第一篇：ccna靜態(tài)路由配置和環(huán)回口配置

router>用戶模式 enable disable router#特權(quán)模式 configure terminal router（config）#全局模式 interface fx/x router（config-if）#接口模式 show ip interface brief 查看接口 show running-config 查看所有配置

工程三招：

no ip domain lookup 關(guān)閉域名解析

line console 0 進入到console（控制端）模式 logging synchronous 開啟信息同步

no exec-timeout 關(guān)閉會話超時，防止一段時間內(nèi)不操作自動退出

配置靜態(tài)路由表

R1 :f0/0 192.168.1.1 R2: f0/0 192.168.1.2 f1/0 192.168.2.1 R3:f0/0 192.168.2.2

R1配置情況如下：

R2配置情況如下：

R3配置情況如下：

配置回環(huán)口

R1配置情況如下：

R2配置情況如下：

R3配置情況如下：

Telnet

1、Line vty 0 4 Password xxx Login //沒有設(shè)置密碼情況下不能打login

2、line vty 0 4

3、

第二篇：動態(tài)路由配置實驗報告

實驗名稱：姓

名：專

業(yè)：班

級：學(xué)

號：指導(dǎo)教師：實驗日期：

動態(tài)路由的配置

江西理工大學(xué)南昌校區(qū)

實驗報告

【實驗?zāi)康摹?/p>

1.學(xué)會用配置靜態(tài)路由； 2.學(xué)會用RIP協(xié)議配置動態(tài)路由。

【實驗原理】

動態(tài)路由是網(wǎng)絡(luò)中的路由器之間相互通信，傳遞路由信息，利用收到的路由信息更新路由器表的過程。它能實時地適應(yīng)網(wǎng)絡(luò)結(jié)構(gòu)的變化。如果路由更新信息表明發(fā)生了網(wǎng)絡(luò)變化，路由選擇軟件就會重新計算路由，并發(fā)出新的路由更新信息。這些信息通過各個網(wǎng)絡(luò)，引起各路由器重新啟動其路由算法，并更新各自的路由表以動態(tài)地反映網(wǎng)絡(luò)拓撲變化。動態(tài)路由適用于網(wǎng)絡(luò)規(guī)模大、網(wǎng)絡(luò)拓撲復(fù)雜的網(wǎng)絡(luò)。

RIP采用距離向量算法，即路由器根據(jù)距離選擇路由，所以也稱為距離向量協(xié)議。路由器收集所有可到達目的地的不同路徑，并且保存有關(guān)到達每個目的地的最少站點數(shù)的路徑信息，除到達目的地的最佳路徑外，任何其它信息均予以丟棄。同時路由器也把所收集的路由信息用RIP協(xié)議通知相鄰的其它路由器。這樣，正確的路由信息逐漸擴散到了全網(wǎng)。

【實驗步驟】

1.在Packet Tracer軟件環(huán)境當(dāng)中搭建實驗環(huán)境，并畫出如下拓撲圖，共使用4臺路由器，5臺PC機，1臺交換機，其中兩個路由器之間用交叉線連接，交換機與其他設(shè)備都用直通線連接。

圖一 網(wǎng)絡(luò)拓撲圖

江西理工大學(xué)南昌校區(qū)

實驗報告

2.按照事先想好的如上圖中標示的地址在計算機中設(shè)置好IP地址，子網(wǎng)掩碼，默認網(wǎng)關(guān)。如設(shè)置PC1的相關(guān)截圖如下：

圖二 PC1的IP地址

圖三 PC1的網(wǎng)關(guān)

3．利用ping命令測試同一網(wǎng)段的兩臺PC機之間的連通性，若出現(xiàn)Reply from語句則表示兩臺PC機之間相互連通了，若出現(xiàn)Request timed out則表示還沒有連 3 江西理工大學(xué)南昌校區(qū)

