aws 上使用EC2 搭建***

xingyu655

　　先说哈我自己的情况，我是使用的免费的EC2
　　系统镜像使用aws的系统镜像
　　卸载自带的ppp,pptpd
　　yum -y remove ppp pptpd
wget　　
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.4.0-1.rhel5.x86_64.rpm
　　rpm -ivh libpcap-0.9.4-15.el5.x86_64 --nodeps --force(如何存在的较新，则需强制安装)
　　rpm -ivh ppp-2.4.4-14.1.rhel5.x86_64.rpm
rpm -ivh pptpd-1.4.0-1.rhel5.x86_64.rpm　　修改配置文件
　　vi /etc/ppp/options.pptpd
ms-dns 8.8.8.8　　
ms-dns 8.8.4.4
vi /etc/ppp/chap-secrets　　
"username" pptpd "密码" *  // 账号和密码用双引号括起来，用空格隔开。很重要，小心出问题
　　

　　
vi /etc/pptpd.conf
　　
可以配置任何的ip地址。不知道能否与本地的冲突
　　

　　
iptables 修改后的规则如下（我自己实验成功了的）
　　

　　

　　
#!/bin/bash
　　
## Clear Old Rules
　　
iptables -F
　　
iptables -X
　　
iptables -Z
　　
iptables -t nat -F
　　
iptables -t nat -X
　　
iptables -t nat -Z
　　
### * filter
　　
# Default DROP
　　
iptables -P INPUT DROP
　　
iptables -P FORWARD DROP
　　
iptables -P OUTPUT DROP
　　
# INPUT Chain
　　
iptables -A INPUT -p gre -j ACCEPT
　　
iptables -A INPUT -i lo -p all -j ACCEPT
　　
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
　　
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
　　
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
　　
iptables -A INPUT -p tcp -m tcp --dport 1723 -j ACCEPT
　　
iptables -A INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
　　
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
　　
# OUTPUT Chain
　　
iptables -A OUTPUT -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
　　
iptables -A OUTPUT -p gre -j ACCEPT ##下面没得，就会报错
　　
# FORWARD Chain
　　
iptables -A FORWARD -s 192.168.0.0/24 -o eth0 -j ACCEPT
　　
iptables -A FORWARD -d 192.168.0.0/24 -i eth0 -j ACCEPT
　　
### * nat
　　
# POSTROUTING Chain
　　
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o eth0 -j MASQUERADE
　　

　　

　　

　　

　　
其他细节参照下面的操作
　　
===========================================================================================
配置概览
　　PPTP的配置主要有下面五个步骤：

