• Azblink 系统快速安装
  • 快速设置步骤
  • 用户手册
01. 网络入门准备
02. 必备硬件设备
03. 快速安装及设置
04. 安装设置核认清单
05. SOFTWARE RAID
06. Q&A

选择DNS代管

在因特网上,想要建立可被大众存取的服务器,这是必要的准备步骤。以下我们先用图表再搭配文字说明,让您能一目暸然,只要按图操作,即可快速进入网络的世界。

选择DNS由托管DNS业者代管 ---取得固定IP地址、网域名(域名)、域名服务器及相关设置步骤
TOP

基本网络设置

在阅读本章前,请确认您已经阅读过【Azblink 系统快速安装】中的快速安装及设置

在此仅说明如何将系统连接上因特网。
在以光盘安装系统时,最后会出现设置主机IP地址的画面:

1 IP Address (IP地址):192.168.19.185
2 Netmask (子网掩码):255.255.255.0
3 Default Gateway (预设网关):192.168.19.1
4 Save Changes and Exit (储存更改并离开)
5 View Detected Ethernet Interface(s) (检视系统侦测到的网络接口)
6 Exit to Use DHCP by Default (直接离开并使用DHCP分派)

这个控制台设置接口里的操作,可以利用上下箭头键选择您所需要编辑的选项,然后按ENTER键来选定该选择项目,以作进一步设置。

系统有两种设置方式,您可以依您所偏好的方式,或是根据当时的网络环境,来决定该使用何种方式来设置,请选择A或B:

A. 已拥有固定IP的情况下设置的方式。如固接式网络或是原网络中有DHCP主机的存在。
B. 没有固定IP的情况下设置的方式。如浮动式网络PPPoE或有线电视网络CABLE。

 

选择A---

A-1. 利用选项1、2、3,将固定IP设置完毕,使用选项4储存离开此控制台设置画面。(如不清楚子网掩码及预设网关,可以参照您的ISP业者给予的竣工单)
1 IP Address (IP地址):____________________
2 Netmask (子网掩码):_____________________
3 Default Gateway (预设网关):___________________
4 Save Changes and Exit (储存更改并离开)

A-2. 将光盘取出,重新开机。

A-3. 用远程连接或是子网络来浏览系统的控制画面。您所拥有的固定IP是公共IP还是私有IP?
公共IP(Public IP),直接在一般拥有网络连接的PC浏览器上,输入http://Public_IP:8082即可连上
   系统第一次登入的设置画面。
私有IP(Private IP),请使用连结在与此台新设置主机相同网络中的PC,在浏览器的网址列中输入
   http://192.168.1.61:8082 (假设该新机器的私有 IP是指定为 192.168.1.61)或
   http://azstart:8082/(系统预设主机名),来连上系统第一次登入的设置画面。

选择B---

B-1. 选择选项6 Exit to Use DHCP by Default(直接离开并使用DHCP分派),离开控制台设置接口。

B-2. 将光盘取出,重新开机。

B-3. 您所安装系统的主机下,是否有连结其它主机?
是,请确认此主机为唯一之DHCP服务器(亦即此网域内不应再有其它DHCP存在,如IP分享器之属),
   再直接从B-5开始。
否,请将基本网络架构架设好。您可依B-4的提示,做好最基本的网络连接架构。

B-4. 首先将连接主机eth1端口之网络线的另一端连接到Hub上,再从Hub上接另一条网络线出来,连接到一台普通的客户端计算机。

B-5. 在系统主机底下所连结的子网域中,选择一台客户端主机。

B-6. 客户端主机(假设是Windows的主机)中打开命令提示字符,输入指令“ipconfig”后按Enter键,查看在区域连接中的Default Gateway是否为172.16.9.1?
是,可将命令提示字符视窗关闭,进到下一步。
否,输入指令“ipconfig/release”将计算机中原有的旧IP释放掉,再输入指令“ipconfig/renew”取得
   新的IP。(倘若此动作仍旧无法得到新的IP,请检查网络中是否还有其它DHCP存在,或是此客户端
   计算机TCP/IP不是设置自动取得IP地址的模式)

B-7. 开启浏览器,在网址列输入 http://172.16.9.1:8082 来连结。在第一次登入画面,您可以看到有4个字段;
Host Name(设置此主机的主机名):_________________
Admin Password(系统管理密码):系统预设密码为 admin123
New Admin Password(设置新的密码):________________
Confirm Password(再次确认新的密码):_________________

B-8. 进入系统画面后,点选System>>网络>>PPPoE,勾选启动PPPoE的选项,在填入ISP业者提供的帐号密码送出后,重新开机也就可以连上网络了。(如有相关问题可参阅快速安装手册的设置及Q&A)

※网络中有DHCP,但若在查看当前系统值时,发现eth0显示伪IP 1.2.3.4,请检查网络线是否有接错(eth0、eth1两者对调),或是其它网络设备有问题(可参阅本系统手册中的Q&A)
TOP