實驗報告

通，如下圖所示是測試同一網(wǎng)段的PC0和PC4之間的連通性，出現(xiàn)Reply from語句，表示兩臺計算機之間連通了。

圖四 用ping命令測試連通性

4.在路由器中分別添加與之相連的網(wǎng)段的網(wǎng)絡(luò)號，相關(guān)截圖如下：

圖五 路由器設(shè)置

5.利用ping命令測試不同網(wǎng)段的PC機（PC1和PC3）之間的連通性，測試結(jié)果如下，結(jié)果表明連通了。江西理工大學(xué)南昌校區(qū)

實驗報告

圖六 用ping命令測試連通性

【實驗總結(jié)】

經(jīng)過第一次實驗的鍛煉，此時實驗簡單了很多。在課上老師講的很詳細，我們跟著老師的步驟操作，比較輕松的就完成了此次實驗，在實驗中熟練掌握動態(tài)路由協(xié)議RIP及RIP路由協(xié)議的配置方法、熟悉配置RIP路由表項的基本操作步驟、掌握在小型規(guī)模網(wǎng)絡(luò)中配置實現(xiàn)RIP距離矢量類路由協(xié)議的方法等。通過此次試驗感覺學(xué)到了不少東西，收獲感很強。

第三篇：ccna實驗配置個人總結(jié)

------------------基本配置-----

01.路由器的基本配置：

Router>用戶模式

Router>enable用戶進入特權(quán)模式

Router#特權(quán)模式

Router#configure terminal特權(quán)進入全局配置模式

Router(config)#全局配置模式

Router(config)#hostname R1命名

R1(config)#no ip domain-lookup 關(guān)閉域名解析模式

R1(config)#line console 0進入控制臺口

R1(config-line)#logging synchronous日志信息同步

R1(config)#interface fastethernet 0/0進入不同的接口

R1(config-if)#ip address 192.168.1.1 255.255.255.0配置IP

R1(config-if)#no shutdown開啟接口

R1(config-if)#clock rate 64000DCE端時鐘配置

show命令都是在特權(quán)模式下的R1(config)#show ip route查看路由表

R1(config)#show running-config查看當(dāng)前配置

R1(config)#show ip interface brief查看端口配置

R1(config)#copy running-config startup-config當(dāng)前配置保存為啟動配置

R1(config)#write memory保存

---------------

02.路由協(xié)議：

Static routes/Default Static routes

RIP

Eigrp

ospf

---------------

Default Static routes

R1(config)#ip route 0.0.0.0 0.0.0.0 192.1.12.2缺省路由

R1(config)#ip route 0.0.0.0 0.0.0.0 192.1.21.2 10浮動靜態(tài)路由10是管理距離 管理距離應(yīng)用于協(xié)議之間的比較，metric值應(yīng)用于協(xié)議內(nèi)部之間的比較

Static routes

R1(config)#ip route 192.1.2.0 255.255.255.0 192.1.12.2下一跳地址（直連對端地址）

R1(config)#ip route 192.1.2.0 255.255.255.0 fastethernet0/0出站接口----------------

03.RIP

R1(config)#router rip開啟rip

R1(config-router)#version 2 版本號

R1(config-router)#no auto-summary關(guān)閉自動匯總

R1(config-router)#network 11.1.1.1宣告自己loopback端的ip（網(wǎng)段號也可以）R1(config-router)#network 192.1.12.1宣告自己路由器的ip（網(wǎng)段號也可以）

自動匯總和手工匯總都會抑制明細路由，做手工匯總必須先關(guān)閉自動匯總。

R1(config)#no router rip刪除rip協(xié)議

R1#show ip protocol 查看ip協(xié)議

R1#clear ip route * 清空路由表

----------------

04.Erigp

R1(config)#router eigrp 1

R1(config-router)#no auto-s

R1(config-router)#network 1.0.0.0宣告loopback的ip網(wǎng)段號（ip地址也可以）R1(config-router)#network 192.1.12.0宣告路由器ip網(wǎng)段號（ip地址也可以）R1#show ip eigrp neighbors查看鄰居表

