./zeroshell用戶基本手冊2012-01-0123:02:44|分類：網(wǎng)眾相關(guān)|字號(hào)大中小訂閱1.zeroshell簡介？？zeroshell其實(shí)就是一款路由軟件,運(yùn)行在linux服務(wù)器下,其功能十分強(qiáng)大。2.zero如何安裝到硬盤？1.準(zhǔn)備工作你可以到zeroshell官網(wǎng)下載z文件,最好順便順便ZeroShell-1.0.beta13.iso把也下載下來刻成光盤用linux操作鏡像安裝包。。。好?。∪f事俱備,只欠東風(fēng),激動(dòng)人心的時(shí)刻到來了,把zeroshell拷到優(yōu)盤里,準(zhǔn)備一個(gè)硬盤2.如何安裝將zeroshellISO刻錄成光盤并開機(jī)從光盤啟動(dòng),等到完全啟動(dòng)后,你可以看到選項(xiàng)操作,我們按S鍵進(jìn)入linux終端操作界面,你可能需要輸入一下密碼zeroshell用戶基本手冊用以下命令查看磁盤信息shell>fdisk-lzeroshell用戶基本手冊我們的優(yōu)盤的磁區(qū)為dev/sda1,硬盤的磁區(qū)/dev/hdd,接著輸入以下命令掛載優(yōu)盤#建立掛載目錄shell>mkdir/mnt/usb_disk#掛載優(yōu)盤shell>mount/dev/sda1/mnt/usb_disk#切換至優(yōu)盤目錄shell>cd/mnt/usb_disk#將鏡像安裝到硬盤,注意是制定硬盤的裝置,而非分割區(qū)shell>gunzip–cZeroShell-1.0.beta11-CompactFlash-IDE-USB-SATA-1GB.img.gz>/dev/hdd#重新啟動(dòng),設(shè)置從硬盤啟動(dòng),OK...shell>reboot

