第十四章 網(wǎng)絡(luò)服務(wù)器簡介

第十四章

網(wǎng)絡(luò)服務(wù)器簡介

本章學(xué)習(xí)目標(biāo)⊙ 常用網(wǎng)絡(luò)服務(wù)的原理⊙ 常用網(wǎng)絡(luò)服務(wù)在Linux系統(tǒng)上的實(shí)現(xiàn)14.1DHCP服務(wù)器

動(dòng)態(tài)主機(jī)分配協(xié)議（DHCP）是一個(gè)簡化主機(jī)IP地址分配管理的TCP/IP標(biāo)準(zhǔn)協(xié)議。用戶可以利用DHCP服務(wù)器管理動(dòng)態(tài)的IP地址分配及其他相關(guān)的環(huán)境配置工作14.1.1DHCP概述什么是DHCP使用DHCP的好處

避免了因手工設(shè)置IP地址及子網(wǎng)掩碼所產(chǎn)生的錯(cuò)誤使用DHCP服務(wù)器大大縮短了配置或重新配置網(wǎng)絡(luò)中工作站所花費(fèi)的時(shí)間通過對DHCP服務(wù)器的設(shè)置可靈活的設(shè)置地址的租期。DHCP地址租約的更新過程將有助于用戶確定那個(gè)客戶的設(shè)置需要經(jīng)常更新變更由客戶機(jī)與DHCP服務(wù)器自動(dòng)完成,無需網(wǎng)絡(luò)管理員干涉。DHCP的常用術(shù)語

作用域 超級作用域 排除范圍 地址池 保留地址 租約 選項(xiàng)類型DHCP工作過程

DHCP客戶機(jī)使用兩種不同的方法與服務(wù)器進(jìn)行通信并獲得配制信息。（1）第一次啟動(dòng)登錄網(wǎng)絡(luò)時(shí)的初始化租約過程，如圖14-2所示；圖14-2初始化租約過程（2）DHCP客戶機(jī)更新租約的過程，如圖14-3所示。

圖14-2更新租約過程14.1.2配置DHCP服務(wù)

[root@localhost

root]#vi/etc/dhcpd.conf#缺省租約時(shí)間default-lease-time28800;#最大租約時(shí)間max-lease-time57600;#子網(wǎng)掩碼選項(xiàng)optionsubnet-mask;#廣播地址optionbroadcast-address55;#路由器/網(wǎng)關(guān)地址optionrouters54;#DNS地址optiondomain-name-servers;#配置DHCP-DNS互動(dòng)更新模式ddns-update-stylead-hoc;#域名optiondomain-name"";#以上都是全局參數(shù)#子網(wǎng)聲明和掩碼subnetnetmask{#范圍range000;#范圍range5000;}14.2DNS服務(wù)器

DNS是域名系統(tǒng)（DomainNameSystem）的縮寫，該系統(tǒng)用于命名組織到域?qū)哟谓Y(jié)構(gòu)中的計(jì)算機(jī)和網(wǎng)絡(luò)服務(wù)。DNS命名用于Internet等TCP/IP網(wǎng)絡(luò)中，通過用戶友好的名稱查找計(jì)算機(jī)和服務(wù)。當(dāng)用戶在應(yīng)用程序中輸入DNS名稱時(shí)，DNS服務(wù)可以將此名稱解析為與之相關(guān)的其他信息。14.2.1DNS概述什么是DNS基本概念介紹

DNS服務(wù)器:運(yùn)行DNS服務(wù)器軟件的計(jì)算機(jī)

DNS區(qū)域:DNS服務(wù)器具有主控的連續(xù)的命 名空間

DNS解析器：使用客戶端計(jì)算機(jī)用于通過 DNS協(xié)議查詢DNS服務(wù)器的一個(gè)服務(wù)

資源記錄：用于答復(fù)DNS客戶端請求的DNS 數(shù)據(jù)庫記錄

DNS解析過程

圖14-4

DNS解析過程14.2.2DNS服務(wù)配置

在Linux環(huán)境下的DNS服務(wù)器通常為BIND（BerkeleyInternetNameDomain），一個(gè)在UNIX/Linux系統(tǒng)上實(shí)現(xiàn)的域名解析服務(wù)軟件包。若是RedHat系統(tǒng)，則可以通過添加/刪除應(yīng)用程序直接安裝該服務(wù)。[root@localhost

root]#vi/etc/named.confoptions{notify-source;pid-file"/var/run/named.pid";};zone"."{typemaster;file"root.db";};zone""{typemaster;file"/var/named/.zone";};14.3郵件服務(wù)器

