澳门新萄京官方网站-www.8455.com-澳门新萄京赌场网址

澳门新萄京官方网站Web中断巧排错,虚拟机非域

2019-11-04 作者:服务器运维   |   浏览(185)

DNS服务是一个很重要的基础服务,很多应用是基于DNS服务的,例如最常用的HTTP浏览。很多朋友在论坛里面说不能上网,其实只是不能解析FQDN名字,就是访问DNS服务有问题,如果只是使用IP访问,如QQ就是使用IP进行访问,还是可以的。所以在不能浏览Web页面的时候,你得先区分,是连接有问题还是DNS有问题,通过这篇文章中,你可以学习到如何建立内部的DNS服务器。

0x00. 为了測试基于HTTP隧道的绕过ISA,必须搭建模拟环境,为了不麻烦,我们这里不配合域环境认证.本次实验利用Vmware 10.0搭建好开发环境,实现ISA2006安装和部署,同一时候设定基于HTTP代理訪问的问题.  本人在ISA的应用上也算是新手,查找了不少资料,有不正确的还望批评指正.

前言:现在很多公司都使用微软的活动目录对网络进行管理,其中内部DNS服务器是不可或缺的一个组成部分。我们知道,对于ISA的防火墙客户端通过ISA访问网络资源时,其DNS解析由ISA服务器帮助完成,你是否有想过,通过的内部DNS服务器和防火墙客户端结合,能够巧妙的解决很多实际问题。

第十九节 Linux相关网络知识梳理

标签(空格分隔): Linux实战教学笔记-陈思齐


你了解Linux系统么?你是Linux系统的应用者么?你知道Linux代理服务器有多少么?本文为你全面盘点Linux代理服务器。下面,就给大家介绍几种常用的代理服务器软件,希望各位朋友在看过本文Linux代理服务器之后能够选出适合自己企业的代理服务器软件。

很多使用NAT软件的情况,往往是网关的外部网卡上获得了ISP的DNS服务器地址,并且可以进行解析,但是内部的客户想要解析DNS名字的话,方法只有两种:1、在内部客户机上设置DNS地址为外部ISP的dns服务器;2、在内部建立一个DNS服务器,内部客户使用这个内部的DNS服务器,然后内部的DNS服务器转发到外部ISP的DNS服务器上。从客户机的效率上来说,第一种方式要好;但是从可控性和扩展性,还有网络的效率来说,第二种方式要好,特别是对于采用了域的环境,必须采用第二种方式进行DNS的转发。 KWF自带有个DNS转发器,而且效率比Windows的DNS服务器要高,只是功能太过于单一,只能进行DNS的转发。ISA不带有DNS转发器,不过,利用Windows服务器版本中的全功能DNS服务器,可以很完美的实现内部的DNS服务器。

搭建好开发环境说明:
  Vmware Workstation 10.0
  Window 2003 ( ISA_SERVER)
  Window 2003 (客户机)

这篇文章里,我将通过两个CASE,讲述使用两者结合的方法解决两个实际问题。

一,前言

一个运维有时也要和网络打交道,所以具备最基本的网络知识,对一个运维人员来说是必要的。但,对于我们的工作来说这些并不是重点,因此,我不可能从最基础的网络知识开始讲起。本节内容更多是从一个梳理和总结的角度进行阐述。如若同学们遇到不懂,或不明白的地方,那么你要留心了,你有很多基础性的网络知识还不具备,我建议从网上有针对性的学习一下。

1、Microsoft Proxy代理服务器

需要注意的是,Web代理客户浏览Web是不需要配置DNS服务器的。因为Web代理客户在浏览Web 时是通过ISA 的Web 代理服务中转,不会直接访问DNS 服务的,只要ISA 服务器可以解析DNS 名字就行了。但是Web 代理客户其他的访问非Web 浏览的访问)如果是需要DNS解析的,不配置DNS服务器时就会导致失败。 而防火墙客户虽然默认也会配置为Web代理客户,但是防火墙客户端FWC)会直接把所有非本地的TCP/UDP 数据发往ISA Server,所以,不管你是否在本地配置了默认网关和DNS 服务器,FWC 总是会把数据发送给它所连接的ISA Server,所以,只要ISAServer 能够正确的解析DNS,那么防火墙客户就可以正常的解析DNS。

0x01.各台机器配置:

声明:这两个CASE都是我近期遇到的问题,其中解决第一个CASE的是我的一个同事,他为我提供了一种新的思路;第二个CASE则是我沿用这种思路,解决新的问题。

二,网络基础学习体系

思科课程体系的大致浏览(CCNA),虽然知识不多,培训周期一般在1周左右,但涵盖了大部分的知识内容,对于初步理解网络知识,掌握网络的相关配置,基本上已经非常满足了,特别是系统运维人员。

第1单元 第2单元 第3单元 第4单元
网络基础 路由协议 二层交换网络 WAN网络和IPv6
OSI七层模型 IP路由原理 VLAN 串行点到点链路
TCP/IP简介 静态路由 VTP 帧中继网络
子网划分 默认路由 STP IPv6简介
Cisco IOS设备 动态路由 单臂路由
管理网络环境 用户访问列表初步管理IP流量

