centos 6.5搭建dhcp+网关

zp7412

　　原先公司办公网络与无线网络没有做物理隔离，所以在物理上面还不是很安全，后来公司网络整改，虽然起到物理隔离，但做的并不完善，只是用了个小米路由器设置，并做了dhcp，后来访客加上公司员工手机一起上网，使的负载很高，甚至一大部分人都无法获取ip，于是有了本人的搭建的服务。
　　

　　本人用的是一台dell380机器，配置的要求不高，简单的两块网卡，eth0做外网，eth1做内网

　　eth0：192.168.1.1
　　eth1:192.168.100.1
　　

　　配置如下：

• 　　首先安装dhcp
  　　yum install dhcp -y
  
• 　　编辑dhcp配置文件/etc/dhcp/dhcpd.conf ，也可以使用/usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample拷贝到/etc/dhcp/dhcpd.conf
  

　　配置文件如下：

• 　　ddns-update-style interim;     #配置使用过渡性 DHCP-DNS互动更新模式。
  
• 　　ignore client-updates;         #忽略客户端更新
  
• 　　subnet 192.168.100.0 netmask 255.255.254.0 {
  
• 　　option routers                  192.168.100.1;        #路由器地址
  
• 　　option subnet-mask              255.255.254.0;      #子网掩码选项
  
• 　　option nis-domain               "xfbaydhcp.com";
  
• 　　option domain-name              "xfbaydhcp.com";     #域名
  
• 　　option domain-name-servers      192.168.0.7;       #DNS地址
  
• 　　option time-offset              -18000; # Eastern Standard Time
  
• 　　range dynamic-bootp 192.168.100.1 192.168.101.255;       #租用IP地址>的范围
  
• 　　default-lease-time 21600;    #缺省租约时间
  
• 　　max-lease-time 43200;        #最大租约时间
  

　　        host myhost {                                      #设置主机声明  
　　hardware ethernet 08:00:27:2C:30:8C;             #指定dhcp客户的mac地址            fixed-address 192.168.100.155;                   #给指定的mac地址分配ip                               }    }
　　3、编辑/etc/rc.d/init.d/dhcpd文件

• 　　user=dhcpd  
  
• 　　group=dhcpd  
  
• 　　改为  
  
• 　　user=root  
  
• 　　group=root  
  

　　4.指定网卡启动dhcp功能(不指定会报错的)
　　vim /etc/sysconfig/dhcpd
　　DHCPDARGS=eth1
　　5.设置服务开机启动
　　chkconfig dhcpd on
　　service dhcpd start
　　

　　网卡ip配置的话这里就不做介绍了，后面就是检测主机是否能自动获取到ip地址
　　

　　下面就是配置iptables，默认主机都是安装过的
　　1.打开转发功能
　　vim /etc/sysctl.conf
　　net.ipv4.ip_forward = 1
　　2.设置iptables规则
　　转发
　　iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.143
　　设置ttl值（主要用于不允许wifi下面私自接wifi）

　　iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 0
　　关闭外网22端口的访问
　　iptables -t nat -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP
　　

　　其实iptables就这几个简单的配置就可以了，如果是做其他的用途，这些当然是不够的了。

　　命令虽然很简单，但细节还是很重要和配置文件。一点错误都会启动不成功。注重排查问题。
　　

　　该实验很广，配置稍作修改，可用途公司防火墙，可以做到ip带宽限制，网站访问控制等等。
　　

　　

　　

　　下面是端口流量控制的脚本
　　#!/bin/sh
　　#  定义进出设备(eth1 内网，eth0外网)
　　IDEV="eth1"
　　ODEV="eth0"
　　#GUEST="eth2"
　　#  定义总的上下带宽
　　UP="20mbit"
　　DOWN="20mbit"
　　#  定义每个受限制的IP上下带宽
　　#rate 起始带宽
　　UPLOAD="1mbit"
　　DOWNLOAD="1mbit"
　　

　　#ceil 最大带宽
　　MUPLOAD="20mbit"
　　MDOWNLOAD="20mbit"
　　#内网IP段
　　NET="192.168."
　　INET="192.168.8."
　　

　　# 受限IP范围，IPS 起始IP，IPE 结束IP。
　　IPS="1"
　　IPE="255"
　　

　　# 清除网卡原有队列规则
　　tc qdisc del dev $ODEV root 2>/dev/null
　　tc qdisc del dev $IDEV root 2>/dev/null
　　# 定义最顶层(根)队列规则，并指定 default 类别编号
　　tc qdisc add dev $ODEV root handle 1: htb default 4000
　　tc qdisc add dev $IDEV root handle 2: htb default 4000
　　

　　# 定义第一层的 10:1 类别 (上行/下行 总带宽)
　　tc class add dev $ODEV parent 1: classid 1:1 htb rate $UP ceil $UP
　　tc class add dev $IDEV parent 2: classid 2:1 htb rate $DOWN ceil $DOWN
　　

　　tc class add dev eth0 parent 1:1 classid 1:4000 htb rate 10mbit ceil 10mbit  prio 2
　　tc class add dev eth1 parent 2:1 classid 2:4000 htb rate 10mbit ceil 10mbit  prio 2
　　

　　#开始iptables 打标和设置具体规则
　　j="8";
　　i=$IPS;
　　while [ $i -le $IPE ]
　　do
　　tc class add dev eth0 parent 1:1 classid 1:$i$j htb rate 2mbit ceil 2mbit  prio 1
　　tc filter add dev eth0  parent 1: protocol ip prio 1 handle $i$j fw classid 1:$i$j
　　tc class add dev eth1 parent 2:1 classid 2:$i$j htb rate 4mbit ceil 4mbit  prio 1
　　tc filter add dev eth1  parent 2: protocol ip prio 1 handle $i$j fw classid 2:$i$j
　　iptables -t mangle -A PREROUTING -s $NET$j\.$i -j MARK --set-mark $i$j
　　iptables -t mangle -A PREROUTING -s $NET$j\.$i -j RETURN
　　iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j MARK --set-mark $i$j
　　iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j RETURN
　　i=`expr $i + 1`
　　done
　　

　　j="9";
　　i=$IPS;
　　while [ $i -le $IPE ]
　　do
　　tc class add dev eth0 parent 1:1 classid 1:$i$j htb rate 2mbit ceil 2mbit  prio 1
　　tc filter add dev eth0  parent 1: protocol ip prio 1 handle $i$j fw classid 1:$i$j
　　tc class add dev eth1 parent 2:1 classid 2:$i$j htb rate 4mbit ceil 4mbit  prio 1
　　tc filter add dev eth1  parent 2: protocol ip prio 1 handle $i$j fw classid 2:$i$j
　　iptables -t mangle -A PREROUTING -s $NET$j\.$i -j MARK --set-mark $i$j
　　iptables -t mangle -A PREROUTING -s $NET$j\.$i -j RETURN
　　iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j MARK --set-mark $i$j
　　iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j RETURN
　　i=`expr $i + 1`
　　done