R1#show ip rigrp topolgy查看拓撲表

R1#show ip route eigrp通過eigrp學(xué)習(xí)到得路由

DUAL算法：后繼，可行距離FD，通告距離AD，可行性條件FC(FD>AD)，可行后繼 Eigrp的鄰居表，拓撲表，路由表。

---------------

05.OSPF

R1#show ip neighbor查看鄰居表

R1#show ip ospf datebase查看數(shù)據(jù)庫

R1#show ip ospf interface ethernet1/0查看接口配置

priority優(yōu)先級0-255默認為1

R1#（config-if)#ip ospf priority 10 修改優(yōu)先級為10

R1(config-router)#router-id 11.11.11.11修改id

配置：

R1(config)#router ospf 1

R1(config-router)#network 1.1.1.0 0.0.0.255 area 1

R1(config-router)#network 192.1.12.0 0.0.0.255 area 0

R2(config)#router ospf 1

R2(config-router)#network 2.2.2.0 0.0.0.255 area 2

R2(config-router)#network 192.1.12.0 0.0.0.255 area 0

這個配置具體還不清楚

R1(config)#int e1/0

R1(config-if)#ip ospf hello-interval 5修改hello時間

R1(config-if)#ip ospf dead-interval 10修改dead時間

--------------

06.ACL 訪問控制列表

--------

telnet設(shè)置：

R1(config)#line vty 0

R1(config-line)#password yangkaichun

--------

R1(config)#access-list 1 deny 1.1.1.1 0.0.0.0拒絕1.1.1.1訪問

R1(config)#access-list 1 premit any允許其它的R1(config)#int e1/0進入端口調(diào)用

R1(config-if)#ip access-group 1 in調(diào)用ACL

R1(config)#access-list 100 deny tcp any any eq telnet 不允許telnet登陸 R1(config)#access-list 100 permit ip any any 允許其它的R1(config)#int e 1/0進入端口調(diào)用

R1(config-if)#ip access-group 100 in

R1(config)#access-list 100 deny icmp host 192.1.12.2 host 1.1.1.1 echo拒絕ICMP包

R1(config)#access-list 100 deny tcp any any eq 80（不允許HTTP的進入）把80換成？就可查看端口編號了

第四篇：VLAN間路由配置心得體會

VLAN間路由配置心得體會

眾所周知，第二層平面網(wǎng)絡(luò)的擴展性不佳，各站點發(fā)送數(shù)據(jù)包前要廣播查詢目的地的MAC地址。由于大量應(yīng)用層軟件需要廣播傳送某些數(shù)據(jù)包，而這些數(shù)據(jù)廣播包只需發(fā)向某一組用戶，如果此時沒有VLAN(Virtual Local Area Network)，這些數(shù)據(jù)包會占用大量網(wǎng)絡(luò)資源，使正常數(shù)據(jù)包無法獲得帶寬，從而嚴重影響網(wǎng)絡(luò)效率及性能。VLAN依靠用戶的邏輯設(shè)定將原來物理上互聯(lián)的一個局域網(wǎng)絡(luò)劃分為多個虛擬網(wǎng)段，即在兩層交換機的邏輯上劃分若干LAN(廣播域)，將廣播信息、組播信息等限制在特定的一組端口上，從而為限制全網(wǎng)范圍的廣播和多點廣播提供有效手段。在網(wǎng)絡(luò)設(shè)計中，應(yīng)選擇切實可行的技術(shù)進行VLAN的靈活劃分。劃分可依據(jù)設(shè)備所連的端口、用戶節(jié)點的MAC地址等，劃分的結(jié)果是使同一個VLAN內(nèi)的數(shù)據(jù)可自由通信。不同VLAN間的數(shù)據(jù)交流需要通過第三層交換完成。即通過跨越交換機劃分VLAN，從而高性能地實現(xiàn)VLAN之間的路由，提高帶寬利用率和網(wǎng)絡(luò)性能，增強網(wǎng)絡(luò)應(yīng)用的靈活性和安全性。