说明:
对于系统运维人员,以上知识可以都学习一下,CCNA的学习难度不是很大,而且学习周期较短,对于快速成为一个系统运维工程师中,网络搞的最好的,就足够了。如果时间精力有限,建议学习以下知识,作为步入网络知识的基石
1)网络基础知识:涉及到网路的发展历程,网络一些名词概念,路由交换。
2)OSI七层模型的介绍
3)TCP/IP协议簇的简介,包含TCP/IP三次握手和四次挥手的过程
4)VLSM可变子网的概念

Microsoft Proxy Server是微软提供的一种代理服务器解决方案,大型局域网可以用它作为局域网的代理服务器软件。Microsoft Proxy除了提供传统的代理功能之外,还可对当前Internet一些最新的应用提供代理服务,如IP电话、网络寻呼机等。

下面,我以实例给大家来讲解,由于结构很简单,我没有就网络结构画图,客户机IP为192.168.0.41,网关(ISA Server 2004英文版)的IP为192.168.0.1。此次试验的步骤如下:

[Win2003-ISA2006 双网卡:]
网卡1:(标识WAN) - 在虚拟机选择Bridge模式
配置静态IP:192.168.1.200 /24 网关:192.168.1.1
网卡2:(标识LAN) - 在虚拟机选择Bridge模式
静态配置IP:192.168.2.1/24 网关:NULL

CASE1:

三,网络重点知识总结性梳理

Microsoft Proxy包括了Web Proxy、Socks Proxy、Winsock Proxy。其中Web Proxy支持HTTP、FTP等服务,WinSock Proxy支持Telnet、电子邮件、RealAudio、IRC、ICQ等服务,Socks Proxy负责中转使用S0cks代理服务的程序与外界服务器间的信息交换。Microsoft Proxy在运行Windows NT/2000/2003的服务器上安装后,各工作站就可以使用Web Proxy提供的服务,上网浏览、使用FTP等。如果要使用winSock Proxy和Socks Proxy提供的服务,必须要在客户端安装配置程序,并且还要在服务器端进行设置。

1、客户机上没有设置DNS服务器,但是通过设置为Web代理客户,可以上网; 2、在ISA Server上建立一个内部的DNS服务器并进行配置;

[Win2003

问题描述:Contoso公司的网络环境如下图所示:

3.1 OSI七层模型

澳门新萄京官方网站 1

层次 说明 功能/协议
应用层 应用程序及借口,类似于公司的老板 提供应用程序的借口FTP telnet http pop3等
表示层 对数据进行转换,加密和压缩 将上层的数据进行转换和编译压缩为标准的文件,如jpg,gif,ascii码等
会话层 建立,管理和终止会话
传输层 提供可靠的端到端的报文传输和差错控制,实质上就是负责建立连接的 TCP UDP 建立可靠和非可靠连接将上层的数据进行分段处理
网络层 将分组从源端传送到目的端,提供网络互联 实质上就是提供路由寻址(IP协议)将上层分段的数据进行打包
数据链路层 将分组数据封装成帧,提供节点到节点的传输 帧就是本地局域网中传输数据的一个单元,负责在局域网内部的点对点的寻址
物理层 在媒体上传输比特 就是底层的链路介质的规范

特点说明:
1,OSI模型每层都有自己的功能集
2,层与层之间相互独立又互相依靠
3,上层依赖于下层,下层为上层提供服务。

相对于SyGate、WinGate等简易的代理服务器软件,Microsoft Proxy Server功能更强大,适用于企业级或大型网吧的局域网,但由于它一定要运行在WinNT/2000/2003上,且配置比较复杂,小型局域网使用较少。

3、客户机设置DNS服务器地址为新建的内部DNS服务器,此时,可以正常上网; 现在进入试验:

  • 客户机设定]
    单网卡,採用Host-only 
    静态IP:192.168.2.5 /24 ,网关192.168.2.1

澳门新萄京官方网站 2

3.2TCP/IP三次握手和四次挥手

澳门新萄京官方网站 3

报文类型 含义 状态
SYN 发起一个新连接 1表示发起连接
FIN 释放一个连接 1表示结束连接
ACK 确认序号有效 1表示序号有效
seq 随机序号 随机数
ack 随机序号回复 ack=seq 1

澳门新萄京官方网站,2、Microsoft IS代理服务器

1、客户不能解析DNS,但是通过Web代理,可以浏览网页

0x02 ISA2006配置
     ISA2006安装过程非常easy,不清楚看以下參考文档唯一要设定一个就是制定内网IP范围,这里我们指定上一步规划的内网ip 192.168.2.1~255就可以.安装过程须要用到Window2003 系统光盘,安装完成后须要重新启动一下.
  重新启动后,我们看下ISA_server可以上网和客户机是否能上网.首先我们看下一下两台电脑IP配置如图3,4:

该公司使用ISA 2004作为代理服务器。

3.2.1 三次握手

1)第一次握手:Client将标志位SYN置为1,随机产生一个seq=x,并将该数据包发送给Server,Client进入SYN_SENT状态,等待Server确认。

2)第二次握手:Server收到数据包后由标志位SYN=1知道Client请求建立连接,Server将标志位SYN和ACK都置为1,ack=x 1,随机产生一个值seq=y,并将该数据包发送给Client以确认连接请求,Server进入SYN_RCVD状态。

3)第三次握手:Client收到确认后,检查ack是否为x 1,ACK是否为1,如果正确则将标志位ACK置为1,ack=y 1,并将该数据包发送给Server,Server检查ack是否为y 1,ACK是否为1,如果正确则连接建立成功,Client和Server进入ESTABLISHED状态,完成三次握手,随后Client与Server之间可以开始传输数据了。