DMZ

首先来回顾一下我们是如何区隔网络区域,及如何由此在防火墙中应用诸多规则的。



在只有两个以太网络界面(称之为“eth0”和“eth1”)的时候,我们将整个网络分为3个区域,分别以“loc”, “fw”和“net”来标识。“net”代表连接至“eth0”界面的区域,“loc”表示连接至“eth1”的区域,而“fw”则是指防火墙机器本身。

按预设的设置,我们允许“loc”里的任何位置自由无阻地去存取“net”。从“net”区域存取位于“loc”中的主机时,我们则需要新增相对应的规则,以应用端口转送(DNAT)的功能。

当第三个以太网络界面“eth2”出现时,防火墙会被自动配置以便应用DMZ。早先的版本,是针对两个以太网络界面的使用而设计的;所以即使产生了第三个界面“eth2”,连接“eth2”的区域也是归属于“loc”的。不过从现在的版本开始,连接 “eth2”的区域会被标识为“DMZ”。

原先的诸版本中,如“eth2”出现,依下图所示,它仍属于“loc”,拥有着不同的子网络地址空间。在“loc”中某个特定地带上应用另外的规则,必须要使用符号“loc:172.16.9.0/24”或 “loc:172.16.10.0/24”。所以,用这一模式也可达到DMZ功能的类似配置。



目前版本开始,当第三个以太网络界面“eth2”产生之时,“DMZ”也即呈现了。

一般在外部网络是不能存取内部网络服务器的,使用DMZ技术的目的也就是为了解决上述的问题;在安装防火墙后,设立一个介于外部网络与内部网络之间的缓冲区。

DMZ主要应用于提供对外的服务 (放置一些必须公开的服务,例如Web 服务器、FTP 服务器、VOIP服务器…)。





鉴于某些针对“DMZ”的预设规则已经存在,您使用防火墙时就不需再去做新增。这些预设规则并未显示在Web 的接口上,所以您必须在脑中牢记它们︰“DMZ”中的那些位置是被禁止存取“loc”的;从“DMZ”也不能存取防火墙本身 (即“fw”),除非我们为之新增一些另外的规则。

在我们的系统中,想要让“DMZ”不完全依照预设的“非军事区域”,您必须使用“进阶选单”中的“DNAT”动作,将传输转送进入DMZ中的特定主机。

例如,我们想要将某传输,关联IP地址为“1.2.3.4”、TCP端口为25,转送给DMZ中的私有IP地址172.16.11.12的某主机,



如您仅拥有一个捆绑于“eth0”的IP地址1.2.3.4,在 Border Control >> 高级选项 >> 添加规则 里,可这样设置

指令: DNAT
来源: net
目的地: dmz:172.16.11.12
协定: TCP
目的传输端口: 25



如果是在“eth0”上捆绑若干IP地址来使用“IP别名”,如IP地址1.2.3.5。那我们必须明确指定“初始目的IP”︰

指令: DNAT
来源: net
目的地: dmz:172.16.11.12
协定: TCP
目的传输端口: 25
来源传输端口: -
初始目的IP: 1.2.3.5

“loc”中的主机可以使用“172.16.11.12”去直接存取“DMZ”中的那台机器。如果您较倾向将传输,其目的IP地址为172.16.11.12、目的端口TCP 25,从“loc”传送至172.16.11.12,您应新增如下规则

指令: DNAT
来源: loc
目的地: dmz:172.16.11.12
协定: TCP
目的传输端口: 25
来源传输端口: -
初始目的IP: 1.2.3.4

我们来看更多的范例。下面我们就列举几个生活中可能会使用到的例子,以实际上的操作来让您能更了解DMZ的应用。

范例一:如何在DMZ中架设VoIP服务器

如果您打算配置一台VoIP服务器至“DMZ”,需要遵循哪些必须的步骤呢?假设在因特网中,该VoIP服务器的公共IP地址是“1.2.3.5”,其私有IP地址则是172.16.11.33。



如果VoIP服务器采用IAX协定,那转送UDP 4569至该VoIP服务器的私有地址是完全可行的。

指令: DNAT
来源: net
目的地: dmz:172.16.11.33
协定: UDP
目的传输端口: 4569
来源传输端口: -
初始目的IP: 1.2.3.5



如果VoIP服务器采用SIP(会话初始协定),那情形就稍稍复杂些了,因为它通常会伴随着使用RTP(实时传输协定)的信息流。如果SIP使用TCP/UDP 5060,RTP流媒体使用UDP端口10000至20000,我们应这样设置

指令: DNAT
来源: net
目的地: dmz:172.16.11.33
协定: TCP
目的传输端口: 5060
来源传输端口: -
初始目的IP: 1.2.3.5

指令: DNAT
来源: net
目的地: dmz:172.16.11.33
协定: UDP
目的传输端口: 5060
来源传输端口: -
初始目的IP: 1.2.3.5

针对RTP端口的范围,我们可以使用

指令: DNAT
来源: net
目的地: dmz:172.16.11.33
协定: UDP
目的传输端口: 10000:20000
来源传输端口: -
初始目的IP: 1.2.3.5



