• Azblink 系统快速安装
  • 快速设置步骤
  • 用户手册
01. 网络入门准备
02. 必备硬件设备
03. 快速安装及设置
04. 安装设置核认清单
05. SOFTWARE RAID
06. Q&A

选择DNS代管

在因特网上,想要建立可被大众存取的服务器,这是必要的准备步骤。以下我们先用图表再搭配文字说明,让您能一目暸然,只要按图操作,即可快速进入网络的世界。

选择DNS由托管DNS业者代管 ---取得固定IP地址、网域名(域名)、域名服务器及相关设置步骤
TOP

基本网络设置

在阅读本章前,请确认您已经阅读过【Azblink 系统快速安装】中的快速安装及设置

在此仅说明如何将系统连接上因特网。
在以光盘安装系统时,最后会出现设置主机IP地址的画面:

1 IP Address (IP地址):192.168.19.185
2 Netmask (子网掩码):255.255.255.0
3 Default Gateway (预设网关):192.168.19.1
4 Save Changes and Exit (储存更改并离开)
5 View Detected Ethernet Interface(s) (检视系统侦测到的网络接口)
6 Exit to Use DHCP by Default (直接离开并使用DHCP分派)

这个控制台设置接口里的操作,可以利用上下箭头键选择您所需要编辑的选项,然后按ENTER键来选定该选择项目,以作进一步设置。

系统有两种设置方式,您可以依您所偏好的方式,或是根据当时的网络环境,来决定该使用何种方式来设置,请选择A或B:

A. 已拥有固定IP的情况下设置的方式。如固接式网络或是原网络中有DHCP主机的存在。
B. 没有固定IP的情况下设置的方式。如浮动式网络PPPoE或有线电视网络CABLE。

 

选择A---

A-1. 利用选项1、2、3,将固定IP设置完毕,使用选项4储存离开此控制台设置画面。(如不清楚子网掩码及预设网关,可以参照您的ISP业者给予的竣工单)
1 IP Address (IP地址):____________________
2 Netmask (子网掩码):_____________________
3 Default Gateway (预设网关):___________________
4 Save Changes and Exit (储存更改并离开)

A-2. 将光盘取出,重新开机。

A-3. 用远程连接或是子网络来浏览系统的控制画面。您所拥有的固定IP是公共IP还是私有IP?
公共IP(Public IP),直接在一般拥有网络连接的PC浏览器上,输入http://Public_IP:8082即可连上
   系统第一次登入的设置画面。
私有IP(Private IP),请使用连结在与此台新设置主机相同网络中的PC,在浏览器的网址列中输入
   http://192.168.1.61:8082 (假设该新机器的私有 IP是指定为 192.168.1.61)或
   http://azstart:8082/(系统预设主机名),来连上系统第一次登入的设置画面。

选择B---

B-1. 选择选项6 Exit to Use DHCP by Default(直接离开并使用DHCP分派),离开控制台设置接口。

B-2. 将光盘取出,重新开机。

B-3. 您所安装系统的主机下,是否有连结其它主机?
是,请确认此主机为唯一之DHCP服务器(亦即此网域内不应再有其它DHCP存在,如IP分享器之属),
   再直接从B-5开始。
否,请将基本网络架构架设好。您可依B-4的提示,做好最基本的网络连接架构。

B-4. 首先将连接主机eth1端口之网络线的另一端连接到Hub上,再从Hub上接另一条网络线出来,连接到一台普通的客户端计算机。

B-5. 在系统主机底下所连结的子网域中,选择一台客户端主机。

B-6. 客户端主机(假设是Windows的主机)中打开命令提示字符,输入指令“ipconfig”后按Enter键,查看在区域连接中的Default Gateway是否为172.16.9.1?
是,可将命令提示字符视窗关闭,进到下一步。
否,输入指令“ipconfig/release”将计算机中原有的旧IP释放掉,再输入指令“ipconfig/renew”取得
   新的IP。(倘若此动作仍旧无法得到新的IP,请检查网络中是否还有其它DHCP存在,或是此客户端
   计算机TCP/IP不是设置自动取得IP地址的模式)

