如何实现Linux防火墙让远程办公更安全

暂时，经过vpn来实行长途办公室是比拟罕见的本领。该本领的不及之处重要有零点：第一，若要保护vpn用户随时考察内网，内网的计划机必需长功夫维持开机状况，形成洪量资源的滥用；第二，用户连入vpn之后，只能把长途计划机当成搜集街坊中的一员来互传材料。 　　运用linux实行长途办公室不妨填补vpn办法的之上零点不及：不妨实行按需开机；不妨径直遏制和监测长途计划机，以及长途计划机的桌面。此本领中linux效劳器必需是贯穿在公网上的一台呆板，它“表演”了网关和风火墙的脚色，而且控制叫醒内网的计划机。　　情况摆设　　1.安置wakelan软硬件　　wakelan是linux下的一款长途叫醒步调，能叫醒与linux效劳器贯串的计划机，而且其网卡mac地方为指定地方。吩咐方法是“wakelan mac地方”。　　wakelan的安置本领如次：　　#tar wakelan-1.1.tar.gz　　#cd wakelan-1.1　　#./configure　　#make　　#make install　　2.增添播送路由 　　在此本质处事情况中，局域网内的呆板都经过调换机连在linux效劳器的eth1网卡上。linux效劳器要对所有局域网举行播送，须要增添以次一条路由： 　　#route add -host 255.255.255.255 -dev eth1　　把上头这条路由增添到/etc/rc.local中，纵然linux效劳珍视新启用，也不妨机动增添该路由。　　3.摆设dhcp　　在dhcp的摆设文献/etc/dhcpd.conf中指定内网windows呆板的ip地方、域效劳器地方、域名、网关、dns效劳器等消息，使其启用后不妨机动获得指定的ip。固然，即使每台计划机上都有恒定的ip地方，则摆设dhcp效劳的进程不妨忽视。　　/etc/dhcpd.conf中摆设的实质如次：　　ddns-update-style ad-hoc;　　max-lease-time -1;　　default-lease-time -1;　　option subnet-mask 255.255.255.0;　　option broadcast-address 255.255.255.255;　　option routers 192.168.0.1;　　option domain-name-servers 192.168.0.1;　　option domain-name "home.net.cn";　　subnet 192.168.0.0 netmask 255.255.255.0 {　　range 192.168.0.11 192.168.0.100;　　host platinum {　　hardware ethernet 00:0a:e6:a9:64:a2;　　fixed-address 192.168.0.2;　　}　　}　　上头的摆设中，对名为“platinum”的pc做了指定mac的ip调配，恒定platinum的ip地方为192.168.0.2，如有其它呆板，也做一致树立即可。 　　用吩咐“/etc/rc.d/init.dhcpd start”启用dhcp效劳，使dhcp不妨平常运转。 　　4.摆设iptables，树立dnat功效 　　dnat功效不妨将考察linux网关一定端口的一切贯穿乞求都转到内网指定呆板的相映端口上（内网用户的贯穿乞求之外）。 　　举比方下： 　　#iptables -a prerouting -t nat -p tcp -s ! 192.168.0.0/24 --dport 4899

　　-j dnat --to 192.168.0.2:4899　　上例这条吩咐中，把考察linux网关4899端口的一切贯穿乞求都转到ip为192.168.0.2的呆板的4899端口上。4899是长途遏制步调radmin的默许效劳端口。不妨把这条吩咐增添到文献/etc/rc.local里，使linux启用就自带这个功效。用户也不妨写一个实行同样功效的firewall剧本，放在/etc/rc.local里实行。　　5.在前网windows上安置长途遏制软硬件　　常用的长途遏制软硬件有pcanywhere、radmin等，用户不妨按照本人的爱好安置个中一个，自己运用的是radmin。用来长途办公室的计划机和受遏制的计划机都必需安置这个软硬件，各别的是被控端除去安置这个软硬件除外，还须要启用效劳端步调。　　6.长途叫醒内网呆板　　长途启用的基础是windows呆板扶助网卡叫醒，而且bios的树立要适合网卡叫醒规范。在任何能上钩的场合用ssh办法登录到linux呆板，实行长途叫醒吩咐：　　#wakelan 00:0a:e6:a9:64:a2　　即使电脑启用了，则表明前方的摆设胜利。要长途登录，用户还必需记取一堆难记的mac地方,这是很烦恼的，并且不安定。咱们不妨经过web效劳来矫正这个功效。 　　安定、便利的web启用办法 　　即使linux中仍旧安置了apache和php，就不妨经过摆设apache和编写php脚从来实行更安定地长途启用。 　　1.编写php剧本 　　在apache的documentroot底下创造一个wakeup目次，在这个目次下创造index.php文献，实质如次： 　　<?　　passthru("/usr/local/bin/wakelan 00:0a:e6:a9:64:a2");　　echo "计划机platinum正在启用 . . .";　　?>　　此刻，只有在欣赏器中输出一个网址（事前在apache中树立好的），比方，http://platinum.3322.org/wakup，就不妨实行长途启用了。如许固然很简单，然而任何人都不妨考察，仍旧不安定，须要增添apache认证来处置这个题目。 　　2.增添apache认证 　　窜改apache的摆设文书档案/usr/local/apache2/conf/httpd.conf，增添如次代码： 　　<directory /usr/local/apache2/htdocs/wakeup>　　allowoverride authconfig　　</directory>　　在wakeup目次中创造.htaccess文献，并编纂： 　　#vi /usr/local/apache2/htdocs/wakeup/.htaccess　　authname "电脑platinum启用器"　　authtype basic　　authuserfile /usr/local/apache2/apache.users　　require user platinum　　3.创造暗号文献　　接下来，即是创造一个特意用来寄存暗号的文献apache.users：　　root@server# htpasswd -c /usr/local/apache2/apache.users platinum　　new password:　　re-type new password:　　adding password for user platinum　　apache.users文献内的暗号被加密，窜改暗号时，仍旧运用htpasswd吩咐，不带“-c”参数即可。 要使摆设奏效，必需重启apache效劳。如许，再用http://platinum.3322.org/wakeup考察，就会须要暗号认证了（见图1）。不领会暗号的人是没辙加入体例打开指定计划机的。

图1 启用长途计划机的认证画面

　　发端长途遏制 　　经过之上本领长途启用计划机后，启用事前装好的长途遏制软硬件，输出linux效劳器的地方，就不妨操纵长途的电脑platinum了。操纵实行后，即使不复须要计划机连接处事，不妨经过长途遏制软硬件封闭长途的计划机，制止了资源滥用。