LogLevel 指令
說明:
控製錯誤日誌的詳細程度
語法:
LogLevel 級別
默認值:
LogLevel warn
上下文:
服務器配置, 虛擬主機
狀態:
核心
模塊:
core
LogLevel用於調整記於錯誤日誌中的信息的詳細程度。(參閱ErrorLog指令)。可以選擇下列級別,依照重要性降序排列:
Level
Description
Example
emerg
緊急 - 係統無法使用。
"Child cannot open lock file. Exiting"
alert
必須立即采取措施。
"getpwuid: couldn't determine user name from uid"
crit
致命情況。
"socket: Failed to get a socket, exiting child"
error
錯誤情況。
"Premature end of script headers"
warn
警告情況。
"child process 1234 did not exit, sending another SIGHUP"
notice
一般重要情況。
"httpd: caught SIGBUS, attempting to dump core in ..."
info
普通信息。
"Server seems busy, (you may need to increase StartServers, or Min/MaxSpareServers)..."
debug
出錯級別信息
"Opening config file ..."
當指定了特定級別時,所有級別高於它的信息也會同時報告。比如說,當指定了LogLevel info時,所有 notice和warn級別的信息也會被記錄。
建議至少要使用crit級別。
示例如下:LogLevel notice() [#page_#][#page_#]
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p udp --dport 5000 -j ACCEPT #openvpn默認使用udp 5000端口
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT #這兩句很重要
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A INPUT -i eth0 -j ACCEPT
iptables -A FORWARD -i eth0 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth1 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth1 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s \$PRIVATE -o eth1 -j MASQUERADE
office.up腳本配置如下:
#!/bin/bash
route add -net 192.168.0.0 netmask 255.255.255.0 gw 10.1.0.2 #此處是對端的vpn ip地址
openvpn-startup.sh腳本配置如下:
#!/bin/bash
dir=/etc/openvpn
\$dir/firewall.sh
modprobe tun
echo 1 > /proc/sys/net/ipv4/ip_forward
openvpn --config /etc/openvpn/static-office.conf
home主機的4個配置文件
static-home.conf如下
dev tun0
remote 61.131.58.194
ifconfig 10.1.0.2 10.1.0.1
secret /etc/openvpn/static.key
port 5000
comp-lzo
ping 15
ping 15
ping-restart 45
ping-timer-rem
persist-tun
persist-key
verb 3
firewall.sh如下
#!/bin/bash
PRIVATE=192.168.0.0/24
LOOP=127.0.0.1
iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -F
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -A INPUT -i eth0 -s \$LOOP -j DROP
iptables -A FORWARD -i eth0 -s \$LOOP -j DROP
iptables -A INPUT -i eth0 -d \$LOOP -j DROP
iptables -A FORWARD -i eth0 -d \$LOOP -j DROP
iptables -A FORWARD -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -p udp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p tcp --sport 137:139 -o eth0 -j DROP
iptables -A OUTPUT -p udp --sport 137:139 -o eth0 -j DROP
iptables -A FORWARD -s ! \$PRIVATE -i eth1 -j DROP
iptables -A INPUT -s \$LOOP -j ACCEPT
iptables -A INPUT -d \$LOOP -j ACCEPT
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A INPUT -p tcp --dport http -j ACCEPT
iptables -A INPUT -p tcp --dport ssh -j ACCEPT
iptables -A INPUT -p udp --dport 5000 -j ACCEPT
iptables -A INPUT -i tun+ -j ACCEPT
iptables -A FORWARD -i tun+ -j ACCEPT
iptables -A INPUT -i tap+ -j ACCEPT
iptables -A FORWARD -i tap+ -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A FORWARD -i eth1 -j ACCEPT
iptables -A OUTPUT -m state --state NEW -o eth0 -j ACCEPT[#page_#]iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m state --state NEW -o eth0 -j ACCEPT
iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -t nat -A POSTROUTING -s \$PRIVATE -o eth0 -j MASQUERADE
home.up腳本如下:
#!/bin/bash
route add -net 192.168.1.0 netmask 255.255.255.0 gw 10.1.0.1
openvpn-startup.sh腳本如下:
#!/bin/bash
dir=/etc/openvpn
\$dir/firewall.sh
modprobe tun
echo 1 > /proc/sys/net/ipv4/ip_forward
openvpn --config /etc/openvpn/static-home.conf
最後需要注意的是在office和home主機的/etc/modules.conf都要加上一行:
alias char-major-10-200 tun
在office主機上
office#cd /etc/openvpn
office#./openvpn-startup.sh
office#./office.up
在home主機上
home#cd /etc/openvpn
home#./openvpn-startup.sh
home#./home.up
A主機的default gateway設為192.168.1.56
B主機的default gateway設為192.168.0.235
在A主機上ping 192.168.0.45
在home主機上用tcpdump監聽。
home#tcpdump -i tun0
應該有echo request和echo reply
不行的話,在home#ping 10.1.0.1看兩個vpn網關是否通。
http://openvpn.sourceforge.net 上還有howto,faq,examples可參考。()