二、VLAN在網(wǎng)絡(luò)中的典型劃分VLAN在網(wǎng)絡(luò)中的典型劃分如圖1所示。VLAN通常與IP網(wǎng)絡(luò)是相關(guān)聯(lián)的，例如特定IP子網(wǎng)中的所有工作端屬于同一個VLAN，不同VLAN之間必須通過路由器或具有路由器功能的模塊才能通信。VLAN可以是動態(tài)的，也可以是靜態(tài)的。所謂動態(tài)VLAN就是基于工作站的MAC地址，即根據(jù)工作站上網(wǎng)卡的48位硬件地址劃分的VLAN。動態(tài)VLAN主要是通過每臺交換機所連接工作站的MAC地址，它將一組MAC地址劃分在同一邏輯組中，其中的成員不會因地理位置的改變而改變(這種方法僅用于局域網(wǎng))。靜態(tài)VLAN是一種具有固定地理位置的劃分方法，它基于交換機端口的劃分，可以通過對交換機的適當(dāng)設(shè)置，將同一個交換機或不同交換機上的一組端口劃分在同一個VLAN中。VTP(VLAN Trunk Protocol)協(xié)議主要用于多臺局域網(wǎng)交換機互聯(lián)情況下有效管理VLAN的配置。VTP Domain 也叫VLAN的管理域，它由具有相同管理域名稱的交換機組成，每個交換機只能位于一個VTP域中，這樣便可以通過命令行(CLI)方式或簡單的網(wǎng)絡(luò)管理協(xié)議(SNMP)來完成整個Domain中VLAN的設(shè)置(在缺省狀態(tài)下，交換機處于非管理域中)。由于一個端口只能同時屬于一個VLAN，那么當(dāng)兩臺交換機聯(lián)機后，屬于不同VLAN的數(shù)據(jù)包如何通過級聯(lián)端口到達另一臺交換機，數(shù)據(jù)包到達另一臺交換機后又如何交換呢？我們可以使用交換機中的Trunk功能。兩臺交換機之間的Trunk關(guān)系以及Trunk中所使用的ISL和802．1Q協(xié)議是可以通過雙方協(xié)商建立的，總共有5種工作方式：On、Off、Desirable、Auto(Trunk端口缺省模式)和Nonegotiate(交換機與路由器之間的Trunk)。VLAN的配置實現(xiàn)交換機可以分為基于Set命令的和基于IOS的兩類。交換機的平臺不同，具體設(shè)置命令也有所不同，但各種配置的基本原理及設(shè)置思路都是一樣的。就VLAN的設(shè)置來講，其基本步驟包括：配置VTP 域、建立新的VLAN、將端口分配到目標的VLAN之中。

三層交換實現(xiàn)vlan間路由與dhcp配置：

實驗拓撲圖

實驗?zāi)康模?/p>

讓sw1與sw2屬于vlan 1，pc1與pc3屬于vlan 2，pc2與pc4屬于vlan 3，在sw1上配置vlan間路由和dhcp，其他設(shè)備從dhcp獲取地址，并實現(xiàn)vlan間通信。

sw1配置: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous

//設(shè)置同步，不讓信息影響操作

Router(config-line)#exec-timeout 0 0

//設(shè)置永不超時，防止cpu占用率100%,(只在模擬器上設(shè)置）

Router(config-line)#exi Router(config)#no ip domain lookup

//關(guān)閉域名解析功能 Router(config)#no ip routing

//關(guān)閉路由功能 Router(config)#hostname sw1 sw1(config)#in vlan 1 sw1(config-if)#ip add 192.168.0.1 255.255.255.0

//配置vlan 1 IP地址 sw1(config-if)#no shut sw1(config-if)#exi sw1(config)#vlan 2

//創(chuàng)建vlan 2 sw1(config-vlan)#name v2

sw1(config-vlan)#vlan 3 sw1(config-vlan)#name v3 sw1(config-vlan)#exi sw1(config)#in fa1/1 sw1(config-if)#switchport mode access

//設(shè)置端口為訪問端口（默認值）sw1(config-if)#switchport access vlan 2

//讓接口屬于vlan 2成員 sw1(config-if)#in fa1/2 sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 3 sw1(config-if)#exi sw1(config)#in fa1/15 sw1(config-if)#switchport mode trunk

