ASA-NAT配置指南

ASA配置指南

●文档属性

●文档历史

目录

一、文档说明 (5)

二、基础配置 (6)

(一)查看系统信息 (6)

(二)版本区别简介 (6)

(三)接口配置与安全级别简介 (7)

(四)NTP 配置 (8)

(五)SNMP配置 (9)

(六)telnet配置 (9)

(七)SSH配置 (9)

(八)配置管理 (10)

(九)常用设备排错命令 (10)

三、NAT静态方向写法 (12)

(一)传统静态NAT配置方向写法 (12)

(二)新静态NAT配置方向写法 (15)

四、NAT配置举例 (16)

(一)Dynamic NAT (16)

(二)Static NAT (27)

(三)Identity NAT (34)

(四)NAT免除 (40)

(五)Twice NAT（策略NAT） (40)

(六)NAT执行顺序 (52)

五、状态化应用监控 (53)

(一)状态化监控策略配置 (53)

(二)路由、NAT、ACL、策略执行顺序 (57)

六、failover (65)

(一)配置failover (65)

(二)配置A/A (76)

一、文档说明

本文档主要介绍思科ASA防火墙在版本8.2之前与版本8.3之后配置区别和常用的一些管理和运维命令，如：系统管理、防火墙策略、NAT、日志配置等。

思科ASA防火墙目前新出厂的设备都在8.3以后，但有很多老的设备都在8.2以前，所以本文档通过使用ASA 8.0与8.4这两个版本来介绍。

请读者打开文档中的显示批注功能，文档中有部分批注内容。

二、基础配置

(一)查看系统信息

//ASA Software 8.4

//ASA Software 8.0

(二)版本区别简介

两个版本除了在技术NAT和ACL配置方式有所不同外，其他技术配置方式都相同。

NAT：两个版本的NAT配置的动作和效果都是相同的，但配置方式都不通，详细见NAT 配置举例。

ACL：8.2之前的版本在放行inbound流量时放行的是映射的虚IP，而8.3以后的新版本放行inbound流量时是内网的真实IP，详细见配置举例。

(三)接口配置与安全级别简介

默认情况下，所有接口都是shutdown，也就是说没有流量可以穿越

任何一个接口都必须设置安全级别，范围从0-100，数字越高表示越可信

int x/x

security-level [0-100]

在使用nameif命令配置接口名称时，ASA会给这个接口分配一个预定义的安全级别当名称为"inside"时级别为100（most trust），其它名称都为0（least trust）

一个接口必须在配置了接口名称（nameif）之后才可转发流量

int x/x

nameif [name]

防火墙默认安全策略

Outbound 流量：从“高安全级别”到“低安全级别”

Inbound 流量：从“低安全级别”到“高安全级别”

Outbound流量，默认Permit any

Inbound流量，默认Deny any

状态化包监控：默认对于TCP和UDP协议报文在穿越防火墙时，会自动在出接口形成反向放行策略。该策略优先于接口默认策略。

除了TCP/UDP的其他协议默认都不会有状态化表项来创建反向放行策略。(比如ICMP）

(四)NTP 配置

ntp trusted-key 1 // 为所有NTP服务器定义key-id为1

ntp authentication-key 1 md5 cisco123 //cisco123是key-id 1的密钥

ntp server 192.168.10.15 key 1 source inside //inside指定ntp服务器在哪个接口方向ntp server 192.168.10.16 key 1 source inside prefer //定义优先的服务器

ntp authenticate //启用认证

show ntp status //查看NTP状态信息

(五)SNMP配置

snmp-server host inside 1.1.1.1 community cisco123 version X //定义SNMP server、字符串、版本

snmp-server enable //启用SNMP

snmp-server enable traps all //发送所有snmp支持的信息

show snmp-server statistics //查看输出信息

(六)telnet配置

username cisco password cisco

aaa authentication telnet console LOCAL //使用本地认证

passwd cisco123 //使用密码认证

telnet 1.1.1.1 inside //允许inside接口的1.1.1.1 telnet到本ASA防火墙上。

telnet timeout 5 //5分钟后超时（根据版本是秒或者是分钟）

kill 0 //断开会话为0的连接

(七)SSH配置

username cisco password cisco

aaa authentication ssh console LOCAL //使用本地认证

Crypto key generate rsa //自动产生密钥对（公钥、私钥），默认长度1024

Show crypto key mypubkey rsa //查看生成的密钥对

Ssh 1.1.1.1 outside //允许outside 源为1.1.1.1的IP使用ssh登陆方式连接ASA。

Ssh timeout 5 //5分钟后超时（根据版本是秒或者是分钟）

Show ssh sessions //查看ssh会话信息

Ssh disconnect 1 //断开会话1

(八)配置管理

Show running-config //查看当前配置。

Show running-config all //查看当前配置，并显示完整保留的默认命令。

Show startup-config //查看启动配置。

Write memory //保存配置。

Write erase //清除启动配置

Clear configure nat //删除有关nat所有的配置，可以将nat改成其他的参数。

Clear configure all //删除ASA所有配置。

(九)常用设备排错命令

1追中数据包流量处理动作

Packet-tracer input inside tcp 192.168.1.100 50080 202.100.99.229 80 //可以通过此方式来追踪数据包的流量，可以定义协议、源目IP、原木端口。

2抓包

全局：Access-list IN-2-OUT permit ip host 192.168.1.100 host 202.100.99.229 //定义感兴趣流