Microsoft Internet Security and Acceleration Server (简称Microsoft ISA或ISA Server)是Microsoft Proxy Server的升级换代产品。ISA Server是一个可扩展的企业防火墙和Neb缓存服务器,可与Windows 2000/2003集成,以便为互联网用户实现基于策略的安全的实现、数据访问的加速。

如图,客户机上没有设置DNS服务器,

澳门新萄京官方网站 4

公司内部网络采用单林单域模式,内部DNS名为contoso.com,在Internet上注册的域名亦为contoso.com。公司有50多台服务器,包括邮件服务器、数据库服务器、OA服务器、FTP服务器与Web服务器等,其中邮件服务器、OA服务器均为双网卡,而FTP服务器与Web服务器均只有外网卡,数据库服务器只有内网卡。有外网卡的服务器均直接与外线交换机相连,且在Internet上注册有合法的DNS名。

3.2.2 四次挥手

1)第一次挥手:Client发送一个FIN,用来关闭Client到Server的数据传输,同时发送一个seq=x的随机序号。Client进入FIN_wait_1状态

2)第二次挥手:Server收到FIN后,发送一个ACK给Client,确认序号为收到序号 1(与SYN相同,一个FIN占用一个序号)Server进入CLOSE_WAIT状态。

3)第三次挥手:Server发送一个FIN,用来关闭Server到CLient的数据传输,同时发送一个seq=y的随机数,Server进入LAST_ACK状态

4)第四次挥手:Client收到FIN后,Client进入TIME_WAIT状态,接着发送一个ACK给Server,确认序号为收到序号 1,Server进入CLOSED状态,完成四次回挥手

ISA Server最吸引人的地方在于它和Active Directory的集成,这使得我们可以使用与管理其它网络和用户相同的方法来管理用户访问、Internet以及安全策略。ISA Server使用Microsoft管理控制台, MMC是一个界面,用来管理Windows 2000/2003 Server中的许多功能,而且文档十分完善。

澳门新萄京官方网站 5

澳门新萄京官方网站 6

公司内部客户机的TCP/IP配置中,将DNS指向内部的DNS服务器,有访问互联网权限的客户机均使用FWC方式访问Internet。现公司为了提高访问OA服务器和邮件服务器的速度,要求客户机通过服务器的内部网卡进行访问邮件服务器和OA服务器。

3.3 DNS解析流程原理

澳门新萄京官方网站 7

  1. 在浏览器中输入www.qq.com域名,操作系统会先检查自己本地的hosts文件是否有这个网址映射关系,如果有,就先调用这个IP地址映射,完成域名解析。
  2. 如果hosts里没有这个域名的映射,则查找本地DNS解析器缓存,是否有这个网址映射关系,如果有,直接返回,完成域名解析。
  3. 如果hosts与本地DNS解析器缓存都没有相应的网址映射关系,首先会找TCP/ip参数中设置的首选DNS服务器,在此我们叫它本地DNS服务器,此服务器收到查询时,如果要查询的域名,包含在本地配置区域资源中,则返回解析结果给客户机,完成域名解析,此解析具有权威性。
  4. 如果要查询的域名,不由本地DNS服务器区域解析,但该服务器已缓存了此网址映射关系,则调用这个IP地址映射,完成域名解析,此解析不具有权威性。
  5. 如果本地DNS服务器本地区域文件与缓存解析都失效,则根据本地DNS服务器的设置(是否设置转发器)进行查询,如果未用转发模式,本地DNS就把请求发至13台根DNS,根DNS服务器收到请求后会判断这个域名(.com)是谁来授权管理,并会返回一个负责该顶级域名服务器的一个IP。本地DNS服务器收到IP信息后,将会联系负责.com域的这台服务器。这台负责.com域的服务器收到请求后,如果自己无法解析,它就会找一个管理.com域的下一级DNS服务器地址(qq.com)给本地DNS服务器。当本地DNS服务器收到这个地址后,就会找qq.com域服务器,重复上面动作,进行查询,直至找到www.qq.com主机。
  6. 如果用的是转发模式,此DNS服务器就会把请求转发至上一级DNS服务器,由上一级服务器进行解析,上一级服务器如果不能解析,或找根DNS或把转发请求转至上上级,以此循环。不管是本地DNS服务器用的是转发,还是根提示,最后都是把结果返回给本地DNS服务器,由此DNS服务器再返回给客户机。

ISA Server构建在Windows 2000/2003安全、目录、虚拟专用网络(VPN)和带宽控制基础之上。不论是作为一组单独的防火墙还是缓存服务器来部署,ISA Server均可增强网络的安全性,实施一致的Internet使用策略,加速Internet访问,并最大限度地提高各种规模公司员工的办公效率。

此时,使用ipconfig/all,没有显示出DNS服务器,ping www.isaservercn.org显示无法解析;

在Server机器上ping 192.168.2.99 ,是能够ping通的(关闭了客户机防火墙),在客户机ping 192.168.2.1,发现无法ping通,由于Server机器上安装了ISA起作用了,并且在安装ISA的时候已经停止了默认的防火墙.由于ISA默认配置的防火墙策略是禁止全部的网络通信,因此在Server机器上和客户机上都无法上网,在Server机器上訪问Robot's Blog(www.baidu.com),如图5:

分析存在的问题:OA服务器和邮件服务器数量总和大约在30台,如果一台一台在ISA控制台上设置“访问不通过代理服务器”,工作量较大,且将来添加新服务器时,需要在ISA上添加相应的纪录;另一方面,如果在ISA上直接设置Bypass *.contoso.com,那么会造成安装有防火墙客户端用户无法访问ftp.contoso.com和www.contoso.com(因为这几台Server没有内网卡)。

3.5 http解析原理

1)地址解析

如用客户端浏览
协议名:http
主机名:chensiqi.com
端口:8080
对象路径:/index.html

在这一步需要域名系统DNS解析域名chensiqi.com得到主机的IP地址。

2)封装HTTP请求数据包

把第一步的解析结果在结合本机自己的信息,封装成一个HTTP请求数据包

3)封装成TCP包,建立TCP连接

TCP的三次握手

4)客户机发送请求命令

建立连接后,客户机发送一个请求给服务器,请求方式的格式为:统一资源标识符(URL),协议版本号,后边是MIME信息包括请求修饰符,客户机信息许可内容

5)服务器响应

  • 服务器接到请求后,给予相应的响应信息,格式为一个状态行,包括信息的协议版本号,一个成功或错误的代码,后边是MIME信息包括服务器信息,实体信息何可能的内容。
  • 实体消息是服务器向浏览器发送头信息后,它会发送一个空白行来表示头信息的发送到此为结束,接着,它就以Content-Type应答头信息所描述的格式发送用户所请求的实际数据

6)服务器关闭TCP连接

一般情况下,一旦Web服务器向浏览器发送了请求数据,它就要关闭TCP连接,然后如果浏览器或者服务器在其头信息加入了这行代码Connection:Keep-alive。TCP连接在发送后将仍然保持打开状态,于是,浏览器可以继续通过相同的连接发送请求。保持连接节省了为每个请求建立连接所需要的时间,还节约了网络带宽。

综上:
http解析的过程,虽然我写的比较具体,但其实大家只需要了解大概的过程就可以,如果建立URL请求,发起URL请求,处理及返回URL的过程。

3、WinProxy代理服务器

澳门新萄京官方网站 8

澳门新萄京官方网站 9

解决方案:其实解决的方案有很多,但下面这种最简单的不知道你想到没有:

3.5 同网段和跨网段数据传输原理

澳门新萄京官方网站 10

Winproxy是一种常用的代理服务器软件,只要安装在局域网的服务器上就可以了,它可以让局域网的多台客户机通过服务器上网。它支持SOCKs 4&5,利用Winproxy的SOCKs协议可以让客户机连通QQ。

Web浏览自然是不行的了

最后提示是ISA拒绝訪问了,说明ISA起作用了.相同在客户机上也无法訪问.以下我们利用开启HTTP代理上网.

在ISA Server上对*.contoso.com进行Bypass,然后在内部DNS为ftp.contoso.com和www.contoso.com分别新建两条A纪录,指向各自的外网IP。

3.4.1 同网段下(同广播域),两台主机通信过程

我们知道两主机要通信传送数据时,就要把应用数据封装成IP包(因为我们的网络大多都是TCP/IP的以太网),然后再交给下一层数据链路层继续封装成帧;之后根据MAC地址才能把数据从一台主机,准确无误的传送到另一台主机。

当NO要和N1通信时,

1)假如NO知道N1的IP但却不知道它的MAC地址,那NO就会发送一个ARP的广播请求(里面源IP是NO目标IP是N1源MAC是N0目标MAC是12个F)给同一广播域中的所有成员。

2)当交换机SW0从自己的1接口上收到这个广播包,然后它会读取这个帧的源MAC地址和目标MAC地址,由于交换机SW0刚启动加电时,它的MAC表为空的。所以它会把NO的MAC地址与之相对应的接口1放到一张表里,这张表就是MAC地址表。

3)然后SW0再从别的接口广播这个数据帧,当别的主机收到这个广播时,查看目标IP不是自己的,就会丢弃此包。如果N1接收到这个数据帧,它检查目标IP和这个的IP是一样的,就会回应这个ARP请求,把自己的IP和MAC封装成源IP和源MAC,N0的IP和N0的MAC地址为目标IP与目标MAC,并记录N0的MAC与IP,放进自己的ARP缓存表中。

4)此时,这个应答包经过交换机SWO时,它又会检查源MAC,目标MAC,把N1的MAC和自己接口2放进MAC地址表中,再查看自己的MAC地址表,发现存在目标MAC与自己的1接口对应(由于刚开始有记录过N0的MAC),那它就会直接把这个应答包从接口1送出去了。

5)主机N0收到这个包后发现目标MAC是自己,就会处理这个包。并把N1的MAC与IP放进自己的ARP缓存表中。这时主机N0就知道N1的MAC地址了,
6)后续的发送数据任务,就会直接把N1的IP与MAC封装进帧中进行点对点的发送了。

Winproxy是一款集NAT、代理和防火墙为一体的代理软件,它能够支持我们提到过的多种代理方式,同样也能够支持常见的协议。从功能上看,WinProxy与WinGate十分相似,但不如WinGate强大,其性能介于WinGate和CCProxy之间,对于那些不希望使用 WinGate这么复杂软件,但还需要使用NAT共享方式的用户来说,这是一个相当不错的选择。