//設(shè)置端口為中繼端口

sw1(config-if)#switchport trunk encapsulation dot1q

//端口的封裝類型 sw1(config-if)#exi sw1(config)#vtp mode server

//設(shè)置為vtp的服務(wù)模式 sw1(config)#vtp domain aaa

//設(shè)置vtp的域名 sw1(config)#vtp password abc

//設(shè)置vtp的密碼 sw1(config)#vtp pruning

//啟用vtp修剪功能

實現(xiàn)dhcp功能：

sw1(config)#ipdhcp pool v1

//創(chuàng)建一個dhcp地址池，名為v1 sw1(dhcp-config)#network 192.168.0.0 /24

//要分配的網(wǎng)段 sw1(dhcp-config)#default-router 192.168.0.1

//默認網(wǎng)關(guān) sw1(dhcp-config)#lease 4

//租約 sw1(dhcp-config)#exi sw1(config)#ipdhcp pool v2 sw1(dhcp-config)#network 192.168.1.1 /24 sw1(dhcp-config)#default-router 192.168.1.1 sw1(dhcp-config)#lease 4 sw1(dhcp-config)#exi sw1(config)#ipdhcp pool v3 sw1(dhcp-config)#network 192.168.2.0 255.255.255.0 sw1(dhcp-config)#default-router 192.168.2.1 sw1(dhcp-config)#lease 4 sw1(dhcp-config)#exi sw1(config)#ipdhcp excluded-address 192.168.0.1

//不分配的地址 sw1(config)#ipdhcp excluded-address 192.168.1.1 sw1(config)#ipdhcp excluded-address 192.168.2.1

實現(xiàn)vlan間路由：

sw1(config)#ip routing

啟用路由功能（因為剛才關(guān)閉了）sw1(config)#in vlan 2 sw1(config-if)#ip add 192.168.1.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exi sw1(config)#in vlan 3 sw1(config-if)#ip add 192.168.2.1 255.255.255.0 sw1(config-if)#no shut sw1(config-if)#exi

sw2配置: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous Router(config-line)#exec-timeout 0 0 Router(config-line)#exi Router(config)#no ip domain lookup Router(config)#no ip routing Router(config)#hostname sw2 sw2(config)#in f1/15 sw2(config-if)#switchport mode trunk

//設(shè)為中繼端口

sw2(config-if)#switchport trunk encapsulation dot1q

//端口封裝類型 sw2(config-if)#exi sw2(config)#vtp mode client

//設(shè)為vtp客戶模式 sw2(config)#vtp domain aaa sw2(config)#vtp password abc sw2(config)#vtp pruning sw2(config)#in vlan 1 sw2(config-if)#ip add dhcp

//IP地址設(shè)為從DHCP獲取 sw2(config-if)#exi sw2(config)#in f1/0 sw2(config-if)#switchport mode access

//設(shè)置為訪問端口 sw2(config-if)#switchport access vlan 2

//將接口分配到vlan 2 sw2(config-if)#in f1/1 sw2(config-if)#switchport mode access sw2(config-if)#switchport access vlan 3 sw2(config-if)#end

每個PC機的設(shè)置都一樣。如下： pc: Router>en Router#conf t Router(config)#line console 0 Router(config-line)#password abc Router(config-line)#login Router(config-line)#logging synchronous Router(config-line)#exec-timeout 0 0 Router(config-line)#exi Router(config)#no ip domain lookup Router(config)#no ip routing Router(config)#hostname pc2 pc2(config)#in f0/0 pc2(config-if)#ip add dhcp

//從DHCP獲取IP地址 pc2(config-if)#no shut pc2(config-if)#end

總結(jié)：

首先為交換機創(chuàng)建VLAN，并且把VLAN分配給端口。設(shè)置主要端口的TRUNK模式目的是與路由器通訊。其次，路由器啟用子接口、封裝VLAN并設(shè)置ip。最后設(shè)置模擬Pc就可以了。

第五篇：畢業(yè)論文 LINUX路由防火墻配置

LINUX路由防火墻配置 加上摘要、關(guān)鍵字 LINUX系統(tǒng)應(yīng)用概述（安全方面應(yīng)用）防火墻的功能介紹 防火墻規(guī)則配置 防火墻路由配置 防火墻NAT配置