特权：capture TEST access-list IN-2-OUT interface inside //针对感兴趣流抓包

查看抓包内容

Show capture TEST //查看目前为止抓包内容

capture TEST access-list IN-2-OUT interface inside real-time //查看实时流量

下载抓包内容

copy /pcap capture:inside tftp://1.1.1.1 //copy抓包文件到tftp服务器

https://1.1.1.1/capture/TEST/pcap //通过https下载抓包文件

3查看drop的统计信息

Show asp drop //可以查看因为各种原因将包丢弃的统计数量信息。

//只有丢弃的包才会被查看到，没有丢包的信息是看不到的。

三、NAT静态方向写法

(一)传统静态NAT配置方向写法

//R2主动发起，R1回包

//R1主动发起，R2回包

从上面两个现象可以看到不管是R2主动发起，还是R1主动发起跟（inside,outside），inside都是在前，outside都是在后面。

而不能理解成R2主动发起时用（inside,outside），R1主动发起时用（outside,inside），这样是错误的理解，在这里static是没有方向性的。

根据上面的举例：可以看出（inside,outside）针对outbound流量是源的转换，针对inbound 流量是目的的转换。

//R2主动发起，R1回包

// R1发包，R2回包

根据上面的举例，可以看出（outside,inside）针对outbound流量是转换目的，针对inbound 的是转换源。

(二)新静态NAT配置方向写法

object network 2.2..2.2

host 2.2.2.2

nat (inside,outside) static 10.1.1.220

object network 1.1.1.1

host 1.1.1.1

nat (outside,inside) static 20.1.1.10

access-list inbound extended permit ip host 1.1.1.1 host 2.2.2.2

access-group inbound in interface outside

新命令的outbound和inbound流量动作是一样的：

（inside,outside）针对outbound流量是源的转换，针对inbound流量是目的的转换

（outside,inside）针对outbound流量是转换目的，针对inbound的是转换源。

不同点是：ACL列表要放行内网真是的IP，而不是映射后的源IP地址。

四、NAT配置举例

实验拓扑(一)Dynamic NAT

1动态NAT,动态一对一

步骤1：配置接口IP地址

R1(config)#interface fastEthernet 0/0

R1(config-if)#ip address 10.1.1.1 255.255.255.0

R1(config)#interface loopback 1

R1(config-if)#ip address 1.1.1.1 255.255.255.255

R1(config)#interface loopback 2

R1(config-if)#ip address 1.1.1.2 255.255.255.255

R1(config)#inter loopback 3

R1(config-if)#ip address 1.1.1.3 255.255.255.255

R1(config)#inter loopback 4

R1(config-if)#ip address 1.1.1.4 255.255.255.255

R2(config)#interface fastEthernet 0/0

R2(config-if)#ip address 20.1.1.1 255.255.255.0

R2(config)#interface loopback 1

R2(config-if)#ip address 2.2.2.1 255.255.255.255

R2(config)#interface loopback 2

R2(config-if)#ip address 2.2.2.2 255.255.255.255

R2(config)#interface loopback 3

R2(config-if)#ip address 2.2.2.3 255.255.255.255

R2(config)#interface loopback 4

R2(config-if)#ip address 2.2.2.4 255.255.255.255

ASA(config)# interface gigabitEthernet 0

ASA(config-if)# no shutdown

ASA(config-if)# nameif outside

ASA(config-if)# ip address 10.1.1.100 255.255.255.0 ASA(config)# interface gigabitEthernet 1

ASA(config-if)# no shutdown

ASA(config-if)# nameif inside

ASA(config-if)# ip address 20.1.1.100 255.255.255.0

步骤2：路由配置

R2(config)#ip route 0.0.0.0 0.0.0.0 20.1.1.100

ASA(config)# route inside 2.2.2.0 255.255.255.0 20.1.1.1 ASA(config)# route outside 0 0 10.1.1.1

R1走直连路由

步骤3：NAT配置

1.1传统配置

ASA(config)# nat (inside) 1 2.2.2.0 255.255.255.0

ASA(config)# global (outside) 1 10.1.1.150-10.1.1.200

ASA(config)# access-list inbound permit icmp any any

ASA(config)# access-group inbound in interface outside

//ping 测试

//查看NAT转换条目

//可以看到新的测试会话映射的IP是10.1.1.151，表示是动态一对一的映射。NAT条目默认默认保存3个小时，可以使用clear xlate来清除。

1.2新配置

实例一：

基本接口、路由配置不在重复

ASA(config)# show run object

object network Outside-Nat-Pool

range 10.1.1.150 10.1.1.200

object network Inside-Network

subnet 2.2.2.0 255.255.255.0

ASA(config)# show run nat

!

object network Inside-Network

nat (inside,outside) dynamic Outside-Nat-Pool

ASA(config)# access-list inbound permit icmp any any ASA(config)# access-group inbound in interface outside

//NAT映射是动态一对一，但转换的源不是连续的。

实例二：

ASA(config)# clear configure object network //清除object 相关配置

//show run没有看到任何条目

//NAT映射条目还存在，所以需要使用clear xlate

ASA(config)# show run object

object network Inside-Network

subnet 2.2.2.0 255.255.255.0

object network Outside-Nat-Pool

range 10.1.1.200 10.1.1.201

object network Outside-PAT-Address

host 10.1.1.220

ASA(config)# show run object-group

object-group network Outside-Address

network-object object Outside-Nat-Pool

ROSEHA安装及配置手册.