澳门新萄京官方网站 11

0x03 基于HTTP代理上网
配置Server本机能够上网,加入规则,如图06:

我们以www.contoso.com为例,来考虑一下现在的客户机访问过程:

3.4.2 跨路由(不同网段)数据传输过程

当N0要和N2通信时

1)N0会先检查N2的IP地址和自己是否处于同一网段,由于N2和自己处在不同网段,因此,N0会把数据包给它的网管,也就是R0上的F0/0接口了。

2)当这个数据包到达R0时,路由器R0会查看目标IP是否是自己的,由于目标不是自己,所以会查看自己的路由表,找出到达N2网段的路由;(如果找不到就会丢弃数据包)

3)当R0查看路由表发现到达N2网段的出接口是F0/1.于是,把数据包转到F0/1接口上,再由接口F0/1传给R1.这个过程,数据包的源IP是N0源MAC是F0/1目标IP是N2目标MAC是R1的F0/1接口IP

4)当R1收到这个数据包后,同样也要检查包的目标IP是否自己,它会主动查找自己的路由表,发现目标IP跟自己F0/0接口处在同一网段,于是就把包传到F0/0接口上去发给N2。)

4、WinGate代理服务器

但是可以ping通我的DNS服务器,这表明,网络连接是通的,只是DNS不能解析;

澳门新萄京官方网站 12

1、用户通过IE访问www.contoso.com,通过防火墙客户端向ISA Server发送请求,要求进行解析;

四,linux网络相关配置

WinGate可以作为一个坚固的防火墙,能控制企业内部网络的入出访问。相对同类软件,WinGate有很多优点,如可以限制用户对 Internet访问的能力,通过GateKeeper提供的强劲远程控制和用户认证能力(Pro版),记录和审计能力,可作为服务运行等。

澳门新萄京官方网站 13

建立的规则信息:

2、ISA判定访问此web站点不需要经过ISA Server;

4.1 配置网卡

网卡:编辑配置文件 /et/sysconfig/network-scripts/ifcfg-eth0

[root@chensiqi ~]# cat /etc/sysconfig/network-scripts/ifcfg-eth0
DEVICE=eth0   #第一块网卡逻辑设备名,第二块为eth1,有些系统也会以em等字符标识
TYPE=Ethernet  #上网类型,目前基本都是以太网
ONBOOT=yes  #这个地方要为yes,才能保证下次开机自动启动激活网卡设备
NM_CONTROLLED=yes  #是否通过NetworkManager管理网卡设备
BOOTPROTO=dhcp   #启动协议,获取配置方式,有none|bootp|dhcp三个选项
USERCTL=no
PEERDNS=yes
IPV6INIT=no     #是否支持IPV6
HWADDR=00:0c:29:cb:f9:c0  #以太网硬件地址即MAC地址,如果是vmware克隆的虚拟机无法启动网卡可以毫不犹豫的删除此项
IPADDR=10.0.0.8 #这是虚拟机桥接模式,局域网linux服务器的固定IP
NETMASK=255.255.255.0  #子网掩码,用来规划网络位和主机位,一般为255.255.255.0
DNS1=202.106.0.20  #主DNS,这里默认会覆盖以及优先于/etc/resolv.conf
DNS2=8.8.8.8  #第二个DNS,这里默认会覆盖以及优先于/etc/resolv.conf

通过软件修改网卡:
1)输入命令setup
2)Network configuration进入网卡配置文件

网卡生效

1)针对单一网卡
ifup eth0 启动eth0网卡
ifdown eth0 停掉eth0网卡

2)针对所有网卡重启
/etc/init.d/network restart

注意:
1,网卡配置里的DNS优先于/etc/resolv.conf配置的,并且重启网卡,会把/etc/resolv.conf里的覆盖
2,网络如果没有配置DNS,那么在/etc/resolv.conf里配置会生效,如果有多块网卡(DHCP获取方式)时候,可能会覆盖/etc/resolv.conf里已有配置

如果使用的是一个十多台计算机的局域网环境,以Wingate作为代理服务器通过一个Modem上网,应该说速度还是可以接受的。不过,问题就是我们刚才提到的,在操控方面,WinGate对用户的要求似乎更高些。

但是通过我在连接里面设置代理服务器,如下图,又可以正常访问了;

规则名字: 本地机器能够上网
规则操作: 同意
规则应用: 全部出站规则
訪问规则源: 本地主机
訪问规则目标: 外部
用户集: 全部用户

3、客户端向内网DNS查询www.contoso.com的地址,内部DNS返回这台服务器的外网IP;

4.2 主机名变更

1)临时修改主机名(重启系统失效)
hostname 主机名

2)永久修改主机名
/etc/sysconfig/network

[root@chensiqi ~]# cat /etc/sysconfig/network
NETWORKING=yes
HOSTNAME=chensiqi    #修改这个

作为一款经典的代理服务软件,WinGate能够提供多种网络代理服务。其最新版除了提供常用的HTTP、Socks代理服务以外,还支持 DHCP、DNS服务。同时,它还提供了完整的POP3和SMTP服务,用户可以借此构建一个邮件服务器。WinGate还特别提供了按需拨号功能。更方便的是,WinGate还能够与Windows用户进行集成,Windows NT/2000/2003系统用户可以直接使用已创建好的用户信息。

...