RedHat Linux 為增加系統(tǒng)安全性提供了防火墻保護。防火墻存在于你的計算機和網(wǎng)絡(luò)之間，用來判定網(wǎng)絡(luò)中的遠程用戶有權(quán)訪問你的計算機上的哪些資源。一個正確配置的防火墻可以極大地增加你的系統(tǒng)安全性。

其中有以下幾種配置方式：

高級：如只有以下連接是果你選擇了「高級」，你的系統(tǒng)就不會接受那些沒有被你具體指定的連接（除了默認設(shè)置外）。默認允許的： DNS回應(yīng)

DHCP — 任何使用 DHCP 的網(wǎng)絡(luò)接口都可以被相應(yīng)地配置。如果你選擇「高級」，你的防火墻將不允許下列連接

1．活躍狀態(tài)FTP（在多數(shù)客戶機中默認使用的被動狀態(tài)FTP應(yīng)該能夠正常運行。）2.IRC DCC 文件傳輸

3.RealAudio 4.遠程 X 窗口系統(tǒng)客戶機 如果你要把系統(tǒng)連接到互聯(lián)網(wǎng)上，但是并不打算運行服務(wù)器，這是最安全的選擇。

如果需要額外的服務(wù)，你可以選擇 「定制」 來具體指定允許通過防火墻的服務(wù)。注記:如果你在安裝中選擇設(shè)置了中級或高級防火墻，網(wǎng)絡(luò)驗證方法（NIS 和 LDAP）將行不通。

中級：如果你選擇了「中級」，你的防火墻將不準你的系統(tǒng)訪問某些資源。訪問下列資源是默認不允許的：

1.低于1023 的端口 — 這些是標準要保留的端口，主要被一些系統(tǒng)服務(wù)所使用，例如： FTP、SSH、telnet、HTTP、和 NIS。2.NFS 服務(wù)器端口（2049）— 在遠程服務(wù)器和本地客戶機上，NFS 都已被禁用。3.為遠程 X 客戶機設(shè)立的本地 X 窗口系統(tǒng)顯示。4.X 字體服務(wù)器端口（xfs 不在網(wǎng)絡(luò)中監(jiān)聽；它在字體服務(wù)器中被默認禁用）。

如果你想準許到RealAudio之類資源的訪問，但仍要堵塞到普通系統(tǒng)服務(wù)的訪問，選擇 「中級」。你可以選擇 「定制」 來允許具體指定的服務(wù)穿過防火墻。

注記:如果你在安裝中選擇設(shè)置了中級或高級防火墻，網(wǎng)絡(luò)驗證方法（NIS 和 LDAP）將行不通。

無防火墻：無防火墻給予完全訪問權(quán)并不做任何安全檢查。安全檢查是對某些服務(wù)的禁用。

建議你只有在一個可信任的網(wǎng)絡(luò)（非互聯(lián)網(wǎng)）中運行時，或者你想稍后再進行詳細的防火墻配置時才選此項。選擇 「定制」 來添加信任的設(shè)備或允許其它的進入接口。

信任的設(shè)備：選擇「信任的設(shè)備」中的任何一個將會允許你的系統(tǒng)接受來自這一設(shè)備的全部交通；它不受防火墻規(guī)則的限制。

例如，如果你在運行一個局域網(wǎng)，但是通過PPP撥號連接到了互聯(lián)網(wǎng)上，你可以選擇「eth0」，而后所有來自你的局域網(wǎng)的交通將會被允許。

把「eth0」選為“信任的”意味著所有這個以太網(wǎng)內(nèi)的交通都是被允許的，但是ppp0接口仍舊有防火墻限制。如果你想限制某一接口上的交通，不要選擇它。建議你不要將連接到互聯(lián)網(wǎng)之類的公共網(wǎng)絡(luò)上的設(shè)備定為 「信任的設(shè)備」。