我们的理念是︰您仅仅需要打开必要的端口以转送传输给相关主机,而不需开放其它端口供存取,以此避免遭遇黑客的攻击。

但可能会有这样的情形︰通讯方案非常复杂,它不使用任何固定的TCP或UDP端口,因此您不得已只好采用全部开放的规则。这样,您可以将与某特定IP地址相关的“所有传输”转送至该主机。例如在 Border Control >> 高级选项 >> 添加规则

指令: DNAT
来源: net
目的地: dmz:172.16.11.33
协定: TCP
目的传输端口: -
来源传输端口: -
初始目的IP: 1.2.3.5



上面的规则只是把所有的TCP传输都转送到了172.16.11.33。您可以用类似的方案转送所有UDP传输。但一般而言,您不应这样操作,因为这相当于是允许任何传输直抵该主机,即彻底弃用了防火墙。

范例二:如何在DMZ中架设FTP服务器

倘若您拥有若干个IP,打算配置一台FTP服务器至“DMZ”,那么该如何设置呢?假设在因特网中,该FTP服务器的公共IP地址是“1.2.3.6”,其私有IP地址则是172.16.11.15。



将IP别名指定到您所欲要配置的FTP机器上,在 Border Control >> 高级选项 >> 添加规则

指令: DNAT
来源: net
目的地: dmz:172.16.11.15
协定: TCP
目的传输端口: 21
来源传输端口: -
初始目的IP: 1.2.3.6



这样, 即可达到从“loc”端可自由存取FTP,却又不至于影响其安全性 (因为“DMZ”端无法存取“loc”端) 的绝佳设置了。

范例三:如何在DMZ中架设邮件服务器

同上范例之环境,设想您如果也想把邮件服务器配置到“DMZ”,但是公共IP地址已经为其它服务器所用(如FTP),那么又该怎么去做设置呢?以该邮件服务器的私有IP地址是172.16.11.2为例。

将一般收发信件的传输端口25,以及Web邮件会使用到的传输端口80、8081,转送给邮件服务器。在 Border Control >> 基本设置 >> 端口转送 页面,您可以如此设置:

防火墙转送端口资料: 25
协定 (Protocol): TCP
转送目标IP地址: dmz 172.16.11.2



防火墙转送端口资料: 8081
协定 (Protocol): TCP
转送目标IP地址: dmz 172.16.11.2

在本地网络(“loc”)的各个机器,如果要用Outlook或Outlook express邮件客户端程序,您应该在这些邮件客户端程序中设置如下:

内送邮件 - POP3: 172.16.11.2
外寄邮件 - SMTP: 172.16.11.2

针对在“loc”端要收发Web邮件的情况,您必须要在 Border Control >> 高级选项 >> 添加规则 里,新增下列规则

指令: DNAT
来源: loc
目的地: dmz:172.16.11.2
协定: TCP
目的传输端口: 8081
来源传输端口: -
初始目的IP: 1.2.3.4



您即可使用Web-based (网页接口) 客户端,来发送邮件或阅读收到的邮件。

但您若想要在防火墙外使用如Outlook或者Outlook Express邮件客户端程序来收发信件,请作以下设置:

防火墙转送端口资料: 110
协定 (Protocol): TCP
转送目标IP地址: dmz 172.16.11.2

范例四:DMZ与VPN方案做搭配

基本上要打开传输端口110,在安全性的考虑上是有些不妥的,要避免这种情形,您可以搭配VPN方案来解决这个困扰。不过,要使用VPN,在设置上需注意到,虽然VPN是可以穿越防火墙的虚拟通道,但是您必须明确指定路径,VPN才能畅行。所以在 VPN >> 连接 >> 讯息流推向设置 里,一定要记得将VPN的讯息导向加入“DMZ”的子网络,如此才能顺利的使用Outlook或 Outlook Express邮件客户端程序在防火墙外来收发信件。



目的网络:172.16.11.0
子网掩码:255.255.255.0

范例五:在DMZ中架设DNS服务器

由于在此系统的规划中,“DMZ”是被禁止存取防火墙 (“fw”) 的,故防火墙内DMZ中若有架设DNS服务器,那就必须记得将DMZ至防火墙的UDP协定,DNS端口53打开。

指令: ACCEPT
来源: dmz
目的地: fw
协定: UDP
目的传输端口: 53
来源传输端口: -
初始目的IP: -

范例六:在三个网络接口之网络规划中排除DMZ的规划

您可能也会遇到这样的情况:虽然安装了三个或三个以上的网络接口,但是网络规划里却不需要DMZ的存在,此时该如何将“DMZ”变回普通的“loc”呢?只要在Border Control >> 高级选项 >> 添加规则 里,做以下设置即可:

指令: ACCEPT
来源: dmz
目的地: fw
协定: TCP
目的传输端口: -
来源传输端口: -
初始目的IP: -



指令: ACCEPT
来源: dmz
目的地: fw
协定: UDP
目的传输端口: -
来源传输端口: -
初始目的IP: -

指令: ACCEPT
来源: dmz
目的地: loc
协定: TCP
目的传输端口: -
来源传输端口: -
初始目的IP: -

指令: ACCEPT
来源: dmz
目的地: loc
协定: UDP
目的传输端口: -
来源传输端口: -
初始目的IP: -