add -host 255.255.255.255 -dev eth1

  把上面这条路由添加到/etc/rc.local中,即使Linux服务器重新启动,也可以自动添加该路由。

  3.配置DHCP

  在DHCP的配置文件/etc/dhcpd.conf中指定内网Windows机器的IP地址、域服务器地址、域名、网关、DNS服务器等信息,使其启动后可以自动获取指定的IP。当然,如果每台计算机上都有固定的IP地址,则配置DHCP服务的过程可以忽略。

  /etc/dhcpd.conf中配置的内容如下:

ddns-update-style ad-hoc;
max-lease-time -1;
default-lease-time -1;
option subnet-mask 255.255.255.0;
option broadcast-address 255.255.255.255;
option routers 192.168.0.1;
option domain-name-servers 192.168.0.1;
option domain-name "home.net.cn";
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.11 192.168.0.100;
host platinum {
hardware ethernet 00:0a:e6:a9:64:a2;
fixed-address 192.168.0.2;
}
}

 上面的配置中,对名为“platinum”的PC做了指定MAC的IP分配,固定platinum的IP地址为192.168.0.2,如有其它机器,也做类似设置即可。

  用命令“/etc/rc.d/init.dhcpd start”启动DHCP服务,使DHCP可以正常运行。

  4.配置iptables,设置DNAT功能

  DNAT功能可以将访问Linux网关特定端口的所有连接请求都转到内网指定机器的相应端口上(内网用户的连接请求除外)。

  举例如下:

#iptables -A PREROUTING -t nat -p tcp -s ! 192.168.0.0/24 --dport 4899 -j DNAT --to 192.168.0.2:4899

  上例这条命令中,把访问Linux网关4899端口的所有连接请求都转到IP为192.168.0.2的机器的4899端口上。4899是远程控制程序Radmin的默认服务端口。可以把这条命令添加到文件/etc/rc.local里,使Linux启动就自带这个功能。用户也可以写一个实现同样功能的Firewall脚本,放在/etc/rc.local里执行。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章