用Zebra 在Linux 上构建路由器实战手册 一、Zebra 介绍 Zebra 是一个 TPC/IP 路由软件，支持 BGP-4、BGP-4+、OSPFv2、 OSPFv3、RIPv1、RIPv2 和 RIPng。它的发行遵循 GNU 通用公共许可 协议，可以运行于 Linux 以及其他一些 Unix 变体操作系统上。 Zebra 是那些系统最新的发行版本中的路由软件。最新版本的 Zebra 以及文档可以从 GNU Zebra 网站上下载：http://www.zebra.org/ Zebra 的设计独特，采用模块的方法来管理协议。可以根据网络需要 启用或者禁用协议。 Zebra 最为实用的一点是它的配置形式同 Cisco IOS 极其类似。尽 管它的配置与 IOS 相比还是有一些不同，但是这对于那些已经熟悉 IOS 的网络工程师来说在这种环境下工作将相当自如。 二、安装 1、下载 ftp://ftp.zebra.org/pub/zebra/zebra-0.95a.tar.gz 2、安装过程 # gunzip zebra-0.95a.tar.gz #tar xvf zebra-0.95a.tar 会在当前目录下自动生成一个zebra-0.95a 子目录， 进入 ...

PIX内网用户无法用外网地址访问发布的DMZ区的服务器的故障解决 环境：在PIX上为一台DMZ区域的Web 服务器做了静态地址映射Public IP:200.200.200.200Private IP:10.10.10.10 故障现象：在公网上可以通过200.200.200.200访问这台Web服务器，但在内网中只能通过10.10.10.10访问这台Web服务器，无法通过其公网ip（200.200.200.200）来访问故障解决：    通过pix的alias命令来实现    pix的Alias命令有两个功能: 1，利用DNS Doctoring修正外部DNS服务器回复  o 利用DNS Doctoring,PIX 将"改变" 外部DNS响应的地址到另一个IP，这个地址不同于DNS服务器上真实提供的域名-IP记录。   o 此功能实现从内部客户端通过内部IP地址连接到内部服务器上。2，转换目标IP地址的dnat（Destination NAT）到另一个IP。  o 用dnat改变应用程序的标地址.  o 此功能实现从内部客户端调用外部地址访问周边网络（例如DMZ区），不修改DNS回复。例如，一台机器发送数据到99.99.99.99,可使用alias命令把数据重定向到另一个地址10.10.10.10.可使用此命令避免你网络里的IP与互联网或另一个企业内部网的IP冲突。...

Ping 出现： TTL expired in transit. １、我先PING了一下IP地址，结果发现：C:\Documents and Settings\xm_dengwh>ping 218.xxx.xxx.xxx (这里是我们的IP地址)Pinging 218.xx.xx.xx with 32 bytes of data:Reply from 218.85.151.173: TTL expired in transit.Reply from 218.85.151.173: TTL expired in transit.Reply from 218.85.151.173: TTL expired in transit.Reply from 218.85.151.173: TTL expired in transit.需要注意的是: 我的IP地址:218.xxx.xxx.xxx和218.85.151.173不同.不是正常的TTL返回时间，从提示来看应该是TTL耗尽了，为什么ＴＴＬ会耗尽呢？难道是路由器配置错误，形成环路了使数据包不停的在两个路由器之间传送，使ＴＴＬ耗尽？为了证实我的猜想,我觉定使用tracert看一下所经过的路由器情况.C:\Documents and Settings\xm_dengwh>tracert 218.85.xx.xxTracing route to mx2.bestcheer.com [218.85.xxx.xxx]over a maximum of 30 hops:1 10 ms 1 ms 1 ms 59.xx.xx.xx2 1 ms 2 ms 1 ms 61.154.238.1023 * * * Request t...

PortSentry实战1.能够检测到的端口扫描    2.监视模式和处理方式    A.安装    1.编辑portsentry_config.h文件    CONFIG_FILE    WRAPPER_HOST_DENY    SYSLOG_FACILITY    SYSLOG_LEVEL    2.编辑PortSentry的配置文件portsentry.conf    TCP_PORTS    UDP_PORTS    ADVANCED_PORT_TCP    ADVANCED_PORT_UDP    ADVANCED_EXCLUDE_TCP    ADVANCED_EXCLUDE_UDP    IGNORE_FILEB    BLOCKED_FILE    HISTORY_FILE    BLOCK_UDP    BLOCK_TCP    KILL_ROUTE    KILL_HOST_DENY    KILL_RUN_CMD    SCAN_TRIGGER    PORT_BANNER    3.编辑portsentry.ignore文件    4.编译    B.使用    C.测试    D.输出信息以及记录文件    E.总结    简介    PortSentry是Abacus工程的一个组成部分。Abacus工程的目标是建立一个基于主机的网络入侵...