2.zeroshell初始化配置..1.給網(wǎng)卡設(shè)置IP一般的路由設(shè)置都會(huì)有兩塊網(wǎng)卡配置,在這里我們把第一塊網(wǎng)卡ETH00設(shè)置成為外網(wǎng)的IP,ETH01設(shè)置成為網(wǎng)的IP地址,在zeroshell服務(wù)端,我們可以看到選項(xiàng)配置,我們按Ｉ鍵進(jìn)入IP配置界面,我們先修改一下ETH00網(wǎng)卡的配置,按m進(jìn)入配置,因?yàn)閦eroshell初始會(huì)給ETH00一個(gè)默認(rèn)IP為5,我們將其配置為我們的外網(wǎng)IP。好！！現(xiàn)在我們來配置網(wǎng)ETH01的IP,按a鍵進(jìn)入添加--ETH01--回車一下--輸入IP--再回車--輸入子網(wǎng)掩碼,呵呵!!服務(wù)端我們暫時(shí)先配到這里..激動(dòng)人心的時(shí)刻還在后面哦。。2.打開GUI界面我們需要一臺(tái)機(jī)器連接到網(wǎng)的網(wǎng)卡,我們將本機(jī)的IP設(shè)置和網(wǎng)的IP為同一網(wǎng)段,我在這里把網(wǎng)ETH01的IP為,那我們只需配置一個(gè)172.16.0.XX的IP即可,我們在瀏覽輸入就可以進(jìn)入我們zeroshell的登錄界面。注意,這里是https而不是http哦。。登錄初始用戶名是admin,密碼是zeroshell。zeroshell用戶基本手冊3.配置上網(wǎng)在zeroshellGUI界面點(diǎn)擊System--setup--network--GATEWAY添加一個(gè)默認(rèn)網(wǎng)關(guān),zeroshell用戶基本手冊然后我們再點(diǎn)擊NETWORK--router〔路由--NAT選項(xiàng),將ETH00和ETH01點(diǎn)擊放到NAT下,點(diǎn)擊sava保存zeroshell用戶基本手冊在這個(gè)時(shí)候只要你的外網(wǎng)是通著,并且你的本機(jī)的IP配置正確的情況下,我相信你現(xiàn)在已經(jīng)可以上網(wǎng)4.保存配置點(diǎn)擊System--setup--Profiles,選中要保存配置到的地方zeroshell用戶基本手冊3.設(shè)置DHCP點(diǎn)擊NETWORK--DHCP進(jìn)入這個(gè)界面zeroshell用戶基本手冊點(diǎn)擊new選中網(wǎng)的網(wǎng)卡,再設(shè)置自動(dòng)獲得IP的網(wǎng)段,Range1,再點(diǎn)擊保存。。4.Qos設(shè)定1.Qos功能的啟用..選擇NETWORK--Qos--InterfaceManager進(jìn)入網(wǎng)絡(luò)界定界面,將管控流量的界面選擇鉤按下「ActivatelastChanges」存儲(chǔ)設(shè)定zeroshell用戶基本手冊按下GlobelBandwidth選擇網(wǎng)路界面的最大值,和最小值zeroshell用戶基本手冊2.設(shè)定Qos的類別點(diǎn)擊ClassManagerzeroshell用戶基本手冊點(diǎn)擊new,添加新增類別的名稱zeroshell用戶基本手冊畫面中輸入包含Description描述信息,Priority封包優(yōu)先權(quán),Maximum最大使用流量Guaranteed最小流量3.設(shè)置Qos類別與規(guī)則對應(yīng)點(diǎn)擊Classifier,選擇添加add,添加限制規(guī)則,會(huì)進(jìn)入下面的界面zeroshell用戶基本手冊Applyto：RoutedandBridgedPackets這個(gè)設(shè)定,是用來判斷zeroshell是扮演的事router路由器還是bridgeInput:控制從下載的流量output：控制上傳的流量sourceIp：源IpDestinationIP：目標(biāo)IPFragments：網(wǎng)絡(luò)分段PacketLength：控制上傳和下載包的大小ProtocolMatching：協(xié)議規(guī)則,包括TCP,UDP。。ConnectionState：狀態(tài)New：新建的規(guī)則ESTABLISHED：已定制好的規(guī)則IPTABLESParameters：IPTABLES參數(shù),Iptables是linux里面的網(wǎng)絡(luò)設(shè)定,IPtables可以自己研究一下LayerFilters：Layer規(guī)則。。。也就是可以找到具體某款軟件DiffServ：服務(wù)的優(yōu)先級,DSCP的大小來控制ConnectionLimits：網(wǎng)絡(luò)限制,在基本上我們的限制信息在CLASSMANAGER里面已做限制TARGETCLASS：選擇要限制Qos的類別,也就是我們在ClassManager里面建立的東東LOG：日志的打印設(shè)定好之后,點(diǎn)擊confirm就可以了4.將Qos與網(wǎng)卡點(diǎn)擊InterfaceManager--ETH00右邊點(diǎn)擊--addclass,然后會(huì)彈出你所在ClassManager里面建立的規(guī)則zeroshell用戶基本手冊Qos設(shè)置完畢,但這里面的Qos設(shè)定是借鑒linux的Iptables規(guī)則,需要理解,需要得看一下linux的Iptablles規(guī)則的用法..5.端口映射..點(diǎn)擊NETWORK--Router--VIRTUALSERVERS進(jìn)入一下界面zeroshell用戶基本手冊Inputinterface:映射端口的進(jìn)入接口,也就是外網(wǎng)的網(wǎng)卡。IPAddress：外網(wǎng)的IP地址Protocol：端口協(xié)議LocalPort:本機(jī)端口RemoteIP:遠(yuǎn)程Ip,也就是提供服務(wù)的IPRemotePort：遠(yuǎn)程端口,提供服務(wù)的本地端口點(diǎn)擊+按鈕就可以添加...6.SSH開放與設(shè)定點(diǎn)擊SYSTEM--setup--SSH進(jìn)入界面zeroshell用戶基本手冊設(shè)定有三個(gè)部分：1.設(shè)定可以連線到zeroshell的SSH服務(wù)的IP〔例如：4,及網(wǎng)段〔例如：/242.