實驗環境:
panabit服務器
硬件:物理內存 490M, 可支持連接數65536,IP數256
CPU配置 Intel(R) Celeron(R) CPU 2.80GHz(1)
網卡3塊(最好是Intel系列的)
(上面的配置只做參考,要根據實際的網絡節點數和應用,不過配置夠用就好,網卡方面建議不要捨不得花錢,不然後果自負哦)
軟件:panabit 11.03+freebsd8.0 一鍵安裝包,下載地址:http://www.panabit.com/download/Panabit_1103_fb8x.iso
syslog服務器
我是在本機上實驗的,環境爲Vmware7.0+Windows Server 2003,建議使用單獨的服務器搭建
環境搭建
1、安裝panabit
因爲官方集成了panabit和freebsd,這給我們的安裝過程已經減少了很多麻煩,具體我們可以參考官方的文檔進行安裝
下載後,刻成光盤,使用光盤啓動,啓動之後輸入root用戶名,口令root,即FreeBSD提示界面,輸入:
Panabit8#./setup回車 (大約1分鐘左右,時間視硬盤大小格式化時間,安裝過程首先是自動查找盤,顯示查到的磁盤設備名,本機使用建議選擇安裝在第一個盤,盤可以是硬盤、CF卡、U盤等(盤容量要大於256M,建議512M以上。其中主要過程是運行自動分區、格式化文件系統、安裝精簡FreeBSD 8.0、安裝Panabit。)
以下是運行交互提示:
Welcome to Panabit system automatically install shell!
The installation will delete all data on your hard disk and can not be restored!!
Please confirm whether or not to continue the installation!
Do you want to continue(y/n[n])? 輸入y回車,否則退出。
Following disks are detected: da0 ad1 顯示系統中檢測到的盤。
Please select one [da0]: 回車安裝缺省安裝在第一個盤。
We begin to format the disk “da0″ and begin to install FreeBSD 8.0!
Do you want to continue(y/n[y])? 回車繼續。
cylinders=17753
heads=15
sectors/track=63
以上三行顯示磁盤的CHS參數。
Formatting the disk and copy files, please wait a moment!大約等1-2分鐘。
FreeBSD 8.0 Install OK!
這期間主要格式化文件系統,複製光盤上FreeBSD精簡系統文件和配置。
Welcome installing panabit!
****** Congratulations ******!
You have successfully installed Panabit on your system!
Following interfaces are installed in your system:
em0 em1 em2
顯示系統所有網卡,須選擇一個做管理口的網卡,剩餘的默認都作爲數據接口。(注:可以在Live CD啓動之後,使用FreeBSD命令ifconfig查看網卡,如果插上網線,顯示網卡狀態爲Active,通過此方法確認物理接口對應關係。)
Please choose one of above as your admin interface: em2(僅示例,根據實際情況選擇網卡名稱)
Please input ip address of admin interface: 192.168.0.8
Please input network mask of admin interface: 255.255.255.0
Please input default gateway: 192.168.0.1
輸入管理口網卡名稱、IP地址、掩碼、網關,則安裝完畢!如果輸入錯誤,等腳本運行完畢,重新做一遍!
再次顯示:
Your interface configurations are:
Admin interface : em2
Admin ip address : 192.168.0.8
Admin netmask : 255.255.255.0
Default gateway : 192.168.0.1
Data interfaces : em0 em1
Thank you for using panabit!
Eject CDROM!
Reboot system then the system automaticly start panabit at system startup!
If you want to stop the currently running panabit, you can issue
“/usr/panabit/bin/ipectrl stop” to stop it!
You can issue “/usr/panabit/bin/ipectrl start” to start panabit!
Panabit#
取出光盤,重啓機器,即可https登錄管理界面https://192.168.0.8,Web管理用戶名admin,口令panabit。
進入Web管理界面,第一件事選擇“網絡配置”–>“數據接口”配置網橋,如選擇網橋1,將一個網卡定義爲接內網,將另一個網卡定義爲接外網,分別點擊提交即可,配置網橋2、網橋3、網橋4重複同樣步驟,如下圖:
2、配置panabit
當成功安裝完panabit後,我們不要急於去配置策略,而是要穩定觀察24小時後,再進行策略的配置,而策略配置方面,建議簡單夠用就好,太繁雜的策略智慧給自己添麻煩。策略配置方面,建議研讀官方的手冊(http://dl.dbank.com/c0c6h6ov8j),非常詳盡。
下面是我做的幾個策略設置,僅作參考
URL控制:
P2P及網絡限制
3、搭建syslog服務器
搭建syslog服務器的過程具體可參考我的文章《使用Kiwi Syslog 搭建集中管理的日誌服務器》,這裏我附帶講一下破解的過程吧,因爲我在文章內部提到的Kiwi Syslog8.3.7破解版雖然可用,但是自帶並沒有web access這個功能,爲了同樣達到破解效果又能使用web access 我折騰了一下午總算搞定,步驟如下:
首先,先安裝Kiwi Syslog 9.2的試用版,並安裝kiwi syslog web access,測試可用後,拷貝出安裝目錄下的Syslogd_Service.exe文件,覆蓋安裝kiwi Syslog 8.3.7,安裝完畢後,用破解程序覆蓋,測試syslog可用,但web access 會提示主程序offline,這裏我初步判斷web access會判定Syslogd_Service.exe的版本是否匹配,於是在syslog下停止掉Syslogd_Service服務,將原來拷貝的Syslogd_Service.exe文件覆蓋,啓動Syslogd_Service服務,並查看其版本,發現其爲9.2後,測試web access 可用。
syslog服務器搭建完畢後,在對syslog進行簡單設置後,我們對panabit進行設置,這裏我們已記錄URL訪問爲例:
我們此時再來觀察panabit服務器,發現日誌事件已成功發送過來:
在這裏觀察分析日誌的話真的是有點兒頭暈吧,我們登錄到web access,發現日誌時間同樣也記錄到了web頁面
當然,我們這裏主要使用他的過濾器功能對我們的日誌事件進行分析,我這裏設置了一個以淘寶爲例的過濾器:
我們使用過濾器對時間進行過濾,就可以發現那些用戶在訪問淘寶這些網站了:
通過以上例子,我們可以發現我們確實達到了對流量控制和上網監控功能上的需求,雖然這相對於專業的設備來說,功能上面還不夠完善,但是我們所使用的的都是免費的,並且投入的設備不多,最重要的是我們在這個過程學習到了更多的東西,這纔是最重要的。
我再給幾張實際在實施panabit策略後的對比的效果圖吧
p2p流量方面
實施前 實施後
URL阻斷
