1、zeroshell 用戶基本手冊 2012-01-01 23:02:44| 分類： 網(wǎng)眾相關(guān) | 標(biāo)簽： |字號大中小 訂閱1. zeroshell簡介？ zeroshell其實就是一款路由軟件，運(yùn)行在linux服務(wù)器下，其功能十分強(qiáng)大。 2. zero如何安裝到硬盤？ 1.準(zhǔn)備工作 你可以到zeroshell官網(wǎng)下載ZeroShell-1.0.beta13-CompactFlash-IDE-USB-SATA-1GB.img.g z文件，最好順便順便ZeroShell-1.0.beta13.iso把也下載下來刻成光盤用linux操作鏡像安裝 包。好！萬事俱備，只欠東風(fēng)，激動人心的時刻到來了，把

2、zeroshell拷到優(yōu)盤里，準(zhǔn) 備一個硬盤. 2. 如何安裝 將zeroshell ISO刻錄成光盤并開機(jī)從光盤啟動，等到完全啟動后，你可以看到選項操作， 我們按S鍵進(jìn)入linux終端操作界面，你可能需要輸入一下密碼 zeroshell 用戶基本手冊 用以下命令查看磁盤信息 shell fdisk -l zeroshell 用戶基本手冊 我們的優(yōu)盤的磁區(qū)為dev/sda1，硬盤的磁區(qū)/dev/hdd，接著輸入以下命令掛載優(yōu)盤 #建立掛載目錄 shell mkdir /mnt/usb_disk #掛載優(yōu)盤 shell mount /dev/sda1 /mnt/usb_disk # 切換至優(yōu)盤目

3、錄 shell cd /mnt/usb_disk # 將鏡像安裝到硬盤，注意是制定硬盤的裝置，而非分割區(qū) shell gunzip c ZeroShell-1.0.beta11-CompactFlash-IDE-USB-SATA-1GB.img.gz / dev/hdd #重新啟動，設(shè)置從硬盤啟動，OK. shell reboot2. zeroshell初始化配置. 1. 給網(wǎng)卡設(shè)置IP 一般的路由設(shè)置都會有兩塊網(wǎng)卡配置，在這里我們把第一塊網(wǎng)卡ETH00設(shè)置成為外網(wǎng)的IP， ETH01設(shè)置成為內(nèi)網(wǎng)的IP地址，在zeroshell服務(wù)端，我們可以看到選項配置，我們按鍵進(jìn)入IP配置界面，我們先修改

4、一下ETH00網(wǎng)卡的配置，按m進(jìn)入配置，因為zeroshell初始會 給ETH00一個默認(rèn)IP為5，我們將其配置為我們的外網(wǎng)IP。好！現(xiàn)在我們來配 置內(nèi)網(wǎng)ETH01的IP，按a鍵進(jìn)入添加-ETH01-回車一下-輸入IP-再回車-輸入子網(wǎng)掩 碼,呵呵! 服務(wù)端我們暫時先配到這里.激動人心的時刻還在后面哦。 2. 打開GUI界面 我們需要一臺機(jī)器連接到內(nèi)網(wǎng)的網(wǎng)卡，我們將本機(jī)的IP設(shè)置和內(nèi)網(wǎng)的IP為同一網(wǎng)段，我在這 里把內(nèi)網(wǎng)ETH01的IP為，那我們只需配置一個172.16.0.XX的IP即可，我們在瀏覽輸 入/就可以進(jìn)入我

5、們zeroshell的登錄界面。注意，這里是https而不是htt p 哦。登錄初始用戶名是admin，密碼是zeroshell。 zeroshell 用戶基本手冊 3. 配置上網(wǎng) 在zeroshell GUI界面點擊System-setup-network-GATEWAY添加一個默認(rèn)網(wǎng)關(guān)， zeroshell 用戶基本手冊 然后我們再點擊 NETWORK-router（路由-NAT選項，將ETH00和ETH01點擊放到NAT下，點擊sava保存 zeroshell 用戶基本手冊 在這個時候只要你的外網(wǎng)是通著，并且你的本機(jī)的IP配置正確的情況下，我相信你現(xiàn)在已經(jīng)可 以上網(wǎng). 4. 保存配置 點

6、擊 System-setup-Profiles，選中要保存配置到的地方 zeroshell 用戶基本手冊 3. 設(shè)置DHCP 點擊NETWORK-DHCP進(jìn)入這個界面 zeroshell 用戶基本手冊 點擊new選中內(nèi)網(wǎng)的網(wǎng)卡，再設(shè)置自動獲得IP的網(wǎng)段，Range1,再點擊保存。 4. Qos設(shè)定 1. Qos功能的啟用. 選擇NETWORK-Qos- Interface Manager進(jìn)入網(wǎng)絡(luò)界定界面，將管控流量的界面選擇鉤 按下Activate last Changes存儲設(shè)定 zeroshell 用戶基本手冊 按下Globel Bandwidth選擇網(wǎng)路界面的最大值，和最小值 zeros