加入完成,选择应用,,注意这个须要重新启动机器才干生效.
设置让客户机可以上网HTTP代理模式
相同如图6,加入一条规则,规则信息不一样而已:

4、客户端判定IP地址在外网,向ISA发送访问此IP的请求;

4.3 默认网关的更改

第一生效文件:

[root@chen ~]# grep -i gate /etc/sysconfig/network-scripts/ifcfg-eth0 
GATEWAY=202.106.0.20

第二生效文件:

[root@chen ~]# grep -i gate /etc/sysconfig/network
GATEWAY=202.106.0.20

第三:命令行优先,且临时生效
route -n 查看路由规则
route add default gw 10.0.0.254 #添加路由规则
route del default gw 10.0.0.254 #删除路由规则
route 功能很多,不仅仅配置默认网关,网络(静态)路由

5、winRoute代理服务器

规则名字: 内网机器能够上网
规则操作: 同意
规则应用: 全部出站规则
訪问规则源: 本地主机,内部
訪问规则目标: 外部
用户集: 全部用户

5、代理服务器通过策略处理,响应请求,连接建立。

4.4 命令行配置ip别名辅助

[root@chen ~]# ifconfig eth0:0 192.168.197.244 netmask 255.255.255.0 up
[root@chen ~]# ifconfig 
eth0      Link encap:Ethernet  HWaddr 00:0C:29:CB:F9:C0  
          inet addr:192.168.197.133  Bcast:192.168.197.255  Mask:255.255.255.0
          inet6 addr: fe80::20c:29ff:fecb:f9c0/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:816 errors:0 dropped:0 overruns:0 frame:0
          TX packets:546 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:73249 (71.5 KiB)  TX bytes:83087 (81.1 KiB)

eth0:0    Link encap:Ethernet  HWaddr 00:0C:29:CB:F9:C0  
          inet addr:192.168.197.244  Bcast:192.168.197.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0 
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[root@chen ~]# 

linux一块网卡可以配置多个临时的IP地址

WinRoute除了具有代理服务器的功能外,还具有NAT(网络地址转换)、防火墙、邮件服务器、DHCP服务器、DNS服务器等功能,能为用户提供一个功能强大的软网关。WinRoute有很多选项设置,涉及到网络配置的方方面面,但是它的帮助系统却不是很完善,由于WinRoute具有 DHCP服务器的功能,局域网内部的机器还可配置成由WinRoute动态分配的IP地址。

然后选择该规则右键"属性",切换到Web代理对话框,启用http代理,採用默认配置确定后完如图07:

正如上述过程所描述的,防火墙客户端模式的客户机通过使用内部DNS服务器的解析,实现了对外部资源的访问。

五,已知端口查服务的多种方法

方法一:lsof

[root@chen ~]# lsof -i:22
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
sshd    1136 root    3u  IPv4  12469      0t0  TCP *:ssh (LISTEN)
sshd    1136 root    4u  IPv6  12478      0t0  TCP *:ssh (LISTEN)
sshd    1211 root    3r  IPv4  13199      0t0  TCP www.test.com:ssh->localhost:51527 (ESTABLISHED)

知识扩展:文件已经被删除,但进程还在占用,导致磁盘空间不释放,怎么查找?

[root@chen ~]# lsof | grep del
php-fpm   1165  root    3u      REG                8,3        0     132492 /tmp/ZCUDnCFFxq (deleted)
php-fpm   1166 nginx    3u      REG                8,3        0     132492 /tmp/ZCUDnCFFxq (deleted)
php-fpm   1167 nginx    3u      REG                8,3        0     132492 /tmp/ZCUDnCFFxq (deleted)
php-fpm   1168 nginx    3u      REG                8,3        0     132492 /tmp/ZCUDnCFFxq (deleted)
php-fpm   1169 nginx    3u      REG                8,3        0     132492 /tmp/ZCUDnCFFxq (deleted)
php-fpm   1170 nginx    3u      REG                8,3        0     132492 /tmp/ZCUDnCFFxq (deleted)

方法二:netstat -lntup

[root@chen ~]# netstat -antup | grep 22
tcp        0      0 0.0.0.0:22                  0.0.0.0:*                   LISTEN      1136/sshd           
tcp        0      0 192.168.197.133:22          192.168.197.1:51527         ESTABLISHED 1211/sshd           
tcp        0      0 :::22                       :::*                        LISTEN      1136/sshd  

WinRoute的Commands选单比较简单,可以进行拨号、断线、收发电子邮件。总体来说,WinRoute的网络功能相当全面,是一个优秀的软网关,美中不足的就是它的用户界面显得有些简单,帮助系统不够完善,从而增加了配置工作的难度。

澳门新萄京官方网站 14

请仔细体会一下其中的过程,然后接着看CASE2。

六,网络及服务故障的排查思路

例:假如 网址打不开

第一步:查一下看看通不通
ping -c3 -i2 -s512 www.cnblogs.com icmp协议是否被禁止

-c:次数
-i:时间间隔
-s:发包大小

traceroute www.cnblogs.com 查看各个节点是否畅通

telnet www.cnblogs.com 80
检查服务器WEB有没有开启,服务开没开,以及防火墙有没有挡住。

[root@chen ~]# telnet www.cnblogs.com 80
Trying 118.178.114.231...
Connected to www.cnblogs.com.
Escape character is '^]'.
#一直卡在这里就代表通的