B-7. 开启浏览器,在网址列输入 http://172.16.9.1:8082 来连结。在第一次登入画面,您可以看到有4个字段;
Host Name(设置此主机的主机名):_________________
Admin Password(系统管理密码):系统预设密码为 admin123
New Admin Password(设置新的密码):________________
Confirm Password(再次确认新的密码):_________________

B-8. 进入系统画面后,点选System>>网络>>PPPoE,勾选启动PPPoE的选项,在填入ISP业者提供的帐号密码送出后,重新开机也就可以连上网络了。(如有相关问题可参阅快速安装手册的设置及Q&A)

※网络中有DHCP,但若在查看当前系统值时,发现eth0显示伪IP 1.2.3.4,请检查网络线是否有接错(eth0、eth1两者对调),或是其它网络设备有问题(可参阅本系统手册中的Q&A)
TOP

基本设置

在涉及更多细节前,我们先在下面的表中提供一些“常见的”端口号:

通讯传输协定 传输端口 注记
ftp-data TCP 20 ftp是一种用于不同机器之间档案传输的协定。
ftp TCP 21  
Ssh TCP 22 ssh是用于从一台机器到另一台机器的远程登入协定。
telnet TCP 23 telnet也是用于从一台服务器至另一台服务器的远程登入。
Smtp TCP 25 smtp是邮件客户端用来发送邮件,或从其它邮件服务器接收邮件的。
DNS server TCP 53/ UDP 53 域名服务
www ( http ) TCP 80  
pop3 TCP 110 pop3是邮件客户端用来从邮件服务器调转已收到的邮件。
netbios-ns TCP 137/UDP 137 NetBios是一种网络名称服务,主要用于微软视窗主机环境以及Samba服务器间的档案数据分享
netbios-dgm TCP 138/UDP 138 NetBios数据框架服务
netbios-ssn TCP 139/UDP 139 NetBios 交谈服务
imap3 TCP 220  
https TCP 443 http over SSL ( HTTP SSL加密 )
Imaps TCP 993 Imap over SSL(IMAP SSL加密)
pop3s TCP 995 Pop3 over SSL(POP3 SSL 加密)

AzOS系列软件包用以下的通讯端口,来进行以网页为主的应用:

TCP 80
TCP 443
TCP 8080
TCP 8081 (网络信箱)
TCP 8082 (管理网页)

下列的端口是针对VPN:
UDP 1194 ( OpenVPN )

端口转送 (Port Forwarding)

大致上, 端口转送 是用来将抵达防火墙上某个特定端口的传输,转送到防火墙内部另一台服务器上。防火墙内部的相应服务器就会处理此请求,并向发送请求的那台主机发出回复。用http和https传输来举例,他们分别是TCP端口80和433。如果我们启动防火墙的 端口转送 功能,使之转送所有TCP端口80和433的传输给一个内部服务器A,那么服务器A将会处理TCP端口80和433的所有请求,透过送回相应html页面到http或https发出请求的地方,来接受http和https传输。

端口转送 的操作原则是:防火墙会在传进相关通讯端口的传输上,执行DNAT(目的网络地址转换),在每个封包的IP标头中,将初始目的IP地址替换为新的目的IP地址。在此状况下,到达某个特定防火墙端口的传输封包,将会被转送给一个内部服务器。当内部服务器执行了该“转送请求”,从内部服务器返回到外部主机的回复将会首先通过防火墙。防火墙会透过在IP标头处替换来源IP地址,而在因特网端口eth0处的每个外发封包上执行SNAT(来源网络地址转换)。