7、hell 用戶基本手冊 2. 設(shè)定Qos的類別 點擊Class Manager zeroshell 用戶基本手冊 點擊new，添加新增類別的名稱 zeroshell 用戶基本手冊 畫面中輸入包含Description描述信息，Priority封包優(yōu)先權(quán)，Maximum最大使用流量 Guaranteed最小流量 3. 設(shè)置Qos類別與規(guī)則對應(yīng) 點擊Classifier，選擇添加add，添加限制規(guī)則，會進(jìn)入下面的界面 zeroshell 用戶基本手冊 Apply to：Routed and Bridged Packets 這個設(shè)定，是用來判斷zeroshell是扮演的事router路由器還是 br

8、idge Input: 控制從下載的流量 output：控制上傳的流量 sourceIp：源Ip Destination IP ：目標(biāo)IP Fragments：網(wǎng)絡(luò)分段 Packet Length ：控制上傳和下載包的大小 Protocol Matching：協(xié)議規(guī)則，包括TCP，UDP。 Connection State ：鏈接狀態(tài) New：新建的規(guī)則 ESTABLISHED：已定制好的規(guī)則 IPTABLES Parameters：IPTABLES 參數(shù)，Iptables是linux里面的網(wǎng)絡(luò)設(shè)定,IPtables可以自己研究一下 Layer Filters ：Layer規(guī)則。也就是可以找到

9、具體某款軟件 DiffServ：服務(wù)的優(yōu)先級，DSCP的大小來控制 Connection Limits： 網(wǎng)絡(luò)限制，在基本上我們的限制信息在CLASS MANAGER里面已做限制 TARGET CLASS： 選擇要限制Qos的類別，也就是我們在ClassManager里面建立的東東 LOG：日志的打印 設(shè)定好之后，點擊confirm就可以了 4. 將Qos與網(wǎng)卡鏈接 點擊 Interface Manager-ETH00右邊點擊-add class，然后會彈出你所在Class Manager里面建立的規(guī) 則 zeroshell 用戶基本手冊 Qos設(shè)置完畢，但這里面的Qos設(shè)定是借鑒linux的

10、Iptables規(guī)則，需要理解，需要得看一下linux的 Iptablles規(guī)則的用法 . 5. 端口映射. 點擊NETWORK-Router-VIRTUAL SERVERS進(jìn)入一下界面 zeroshell 用戶基本手冊 Input interface: 映射端口的進(jìn)入接口，也就是外網(wǎng)的網(wǎng)卡。 IP Address： 外網(wǎng)的IP地址 Protocol： 端口協(xié)議 Local Port: 本機(jī)端口 Remote IP: 遠(yuǎn)程Ip，也就是提供服務(wù)的IP Remote Port： 遠(yuǎn)程端口，提供服務(wù)的本地端口 點擊 + 按鈕就可以添加. 6. SSH開放與設(shè)定 點擊SYSTEM-setup-SSH進(jìn)

11、入界面 zeroshell 用戶基本手冊 設(shè)定有三個部分： 1. 設(shè)定可以連線到zeroshell的SSH服務(wù)的IP（例如：4），及網(wǎng)段（例如：/24） 2. 設(shè)定可以接受SSH服務(wù)的網(wǎng)卡，一般是外網(wǎng)的。 3. 你可以用例如putty之類的小軟件遠(yuǎn)程鏈接linux的小軟件鏈接到zeroshell的SSH 4. 勾選Enable，并sava保存。 7. 防火墻設(shè)定。 由于zeroshell為linux-based firewall 在linux中有三個table（mangle，nat，filter）。 但為了簡化工作，zeroshell僅提供了filt

12、er table的設(shè)定，因此預(yù)設(shè)了三個chain，分別是 FORWARD，INPUT，OUTPUT。 雖然只提供了三個chain，但還是可以通過FORWARD chain管理通過zeroshell的網(wǎng)絡(luò)封包， 也可以通過INPUT，OUTPUT來管理流入和流出zeroshell的網(wǎng)絡(luò)封包，以下是firewall的設(shè)定 zeroshell 用戶基本手冊 1. Firewall Chain的設(shè)定 chain的添加，刪除，并在Chain中添加自定義規(guī)則 zeroshell 用戶基本手冊 系統(tǒng)自動提供了，INPUT，OUTPUT三個chain，若要添加新的規(guī)則，則可以用Add按鈕 Change（修改）