允許進入：啟用這些選項將允許具體指定的服務(wù)穿過防火墻。注意：在工作站類型安裝中，大多數(shù)這類服務(wù)在系統(tǒng)內(nèi)沒有被安裝。

DHCP：如果你允許進入的 DHCP 查詢和回應(yīng)，你將會允許任何使用 DHCP 來判定其IP地址的網(wǎng)絡(luò)接口。DHCP通常是啟用的。如果DHCP沒有被啟用，你的計算機就不能夠獲取 IP 地址。

SSH：Secure（安全）SHell（SSH）是用來在遠程機器上登錄及執(zhí)行命令的一組工具。如果你打算使用SSH工具通過防火墻來訪問你的機器，啟用該選項。你需要安裝openssh-server 軟件包以便使用 SSH 工具來遠程訪問你的機器。

TELNET：Telnet是用來在遠程機器上登錄的協(xié)議。Telnet通信是不加密的，幾乎沒有提供任何防止來自網(wǎng)絡(luò)刺探之類的安全措施。建議你不要允許進入的Telnet訪問。如果你想允許進入的 Telnet 訪問，你需要安裝 telnet-server 軟件包。

HTTP：HTTP協(xié)議被Apache（以及其它萬維網(wǎng)服務(wù)器）用來進行網(wǎng)頁服務(wù)。如果你打算向公眾開放你的萬維網(wǎng)服務(wù)器，請啟用該選項。你不需要啟用該選項來查看本地網(wǎng)頁或開發(fā)網(wǎng)頁。如果你打算提供網(wǎng)頁服務(wù)的話，你需要安裝 httpd 軟件包。啟用 「WWW(HTTP)」 將不會為 HTTPS 打開一個端口。要啟用 HTTPS，在 「其它端口」 字段內(nèi)注明。

SMTP：如果你需要允許遠程主機直接連接到你的機器來發(fā)送郵件，啟用該選項。如果你想從你的ISP服務(wù)器中收取POP3或IMAP郵件，或者你使用的是fetchmail之類的工具，不要啟用該選項。請注意，不正確配置的 SMTP 服務(wù)器會允許遠程機器使用你的服務(wù)器發(fā)送垃圾郵件。

FTP：FTP 協(xié)議是用于在網(wǎng)絡(luò)機器間傳輸文件的協(xié)議。如果你打算使你的 FTP 服務(wù)器可被公開利用，啟用該選項。你需要安裝 vsftpd 軟件包才能利用該選項。

其他端口：你可以允許到這里沒有列出的其它端口的訪問，方法是在 「其它端口」 字段內(nèi)把它們列出。格式為： 端口:協(xié)議。例如，如果你想允許 IMAP 通過你的防火墻，你可以指定 imap:tcp。你還可以具體指定端口號碼 要允許 UDP 包在端口 1234 通過防火墻，輸入 1234:udp。要指定多個端口，用逗號將它們隔開。

竅門:要在安裝完畢后改變你的安全級別配置，使用 安全級別配置工具。

在 shell 提示下鍵入 redhat-config-securitylevel 命令來啟動 安全級別配置工具。如果你不是根用戶，它會提示你輸入根口令后再繼續(xù)。

運行防火墻的計算機（以下稱防火墻）既連接外部網(wǎng)，又連接內(nèi)部網(wǎng)。一般情況下，內(nèi)部網(wǎng)的用戶不能直接訪問外部網(wǎng)，反之亦然。如果內(nèi)部網(wǎng)用戶要訪問外部網(wǎng)，必須先登錄到防火墻，由防火墻進行IP地址轉(zhuǎn)換后，再由防火墻發(fā)送給外部網(wǎng)，即當(dāng)內(nèi)部網(wǎng)機器通過防火墻時，源IP地址均被設(shè)置（或稱偽裝，或稱欺騙）成外部網(wǎng)合法的IP地址。經(jīng)偽裝以后，在外部網(wǎng)看來，內(nèi)部網(wǎng)的機器是一個具有合法的IP地址的機器，因而可進行通信。外部網(wǎng)用戶要訪問內(nèi)部網(wǎng)用戶時，也要先登錄到防火墻，經(jīng)過濾后，僅通過允許的服務(wù)。由此可見，防火墻在內(nèi)部網(wǎng)與外部網(wǎng)之間起到了兩個作用：(1)IP包過濾——保護作用；(2)路由——網(wǎng)絡(luò)互連作用。

