1、Network Serversapi
# /etc/rc.conf local_unbound_enable="YES" # 測試指定 DNS 服務器是否暢通且啓用安全特性(DNSSEC),測試經過的 DNS 服務器地址可保留在 /etc/resolv.conf 用做 unbound 或 local_unbound(系統自帶的僅用於本地服務的精簡版) 的緩存源 drill -S FreeBSD.org @8.8.8.8
$ drill -S FreeBSD.org ;; Number of trusted keys: 1 ;; Chasing: freebsd.org. A DNSSEC Trust tree: freebsd.org. (A) |---freebsd.org. (DNSKEY keytag: 36786 alg: 8 flags: 256) |---freebsd.org. (DNSKEY keytag: 32659 alg: 8 flags: 257) |---freebsd.org. (DS keytag: 32659 digest type: 2) |---org. (DNSKEY keytag: 49587 alg: 7 flags: 256) |---org. (DNSKEY keytag: 9795 alg: 7 flags: 257) |---org. (DNSKEY keytag: 21366 alg: 7 flags: 257) |---org. (DS keytag: 21366 digest type: 1) | |---. (DNSKEY keytag: 40926 alg: 8 flags: 256) | |---. (DNSKEY keytag: 19036 alg: 8 flags: 257) |---org. (DS keytag: 21366 digest type: 2) |---. (DNSKEY keytag: 40926 alg: 8 flags: 256) |---. (DNSKEY keytag: 19036 alg: 8 flags: 257) ;; Chase successful
#啓用 local_unbound,以後每一個域名從第二次重複訪問時,將經過本地 DNS 緩存加速解析
service local_unbound onestart(服務啓動後將會註釋掉 resolv.conf 中已有的 nameserver IP)
# /etc/ftpusers:禁止登錄 ftp 服務器的用戶名單 root ... nobody # /etc/ftpchroot:將全部用戶鎖定在指定目錄(如:/home/ftp)下,禁止查看外部的目錄結構 @ /home/ftp # /etc/rc.conf ftpd_enable="YES"
# /etc/rc.conf ntpd_enable="YES" # /etc/ntp.conf:用於陳列多條上游(源) NTP 服務器地址 server ntp1.nl.net server 120.25.108.11
2、Advanced Networking安全
# /etc/rc.conf #設置默認路由(等效命令:route add default 10.0.0.1) defaultrouter="10.0.0.1" #設置靜態路由(等效命令:route add -net 192.168.0.0/24 192.168.0.1) static_routes="net1 net2" route_net1="-net 192.168.0.0/24 192.168.0.1" route_net2="-net 192.168.1.0/24 192.168.1.1"
# Android 手機網絡共享
kldload if_urndis
#手動建立虛擬網橋,添加網口成員,成員類型能夠爲物理端口或其它虛擬端口(如:vlan 等) ifconfig bridge create #能夠自定義端口名稱,如:ifconfig bridge8 create,將建立名爲 bridge8 的設備,僅能以 虛擬設備類型 後跟 數字的方式命名 ifconfig bridge addm alc0 addm alc1 up # 靜態設置:/etc/rc.conf cloned_interfaces="bridge0" ifconfig_bridge0="addm alc0 addm alc1 up inet 10.0.0.2/8" ifconfig_alc0="up" ifconfig_alc1="up" # RSTP(The Rapid Spanning Tree Protocol):傳統 stp 協議的升級版,用於防止產生環路 ifconfig bridge0 stp alc0 stp alc1
# 將多個物理網口的流量彙集到虛擬網橋,用於監控分析,被聚積的流量通過網橋後將被直接丟棄 ifconfig bridge0 addm alc0 addm alc1 addm alc2 addm alc3 monitor up tcpdump -i bridge0 # 設定鏡像端口(span),網橋收到的全部流量都將複製一份至鏡像端口,但從鏡像口流入的流量再也不進入網橋,例如本例中的 alc4 端口 ifconfig bridge0 span alc4 # 限制成員的 IP 數量,一般是 vlan 成員 ifconfig bridge0 ifmaxaddr vlan_1 10
# 需交換機支持,且成員端口必須具有相同的速率與工做模式,如:1000M 全雙工
# Cisco® switch 設置
# 建立 channel group
interface FastEthernet0/1
channel-group 1 mode active
channel-protocol lacp
!
interface FastEthernet0/2
channel-group 1 mode active
channel-protocol lacp服務器
# 查看端口聚合的狀態網絡
show lacp neighbor負載均衡
# FreeBSD 主機設置
# 手動設置
ifconfig lagg9 create up
ifconfig lagg9 laggprotolacplaggport alc0 laggport alc1 10.0.0.3/24 #laggproto 指定端口聚合類型,實用的模式有兩種:failover(僅容錯)、lacp(容錯、負載均衡)
# /etc/rc.conf
ifconfig_alc0="up"
ifconfig_alc1="up"
cloned_interfaces="lagg9"
ifconfig_lagg9="laggproto lacp laggport alc0 laggport alc1 10.0.0.3/24"
# 無需交換機支持,對成員端口的速率與工做模式無要求 # FreeBSD 主機設置 # 手動設置 ifconfig lagg create up ifconfig lagg0 laggproto failover laggport alc0 laggport alc1 10.0.0.3/24 #laggproto 指定端口聚合類型,實用的模式有兩種:failover(僅容錯)、lacp(容錯、負載均衡) # /etc/rc.conf ifconfig_alc0="up" ifconfig_alc1="up" cloned_interfaces="lagg0" ifconfig_lagg0="laggproto failover laggport alc0 laggport alc1 10.0.0.3/24"
...tcp