• 　　验证内核是否加载了MPPE模块
  
• 　　安装所需的软件包
  
• 　　配置PPP和PPTP的配置文件
  
• 　　打开内核的IP转发功能
  
• 　　启动pptpd守护进程
  
• 　　配置iptables防火墙放行和转发规则
  

详细步骤
　　开机以后，首先是登录VPS。我平时用Linux，就直接ssh命令登录上去。如果是在Winodws下，推荐使用PuTTY，有一点需要注意，就是连接之前最好把字符集设置成UTF-8，因为Linux默认的locale都是UTF-8了，如果出现非ASCII字符，不设置字符集就会出现乱码，具体的设置方法Google知道。
　　下面的所有配置操作都需要root权限，如无特别说明，所有命令都在root的家目录下执行。顺便，最好在VPS上禁用root直接登录，尽量建立一个普通用户然后su到root，具体细节偏题了，也请自行Google。
1、验证内核是否加载了MPPE模块：
　　内核的MPPE模块用于支持Microsoft Point-to-Point Encryption。Windows自带的***客户端就是使用这种加密方式，主流的Linux Desktop也都有MPPE支持。其实到了我们这个内核版本，默认就已经加载了MPPE，只需要使用下面命令验证一下，显示MPPE ok即可：
modprobe ppp-compress-18 && echo MPPE is ok2、安装所需的软件包：
–ppp–
　　PPTP使用PPP协议对用户数据进行封装，然后将PPP数据帧封装在IP数据报里，经由IP网络传播。因此首先需要支持PPP协议，我们使用的完整版CentOS已经自带了ppp这个软件包，如果你安装的是Minial CentOS之类的精简系统，则可能需要下面命令安装ppp：
yum install ppp　　作为一个懒人，如果没有特殊的自定义要求，我一般尽量用yum安装软件。只要软件源里有，yum比较方便一些，还能自动解决依赖关系。
–pptpd-
　　有了PPP协议支持，接下来安装pptpd。首先到这里找到最新版适合你的平台的pptpd。CentOS与RHEL通用，Fedora系统则可以使用后缀含fc字样的包，然后还需要根据内核选择32位或者64位的包。找到正确的软件包以后，复制其URL，然后用wget下载到root的家目录（或者用rpm -ivh URL直接安装也行）。譬如我的32位内核CentOS 5，使用下面命令下载：
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.rhel5.i386.rpm　　这篇文章默认不考虑”wget: command not found”此类初级的错误。如果看到类似错误，一是检查命令有没有拼错，二是yum install it，三是Google it。其实，这篇文章里总共也用不到几条容易Not Found的命令。
　　下载完成后，安装：
rpm -ivh pptpd-1.3.4-2.rhel5.i386.rpm–iptables–
　　同样，如果不是Minial的系统，应该不会没有安装iptables。这是Linux下最流行的防火墙，默认应该就能找到，如果没有，则：
yum install iptables　　然后像是iptables这样的软件，对服务器非常重要。虽然还没有配置防火墙的规则，装完就打开吧（只要默认放行ssh的22端口就没问题），打开以后还需要设置一下，在主要的运行级别自动启动：
/etc/init.d/iptables start chkconfig --level 35 iptables on3、配置PPP和PPTP的配置文件：
　　接下来需要对ppp和pptpd进行配置，编辑它们的几个配置文件。如果有Linux基础的话，当然推荐使用vi/vim来编辑配置文件。如果不熟悉也不想熟悉vi，那么可以用更容易上手的nano替换下面我将要使用的vi命令。本文不涉及文本编辑器的基础知识，只需要知道如何打开文件、编辑文件、保存文件和退出文本编辑器就可以了。
　　这些配置文件中，#号开头的行均为注释，对配置不起作用。我们不必关心注释，所以下面我将使用类似
grep ^[^#] /etc/ppp/options.pptpd　　这样的命令，过滤出配置文件中有效的行显示在本文正文中。你在编辑的时候，只需要添加或修改这些有效的行，把不需要的行前面加上#号注释掉即可。
–ppp–
　　配置ppp需要编辑它的两个配置文件，一个是option（选项）文件，一个是用户账户文件。首先编辑option文件：
vi /etc/ppp/options.pptpd　　我编辑这个文件时，它已经是存在的，并且其中的内容也几乎不需要编辑，如果这个文件不存在，自行创建它并填入下面的有效配置就行了。下面是这个文件中有效的行：
name pptpdrefuse-paprefuse-chaprefuse-mschaprequire-mschap-v2require-mppe-128ms-dns 8.8.8.8ms-dns 8.8.4.4proxyarplocknobsdcompnovjnovjccompnologfd　　其中name后面的pptpd是服务名称，可以任意修改成你喜欢的名字，在后面的配置中将对应的pptpd替换为你在这里修改的名字即可。
　　接下来的几行以refuse或者require开头的指令，是配置拒绝和接受的加密方式，这里接受的mschap-v2和mppe-128都是较新的比较安全的加密方式，其中mppe-128需要第一步中验证的内核模块支持。
　　另外两个比较重要的行就是ms-dns了，它们指定***使用的DNS服务器。毕竟VPS位于国外，所以推荐使用上面通用的Google Public DNS，当然也可以修改为你的VPS所在ISP提供的DNS。
　　剩下后面几个选项，就不在这里叙述了，需要知道其含义的童鞋可以参考这个范例文件中的注释。
　　接下来修改另一个，存储着用户账户的文件：
vi /etc/ppp/chap-secrets　　这个文件非常简单，其中用明文存储***客户的用户名、服务名称、密码和IP地址范围，每行一个账户：
username1    pptpd    passwd1    *username2    pptpd    passwd2    *　　其中第一第三列分别是用户名和密码；第二列应该和上面的文件/etc/ppp/options.pptpd中name后指定的服务名称一致；最后一列限制客户端IP地址，星号表示没有限制。
–pptpd–
　　下面编辑pptpd的配置文件：
vi /etc/pptpd.conf　　这个文件中有效的行也很少：
option /etc/ppp/options.pptpdlogwtmplocalip 192.168.0.1remoteip 192.168.0.207-217　　其中option选项指定使用/etc/ppp/options.pptpd中的配置；logwtmp表示使用WTMP日志。
　　后面两行是比较重要的两行。***可以这样理解，Linux客户端使用一个虚拟网络设备ppp0（Windows客户端也可以理解成***虚拟网卡），连接到服务器的虚拟网络设备ppp0上，这样客户端就加入了服务器端ppp0所在的网络。localip就是可以分配给服务器端ppp0的IP地址，remoteip则是将要分配给客户端ppp0（或者虚拟网卡）的。
　　这两项都可以是多个IP，一般localip设置一个IP就行了，remoteip则视客户端数目，分配一段IP。其中remoteip的IP段需要和localip的IP段一致。
　　localip和remoteip所处的IP段可以随意些指定，但其范围内不要包含实际网卡eth0的IP地址。一般情况下，使用上面配置文件中的配置就好使了，你需要做的只是把192.168.0.207-217这个IP区间修改成你喜欢的192.168.0.a-b，其中1