Linux 下使用单网卡实现nat共享上网给网卡绑定两个IP.一个内网IP,无需设置网关；另一个接口,IP要可以连接internet.直接将下面内容加在 /etc/rc.local 启动脚本内（把192.168.51.250换成外网IP,把192.168.151.1换内网的网络地址）echo 1 > /proc/sys/net/ipv4/ip_forwardifconfig eth0:1 192.168.151.1 netmask 255.255.255.0iptables -Fiptables -F -t natiptables -P FORWARD DROPiptables -A FORWARD -s 192.168.151.0/24 -j ACCEPTiptables -A FORWARD -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPTiptables -t nat -A POSTROUTING -o eth0 -s 192.168.151.0/24 -j SNAT --to 192.168.51.250

Windows2003 单网卡设置VPN服务器 1.打开[控制面板] –> [管理工具] –>[路由和远程访问] 2.鼠标右击你要管理的电脑 在弹出式菜单中选中[配置并启用路由和远程访问] 3.选中[自定义]，因为你只有一块网卡嘛，所以选中第一项或第三项的话，你会得到一个“必须两块网卡”的提示 4.下一步就是选中[VPN访问],然后系统会问你“要不要启动服务” 当然要启动了。 5.启动成功后，会得到如下图所示的情形，鼠标右击 要管理的电脑(这里的[KTVSERVER(本地)]),然后在弹出式菜单中选中[属性] 6.在弹出的控制面板中选中[IP] –> [静态地址池] –> [添加] 然后输入个起始IP [192.168.1.1] 结束IP [192.168.1.254],这个IP段，是给拔入你的VPN服务器的客户端分配的虚拟IP 7.完成后如下图 8.然后鼠标右击[静态路由]–>[新建静态路由] 9.[接口]选“本地连接”,目标[0.0.0.0],网络掩码[0.0.0.0],网关输入你的网卡...

超好的Linux防火墙Iptables实例讲解 找啊找啊找啊找，终于找到到这篇文章，比起以前看的Iptables的相关资料，觉得这篇最好，简单易懂，很多正是我所需要的，赶紧收录下来。 RH 的 防火墙默认的做的不好。例如我的安装时形成的 /etc/sysconfig/iptables ： # Firewall configuration written by lokkit # Manual customization of this file is not recommended. # Note: ifup-post will punch the current nameservers through the # firewall; such entries will *not* be listed here. *filter :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] :RH-Lokkit-0-50-INPUT - [0:0] -A INPUT -j RH-Lokkit-0-50-INPUT -A RH-Lokkit-0-50-INPUT -i lo -j ACCEPT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 0:1023 --syn -j REJECT -A RH-Lokkit-0-50-INPUT -p tcp -m tcp --dport 2049 --syn -j REJEC...

pptpd服务器安装 1. rpm -qa|grep ppp 检查ppp版本，必须在2.4.1-3或以上，否则下载新版本，用rpm -Uvh更新； 2.下载pptpd-1.1.3-4.i386.rpm，rpm -ivh pptpd-1.1.3-4.i386.rpm安装； 3.编辑/etc/pptpd.conf： speed 115200 localip 192.168.0.1 （本地ip，可以是1个或多个） remoteip 192.168.0.2-128 （远程ip，最多可同时接入客户端数） pidfile /var/run/pptpd.pid 4.编辑/etc/ppp/options： lock debug name pptpd auth require chap proxyarp bsdcomp 0 5.编辑/etc/ppp/chap-secrets： 用户名 pptpd 密码 * （*号也可改为指定的ip） 6.在/etc/syslog.conf后追加一行： daemon.debug /var/log/pptpd.log 7.重起syslog： kill -SIGHUP `cat /var/run/syslogd.pid` 8.启动pptpd： pptpd 9.debug信息可在 /var/log/pptpd.log中查看。 localip 192.168.6.1remoteip 192.168...

在Redhat Linux 9.0系统中搭建VPN服务器###################################################系统环境：Redhat Linux 9.0 [ 2.4.20-8 ]软件版本： freeswan-2.06.tar.gz目标功能： 网络拓扑： ClientA[eth0]--->[eth0]ServerA[eth1]--->==Internet==[eth0]ClientB 网络环境[简化实验配置]： Client A： eth0: 172.17.17.20/24 Gateway:172.17.17.1 Server A： eth0: 172.17.17.1 eth1: 20.0.0.1/8 Gateway:20.0.0.1 Server B： eth0: 192.168.3.1/24 eth1: 20.0.0.2/8 Gateway:20.0.0.2 Client B： eth0: 192.168.3.33/24 Gateway:192.168.3.1#########################################################################################一、编译内核[为下一步打ipsec内核补丁提供环境，如果已经有编译过的内核残码，可直接进入第二步] # make mrproper # cp /boot/config-2.4.20-8 /usr/src/linux-2.4.20-8/.config //不对内核配置作太多细节调整，偷个懒直接使用旧的.config # cd /usr/src/linux-2.4.20-8 # make dep && make bzImage && make modules && make modules_install二、编译安装fr...

中小企业VPN组网设置（图） 虚拟专用网络（Virtual Private Network，VPN）是专用网络的延伸，它包含了类似Internet 的共享或公共网络链接。通过VPN可以以模拟点对点专用链接的方式通过共享或公共网络在两台计算机之间发送数据。如果说得再通俗一点，VPN实际上是"线路中的线路"，类型于城市大道上的"公交专用线"，所不同的是，由VPN组成的"线路"并不是物理存在的，而是通过技术手段模拟出来，即是"虚拟"的。     不过，这种虚拟的专用网络技术却可以在一条公用线路中为两台计算机建立一个逻辑上的专用"通道"，它具有良好的保密和不受干扰性，使双方能进行自由而安全的点对点连接，因此被网络管理员们非常广泛地关注着。现在中小企业通过ADSL宽带网络连接互联网并建立自己的局域网比较常见，而VPN的使用范围也已经越来越广了。     笔者就认识不少把自己家的电脑和单位的局域网通过VPN连接起来的朋友。笔者通过调查发现现在通常有两种方法实现局域网的VPN连接：一种是在局域网中的客户机上可以进行单个VPN连接，通过计算机的V...