[root@chen ~]# telnet www.cnblogs.com 800
Trying 118.178.114.231...
#一直处在连接中就代表不通

综上:如果不通
1,80服务没开或端口不存在
2,服务被防火墙阻挡了
3,服务监听的端口不在连接的IP上(连接被限定了连接IP)
澳门新萄京官方网站 15
4,运营商默认不开,申请开端口

6、SyGate代理服务器

接下来我们在客户机设定IE代理模式上网,打开IE,工具->Internet选项,切换到"链接"标签,设定如图08:

 

七,企业面试题两道

SyGate是一种支持多用户访问因特网的软件,并且是只通过一台计算机,共享因特网帐号,达到上网的目的。使用SyGate,若干个用户能同时通过一个小型网络,迅速、快捷、经济地访问因特网。易于安装的SyGate,在数分钟之内便可以安装完成,并且通常不需要其他外加的设置。和其他代理服务器软件不同的是,SyGate仅安装Server便可以了。

澳门新萄京官方网站 16

CASE2:

7.1 作为局域网网管,局域网的某个机器无法上网(网管角度)

基本检查思路:
澳门新萄京官方网站Web中断巧排错,虚拟机非域环境。(一)单机器无法上网
1)ping www.baidu.com
如果通,但不能上网,可能是浏览器,中毒等问题
2)ping 网关(目的是排除物理链路问题)

  • 如果ping网关不通,则查看ip设置,然后ping自身ip或ping网内其他机器IP;如果ping自身不通:检查ip设置,网卡驱动,物理链路
  • 如果ping网关通,则检查DNS的设置是否正确。pingDNS地址看看通不通或者nslookup进行公网的域名解析看看是否正常。

3)上网的路由器以及ISP线路问题

4)辅助排查:IP地址冲突,ARP病毒,核心交换机坏了,交换机环路,其他人能否上网

(二)大面积不能上网思路:
路由器,ISP,核心交换机,ARP病毒,核心交换机坏了,交换机环路。

易于使用的SyGate拥有直观的图形化界面,懂得操作Windows的人员均会操作。SyGate启动后便在后台运行,不需要人工的干预。在TCP/IP网络上,SyGate Client能让用户从任何一台计算机上远程监察和管理SyGate Server。

设定完就能够上网了(假设没有生效重新启动下ISA_Server吧,蛋疼.).这个就是基于ISA的HTTP代理上网,经常使用还有另外两种,基于防火墙的代理和SNAT代理.同一时候这些代理模式都支持各种认证,比方集成NTLM的认证和证书认证等等方法.这也是国外企业经常使用的一种安全模式。

背景描述:BlueEye公司位于上海,是总部位于深圳的Contoso收购的一家公司。Contoso收购Blueeye后,未对BlueEye的AD架构进行更改,而保持了其原有的内部DNS名:BlueEye.com,只是将其电子邮件名统一为Contoso.com,且要求其通过使用总部的邮件服务器进行邮件的发送与接受,便于邮件的监控。

7.2 作为linux运维,客户反应打开的网站慢,如何排查?(运维角度)

(一)用户个例还是全部都如此

模拟用户环境,进行访问测试,如果没有问题,就从客户角度思考,如果自己测试同样有问题,按下面思路排查

1,路是否通的问题
1)ping 网站地址,看看道路通不通

  • 如果ping通,不丢包。就是服务有问题(服务宕机,服务过载)
  • 如果ping通,但丢包。机房问题(带宽不稳定,各个线路不稳定)
  • 如果ping不通,那么ping百度看看通不通,如果也不通,那还是机房问题。

2)路由追踪:看看从客户端到服务器的线路节点是否有问题
traceroute -d(linux)
tracert -d(windows)
-d禁止反向解析(速度快)

2,机房业务是否OK

3)telnet www.baidu.com 80 检查服务器WEB服务有没有开启以及防火墙有没有挡住
nmap www.baidu.com -p 80
curl www.baidu.com 或wget www.baidu.com #相当于浏览器访问

4)提供服务的服务器是否资源过载,服务器及服务连接数过多,负载高,CPU高,IO高等

3,外部问题

5)网站购买的带宽满了,通过流量监控服务查看
6)内链外链(调用外部网站网址有问题)
根据网站URL调式网站
a,google浏览器直接F12
b,火狐firebug等

没有错误,只是有点警告(警告没事)

澳门新萄京官方网站 17

有错误,让开发看看是不是错误导致

澳门新萄京官方网站 18

我在做linux运维之前曾做过一段时间的产品开发,在工作中就遇到过因为代码逻辑问题所导致的无限循环直接累瘫痪掉了服务器的案例,此时可从Linux日志(windows日志)或者浏览器检查等手段进行查看。

4,其他问题:

个别客户自身,例如用户的网络线路和运营商网站带宽线路不符(联通VS电信)

5,集群架构问题

web服务问题:
数据库问题:
登录数据库看看是否有慢查询语句show proceslist,调整MYSQL配置,优化SQL语句
存储等问题:
是不是存储服务器,如NFS,MFS的负载及磁盘IO高

SyGate诊断程序在任何时候都能帮助你确定系统设置以及解决网络连接的问题。SyGate设有使用日志文件以及系统设置文件,在需要的时候可轻易地查寻与检测。尽管这些功能并非是必须的,SyGate还是能以其高度的可配适性,满足任何小型网络中的多种需要。