13、，Delete（刪除）。 2. Default Policy 設(shè)定 了解zeroshell的chain的設(shè)定之后，你就可以直接設(shè)置設(shè)定每條chain的Policy了，假設(shè)將雙流量的最嚴(yán)格 的控管的話，你可以將FORWARD的Default Policy設(shè)定為DROP，DROP會將不符合規(guī)定的網(wǎng)絡(luò)發(fā)包丟 棄。默認(rèn)預(yù)設(shè)是ACCEPT。 zeroshell 用戶基本手冊 3. 案例實例FTP服務(wù) 直接寫出來可能會很讓人難理解，我們就以FTP服務(wù)做個案例。 我們New新增一個chain，名稱為FTP_TRAFFIC zeroshell 用戶基本手冊 按住chain的選項到剛剛新增的ftp_traffi

14、c準(zhǔn)備增加新的規(guī)則（chain會自動 小寫）。 按下Add添加防火墻新規(guī)則 zeroshell 用戶基本手冊 以下是設(shè)定的部分介紹 Destination IP：設(shè)定服務(wù)的IP。 Protocol Matching： 選擇所要過濾的通訊協(xié)議種類。 Source Port： 一般客戶端都會以1024到65535之間隨機(jī)取一個port與服務(wù)鏈接。 Des Port： FTP服務(wù)的端口為21 Connection State：New必須選鉤，才可以讓客戶端正確連接 Action：這里必須選，接收。 接著回到FORWARD Chain，將FTP_TRAFFIC這條chain加入規(guī)則中 zeroshel

15、l 用戶基本手冊 在ACTION選擇chain，在jump to 到ftp_traffic,最后別忘了按下Confirm提交 哦。 我們還需要在FORWARD chain再添加一條新規(guī)則，這樣建立連接后，后續(xù)的連線可以 持續(xù)通過 zeroshell 用戶基本手冊 為了讓后續(xù)的連線能夠持續(xù)的通過ESTABLISHED， RELATED前選鉤，ACCTION設(shè)置為 ACCEPT。 8. OpenVPN憑證認(rèn)證 & VPN設(shè)定 zeroshell是用OpenVPN來設(shè)定VPN服務(wù)的，首先要了解構(gòu)建VPN服務(wù)需要哪些需求 一. 憑證（Certificate）的管理與開放 二. 使用者的認(rèn)證方式。 三.

16、 VPN的安全加密隧道（tunnel），和Routing相關(guān)設(shè)定 1. 憑證（Certificate）的管理與開放 要連接到VPN Server需要兩個憑證，1：OpenVPN Server的CA的認(rèn)證（里面包含Server Pu blic Key），2： 客戶端專屬CA（里面包含Public Key，Private Key）。 2. 安裝OpenVPN 的客戶端 在這里下載OpenVPN GUI安裝，安裝時只需下一步，下一步操作即可，不需要額外操作 3. 取得OpenVPN Server的CA憑證 首先進(jìn)入zeroshell的web登錄界面，點擊CA zeroshell 用戶基本手冊 接著出

17、現(xiàn)CA的咨詢信息，選擇（Export），為Pem格式 zeroshell 用戶基本手冊 接著把下載的檔案放到C:Program FilesOpenVPNconfig目錄中去 4. 添加使用者（Client） 目前除了admin之外，沒有其他使用者，因此需要增加一個，選擇USERS-Users-Add zeroshell 用戶基本手冊 接著輸入相關(guān)資訊 zeroshell 用戶基本手冊 填完信息之后，submit提交以下即可 5. 取得Client CA憑證 用戶新增之后，會出現(xiàn)以下信息 zeroshell 用戶基本手冊 同樣Export成PEM格式，client的CA憑證，將此憑證改名為cli

18、ent.pem,并 放到C:Program FilesOpenVPNconfig目錄下面。 6. 下載鏈接到服務(wù)的配置文件 你可以下載zeroshell.ovpn下載放到C:Program FilesOpenVPNconfig,以下是 配置文件內(nèi)容： ;OpenVPN server 位址 remote 1194 proto tcp auth-user-pass ;OpenVPN server CA 憑證存放位置 ca CA.pem ;OpenVPN client 憑證存放位置 ;cert client.pem ;key client.pem comp-lzo verb 3 mute 20 resolv-retry infinite nobind client dev tap persist-key persist-tun 但為了符合我們的實驗環(huán)境設(shè)定，修改成如下： ;OpenVPN server 位址 remote 22 1194 proto tcp auth-user-pass ;OpenVPN server CA 憑證存放位置 ca CA.pem ;OpenVPN client 憑證存放位置 cert client.pem key client.pem comp-lzo