14.3.1電子郵件概述什么是Email電子郵件（簡稱Emai1）又稱電子信箱、電子郵政，它是—種用電子手段提供信息交換的通信方式。非交互式的通信，加速了信息的交流及數(shù)據(jù)傳送，簡易、快速。通過連接全世界的Internet，實(shí)現(xiàn)各類信號的傳送、接收、存貯等處理，將郵件送到世界的各個(gè)角落。Email地址的組成

—個(gè)完整的Internet郵件地址由以下兩個(gè)部分組成，格式如下：1oginname@full_host_name.domain_name即：登錄名@主機(jī)名.域名Email網(wǎng)絡(luò)協(xié)議簡介

Email有好幾種不同的協(xié)議用于搭建分布式電子郵件系統(tǒng)的基本架構(gòu)郵局協(xié)議（POP）簡單郵件傳輸協(xié)議（SMTP）Internet消息訪問協(xié)議。

POP用于支持郵件下載后的處理在這種狀態(tài)下，郵件服務(wù)器或個(gè)人計(jì)算機(jī)用戶階段性的調(diào)用與服務(wù)器相連的郵件客戶端程序，并把所有沒處理的郵件下載到用戶自己的計(jì)算機(jī)中。

Internet消息訪問協(xié)議（IMAP）支持對保存在郵件服務(wù)器中電子郵件或電子布告欄消息的訪問。

多用途網(wǎng)際郵件擴(kuò)充協(xié)議（MIME）指定了消息的格式以便于在不同的電子郵件系統(tǒng)之間進(jìn)行傳播。MIME是一種非常靈活的格式，支持用戶在電子郵件中包含任何可見的文件類型。MIME的郵件中可包含文本、圖片、聲音、視頻或其它應(yīng)用程序的特定數(shù)據(jù)。14.3.2sendmail服務(wù)配置

Sendmail:Linux中的默認(rèn)郵件傳輸代理（MTA）。sendmail的任務(wù):從郵件用戶代理（MUA）接收郵件然后根據(jù)配置文件的定義把它們送給配置好的的寄送程序。sendmail也能接受網(wǎng)絡(luò)連接，并且發(fā)送郵件到本地郵箱或者發(fā)送它到其它程序/etc/mail/access

訪問數(shù)據(jù)庫定義了什么主機(jī)或者IP地址可以訪問本地郵件服務(wù)器和它們是哪種類型的訪問。主機(jī)可能會(huì)列出OK、REJECT、RELAY或者簡單的通過sendmail的出錯(cuò)處理程序檢測一個(gè)給定的郵件錯(cuò)誤：

OK:主機(jī)默認(rèn)列出，允許傳送郵件到主機(jī)，只要郵件的最后目的地是本地主機(jī)。REJECT:將拒絕所有的郵件連接。RELAY:帶有此選項(xiàng)的主機(jī)將被允許通過這個(gè)郵件服務(wù)器發(fā)送郵件到任何地方/etc/mail/aliases

別名數(shù)據(jù)庫:包含一個(gè)擴(kuò)展到用戶，程序或者其它別名的虛擬郵箱列表。/etc/mail/local-host-names

這是一個(gè)sendmail被接受為一個(gè)本地主機(jī)名的主機(jī)名列表，可以放入任何sendmail將從那里收發(fā)郵件的域名或主機(jī)。/etc/mail/sendmail.cf

sendmail的主配置文件sendmail.cf控制著sendmail的所有行為這個(gè)配置文件是相當(dāng)復(fù)雜的，它的細(xì)節(jié)部分已經(jīng)超出了本節(jié)的范圍。這個(gè)文件對于標(biāo)準(zhǔn)的郵件服務(wù)器來說很少需要被改動(dòng)。/etc/mail/virtusertable

virtusertable映射虛擬域名和郵箱到真實(shí)的郵箱。這些郵箱可以是本地的、遠(yuǎn)程的、/etc/mail/aliases中定義的別名或一個(gè)文件。14.4Samba文件共享服務(wù)器

14.4.1Samba簡介Samba:一套讓UNIX系統(tǒng)能夠應(yīng)用Microsoft網(wǎng)絡(luò)通訊協(xié)議的軟件。執(zhí)行UNIX系統(tǒng)的機(jī)器能與執(zhí)行Windows系統(tǒng)的電腦分享驅(qū)動(dòng)器與打印機(jī)。Samba屬于GPL的軟件SMB（Server

Message

Block）通信協(xié)議是微軟和英特爾在1987年制定的協(xié)議，主要是作為Microsoft網(wǎng)絡(luò)的通訊協(xié)議，而Samba則是將SMB協(xié)議搬到UNIX上來應(yīng)用。Samba的主要功能如下：（1）提供Windows

NT風(fēng)格的文件和打印機(jī)共享（2）在Windows網(wǎng)絡(luò)中解析NetBIOS名字（3）提供SMB客戶功能（4）備份PC上的資源（5）提供一個(gè)命令行工具，在其上可以有限制地支持NT的某些管理功能14.4.2Samba服務(wù)配置

在RedHatLinux9下，通過添加/刪除應(yīng)用程序可以很容易地進(jìn)行Samba服務(wù)的安裝。然后就可以進(jìn)行Samba的配置了。配置Samba的一般步驟

(1)創(chuàng)建要在主域服務(wù)器（Linux/Samba）待認(rèn)證的用戶。(2)把UNIX用戶轉(zhuǎn)換成Linux/Samba/Windows用戶，生成smbpasswd文件。(3)編輯Samba的配置文件（smb.conf），你要確定加入或減去帶有注釋符的可選項(xiàng)。(4)創(chuàng)建共享資源，編輯smb.conf

文件，加入想要的共享資源的配置信息。(5)使用testparm命令來驗(yàn)證smb.conf是否正確(6)修改共享目錄的權(quán)限(7)在smb.conf中設(shè)置的logonscript（用微軟兼容格式創(chuàng)建），在Linux下創(chuàng)建的話，可以使用比如VIM的命令“:settextmode”得到有微軟行結(jié)尾符的文件。(8)在配置文件中啟用WINS的話，則加入SambaServer信息到lmhosts文件（/etc/lmhosts）中。(9)重啟動(dòng)Samba的后臺程序。(10)使用smbclient來驗(yàn)證以上的配置是正確的。

smb.conf配置文件簡介

[global]#全局配置段#指定所屬的工作組的名字workgroup=MYGROUP#這個(gè)聲明會(huì)出現(xiàn)在Windows的“網(wǎng)絡(luò)鄰居”中serverstring=SambaServer#這一行由于安全的原因很關(guān)鍵，只許在局域網(wǎng)中特定的計(jì)算機(jī)的連接。#在這個(gè)例子中，是和（C級網(wǎng)絡(luò)）的網(wǎng)絡(luò)#和“環(huán)路”（loopback）的接口是可以連接的。;hostsallow=27.#訪問都默認(rèn)的登錄用戶，nobody

是系統(tǒng)自帶的用戶;guestaccount=pcguest#指定安全級別，一般用usersecurity=user#是否以加密的形式驗(yàn)證口令encryptpasswords=yes#指定對samba

用戶口令校驗(yàn)的密碼文件smb

passwdfile=/etc/samba/smbpasswd#共享段設(shè)置[homes]段，當(dāng)用戶請求一個(gè)共享時(shí)，服務(wù)器將在存在的共享資源段中去尋找，如果找到匹配的共享資源段，

就使用這個(gè)共享資源段。如果找不到，就將請求的共享名看成是用戶的用戶名，并在本地的

password文件里找這個(gè)用戶，如果用戶名存在且用戶提供的密碼是正確的，則以這個(gè)home段克隆出一個(gè)共享提供給用戶。這個(gè)新的共享的名稱是用戶的用戶名，而不是homes，如果home段里沒有指定共享路徑，就把該用戶的宿主目錄（home

directory）作為共享路徑。[printers]段，共享打印機(jī)設(shè)置段。[netlogon]，[Profiles]，[tmp]，[public]，[fredsprn]，[fredsdir]，[pchome]，[myshare]等段均為共享段，用戶可以根據(jù)需要自定義。14.5Squid代理服務(wù)器

14.5.1代理服務(wù)概述什么是代理服務(wù)代理服務(wù):由一臺擁有標(biāo)準(zhǔn)IP地址的機(jī)器,代替若干沒有標(biāo)準(zhǔn)IP地址的機(jī)器,和Internet上的其它主機(jī)打交道，提供代理服務(wù)的這臺機(jī)器稱為代理服務(wù)器。擁有內(nèi)部地址的機(jī)器想連接到Internet上時(shí):先把這個(gè)請求發(fā)給擁有標(biāo)準(zhǔn)IP地址的代理服務(wù)器由代理服務(wù)器把這個(gè)請求通過它的標(biāo)準(zhǔn)IP地址發(fā)到請求的目的地址。目標(biāo)地址的服務(wù)器把返回的結(jié)果發(fā)回給代理服務(wù)器代理服務(wù)器再原封不動(dòng)的把資料發(fā)給內(nèi)部主機(jī)。圖14-5代理服務(wù)器示例squid代理服務(wù)器