0x04总结
      基于ISA2006的防火墙的企业内网已经非常多的应用于非常多企业,特别是在国外,这样的防火墙可以非常好的保证企业内网的安全,尽管有点蛋疼,可是有应用就会有突破.本文的測试的目的就是为了測试基于HTTP隧道对于ISA的ByPass.有不论什么疑问可以到

两家公司的网络结构图简单表示如下所示:

7.3 真实的运维面试考卷

澳门新萄京官方网站 19

实战教学笔记到了这里基本上Linux运维相关的所有基础核心能力知识就已经结束了。笔记和辅助训练中出现的所有面试题或者企业案例均为真实可靠,非我自主乱编,以上卷为证。

7、CCProxy代理服务器

參考文档:点击打开链接

澳门新萄京官方网站 20

八,合格的企业Linux运维必会网络知识总结

  1. tcp/ip协议三次握手和四次断开过程
  2. http协议的工作原理
  3. 机器无法上网
  4. 网站打开慢
  5. DNS解析原理
  6. osi七层网络模型
  7. route如何添加一个网络路由?
  8. 如何查看已知端口对应的服务名?

CCProxy是一款国产的代理服务器软件,能满足小型网络用户的所有代理需求。它支持HTTP、FTP、Socks4、Socks5等多种代理协议,虽然不具备与Windows用户的集成能力,但CCProxy可以自行创建用户,并允许网管员根据需要为不同用户分配不同的权限。而通过相关规则的设定,CCProxy还能对单个用户连接数、访问网址等加以限制。

BlueEye内部有收发邮件的客户机均安装了防火墙客户端软件,使用Outlook Express收发邮件,且总部指定其使用的POP3服务器为POP3.contoso.com,SMTP服务器为SMTP.contoso.com。Contoso公司另有一台SMTP2.contoso.com供另一家分公司使用。

CCProxy代理服务器于2000年6月问世,是国内最流行的、下载量最大的国产代理服务器软件。主要用于局域网内共享Modem代理上网,ADSL代理共享、宽带代理共享、专线代理共享、ISDN代理共享、卫星代理共享、蓝牙代理共享和二级代理等共享代理上网。

某日,Contoso通知BlueEye其SMTP.contoso.com突然Down机,正在进行抢修,要求BlueEye的IT部门通知BlueEye的内部用户(1000多人)更改OE的设置,使用SMTP2.contoso.com作为临时的SMTP服务器。

总体来说,CCProxy可以完成两项大的功能:代理共享上网和客户端代理权限管理。CCProxy非常适合中国用户使用,无论是政府机关部门,大中小公司,学校,或是网吧,CCProxy都是实现共享上网的首选代理服务器软件。

分析:如果通知所有用户修改OE设置,等原先的SMTP服务器修复后还需要再更改回来,必定会造成用户的不满;同时,总部的 SMTP2.contoso.com服务器供另一家分公司使用,暂时不会考虑去ISP的DNS注册别名。那么如何才能够快速解决此问题呢?

8、squid代理服务器

解决方案:如果你看过CASE1,应该会有一个思路:能不能让用户的客户机将SMTP.contoso.com解析为SMTP2.contoso.com的IP,然后再向ISA发送访问请求呢?

在Unix/linux下使用的比较优秀的代理服务器软件Squid。之所以说它比较优秀,是因为它可以在代理服务器上作一个很大的缓存,可以把好多常去的网站内容存储到缓存中,这样,内部网的机器再访问那些网站,就可以从缓存里调用了。

自然是可以的,方法如下:

这样一方面可以加快内网浏览因特网的速度,这就是所谓的提高客户机的访问命中率;另一方面,Squid不仅仅支持HTTP协议,而且还支持 FTP,GOPHER,SSL和WAIS等协议,考虑到简捷实用的原则,squid作为代理服务器不仅性能优异,而且还详细的纪录了各个客户端的访问纪录。

澳门新萄京官方网站Web中断巧排错,虚拟机非域环境。(1)在BlueEye.com的内部DNS上新建一个主区域(不需要选择与AD集成),命名为contoso.com

Squid是一个缓存internet数据的软件,它接收用户的下载申请,并自动处理所下载的数据。Squid可以工作在很多的操作系统中,如 AIX,Unix,FreeBSD,Linux,NetBSD,Nextstep,Solaris,OS/2等,也有不少人在其他操作系统中重新编译过的 Squid。由于它安装简单,使用方便,所以已经被广泛使用。

澳门新萄京官方网站 21

这样你就了解了盘点Linux代理服务器。

澳门新萄京官方网站 22

...

(2)在contoso.com中新建一条A纪录,将SMTP.contoso.com指向61.0.0.2

澳门新萄京官方网站 23

(3)在ISA Server上中将SMTP.contoso.com添加到标签Domains中;

澳门新萄京官方网站 24

(4)客户机刷新防火墙策略后,即可成功接收和发送邮件。待smtp服务器修复后,删除所作的更改即可恢复原来的状态,而不需要在客户端进行任何的修改。

上述两个CASE,没有用到什么高深的知识,只是通过思路的转变,就解决了两个比较棘手的问题。希望这篇文章能够给你提供一种新的解决问题的思路。

原文:妙用DNS解析实现防火墙客户的重定向 返回网络安全首页

本文由澳门新萄京官方网站发布于服务器运维,转载请注明出处:澳门新萄京官方网站Web中断巧排错,虚拟机非域

关键词: