18.193.118.x -j DNAT –to 192.168.1.1
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j SNAT –to 218.193.118.x
48. 通过xhost远程使用Linux的X资源
答案:假设你想在本地(本地IP:192.168.0.1)运行192.168.0.2的X应用程序,首先在本地xhost + 192.168.0.2,允许192.168.0.2连接本地的X Server(xhost的具体用法man xhost),然后登录到192.168.0.2上,export DISPLAY=192.168.0.1:0。然后就可以在本地使用192.168.0.2的X应用程序了。
49. 某公司需要在网络上共享一个文件夹/home/share,所有人都只有只读权限,且只有192.168.1.0/24子网的用户可以读写访问,其他的只读,试通过NFS共享该文件夹。假定NFS服务器的IP地址是192.168.1.1。
答案:1.编辑/etc/exports
/home/share *(ro) 192.168.1.0/24(rw,sync)
2.service portmap start
service nfs start
3.mount -t nfs IP:/home /LocalTestDir
50.将Linux设计成一个多服务系统,提供:SSH,FTP,HTTP,Samba,NFS,VNC,DNS,DHCP,
WebMin,Swat,mysql,代理上网;并使用iptables,TCP_Wrapper等方式进行安全控制,基本要求如下:
0.设定内部网192.168.1.0,外部网211.80.194.0,确定内外网的网关
1. 内部网用户可以很方便地连接并使用各种服务,当然需要身份验证
2. 在外部网,用户只能从固定的几台主机登陆(如.101,201,301等)
3. 匿名用户可以登陆ftp,http,VNC等,但是得到的服务是有限制的
4. 根用户可以从2中规定的几台主机和本地终端登录,其他方式登录均被拒绝(Webmin,swat除外)
5. 配置所有服务在开机启动的时候自动启动,除了VNC只在5级启动外,其他都在3和5级启动
6. 所有来访的信息都要以容易使别的方式登记到系统日志文件中,以便日后查阅
参考答案:此为综合实验,自行解决
51.完成ftp的主机访问控制和用户访问控制,查询Limit相关资料,Order,deny,allow等。
参考答案:
Order allow,deny
Deny from all
Allow from 218.193.118.
52. proftp的配置例子
1。ftp服务器支持断点续传,且最大支持同时10人在线,每个ip只允许一个连接;
2。允许ftpusers用户组只能访问自己的目录,而不能访问上级或者其他目录;
3。用户登陆服务器时不显示ftp服务器版本信息,以增加安全性;
4。建立一个kaoyan的ftp帐户,属于ftpusers组,kaoyan用户只允许下载,没有可写的权限。下载速率限制在50Kbytes/s。
5。建立一个upload用户,也属于ftpusers组,同kaoyan用户的宿主目录一样,允许upload用户上传文件和创建目录的权限,但不允许下载,并且不允许删除目录和文件的权限,上传的速率控制在100Kbytes/s
先是前期的用户和组添加以及目录的权限设置
group add ftpusers
useradd -d /home/kaoyan -g ftpusers -s /bin/fales kaoyan
useradd -d /home/kaoyan -g ftpusers -s /bin/fales upload
chown -R kaoyan:upload /home/kaoyan
chmod -R 775 /home/kaoyan
如果你只想ftpusers组的用户访问,可以设置成770都行。
设置/usr/local/proftpd/etc/proftpd.conf
注意#表示注释,对设置没影响,可以不写
ServerName “Frank’s FTP Server”
ServerType standalone
DefaultServer on
Port 21
Umask 022
MaxInstances 30 #最多有30个proftpd的PID
User nobody
Group nobody
TimeoutStalled 10
MaxClients 10 #最多允许10个用户在线
MaxClientsPerHost 1 “对不起,一个IP只允许一个连接”
AllowStoreRestart on
#允许断点续传(上传),断点续续(下载)是默认支持的,不用设置
DisplayLogin welcome.msg #欢迎词文件
ServerIdent off #屏蔽服务器版本信息
DefaultRoot ~ ftpusers #设置ftpusers组只能访问自己的目录
AllowOverwrite on
#不允许写
DenyUser kaoyan
#不允许删除,改名,下载
DenyUser upload
TransferRate RETR 50 user kaoyan
TransferRate STOR 100 user upload
我这里实现的方式还可以通过
Limit大致有以下动作,基本能覆盖全部的权限了
CMD:Change Working Directory 改变目录
MKD:MaKe Directory 建立目录的权限
RNFR: ReName FRom 更改目录名的权限
DELE:DELEte 删除文件的权限
RMD:ReMove Directory 删除目录的权限
RETR:RETRieve 从服务端下载到客户端的权限
STOR:STORe 从客户端上传到服务端的权限
READ:可读的权限,不包括列目录的权限,相当于RETR,STAT等
WRITE:写文件或者目录的权限,包括MKD和RMD
DIRS:是否允许列目录,相当于LIST,NLST等权限,还是比较实用的
ALL:所有权限
LOGIN:是否允许登陆的权限