安装配置指南 (第二版) ROSE

目录 第一章绪论 windows NT 版 ROSEHA 软件 特点 灵活的配置 ROSEHA 硬件部分 ROSEHA软件示意图 第二章准备工作 资源对象的属性 设置cluster的过程 卷标 安装应用软件 第三章安装和卸载 开始安装之前 安装 ROSEHA 获得 ROSEHA 认证号 卸载 ROSEHA 第四章 ROSEHA 管理工具 预览 私有网络管理 GUI（图形化界面） 资源对象管理 GUI 菜单条 工具条 cluster 可视面板 消息面板 状态条 第三方管理工具 控制面板 文件管理 磁盘管理 事件查看 磁盘阵列管理 私有网络管理

资源对象管理 Cluster 操作 Cluster 操作参数选择 开始 cluster 操作 停止 cluster 操作 第五章私有网络管理 私有网络下拉菜单 TCP/IP socket 私有网络 RS-232 串口私有网络 公用驱动器私有网络 工具条按钮 删除私有网络 查看私有网络 私有网络和服务器状态 第六章资源对象管理 创建资源对象 服务器属性表 配置卷对象属性表 配置IP 地址对象属性表 配置共享文件对象属性表 配置LAN 管理对象属性表 配置Microsoft SQL Server 对象属性表 配置Sybase SQL server 对象属性表 配置NT 服务对象属性表 配置用户自定义对象属性表 查看资源对象 删除资源对象 绑定到 cluster 撤消绑定到 cluster 资源切换 资源接管 服务器切换 服务器接管 资源对象分类 资源对象状态

附录1 MSSQL SERVER 实例 附录2 . WWW资源层次实例 附录3 FAQ 附录4 NT Cluster 软件维护信息

IPTABLES 规则(Rules)

二、IPTABLES 规则(Rules)
牢记以下三点式理解 iptables 规则的关键：
? ? ?
Rules 包括一个条件和一个目标(target) 如果满足条件，就执行目标(target)中的规则或者特定值。 如果不满足条件，就判断下一条 Rules。
目标值（Target Values）
下面是你可以在 target 里指定的特殊值： ACCEPT – 允许防火墙接收数据包 ? DROP – 防火墙丢弃包 ? QUEUE – 防火墙将数据包移交到用户空间 ? RETURN – 防火墙停止执行当前链中的后续 Rules， 并返回到调用链(the calling chain)中。 如果你执行 iptables --list 你将看到防火墙上的可用规则。 下例说明当前系统没 有定义防火墙，你可以看到，它显示了默认的 filter 表，以及表内默认的 input 链, f orward 链, output 链。 # iptables -t filter --list Chain INPUT (policy ACCEPT) target prot opt source destination
?
Chain FORWARD (policy ACCEPT) target prot opt source Chain OUTPUT (policy ACCEPT) target prot opt source 查看 mangle 表： # iptables -t mangle --list 查看 NAT 表： # iptables -t nat --list 查看 RAW 表：
destination
destination
# iptables -t raw --list /!\注意：如果不指定-t 选项，就只会显示默认的 filter 表。因此，以下两种命令形 式是一个意思： # iptables -t filter --list (or) # iptables --list 以下例子表明在 filter 表的 input 链, forward 链, output 链中存在规则：

linux防火墙iptables配置(Linux下多网段Nat实现与应用)

Linux下多网段Nat实现与应用 Iptables/netfilter是一个可以替代价格昂贵的商业防火墙的网络安全保护解决方案，能够实现数据包过滤、数据包重定向和网络地址转换（NAT）等多种功能。 准备： 操作系统安装光盘：CentOS-6.1版本 硬件要求：dell poweredge 410（需双网卡） 实现功能： 192.168.11.0/24、192.168.10.0/24网段通过防火墙NAT转换访问外网，并实现数据包过滤。 过程： 步骤#1. 安装操作系统（最基本安装即可） 步骤#2. 设置网卡地址 外网eth0 IP:xx.xx.xx.xx 内网eth1 IP:172.16.1.254 网卡路径：/etc/sysconfig/network-scripts DEVICE=eth0 HWADDR=00:0e:0c:3a:74:c4 NM_CONTROLLED=yes ONBOOT=yes TYPE=Ethernet BOOTPROTO=none IPV6INIT=no USERCTL=no IPADDR=xx.xx.xx.xx NETMASK=255.255.255.252 DEVICE=eth1 HWADDR=00:0e:0c:3a:74:c4 NM_CONTROLLED=yes ONBOOT=yes TYPE=Ethernet BOOTPROTO=none IPV6INIT=no USERCTL=no IPADDR=172.16.1.254 NETMASK=255.255.255.0 步骤#3. 添加路由 把路由写到 /etc/rc.d/rc.local文件里，这样每次启动就不用重新设置了。 route add -net 172.16.1.0 netmask 255.255.255.0 gw 172.16.1.1 route add -net 192.168.11.0 netmask 255.255.255.0 gw 172.16.1.1 route add -net 192.168.10.0 netmask 255.255.255.0 gw 172.16.1.1 route add default gw 60.190.103.217 172.16.1.1是交换机与Linux的内网网卡接口的地址

RoseHA 8.9 for Windows配合SQL Server 2008 R2配置文档

RoseHA 8.9 for Windows配合SQL Server 2008 R2配置文档 2013年7月27日

目录 一、文档说明 (3) 二、安装部署要求 (3) 1、集群环境拓扑结构 (3) 2、基础环境部署 (3) 三、安装配置SQL Server 2008 R2 (14) 1、安装SQL Server 2008 R2的先决条件 (14) 2、安装SQL Server 2008 R2 (16) 3、配置SQL Server的远程连接功能 (22) 4、安装SQL Server客户端 (25) 四、安装配置RoseHA (29) 五、测试 (39) 1、集群资源测试 (39) 2、集群切换测试 (40) 六、使用RoseHA工具 (42) 1、帮助文档 (42) 2、命令行管理工具 (42) 3、查看日志 (43)

一、文档说明 本文档主要介绍了在VMware8虚拟机环境中使用RoseHA8.9配合SQL Server 2008 R2的配置过程，对如何虚拟磁盘阵列以及两台虚拟机之间如何用RS232串口线连接和挂载虚拟存储也做了介绍。使用此文档，大家可以在自己的电脑上利用虚拟环境搭建RoseHA高可用集群测试系统。 二、安装部署要求 1、集群环境拓扑结构 2、基础环境部署 本实验集群拓扑实现目标如上图所示，以宿主机作为客户端，宿主机安装VMware8虚拟机，虚拟机中安装Windows server 2008 R2操作系统，并将系统的防火墙关闭；在虚拟机操作系统中安装SQL Server 2008 R2和RoseHA；按照RoseHA的配置规则，两台服务器之间至少有两条心跳线，可以使用两条以太网线作为心跳，如果条件允许，还可以使用RS232串行端口线作为心跳，以实现不同类型的心跳通信，加强心跳通信的可靠性。本实验采用以太网和RS232串行端口两种方式作为心跳；宿主机安装SQL Server 2008 R2客户端，使用此

安装和部署指南

TeamWorks安装部署指南 第一部分软硬件环境要求 (2) 1．服务器端硬件环境 (2) 2．服务器端软件环境 (2) 3．客户端硬件环境 (2) 4．客户端软件环境 (2) 第二部分服务器端安装 (3) 1．服务器端软件安装 (3) 2．服务器端配置 (3) 第三部分客户端安装 (5) 1．客户端软件安装 (5) 2．客户端配置 (6)

第一部分软硬件环境要求1．服务器端硬件环境 CPU：双核1.8 GHz或更高内存： 2 GB 或更高 硬盘空间：1TB 或更高 网络协 议： TCP/IP ，固定IP 2．服务器端软件环境 操作系统：Windows Server 2003 、Windows Server 2008 数据库：Microsoft SQL Server 2008 R2 （默认实例安装，支持SQL论证） 安装包：Server\Setup.exe 、Server\Setup+sqlexpress.exe（含Microsoft SQL Server 2008 R2精简版） 3．客户端硬件环境 CPU：双核1.8 GHz或更高内存： 2 GB 或更高 硬盘空间：1GB 或更高 网络协 议： TCP/IP ，固定IP 4．客户端软件环境 操作系统：Windows XP(32bit),Win7(64bit 或32bit) CAD 软件：A utoCAD,SolidWorks ； 办公软件：Office, Adobe Reader 11.0 ； 浏览器：EDrawing, DWG TrueViewer ；

第二部分服务器端安装 1．服务器端软件安装 单机版安装时服务器主机可用localhost 代替安装目录不要选择默认目录（程序文件夹），在该文件夹中安装将不能创建数据库文件。安装目录不要用中文， 安装目录建议用：d:\TeamWorks 如果有防火墙,要将TeamWorks.Servers.exe 、TeamWorks.DatabaseService.exe 、TeamWorks.SpaceService.exe、TeamWorks.StormService.exe 加到信任列表 2．服务器端配置 a）控制台服务配置。 配置文件：Config\config.teamworks.service 配置： 控制台服务：TeamWorks.Service.Endpoints=tcp -h {serverIP} -p 10000 b) 数据库服务配置 配置文件：Config\config.teamworks.database.service 配置： 控制台服务：TeamWorks.Service.Endpoints=tcp -h {serverIP} -p 10000 数据库服务：TeamWorks.DatabaseService.Endpoints=tcp -h {serverIP} -p 10200

Rose软件的安装指南

在对系统连续运营要求较高的系统中，我们通常有RAID、hot spare来保障存储系统以及数据的安全性，但是仅仅存储系统的安全就足够了么？为了防止服务器应用程序的意外宕机，我们通常还会通过两台服务器冗余，且互为备份共同执行同一任务的架构模式来防止服务器错误的发生。这种架构也就是我们通常所说的双机热备的架构模式。 在众多对系统可靠性要求较高的业务环境中，双机热备系统都得到了广泛的应用，并发挥着重要的作用，为企业构筑高可用性系统提供了一种较为安全且成本相对较低的后台环境构架。 双机系统的基本构成通常包括了2台互为备份的服务器，后台往往公用一台存储系统，两台互为备份的服务器之间一般有心跳线连接，用以监控另一台服务器的运行状态，同时2台服务器上还需要运行双机热备的系统软件。任何导致系统当机或服务中断的故障，都会自动触发双机热备的系统软件流程来进行错误判定、故障隔离，并通过联机恢复来继续执行中断的服务。这样，预先指定的备份服务器将首先接管被中断的服务，并继续提供原有的服务。在这个过程中，用户所感受的只是需要经受一定程度可接受的时延，而能够在最短的时间内继续访问服务。 Rose HA是目前市面上应用非常广泛的一种双机HA软件，他由美国ROSE Datasystem Inc.提供，能够和windows操作平台无缝集成，因而并被多家服务器或者存储厂商以OEM 的形式销售提供给大家，被广泛用于在X86服务器基础上构架双机热备系统，拥有较大规模的市场基础和使用人群。但是双机软件的安装是比较容易出问题的环节，下面我们将以SQL Server数据库平台为例，介绍如何在win 2000，SQL Server的环境下构筑Rose HA。 安装环境： 双机环境的基本构成包括：两台服务器（以下分别称为“服务器1”和“服务器2”），一套磁盘整列柜，我们这里以SQL Server数据库软件为例，服务器采用win 2000的操作系统，采用Rose HA软件。软硬件都准备好了以后，我们先进行双机热备环境配置的准备工作。 1. 安装win 2000

利用Iptables实现网络黑白名单防火墙怎么设置

利用Iptables实现网络黑白名单防火墙怎么设置 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。这篇文章主要介绍了详解Android 利用Iptables实现网络黑白名单(防火墙),小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧 具体步骤 二、Iptables网络黑白名单(防火墙)实现细节 因为考虑到一些权限的问题所以在实现方法上采用的是创建一个systemserver来运行这些方法。并提供出manager到三方应用，这样在调用时可以排除一些权限的限制。同时本文只是做一个简单的参考概述，所以在后文中只提供了增加黑白名单的方法和iptables规则，并没有提供相应的删除规则等，原理类似大家可自行补充添加。

2.1、创建systemserver 2.1.1、在/system/sepolicy/service.te中添加 type fxjnet_service, system_api_service, system_server_service, service_manager_type; 2.2.2、在/system/sepolicy/service_contexts中添加如下， fxjnet u:object_r:fxjnet_service:s0 2.2.3、在frameworks/base/core/java/android/content/Context.java中添加 也可以不添加这个，只不过为了后面调用方便所以添加了。如果跳过此步，那么后面出现Context.FXJNET_SERVICE的地方都用字串代替即可。 public static final String FXJNET_SERVICE="fxjnet";

RoseHA 8.5 快速安装指南

RoseHA 8.5 快速安装指南 一第一部分RoseHA运行所需条件和环境及安装 1． RoseHA支持的系统环境（独立域，主备域，AD服务器） RoseHA支持Windows 2000 系列以及Windows 2003。RoseHA的光盘安装介质可用于Windows 2000及Windows 2003系统中HA的安装。RoseHA 支持独立域、主备域、以及Windows 2000和Windows 2003的AD服务器。两台主机的系统管理员的账号和密码必须一致。 2． RoseHA对网络配置的需求及要求 在安装RoseHA之前，系统的所有网卡应该已经全部驱动并设置了正确的IP地址等相关设置，并规划好公网和私网IP资源的分配。避免在安装了RoseHA 之后，再对系统的网络设置进行修改。 3． RoseHA心跳线需求 HA支持网卡类型和RS232类型的私网，对于配置RS232类型的心跳线，需要准备RS232串口线，配置好com口参数（通常按照系统默认值配置）。在HA中，建议配置两条以上的心跳线（Socket 类型或是RS232 类型，也可以混合使用），保证HA的正常运作。 关于RS232串口线的做法是：如果两端都是9 pin 的接头, 则pin 2 (RD), pin 3 (TD) 交叉反接, pin 5 (GND)直连, 其它pin 不连接: DB9 DB9 1 GND --------- 1 GND 2 RD --------- 3 TD 3 TD --------- 2 RD 5 GND --------- 5 GND 4． RoseHA对共享卷配置的需求及要求 共享磁盘阵列的准备，首先保证两台主机都已经正确连接并能正确访问到盘阵。其次，对于Windows 2000和Windows 2003系统，还必须确认操作系统中看到的磁盘阵列上的共享设备的类型，在磁盘管理器中将共享设备（disk）必须设置为基本卷，而不能是动态卷。两台主机系统缺省对于计划中将要使用的共享磁盘设备上的分区的设置需要保持一致。对于共享磁盘设备上各个分区的盘符的设定要保持一致性。对共享卷的文件系统推荐采用NTFS类型。另外，推荐使用有硬件锁功能的盘阵。这样确保在双机时只能有一边能访问到磁盘设备。5． RoseHA对应用程序配置的需求及要求 在安装RoseHA之前，应先安装需要由HA来监控管理的应用，并且将应用（或与应用有关）的数据创建到共享的盘阵上。然后修改需要由HA监控的服务的启动方式，在服务管理中将其改动为手动启动方式，并停止服务。

iptables命令详解_共进电子

Iptables规则是如何练成的 本章将详细地讨论如何构建Iptables规则。Iptables 包含三个表（filter、nat 、mangle），默认使用filter表，每个表包含若干条链（PREROUTING，POSTROUTING，OUTPUT，INPUT和FORWARD）,每条规则就添加到相应的链上。规则就是指向标，在一条链上，对不同的连接和数据包阻塞或允许它们去向何处。插入链的每一行都是一条规则。我们也会讨论基本的matche及其用法，还有各种各样的target。 流程图 1. 基础 我们已经解释了什么是规则，在内核看来，规则就是决定如何处理一个包的语句。如果一个包符合所有的条件（就是符合matche语句），我们就运行target 或jump指令。书写规则的语法格式是： iptables [-t table] command [chain] [match] [-j target/jump] 注意target指令必须在最后。如果你不想用标准的表，就要在[table]处指定表名。一般情况下没有必要指定使用的表，因为iptables 默认使用filter表来执行所有的命令。也没有必要非得在这里指定表名，实际上几乎可在规则的任何地

方。当然，把表名在开始处已经是约定俗成的标准。 尽管命令总是放在开头，或者是直接放在表名后面，我们也要考虑考虑到底放在哪儿易读。command告诉程序该做什么，比如：插入一个规则，还是在链的末尾增加一个规则，还是删除一个规则，下面会仔细地介绍。 Chain 指定表的哪条规则链。 match细致地描述了包的某个特点，以使这个包区别于其它所有的包。在这里，我们可以指定包的来源IP 地址，网络接口，端口，协议类型，或者其他什么。下面我们将会看到许多不同的match。 最后是数据包的目标所在。若数据包符合所有的match，内核就用target来处理它，或者说把包发往target。比如，我们可以让内核把包发送到当前表中的其他链（可能是我们自己建立的），或者只是丢弃这个包而没有什么处理，或者向发送者返回某个特殊的应答。下面有详细的讨论。 2. Tables 选项-t用来指定使用哪个表，它可以是下面介绍的表中的任何一个，默认的是filter表。 Table 2-1. Tables Table（表名）Explanation （注释） nat nat表的主要用处是网络地址转换，即Network Address Translation，缩写为NA T。做过NAT操作的数据包的地址就被改变了，当然这种改变是根据我们 的规则进行的。属于一个流的包只会经过这个表一次。如果第一个包被允许做 NA T或Masqueraded，那么余下的包都会自动地被做相同的操作。也就是说， 余下的包不会再通过这个表，一个一个的被NA T，而是自动地完成。这就是 我们为什么不应该在这个表中做任何过滤的主要原因。PREROUTING 链的作 用是在包刚刚到达防火墙时改变它的目的地址，如果需要的话。OUTPUT链 改变本地产生的包的目的地址。POSTROUTING链在包就要离开防火墙之前 改变其源地址。 mangle这个表主要用来mangle数据包。我们可以改变不同的包及包头的内容，比如TTL，TOS（服务类型）或MARK。注意MARK并没有真正地改动数据包， 它只是为包设了一个标记。防火墙内的其他的规则或程序（如tc）可以使用这 种标记对包进行过滤或高级路由。注意，mangle表不能做任何NAT，它只是 改变数据包的TTL，TOS或MARK，而不是其源目地址。NAT是在nat表中 操作的。 filter filter表是专门过滤包的，内建三个链，可以毫无问题地对包进行DROP、LOG、ACCEPT和REJECT等操作。FORW ARD链过滤所有不是本地产生的并且目