Squid:是一個(gè)高性能的代理緩存服務(wù)器，可以加快內(nèi)部網(wǎng)瀏覽Internet的速度，提高客戶機(jī)的訪問命中率。squid支持協(xié)議:不僅支持HTTP協(xié)議，還支持FTP、gopher、SSL和WAIS等協(xié)議。squid用一個(gè)單獨(dú)的、非模塊化的、I/O驅(qū)動(dòng)的進(jìn)程來處理所有的客戶端請求。squid組成:由一個(gè)主要的服務(wù)程序squid，一個(gè)DNS查詢程序dnsserver，幾個(gè)重寫請求和執(zhí)行認(rèn)證的程序，幾個(gè)管理工具。當(dāng)squid啟動(dòng)以后，可以派生出指定數(shù)目的dnsserver進(jìn)程，而每一個(gè)dnsserver進(jìn)程都可以執(zhí)行單獨(dú)的DNS查詢，這樣一來就大大減少了服務(wù)器等待DNS查詢的時(shí)間。14.5.2squid服務(wù)器配置

在RedHatLinux9下，通過添加/刪除應(yīng)用程序可以很容易地進(jìn)行squid代理服務(wù)的安裝。然后就可以進(jìn)行配置了。squid有一個(gè)主要的配置文件squid.conf，位于/etc/squid目錄下，用戶僅僅需要修改該配置文件即可。14.6防火墻和NAT

14.6.1防火墻概述一個(gè)系統(tǒng)，執(zhí)行兩個(gè)網(wǎng)絡(luò)之間的訪問控制策略?？蔀楦黝惼髽I(yè)網(wǎng)絡(luò)提供必要的訪問控制，不造成網(wǎng)絡(luò)的瓶頸通過安全策略控制進(jìn)出系統(tǒng)的數(shù)據(jù)保護(hù)企業(yè)的關(guān)鍵資源。一種有效的網(wǎng)絡(luò)安全模型，是機(jī)構(gòu)總體安全策略的一部分。阻擋的是對內(nèi)、對外的非法訪問和不安全數(shù)據(jù)的傳遞。在因特網(wǎng)上，通過它隔離風(fēng)險(xiǎn)區(qū)域（即Internet或有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò)）與安全區(qū)域（內(nèi)部網(wǎng)）的連接，能夠增強(qiáng)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻負(fù)責(zé)管理風(fēng)險(xiǎn)區(qū)域和內(nèi)部網(wǎng)絡(luò)之間的訪問。14.6.1包過濾防火墻iptables

包過濾防火墻:用一個(gè)軟件查看所流經(jīng)的數(shù)據(jù)包的包頭（header），由此決定整個(gè)包的命運(yùn)。Linux下的包過濾系統(tǒng)經(jīng)歷了如下3個(gè)階段：（1）在2.0的內(nèi)核中，采用ipfwadm來操作內(nèi)核包過濾規(guī)則。（2）在2.2的內(nèi)核中，采用ipchains來控制內(nèi)核包過濾規(guī)則。（3）在2.4內(nèi)核中，采用一個(gè)全新的內(nèi)核包過濾管理工具：iptables。14.6.3NAT概述

什么是NATNATL“NetworkAddressTranslation，網(wǎng)絡(luò)地址轉(zhuǎn)換”IETF的標(biāo)準(zhǔn)，允許一個(gè)組織以一個(gè)公用IP地址出現(xiàn)在Internet上。是一種把內(nèi)部私有網(wǎng)絡(luò)地址（IP地址）翻譯成合法網(wǎng)絡(luò)IP地址的技術(shù)。NAT配置:一個(gè)狀態(tài)表，用來把非法的IP地址映射到合法的IP地址上去。每個(gè)包在NAT設(shè)備中都被翻譯成正確的IP地址發(fā)往下一個(gè)設(shè)備。NAT工作原理

NAT在局域網(wǎng)內(nèi)部網(wǎng)絡(luò)中使用內(nèi)部地址，而當(dāng)內(nèi)部設(shè)備要與外部網(wǎng)絡(luò)進(jìn)行通訊時(shí)，就在網(wǎng)關(guān)處將內(nèi)部地址替換成公用地址，從而在Internet上正常識別NAT可以使多臺計(jì)算機(jī)共享Internet連接，這一功能很好地解決公共IP緊缺的問題。圖14-6

NAT工作原理使用iptables實(shí)現(xiàn)NAT

采用iptables實(shí)現(xiàn)NAT轉(zhuǎn)