请注意,您不需要明确地指定任何SNAT规则去改变来源IP地址。防火墙在自动处理时,会很小心地将每个外发封包替换为因特网接口eth0的IP地址。

此处的设置页面,允许您透过仅指定内部服务器的IP地址来转送http和https的传输 ( 分别是TCP 端口 80和443 )。 对于其它类型的传输,您需要去鉴别它是否是TCP或UDP及相应的端口。

端口转送 功能提供了如此的应用可能:透过 端口转送,部分的处理工作可以分派给其它主机(按其TCP 端口或UDP端口 而传输到不同的内部服务器),如此可减轻的部份主机的工作负荷。



我们用一个简单的例子来解释如何使用此功能。假设防火墙的因特网接口eth0拥有公共的IP地址1.2.3.4,内部网络(LAN)接口eth1拥有私有IP地址192.168.1. 1。防火墙内部还有另一个服务器192.168.1.21。我们要做的是:如果有一个自因特网端发过来的HTTP请求,它的目的IP是1.2.3.4,我们要使用服务器192.168.1.21去处理此要到达IP地址1.2.3.4的http传输(TCP端口80)。只需要透过指定内部服务器的IP地址192.168.1.21来接受端口转送,该内部服务器就会处理此类传输了。

然而,一旦您那样做,所有源于防火墙外部的目的IP地址是1.2.3.4的http请求都将被转送进内部服务器。这意味着所有防火墙外的http用户都无法存取防火墙上的html页面。他们实际上看到的html页面是位于IP地址是192.168.1.21的内部服务器上的。

上述的描述是针对防火墙外的用户。如果用户在防火墙内,最好存取防火墙上html页面的方法是使用防火墙LAN接口的IP地址192.168.1.1。

如果LAN中的用户使用IP地址1.2.3.4来提出http要求呢?答案是:若下面章节中提到的LAN-NET路由环回 的功能未被开启,他们会从防火墙上得到html页面,而不会被转送该要求到其它服务器。然而,为简便起见,建议使用LAN接口的IP地址,来避免管理防火墙内用户时,设置防火墙时产生混淆。

端口转送 功能的另一个重要特征是:在防火墙转送过来的封包IP标头中,尽管封包是源于外部且是由防火墙转送的,但其来源IP地址会被标记为防火墙端LAN接口的IP地址。所以,内部服务器在IP层级上,将不知道封包是从外部而来的。



例如,在上面的图表中,防火墙外的主机D向防火墙送出了封包,防火墙将此传输转送给一个内部服务器A。在A处,那些被转送过来的封包的IP标头的来源IP地址被自动显示为“192.168.1.1”。这是为了强制从A处返回的封包都经由防火墙回到外部的主机D。所以,一旦您打开了防火墙上的传输端口并转送相关的传输至一个内部服务器,防火墙会隐藏所有IP层级的信息。如果您想要在A处增加更多的保护措施,必须要在应用层级做设置。

路由环回 LAN-NET Loopback

前面的设置页面已设置了端口转送,防火墙将外部来的传输转送给防火墙内部的一台服务器。但对于从其它由主机内发出的传输,如果防火墙上的eth0的IP地址正被使用,即使端口转送在开启状态,防火墙也不会转送此类传输至内部服务器。为了回流源于防火墙内部的传输,及端口转送所记述转送至内部服务器的传输,您需要使用到此菜单页。

路由环回 LAN-NET Loopback
前面的设置页面已设置了端口转送,防火墙将外部来的传输转送给防火墙内部的一台服务器。但对于从其它由主机内发出的传输,如果防火墙上的eth0的IP地址正被使用,即使端口转送在开启状态,防火墙也不会转送此类传输至内部服务器。为了回流源于防火墙内部的传输,及端口转送所记述转送至内部服务器的传输,您需要使用到此菜单页。




我们继续上面描述的情景设置。防火墙的因特网界面eth0上拥有公共IP地址1.2.3.4,LAN接口eth1上拥有私有IP地址192.168.1.1。另外有一台IP地址为192.168.1.21的服务器位于防火墙内部。假设端口转送功能在激活状态,并正在转送抵达eth0、目的IP为1.2.3.4和TCP端口80的传输给192.168.1.21。让我们作更深一步的探讨:如果防火墙内部的一台计算机(IP地址为192.168.1.100)想要使用http://1.2.3.4/,这台计算机的用户实际上看得到在1.2.3.4或192.168.1.1上的html页面吗?