关于 iptables 入站 出站以及NAT实例

关于 iptables 入站出站以及NAT实例 本文是自己工作上的iptables笔记总结，适合的可以直接拿去用，不适合的，适当修改即可！ iptbales默认ACCEPT策略，也称通策略，这种情况下可以做拦截策略，还有种叫堵策略，然后开放通的规则。（我偏向堵策略，自己需要开放什么在开，以下例子也是在此基础上的） iptables 一些参数名称： 四表五链：fifter表、NAT表、Mangle表、Raw表。 INPUT链、OUTPUT链、FORWARD链、PREROUTING链、POSTROUTING链 INPUT链–处理来自外部的数据。 OUTPUT链–处理向外发送的数据。 FORWARD链–将数据转发到本机的其他网卡设备上。 PREROUTING链–处理刚到达本机并在路由转发前的数据包。它会转换数据包中的目标IP地址（destination ip address），通常用于DNAT(destination NAT)。（NAT表需要开启linux路由 net.ipv4.ip_forward = 1） POSTROUTING链–处理即将离开本机的数据包。它会转换数据包中的源IP 地址（source ip address），通常用于SNAT（source NAT）。 OUTPUT链–处理本机产生的数据包。 iptables 新建时情况所有记录 iptables -F iptables -X iptables -F -t mangle iptables -t mangle -X iptables -F -t nat iptables -t nat -X 开放22 SSH端口 iptables -A INPUT -p tcp -p tcp --dport 22 -j ACCEPT （允许外部访问本机的22端口） iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT （有进就有出，IP包是来回的）

企明星软件安装配置指南

第一节、安装说明 一、操作系统与硬件设备需求表 1.网络版需求: 1-1.企明星服务器端： 操作系统： Microsoft Windows XP professional版本以上或Windows 2003 Server 以上。 数据库环境要求：MicroSoft SQL Server 2000 + SP4。 硬件最低配置需求： 1-2.企明星客户端: 操作系统: 主流Windows系统均可 二、

三、安装步骤123 由于企明星系统的安装方式非常简单，因此将以安装「企明星服务器端」作说明。 1.网络版－主机端 请将安装光盘存入主机可读取的网络光驱中，系统将出现以下画面，请按画面所示及说明进行安装。或将下载的安装包解压后，点击VNSSetup。然后点选服务端安装。 提醒:【如果您还没有安装SQL Server 2000，请参考相关说明文档，先行安装好。】

接下来，全部按系统的默认提示点确认或下一步即可完成安装。（没有技术含量不再赘述） 2.网络版－客户端安装和联机 请将安装光盘存入主机可读取的网络光驱中，系统将出现以下画面，请按画面所示及说明进行安装。或将下载的安装包解压后，点击VNSSetup。然后点选客户端安装。 接下来，全部按系统的默认提示点下一步即可完成安装。 安装之后需要配置客户端与服务端的联机。企明星系统有一个很好的工具就是工作站联机向导程序：

{请注意：这里的口令是指服务器端的SQLSERVER 数据库的sa 口令} 联机成功并设置完成页面： {以后客户端每次登陆，就不必再做联机了，除非系统重装或相关设置被更改过。} 只在这里录入固定好的IP 地址就OK!

RoseHA6.0安装调试手册

一、安装前的准备 1、硬件环境：服务器两台(每台服务器要求两块网卡,每个服务器的两个网卡一个做心跳用，一个连接到局域网上)、磁盘阵列一台、SCSI线两条。 2、软件环境：Windows200 3、Sqlserver 2000 for Windows2003、Rose HA6.0 For Windows。 3、注意：在连接SCSI线时，必须把主机和磁盘阵列断电。连接完成后，先开启磁盘阵列，后开启主机。将两台服务器的BIOS选择中Start Option选择改为Slot 5,(Slot 5是服务器RAID卡所在的槽位) 4、两台服务器：以下分别称为“服务器1”和“服务器2”。 二、安装Rose HA的过程 (一)硬件安装 1．用Rose软件所带的RS232串口线将服务器1和服务器2的COM口连接起来。 2．用交叉双绞线（一头是568A，一头是568B）连接服务器的网卡(专门做心跳用) 3．分别通过服务器的另外一块网卡将两台服务器连接到交换机上，分配ip地址（一般是用户内网网段地址），保证相互可以ping通。 注：建议使用两根心跳线，如果要通过网卡建立第二根心跳线，可用以下方法连接： 4．将心跳线的网卡Ip设置为200.200.200.109,200.200.200.110，子网掩码255.255.255.0(不能跟局域网在同一个网段)，测试ping。 (二)安装SqlServer2000 1、关闭服务器2，在服务器1上进行安装，进入SqlServer2000安装界面 2、当选择Data路径时，程序文件存放位置可以不做修改，Data文件夹可选为 Z:\Sqlserver_data(注：Sqlserver_data是手工建在磁盘阵列上的文件夹，Z盘为磁盘阵列的逻辑盘符) 3、安装完毕后，需要打SqlServer2000 Sp3补定 4、重启服务器，在数据库管理器里将SqlServer2000的服务，改为手动；手工启动数据库， 确保工作正常。 5、在服务器1上操作：关闭SqlServer数据库，删除Z:\Sqlserver_data文件夹，关闭服 务器1 6、启动服务器2，重复上述步骤2，3，4 7、启动服务器1，关闭服务器2上的SqlServer数据库，在服务器1上启动SqlServer数 据库，要保证启动各项服务都正常 8、进行Rose HA的安装和配置。 (三)RoseHA软件安装 进入光盘上软件所在的目录，运行SETUP程序，按照默认方式安装，当出现提示输入LOCAL 和REMOTE的主机名时，将本地服务器的主机名输入LOCAL栏里，将另一台服务器的主机名输入REMOTE。 三、配置Rose HA

