一、系统环境准备

Ubuntu 10.04 LTS（Lucid Lynx）作为长期支持版本，其网络服务组件具有良好稳定性。配置前需确保系统已安装基础开发工具包：

sudo apt-get update
sudo apt-get install build-essential

网络接口规划建议采用双网卡架构：eth0（外网接口）连接ISP，eth1（内网接口）连接局域网设备。通过ifconfig -a确认网卡命名，必要时在/etc/network/interfaces中配置静态IP：

auto eth0
iface eth0 inet static
    address 203.0.113.10
    netmask 255.255.255.0
    gateway 203.0.113.1
auto eth1
iface eth1 inet static
    address 192.168.1.1
    netmask 255.255.255.0

二、网关服务配置

1. 启用IP转发功能

编辑/etc/sysctl.conf文件，取消注释或添加：

net.ipv4.ip_forward=1

执行sysctl -p立即生效。此配置允许内核进行包转发，是网关功能的基础。

2. 配置NAT规则

使用iptables建立源地址转换（SNAT）：

sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
sudo iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT

为确保规则持久化，安装iptables-persistent：

sudo apt-get install iptables-persistent
sudo netfilter-persistent save

3. 路由表优化

通过route -n验证路由配置，必要时在/etc/network/interfaces中添加自定义路由：

up route add -net 10.0.0.0 netmask 255.0.0.0 gw 192.168.1.254

三、DHCP服务部署

1. ISC DHCP服务器安装

sudo apt-get install isc-dhcp-server

编辑主配置文件/etc/dhcp/dhcpd.conf，典型内网配置示例：

subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.100 192.168.1.200;
    option routers 192.168.1.1;
    option domain-name-servers 8.8.8.8, 8.8.4.4;
    default-lease-time 600;
    max-lease-time 7200;
}

在/etc/default/isc-dhcp-server中指定监听接口：

INTERFACES="eth1"

2. 高级配置技巧

• 固定IP分配：通过MAC地址绑定

  host client1 {
    hardware ethernet 00:11:22:33:44:55;
    fixed-address 192.168.1.50;
  }

• PXE引导支持：添加filename "pxelinux.0";和next-server 192.168.1.10;

3. 日志与监控

配置日志轮转/etc/logrotate.d/isc-dhcp-server，并通过tail -f /var/log/syslog实时监控分配情况。

四、OpenVPN服务器搭建

1. 证书体系构建

安装Easy-RSA证书管理工具：

sudo apt-get install openvpn easy-rsa
make-cadir ~/openvpn-ca
cd ~/openvpn-ca

编辑vars文件设置组织信息，然后依次执行：

source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

2. 服务器配置

创建/etc/openvpn/server.conf：

port 1194
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
tls-auth ta.key 0
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist /var/log/openvpn/ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 8.8.8.8"
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
verb 3

3. 客户端配置

生成客户端证书后，创建.ovpn配置文件：

client
dev tun
proto udp
remote your.server.ip 1194
resolv-retry infinite
nobind
persist-key
persist-tun
comp-lzo
verb 3
<ca>
(ca.crt内容)
</ca>
<cert>
(client.crt内容)
</cert>
<key>
(client.key内容)
</key>
<tls-auth>
(ta.key内容)
</tls-auth>
key-direction 1

五、安全加固措施

1. 防火墙规则强化：

   sudo iptables -A INPUT -i eth0 -p udp --dport 1194 -j ACCEPT
   sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --set
   sudo iptables -A INPUT -i eth0 -p tcp --dport 22 -m state --state NEW -m recent --update --seconds 60 --hitcount 4 -j DROP

2. 失败2ban配置：
   安装后编辑/etc/fail2ban/jail.local：

   [sshd]
   enabled = true
   port = 22
   filter = sshd
   logpath = /var/log/auth.log
   maxretry = 3
   bantime = 86400

3. 服务隔离：使用chroot环境限制服务权限，通过systemd-nspawn或schroot实现。

六、故障排查指南

1. DHCP故障：检查/var/lib/dhcp/dhcpd.leases文件权限，验证netstat -tulnp | grep 67服务监听状态。

2. VPN连接问题：

• 证书验证：openssl verify -CAfile ca.crt server.crt
• 路由检查：ip route show table main和ip route show table 200（VPN专用表）
• 包捕获：tcpdump -i tun0分析加密流量

1. 网关不通：使用mtr 8.8.8.8进行路径追踪，检查conntrack -L连接跟踪状态。

七、性能优化建议

1. DHCP服务：调整/etc/default/isc-dhcp-server中的DHCPD_OPTS="-4 --no-pid"参数

2. VPN吞吐量：

• 启用硬件加速：echo 1 > /proc/sys/net/ipv4/tcp_fastopen
• 调整TCP窗口：echo 2097152 > /proc/sys/net/core/wmem_max

1. 系统级优化：

   # 内核参数调整
   echo "net.core.rmem_max = 16777216" >> /etc/sysctl.conf
   echo "net.core.wmem_max = 16777216" >> /etc/sysctl.conf
   sysctl -p

通过以上配置，Ubuntu 10.04系统可同时提供企业级网关、DHCP分配及安全VPN接入服务。实际部署时建议先在测试环境验证配置，再逐步迁移到生产环境。定期备份配置文件（建议使用rsync -avz /etc/{network,dhcp,openvpn} /backup/）和监控系统日志是保障服务稳定性的关键措施。