Ubuntu10.04配置网关和DHCP及VPN服务器的实例

引言

Ubuntu 10.04（Lucid Lynx）作为一个长期支持版本（LTS），在企业环境中仍有一定的应用场景，尤其是在一些对稳定性要求较高且硬件资源受限的环境中。本文将详细介绍如何在Ubuntu 10.04上配置网关、DHCP服务器及VPN服务器，为小型网络或测试环境提供完整的网络服务解决方案。

一、系统准备与基础网络配置

1.1 系统更新与基础工具安装

在开始配置之前，确保系统已更新到最新状态并安装必要的工具：

sudo apt-get update
sudo apt-get upgrade
sudo apt-get install vim net-tools isc-dhcp-server pptpd

1.2 网络接口配置

Ubuntu 10.04默认使用/etc/network/interfaces文件进行网络配置。假设我们有两块网卡：

• eth0：外网接口（连接ISP）
• eth1：内网接口（连接局域网）

编辑配置文件：

sudo vim /etc/network/interfaces

配置示例：

# 外网接口配置（静态IP或DHCP）
auto eth0
iface eth0 inet dhcp  # 或使用静态IP
# iface eth0 inet static
# address 203.0.113.10
# netmask 255.255.255.0
# gateway 203.0.113.1
# 内网接口配置
auto eth1
iface eth1 inet static
address 192.168.1.1
netmask 255.255.255.0

重启网络服务：

sudo /etc/init.d/networking restart

二、配置网关与NAT

2.1 启用IP转发

编辑/etc/sysctl.conf文件：

sudo vim /etc/sysctl.conf

取消注释或添加以下行：

net.ipv4.ip_forward=1

应用更改：

sudo sysctl -p

2.2 配置iptables实现NAT

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

保存iptables规则（Ubuntu 10.04默认不包含iptables-persistent，需手动安装）：

sudo apt-get install iptables-persistent
sudo netfilter-persistent save

或使用传统方法保存：

sudo sh -c 'iptables-save > /etc/iptables.rules'

创建启动脚本（可选）：

sudo vim /etc/network/if-up.d/iptables

添加内容：

#!/bin/sh
iptables-restore < /etc/iptables.rules

设置权限：

sudo chmod +x /etc/network/if-up.d/iptables

三、配置DHCP服务器

3.1 安装并配置ISC DHCP服务器

安装包已在准备阶段完成，编辑主配置文件：

sudo vim /etc/dhcp/dhcpd.conf

基本配置示例：

default-lease-time 600;
max-lease-time 7200;
subnet 192.168.1.0 netmask 255.255.255.0 {
  range 192.168.1.100 192.168.1.200;
  option routers 192.168.1.1;
  option domain-name-servers 8.8.8.8, 8.8.4.4;
  option subnet-mask 255.255.255.0;
  option broadcast-address 192.168.1.255;
}

3.2 指定监听接口

编辑/etc/default/isc-dhcp-server：

INTERFACES="eth1"

3.3 启动服务

sudo /etc/init.d/isc-dhcp-server restart

验证服务状态：

sudo netstat -tulnp | grep dhcp

四、配置PPTP VPN服务器

4.1 安装PPTP服务

安装包已在准备阶段完成，编辑主配置文件：

sudo vim /etc/pptpd.conf

添加以下内容：

localip 192.168.1.1
remoteip 192.168.1.201-220

4.2 配置VPN认证

编辑/etc/ppp/pptpd-options：

name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
ms-dns 8.8.8.8
ms-dns 8.8.4.4
proxyarp
nodefaultroute
lock
nobsdcomp

添加用户账号（编辑/etc/ppp/chap-secrets）：

# 客户端IP   服务器名  密码    可访问的IP
*           pptpd     mypassword *

4.3 配置内核参数

编辑/etc/sysctl.conf，确保以下参数已设置：

net.ipv4.ip_forward=1
net.ipv4.tcp_syncookies=1

4.4 启动服务

sudo /etc/init.d/pptpd restart

4.5 防火墙配置

允许PPTP流量（目标端口1723和协议47 GRE）：

sudo iptables -A INPUT -i eth0 -p tcp --dport 1723 -j ACCEPT
sudo iptables -A INPUT -i eth0 -p gre -j ACCEPT
sudo netfilter-persistent save

五、测试与验证

5.1 测试网关功能

从内网主机ping外网地址，验证NAT是否工作：

ping 8.8.8.8

5.2 测试DHCP服务

在内网主机上设置自动获取IP，使用ipconfig（Windows）或ifconfig（Linux）验证是否获得正确IP。

5.3 测试VPN连接

1. 在Windows客户端创建VPN连接：

   • 连接类型：PPTP
   • 服务器地址：公网IP
   • 认证方式：MS-CHAP v2

2. 连接后验证：

   • 使用ipconfig查看是否获得192.168.1.x地址
   • 尝试ping内网主机（如192.168.1.100）

六、安全加固建议

1. 防火墙规则：限制VPN访问仅允许特定IP段

   sudo iptables -A INPUT -i eth0 -p tcp --dport 1723 -s 203.0.113.0/24 -j ACCEPT
   sudo iptables -A INPUT -i eth0 -p tcp --dport 1723 -j DROP

2. VPN用户管理：

   • 定期更换密码
   • 使用强密码策略
   • 限制最大连接数（编辑/etc/pptpd.conf添加maxconnections 10）

3. 日志监控：

   • 启用VPN日志：/etc/ppp/pptpd-options中添加debug
   • 定期检查/var/log/syslog

七、常见问题解决

7.1 VPN连接成功但无法访问内网

• 检查VPN服务器是否正确推送路由：

  sudo tail -f /var/log/syslog

• 确保客户端设置了正确的默认网关

7.2 DHCP服务不分配IP

• 检查接口是否监听正确：

  sudo netstat -ulnp | grep dhcpd

• 检查日志：

  sudo tail -f /var/log/syslog

7.3 NAT不工作

• 验证内核转发是否启用：

  cat /proc/sys/net/ipv4/ip_forward

• 检查iptables规则是否正确加载

结论

通过以上步骤，我们成功在Ubuntu 10.04上配置了完整的网关、DHCP和PPTP VPN服务。这种配置适用于小型企业网络或测试环境，提供了基本的网络服务和安全的远程访问能力。尽管Ubuntu 10.04已不再受官方支持，但在特定场景下仍能发挥价值。对于生产环境，建议升级到更新的LTS版本以获得更好的安全性和功能支持。