iptables的详细中文手册

一句一句解说 iptables的详细中文手册 (2009-06-02 22:20:02) 总览 用iptables -ADC 来指定链的规则，-A添加-D删除-C 修改 iptables - [RI] chain rule num rule-specification[option] 用iptables - RI 通过规则的顺序指定 iptables -D chain rule num[option] 删除指定规则 iptables -[LFZ] [chain][option] 用iptables -LFZ 链名[选项] iptables -[NX] chain 用-NX 指定链 iptables -P chain target[options] 指定链的默认目标 iptables -E old-chain-name new-chain-name -E 旧的链名新的链名 用新的链名取代旧的链名 说明 Iptalbes 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表，每个表都包含几个内部的链，也能包含用户定义的链。每个链都是一个规则列表，对对应的包进行匹配：每条规则指定应当如何处理与之相匹配的包。这被称作'target'（目标），也可以跳向同一个表内的用户定义的链。 TARGETS 防火墙的规则指定所检查包的特征，和目标。如果包不匹配，将送往该链中下一条规则检查；如果匹配,那么下一条规则由目标值确定.该目标值可以是用户定义的链名,或是某个专用值,如ACCEPT[通过], DROP[删除], QUEUE[排队], 或者RETURN[返回]。 ACCEPT 表示让这个包通过。DROP表示将这个包丢弃。QUEUE表示把这个包传递到用户空间。RETURN表示停止这条链的匹配，到前一个链的规则重新开始。如果到达了一个内建的链(的末端)，或者遇到内建链的规则是RETURN，包的命运将由链准则指定的目标决定。 TABLES 当前有三个表（哪个表是当前表取决于内核配置选项和当前模块)。 -t table 这个选项指定命令要操作的匹配包的表。如果内核被配置为自动加载模块，这时若模块没有加载，(系统)将尝试(为该表)加载适合的模块。这些表如下：filter,这是默认的表，包含了内建的链INPUT（处理进入

金蝶KIS专业版安装配置指南

-------------------------------------------------------------------------- 金蝶KIS专业版安装配置指南 -------------------------------------------------------------------------- 一．系统配置要求 1、服务器端 CPU 最低要求 1 GHz Pentium 4 处理器 推荐 1.7 GHz Pentium 4 处理器及以上 内存 最低 RAM 要求512MB 推荐 1G 内存 硬盘 需要1GB以上的可用空间 驱动器 需要 CD-ROM 或 DVD-ROM 驱动器 显示 Super VGA (1024x768) 或更高分辨率的显示器（颜色设置为32位真彩色） 鼠标 Microsoft 鼠标或兼容的指点设备 2、客户端 CPU 最低要求 600 兆赫 (MHz) Pentium III 处理器 推荐 1 GHz Pentium 4 处理器及以上 内存 最低 RAM 要求256MB 硬盘 需要 500 MB 以上的可用空间 驱动器 需要 CD-ROM 或 DVD-ROM 驱动器 显示 Super VGA (1024x768) 或更高分辨率的显示器（颜色设置为32位真彩色） 鼠标 Microsoft 鼠标或兼容的指点设备 二．操作系统要求 1、服务器端 Windows Server 2003 简体中文版 Windows 2000 Server 简体中文版 Windows XP Professional 简体中文版 Windows 2000 Professional 简体中文版 2、客户端 Windows Server 2003 简体中文版 Windows 2000 Server 简体中文版 Windows XP Professional 简体中文版 Windows 2000 Professional 简体中文版 三. 默认安装目录 KIS专业版的默认安装目录为：[Program Files]\Kingdee\KIS\Advance 四．安装组件 安装组件的分为“客户端”、“服务器端”.

Roseha的安装配置

Roseha的安装配置 1．两台服务器：whjkapp和jkcti，都使用两个网卡，其中内网卡作为心跳线连接使用，外网卡用来连接交换机。首先分别在两台服务器上配置HOSTS文件，路径为：c:\windows\system32\driver\etc 配置如下： 100.100.100.10 whjkapp 100.100.100.20 jkcti 10.64.41.115 whjkapp 10.64.41.111 jkcti 10.64.41.120 roseserver 2．把两台服务器分别连接上存储，让它们可以正常访问存储上的分区。 3．先启动其中一台服务器如whjkapp，在它上面安装SQL SERVER 2005，新建个数据库，把数据库文件放在存储的分区上，测试能否正常访问。如果不能访问，查看网络、存储的配置。确定可以访问后，把数据库关闭，并在服务里把SQLSERVER的主服务停掉，启动方式改为手动，然后关闭whjkapp服务器。 启动jkcti服务器，在其上安装SQL数据库，可以附加之前的那个数据库文件，测试能否正常访问。同样把SQLSERVER主服务改为手动。 4．接下来配置ROSEHA双机软件 4.1 登陆whjkapp服务器，点击ROSEHA安装文件，开始安装。整个安装过程，很简单，一直下一步即可。有一点要注意就是：其中有一项在Local computer name中填入本地机名称：如whjkapp。Remote computer name中输入要做双机的服务器名称，如jkcti 同样进入jkcti服务器，安装ROSEHA文件。 4.2RoseHa 安装完成后，根据两台服务器的hostid 号码来申请授权文件， 添加正确的授权文件之后才能配置双机。（此授权文件都已copy至两台 服务器里） 4.3进入whjkapp服务器，打开ROSEHA软件，点击三角形开始按钮，在弹 出的Connect Cluster界面点击OK 4.4进入Tools-License Information，根据host id，输入Serial No、Data及 License，申请许可 4.5同样进入jkcti服务器，申请许可 4.6进入whjkapp服务器roseha配置界面，配置私有网络。也可以继续在jkcti 服务器上配置，目前我们是在whjkapp上配置主节点的。 点击Private Net-TCP/IP Socket，在弹出来的界面里，输入服务器相对应 的IP，如： whjkapp对应的ip是100.100.100.10 jkcti对应的ip是100.100.100.20 配置完，点击Add，添加 同样在jkcti服务器上添加私有网络 4.7 在配置Rosource资源之前，需要在两台服务器上分别点击Tools-Get NIC Information获取NIC信息，之后点击确定。 4.8 在whjkapp服务器ROSEHA配置界面下，点击resource-create-volume建