对于防火墙外的主机来说,对此是没有什么问题的-它们可以看见192.168.1.21上的html页面-这正是端口转送的功能。但现在的问题是防火墙内部的用户。如果为了防火墙内部用户的需要而将http://1.2.3.4/ 转送给192.168.1.21 ,LAN-NET路由环回功能应被指定与端口转送一起运作。

为了使LAN-NET路由环回功能运行,您应在设置完成之后重新启动机器。记住此功能必须要与端口转送一起使用。

范例 : 端口转送 和LAN-NET路由环回

我们用一个例子来说明如何进行上面所提及的设置方法。下图显示了送至防火墙外部接口端口80的传输会被转送给一个IP地址为192.168.2.21的内部服务器。本地网络是192.168.2.0/24。(意为每台机器都拥有像192.168.2. *如此的IP地址)



如您只是想转送TCP端口80的传输,在 端口转送 页面,可以如此设置

防火墙转送端口资料: 80
协定 (Protocol): TCP
转送目标IP地址: 192.168.2.21



送出 按钮。然后等到完成LAN-NET路由环回的全部设置后,重新启动机器。

而在LAN-NET路由环回页面,作如下设置:

区网中的来源网络: 192.168.2.0/24

外传输端口讯息原始的目的IP: 1.2.3.4

协定 (Protocol): TCP

传输端口号: 80

区网中的新目的IP: 192.168.2.21



按下提交按钮,待那些变更都被送出后,点选右上角的重新启动图示重启机器。有时,您清理了部份机器上的现有的连接后,也须重新启动计算机。

主机的封锁

我们能以防火墙来阻止列入某些IP地址群中的一些IP地址(如1.2.3.4)或网络地址(如1.2.3.0/24),所传送过来的传输。请牢记:这是以防火墙来阻止到达的传输,而并非阻止向上述所列地址发出的传输。防火墙只是单纯的阻挡上述IP地址发送过来的传输。

但您可以使用一些由双向“2-way”传输组成的网络功能。例如,您发送一个讯息给某台服务器,这台服务器会给您一个回应。所以,如果您从某个方向阻止了传输,相关的网络功能也就不运作了

请注意该功能是在防火墙处阻止源于指定主机或网络的传输。它不是用来防止源于防火墙内部传送到达该主机或网络的传输。换句话说,它是用来阻止到达(向内) 的传输。通常,这是用来阻止某个特定主机发过来的恶意攻击。在一个网络协定的2-way传输情形下,可以透过阻止发送过来的传输的方法,来防止用户存取那台特定的主机。

这里澄清一件事:此处描述的功能不仅仅是阻止防火墙外部的主机到达防火墙,还可以透过将某些防火墙内主机的IP地址加入列表的方法,来封锁防火墙内部的主机。

建议使用下面章节介绍的方法来阻止某个特定类型的、从LAN内向外发至因特网的传输。

范例一:封锁外部主机(此功能对某些用户适用)

以下面的图表为例。防火墙内的网络是192.168.2.0/24。我们想要封锁的是从63.2.3.0/24发出的所有传输。所以,在封锁主机的菜单中,我们可以像下面如此设置:

封锁的主机IP或子网络: 63.2.3.0/24
(协定和端口数据域留空白,然后送出)



范例二:封锁防火墙内部的某主机

您也可以封锁防火墙内的某台主机。在上面的图表中,如果我们想要封锁的是IP地址为192.168.2.28的A主机,我们可以在封锁主机菜单中作如下设置:

封锁的主机IP或子网络: 192.168.2.28
在此状况下,所有从主机A处发出的全部传输都将会被防火墙驳回。