原先公司辦公網(wǎng)絡(luò)與無線網(wǎng)絡(luò)沒有做物理隔離，所以在物理上面還不是很安全，后來公司網(wǎng)絡(luò)整改，雖然起到物理隔離，但做的并不完善，只是用了個(gè)小米路由器設(shè)置，并做了dhcp，后來訪客加上公司員工手機(jī)一起上網(wǎng)，使的負(fù)載很高，甚至一大部分人都無法獲取ip，于是有了本人的搭建的服務(wù)。

西吉ssl適用于網(wǎng)站、小程序/APP、API接口等需要進(jìn)行數(shù)據(jù)傳輸應(yīng)用場景，ssl證書未來市場廣闊！成為創(chuàng)新互聯(lián)的ssl證書銷售渠道，可以享受市場價(jià)格4-6折優(yōu)惠！如果有意向歡迎電話聯(lián)系或者加微信：18982081108（備注：SSL證書合作）期待與您的合作！

本人用的是一臺dell380機(jī)器，配置的要求不高，簡單的兩塊網(wǎng)卡，eth0做外網(wǎng)，eth2做內(nèi)網(wǎng)

eth0：192.168.1.1

eth2:192.168.100.1

配置如下：

1. 首先安裝dhcp

   yum install dhcp -y

2. 編輯dhcp配置文件/etc/dhcp/dhcpd.conf ，也可以使用/usr/share/doc/dhcp-4.1.1/dhcpd.conf.sample拷貝到/etc/dhcp/dhcpd.conf

配置文件如下：

1. ddns-update-style interim;   #配置使用過渡性 DHCP-DNS互動(dòng)更新模式。

2. ignore client-updates;     #忽略客戶端更新

3. subnet 192.168.100.0 netmask 255.255.254.0 {

4.     option routers          192.168.100.1;     #路由器地址

5.     option subnet-mask        255.255.254.0;    #子網(wǎng)掩碼選項(xiàng)

6.     option nis-domain        "xfbaydhcp.com";

7.     option domain-name        "xfbaydhcp.com";   #域名

8.     option domain-name-servers    192.168.0.7;    #DNS地址

9.     option time-offset        -18000; # Eastern Standard Time

10.     range dynamic-bootp 192.168.100.1 192.168.101.255;    #租用IP地址>的范圍

11.     default-lease-time 21600;   #缺省租約時(shí)間

12.     max-lease-time 43200;     #大租約時(shí)間

    host myhost {                                      #設(shè)置主機(jī)聲明

    hardware ethernet 08:00:27:2C:30:8C;             #指定dhcp客戶的mac地址        fixed-address 192.168.100.155;                   #給指定的mac地址分配ip                           }   }

3、編輯/etc/rc.d/init.d/dhcpd文件

1. user=dhcpd

2. group=dhcpd

3. 改為

4. user=root

5. group=root

4.指定網(wǎng)卡啟動(dòng)dhcp功能(不指定會報(bào)錯(cuò)的)

vim /etc/sysconfig/dhcpd

DHCPDARGS=eth2

5.設(shè)置服務(wù)開機(jī)啟動(dòng)

chkconfig dhcpd on

service dhcpd start

網(wǎng)卡ip配置的話這里就不做介紹了，后面就是檢測主機(jī)是否能自動(dòng)獲取到ip地址

下面就是配置iptables，默認(rèn)主機(jī)都是安裝過的

1.打開轉(zhuǎn)發(fā)功能

vim /etc/sysctl.conf

net.ipv4.ip_forward = 1

2.設(shè)置iptables規(guī)則

轉(zhuǎn)發(fā)

iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to-source 192.168.1.143

設(shè)置ttl值（主要用于不允許wifi下面私自接wifi）

iptables -t mangle -A POSTROUTING -o eth0 -j TTL --ttl-set 0

關(guān)閉外網(wǎng)22端口的訪問

iptables -t nat -A INPUT -i eth0 -p tcp -m tcp --dport 22 -j DROP

其實(shí)iptables就這幾個(gè)簡單的配置就可以了，如果是做其他的用途，這些當(dāng)然是不夠的了。

命令雖然很簡單，但細(xì)節(jié)還是很重要和配置文件。一點(diǎn)錯(cuò)誤都會啟動(dòng)不成功。注重排查問題。

該實(shí)驗(yàn)很廣，配置稍作修改，可用途公司防火墻，可以做到ip帶寬限制，網(wǎng)站訪問控制等等。

下面是端口流量控制的腳本

#!/bin/sh

#  定義進(jìn)出設(shè)備(eth2 內(nèi)網(wǎng)，eth0外網(wǎng))

IDEV="eth2"