iptables命令大全

数据包经过防火墙的路径 图1比较完整地展示了一个数据包是如何经过防火墙的，考虑到节省空间，该图实际上包了三种情况： 来自外部，以防火墙（本机）为目的地的包，在图1中自上至下走左边一条路径。 由防火墙（本机）产生的包，在图1中从“本地进程”开始，自上至下走左边一条路径 来自外部，目的地是其它主机的包，在图1中自上至下走右边一条路径。 图1 如果我们从上图中略去比较少用的mangle表的图示,就有图2所显示的更为清晰的路径图.

图2 禁止端口的实例 禁止ssh端口 只允许在192.168.62.1上使用ssh远程登录，从其它计算机上禁止使用ssh #iptables -A INPUT -s 192.168.62.1 -p tcp --dport 22 -j ACCEPT #iptables -A INPUT -p tcp --dport 22 -j DROP

?禁止代理端口 #iptables -A INPUT -p tcp --dport 3128 -j REJECT ?禁止icmp端口 除192.168.62.1外，禁止其它人ping我的主机 #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type echo-request -j ACCEPT #iptables -A INPUT -i eth0 -p icmp --icmp-type echo-request –j ?DROP 或 #iptables -A INPUT -i eth0 -s 192.168.62.1/32 -p icmp -m icmp --icmp-type 8 -j ACCEPT #iptables -A INPUT -i eth0 -p icmp -m icmp --icmp-type 8 -j DROP 注：可以用iptables --protocol icmp --help查看ICMP类型 还有没有其它办法实现? ?禁止QQ端口 #iptables -D FORWARD -p udp --dport 8000 -j REJECT 强制访问指定的站点

2018Linux防火墙iptables配置详解

2018-Linux防火墙iptables配置详解 一、开始配置 我们来配置一个filter表的防火墙. (1)查看本机关于IPTABLES的设置情况 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination Chain RH-Firewall-1-INPUT (0 references) target prot opt source destination ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 ACCEPT icmp -- 0.0.0.0/0 0.0.0.0/0 icmp type 255 ACCEPT esp -- 0.0.0.0/0 0.0.0.0/0 ACCEPT ah -- 0.0.0.0/0 0.0.0.0/0 ACCEPT udp -- 0.0.0.0/0 224.0.0.251 udp dpt:5353 ACCEPT udp -- 0.0.0.0/0 0.0.0.0/0 udp dpt:631 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:22 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:80 ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 state NEW tcp dpt:25 REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited 可以看出我在安装linux时,选择了有防火墙,并且开放了22,80,25端口. 如果你在安装linux时没有选择启动防火墙,是这样的 [root@tp ~]# iptables -L -n Chain INPUT (policy ACCEPT) target prot opt source destination Chain FORWARD (policy ACCEPT) target prot opt source destination Chain OUTPUT (policy ACCEPT) target prot opt source destination 什么规则都没有. (2)清除原有规则. 不管你在安装linux时是否启动了防火墙,如果你想配置属于自己的防火墙,那就清除现在filter的所有规则. [root@tp ~]# iptables -F清除预设表filter中的所有规则链的规则 [root@tp ~]# iptables -X清除预设表filter中使用者自定链中的规则 我们在来看一下

Symantec12安装部署和配置指南

Symantec12安装部署和配置指南 目录 1.0 Symamtec Endpoint Protection Manager 介绍 (2) 2.0 Symamtec Endpoint Protection Manager 安装 ............................................................. 2，2.0.1 部署环境 (2) 2.0.2 安装Symantec Endpoint Protection Manager和LiveUpdate (2) 2.0.3 安装服务器配置和数据库 (7) 3.0 Symamtec Endpoint Protection Manager 配置 (13) 3.0.1 建立J环境各地组 (13) 3.0.2 设置服务器更新周期 (15) 3.0.2 配置全局通信模式 (17) 3.0.3 设置全局扫描时间 (18) 3.0.4 设置病毒库更新策略 (20)

1.0 Symamtec Endpoint Protection Manager 介绍 赛门铁克推出Symamtec Endpoint Protection Manager增强企业级安全 新型的解决方案将多重安全技术集成到单一代理，并由单一控制台管理，增强并简化各种类型企业的安全。 2.0 Symamtec Endpoint Protection Manager 安装 2.0.1 部署环境 Win Ser 2008 R2 企业版 硬盘100G 内存1024M Symantec Endpoint Protecttion 12.1 EN 2.0.2 安装Symantec Endpoint Protection Manager和LiveUpdate 运行光盘镜像，出现如下界面：1.安装SEPM 2.安装非管理客户端3.返回 点击安装SEPM，如下1.首先阅读（主要包括安装要求和SEP介绍等）2.安装SEP 3.安装其他管理工具4.退出