設(shè)定可以接受SSH服務(wù)的網(wǎng)卡,一般是外網(wǎng)的。。3.你可以用例如putty之類的小軟件遠(yuǎn)程linux的小軟件到zeroshell的SSH4.勾選Enable,并sava保存。。7.防火墻設(shè)定。。由于zeroshell為linux-basedfirewall在linux中有三個(gè)table〔mangle,nat,filter。但為了簡化工作,zeroshell僅提供了filtertable的設(shè)定,因此預(yù)設(shè)了三個(gè)chain,分別是FORWARD,INPUT,OUTPUT。雖然只提供了三個(gè)chain,但還是可以通過FORWARDchain管理通過zeroshell的網(wǎng)絡(luò)封包,也可以通過INPUT,OUTPUT來管理流入和流出zeroshell的網(wǎng)絡(luò)封包,以下是firewall的設(shè)定zeroshell用戶基本手冊1.FirewallChain的設(shè)定chain的添加,刪除,并在Chain中添加自定義規(guī)則zeroshell用戶基本手冊系統(tǒng)自動(dòng)提供了ＦＯＲＷＡＲＤ,INPUT,OUTPUT三個(gè)chain,若要添加新的規(guī)則,則可以用Add按鈕Change〔修改,Delete〔刪除。2.DefaultPolicy設(shè)定了解zeroshell的chain的設(shè)定之后,你就可以直接設(shè)置設(shè)定每條chain的Policy了,假設(shè)將雙流量的最嚴(yán)格的控管的話,你可以將FORWARD的DefaultPolicy設(shè)定為DROP,DROP會(huì)將不符合規(guī)定的網(wǎng)絡(luò)發(fā)包丟棄。默認(rèn)預(yù)設(shè)是ACCEPT。。zeroshell用戶基本手冊3.案例實(shí)例FTP服務(wù)直接寫出來可能會(huì)很讓人難理解,我們就以FTP服務(wù)做個(gè)案例。。我們New新增一個(gè)chain,名稱為[FTP_TRAFFIC]zeroshell用戶基本手冊按住chain的選項(xiàng)到剛剛新增的ftp_traffic準(zhǔn)備增加新的規(guī)則〔chain會(huì)自動(dòng)小寫。按下Add添加防火墻新規(guī)則zeroshell用戶基本手冊以下是設(shè)定的部分介紹DestinationIP：設(shè)定ＦＴＰ服務(wù)的IP。ProtocolMatching：選擇所要過濾的通訊協(xié)議種類。SourcePort：一般客戶端都會(huì)以1024到65535之間隨機(jī)取一個(gè)port與服務(wù)。DesPort：FTP服務(wù)的端口為21ConnectionState：New必須選鉤,才可以讓客戶端正確連接Action：這里必須選ＡＣＣＥＰＴ,接收。。接著回到FORWARDChain,將FTP_TRAFFIC這條chain加入規(guī)則中zeroshell用戶基本手冊在ACTION選擇chain,在jumpto到ftp_traffic,最后別忘了按下Confirm提交哦。。我們還需要在FORWARDchain再添加一條新規(guī)則,這樣建立連接后,后續(xù)的連線可以持續(xù)通過zeroshell用戶基本手冊為了讓后續(xù)的連線能夠持續(xù)的通過ESTABLISHED,RELATED前選鉤,ACCTION設(shè)置為ACCEPT。8.OpenVPN憑證認(rèn)證&VPN設(shè)定zeroshell是用OpenVPN來設(shè)定VPN服務(wù)的,首先要了解構(gòu)建VPN服務(wù)需要哪些需求一.憑證〔Certificate的管理與開放二.使用者的認(rèn)證方式。三.VPN的安全加密隧道〔tunnel,和Routing相關(guān)設(shè)定1.憑證〔Certificate的管理與開放要連接到VPNServer需要兩個(gè)憑證,1：OpenVPNServer的CA的認(rèn)證〔里面包含ServerPublicKey,2：客戶端專屬CA〔里面包含PublicKey,PrivateKey。2.安裝OpenVPN的客戶端在這里下載OpenVPNGUI安裝,安裝時(shí)只需下一步,下一步操作即可,不需要額外操作3.取得OpenVPNServer的CA憑證首先進(jìn)入zeroshell的web登錄界面,點(diǎn)擊CAzeroshell用戶基本手冊接著出現(xiàn)CA的咨詢信息,選擇〔Export,為Pem格式zeroshell用戶基本手冊接著把下載的檔案放到[C:\ProgramFiles\OpenVPN\config]目錄中去4.添加使用者〔Client目前除了admin之外,沒有其他使用者,因此需要增加一個(gè),選擇[USERS--Users--Add]zeroshell用戶基本手冊接著輸入相關(guān)資訊zeroshell用戶基本手冊填完信息之后,submit提交以下即可5.取得ClientCA憑證用戶新增之后,會(huì)出現(xiàn)以下信息zeroshell用戶基本手冊同樣Export成PEM格式,client的CA憑證,將此憑證改名為[client.pem],并放到[C:\ProgramFiles\OpenVPN\config]目錄下面。。6.下載到服務(wù)的配置文件你可以下載zeroshell.ovpn下載放到[C:\ProgramFiles\OpenVPN\config],以下是配置文件容：;OpenVPNserver位址

remotezeroshell.example.1194prototcpauth-user-pass;OpenVPNserverCA憑證存放位置

caCA.pem;OpenVPNclient憑證存放位置

;certclient.pem

;keyclient.pemcomp-lzo

verb3

mute20

resolv-retryinfinite

nobind

client

devtap

persist-key

persist-tun但為了符合我們的實(shí)驗(yàn)環(huán)境設(shè)定,修改成如下：;OpenVPNserver位址

remote221194prototcpauth-user-pass;OpenVPNserverCA憑證存放位置

caCA.pem;OpenVPNclient憑證存放位置

certclient.pem

keyclient.pemcomp-lzo

verb3