硬件安裝：運行Linux防火墻的計算機上必須安裝有兩塊網(wǎng)卡或一塊網(wǎng)卡、一塊Modem卡。本文以兩塊網(wǎng)卡為例。安裝網(wǎng)卡，正確設(shè)置中斷號及端口號，并為各網(wǎng)卡分配合適的IP地址。例如：eth0:172.16.77.99 255.255.255.0 Eth1:192.168.1.1 255.255.255.0 Iptables: 利用Iptables命令可以創(chuàng)建，刪除或插入鏈，并可以在鏈中創(chuàng)建，刪除或插入過濾規(guī)則。Iptables僅僅是一個包過濾管理工具，對過濾規(guī)則的執(zhí)行是通過LINUX的NETWORK PACKET FILTERING內(nèi)核和相關(guān)的支持模塊來實現(xiàn)的。

RED HAT LINUX在安裝時，也安裝了對舊版的IPCHAINS的支持，但是兩者不能同時使用，可以用以下命令卸下： Rmmod ipchains 然后可以檢查下Iptables是否安裝了： Rpm –q Iptables Iptables-1.2.7a-2 說明已經(jīng)安裝了Iptables Iptables有以下服務(wù)： 啟用：service Iptables start 重啟：service Iptables restart 停止：servixe Iptables stop 對鏈的操作：

1． 2． 查看鏈：Iptables –L 創(chuàng)建與刪除鏈：Iptables –N block block為新鏈

Iptables –X 為刪除鏈 3．

對規(guī)則的操作：

1． 2． 3． 4． 5． 6． 7． 刪除鏈中規(guī)則：Iptables –E 歸零封包記數(shù)器：Iptables –Z 設(shè)置鏈的默認策略：Iptables –P 新增規(guī)則：Iptables –A 替換規(guī)則：Iptables –R 刪除規(guī)則：Iptables –D 插入規(guī)則：Iptables –I 更改鏈的名稱：Iptables-E 要禁止外網(wǎng)PING本機，可以執(zhí)行規(guī)則為：

Iptables –A INPUT –p icmp –-icmp-type echo-request –I ppp0 –j DROP 若要禁止220.174.156.22主機訪問本機，規(guī)則為： Iptables –A INPUT –s 220.174.156.22 –j DROP 規(guī)則的處理動作： 1． 2． ACCEPT：允許封包通過或接收該封包

REJECT：攔截該封包，并回傳一個封包通知對方

3． 4． DROP：直接丟棄封包

5． 6． MASQUERADE：用于改寫封包的來源IP為封包流出的外網(wǎng)卡的IP地址，實現(xiàn)IP偽裝

假設(shè)外網(wǎng)卡為ETH0，則 ： iptables –t –nat –A –POSTROUTING –o ETH0-j SNAT –to 172.16.77.99

構(gòu)建路由: 增加一條靜態(tài)路由：

# route add-net 172.16.77.0 netmask 255.255.255.0 再增加一條靜態(tài)路由：

# route add-net 192.168.1.0 netmask 255.255.0.0 還要為系統(tǒng)增加一條缺省路由，因為缺省的路由是把所有的數(shù)據(jù)包都發(fā)往它的上一級網(wǎng)關(guān)

（假設(shè)地址是172.16.1.254，這個地址依賴于使用的網(wǎng)絡(luò)而定，由網(wǎng)絡(luò)管理員分配），因此增加如下的缺省路由記錄： # route add default gw 172.16.77.254 最后一步，要增加系統(tǒng)的IP轉(zhuǎn)發(fā)功能。這個功能由

執(zhí)行如下命令打開ip轉(zhuǎn)發(fā)功能： echo 1 > /proc/sys/net/ipv4/ip_forward 這樣我們的路由器基本上是配置好了 測試路由器的工作情況。