萬盛學電腦網

 萬盛學電腦網 >> Linux教程 >> redhat 7.1中的網絡服務配置

redhat 7.1中的網絡服務配置

class="22186"> redhat;7.1和以往的版本有一個明顯的區別,就是用xinetd.conf代替原來的inetd.conf,並且直接使用了
firewall服務。出於系統整體安全性增強的考慮,7.1在默認安裝時沒有啟動老版本中大家比較熟悉的ftp,
telnet等服務,並且由於ipchains的嚴格限制,給許多用戶的配置帶來了麻煩。
為了方便大家的配置和使用,我在這裡將我摸索的配置過程介紹給大家。
xinetd(eXtended;InterNET;services;daemon)對inetd功能進行了擴展,有關它的背景和其他內容在這裡就
不多講了,有興趣的可以去www.xinetd.org或其他相關網站查詢,我具體說一下如何使你的網絡服務轉起來。

xinetd的默認配置文件是/etc/xinetd.conf,它看起來盡管和老版本的/etc/inetd.conf完全不同,其實只是
以一個腳本的形式將inetd中每一行指定的服務擴展為一個/etc/xinetd.d/下的配置文件。其格式為:

service;service-name
{
 Socket_type;=;xxx;;//TCP/IP;socket;type,such;as;stream,dgram,raw,....
protocol;=;xxx;;//服務使用的協議
Server;=;xxx;;//服務daemon的完整路徑
Server_args;=;xxx;;//服務的參數
Port;=;xxx;;//指定服務的端口號
Wait;=;xxx;;//是否阻塞服務,即單線程或多線程
User;=;xxx;;//服務進程的uid
Group;=;xxx;;//gid
REUSE;=;xxx;;//可重用標志
Disabled;=;yes/no;;//是否禁用
......

}

我們以ftp和telnet為例,說明配置過程。
在/etc/xinetd.d目錄下,編輯ftp和telnet
ftp如下:
service;proftpd
{
disable;=;no
port;=;21
socket_type;=;stream
protocol;=;tcp
user;=;root
server;=;/usr/local/sbin/in.proftpd
wait;=;no
}


telnet如下:
Service;telnetd
{
disable;=;no
port;=;23
Socket_type=stream
protocol=tcp
wait=tcp
user=root
server=/usr/sbin/in.telnetd
}


然後,重新啟動服務
#/etc/rc.d/init.d/xinetd;restart;或:#killall;-HUP;xinetd

這時候,telnet;localhost和ftp;localhost都應該沒有問題了。
但是,從局域網內的其他機器仍然可能使用不了ftp和telnet服務。原來還有一個地方需要設置,
就是ipchains,它具有firewall和路由的功能。
#vi;/etc/sysconfig/ipchains,大家發現什麼了?

#;Firewall;configuration;written;by;lokkit
#;Manual;customization;of;this;file;is;not;recommended.
#;Note:;ifup-post;will;punch;the;current;nameservers;through;the
#;firewall;;such;entries;will;*not*;be;listed;here.
:input;ACCEPT
:forward;ACCEPT
:output;ACCEPT
-A;input;-s;0/0;-d;0/0;-i;lo;-j;ACCEPT
-A;input;-p;tcp;-s;0/0;-d;0/0;0:1023;-y;-j;REJECT;//********
-A;input;-p;tcp;-s;0/0;-d;0/0;2049;-y;-j;REJECT
-A;input;-p;udp;-s;0/0;-d;0/0;0:1023;-j;REJECT;//********
-A;input;-p;udp;-s;0/0;-d;0/0;2049;-j;REJECT
-A;input;-p;tcp;-s;0/0;-d;0/0;6000:6009;-y;-j;REJECT
-A;input;-p;tcp;-s;0/0;-d;0/0;7100;-y;-j;REJECT

沒錯,出於安全,ipchains把0-1023端口的入口全部封閉了。所以必須將它們打開。

將其中我加了//********標記的行中的REJECT修改為ACCEPT,
然後重新啟動機器,一切OK.
其他的服務,如rlogin,talk等和上述配置基本相同,大家自己去摸索吧。不過,如果要更深入的了解,
可還要下一番工夫了。;:)
copyright © 萬盛學電腦網 all rights reserved