ODEV="eth0"

#GUEST="eth3"

#  定義總的上下帶寬

UP="20mbit"

DOWN="20mbit"

#  定義每個(gè)受限制的IP上下帶寬

#rate 起始帶寬

UPLOAD="1mbit"

DOWNLOAD="1mbit"

#ceil 大帶寬

MUPLOAD="20mbit"

MDOWNLOAD="20mbit"

#內(nèi)網(wǎng)IP段

NET="192.168."

INET="192.168.8."

# 受限IP范圍，IPS 起始IP，IPE 結(jié)束IP。

IPS="1"

IPE="255"

# 清除網(wǎng)卡原有隊(duì)列規(guī)則

tc qdisc del dev $ODEV root 2>/dev/null

tc qdisc del dev $IDEV root 2>/dev/null

# 定義最頂層(根)隊(duì)列規(guī)則，并指定 default 類別編號

tc qdisc add dev $ODEV root handle 1: htb default 4000

tc qdisc add dev $IDEV root handle 2: htb default 4000

# 定義第一層的 10:1 類別 (上行/下行 總帶寬)

tc class add dev $ODEV parent 1: classid 1:1 htb rate $UP ceil $UP

tc class add dev $IDEV parent 2: classid 2:1 htb rate $DOWN ceil $DOWN

tc class add dev eth0 parent 1:1 classid 1:4000 htb rate 10mbit ceil 10mbit  prio 2

tc class add dev eth2 parent 2:1 classid 2:4000 htb rate 10mbit ceil 10mbit  prio 2

#開始iptables 打標(biāo)和設(shè)置具體規(guī)則

j="8";

i=$IPS;

while [ $i -le $IPE ]

do

tc class add dev eth0 parent 1:1 classid 1:$i$j htb rate 2mbit ceil 2mbit  prio 1

tc filter add dev eth0  parent 1: protocol ip prio 1 handle $i$j fw classid 1:$i$j

tc class add dev eth2 parent 2:1 classid 2:$i$j htb rate 4mbit ceil 4mbit  prio 1

tc filter add dev eth2  parent 2: protocol ip prio 1 handle $i$j fw classid 2:$i$j

iptables -t mangle -A PREROUTING -s $NET$j\.$i -j MARK --set-mark $i$j

iptables -t mangle -A PREROUTING -s $NET$j\.$i -j RETURN

iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j MARK --set-mark $i$j

iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j RETURN

i=`expr $i + 1`

done

j="9";

i=$IPS;

while [ $i -le $IPE ]

do

tc class add dev eth0 parent 1:1 classid 1:$i$j htb rate 2mbit ceil 2mbit  prio 1

tc filter add dev eth0  parent 1: protocol ip prio 1 handle $i$j fw classid 1:$i$j

tc class add dev eth2 parent 2:1 classid 2:$i$j htb rate 4mbit ceil 4mbit  prio 1

tc filter add dev eth2  parent 2: protocol ip prio 1 handle $i$j fw classid 2:$i$j

iptables -t mangle -A PREROUTING -s $NET$j\.$i -j MARK --set-mark $i$j

iptables -t mangle -A PREROUTING -s $NET$j\.$i -j RETURN

iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j MARK --set-mark $i$j

iptables -t mangle -A POSTROUTING -d $NET$j\.$i -j RETURN

i=`expr $i + 1`

done

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前文章：centos6.5搭建dhcp+網(wǎng)關(guān)-創(chuàng)新互聯(lián)
本文網(wǎng)址：http://weahome.cn/article/dojiig.html