linux ubuntu hálózat beállítások(1)
Post on 06-Jan-2016
31 Views
Preview:
DESCRIPTION
TRANSCRIPT
LINUX UBUNTU 13
LINUX UBUNTU 13.10 server hlzati konfigurlsa
Bellts konfigurcis llomnyok nlklcm ideiglenes belltst az ifconfig utastssal$ sudo ifconfig eth1 192.168.1.254 netmask 255.255.255.0Mivel alaprtelmezett tjrbl csak egy lehet, s a DHCP kiszolgl mr belltott egyet az eth0 interfsz konfigurlsakor, ezrt a parancssori bellts kiprblsnak idejre lelltjuk az eth0 interfszt: $ sudo ifdown eth0 Az alaprtelmezett tjrt a route paranccsal llthatjuk be a kernel routing tbljban: $ sudo route add default gw 192.168.1.253 eth1A fentiekben megadott ideiglenes belltsokat trlhetjk, az albbi paranccsal: $ sudo ip addr flush eth1Bellts konfigurcis llomnyokkal (tarts bellts )
/etc/network/interfaces konfigurcis llomny az albbi paranccsal szerkeszthet:
$ sudo nano /etc/network/interfaces
Az interfaces file jelenlegi tartalma:auto lo
iface lo inet loopback
auto eth0
iface eth0 inet dhcpEzt egsztsk ki a kvetkezekkel:
auto eth1
iface eth1 inet static
address 192.168.1.254
netmask 255.255.255.0
network 192.168.1.0
broadcast 192.168.1.255
gateway 192.168.1.253dns-search proba.petrik.hu
dns-nameservers 10.1.51.23 Mentsk el a konfigurcis llomnyt (Ctrl+O), s zrjuk be a szerkesztt (Ctrl+X). A belltsok nem rvnyeslnek automatikusan, ezrt vagy az rintett interfsz lelltsa/jraengedlyezse (ifdown/ifup) vagy a hlzati alrendszer jraindtsa szksges. A dinamikusan (DHCP) s statikusan megadott alaprtelmezett tjrbelltsok kztti konfliktus elkerlse rdekben a fenti belltsok rvnyestse eltt elszr lltsuk le az eth0 interfszt. $ sudo ifdown eth0A belltsok rvnyestse rdekben az eth1 interfszt ki s bekapcsoljuk: $ sudo ifdown eth1 && sudo ifup eth1A DNS szerver s a keressi tartomny aktulis belltst az /etc/resolv.conf konfigurcis llomnyban tekinthetjk meg. $ nano /etc/resolv.conf Most a DHCP kiszolgltl kapott adatok jelennek itt meg.
nameserver 10.1.51.23
domain proba.petrik.hu
search proba.petrik.huTarts belltst az elzekben megismert interfaces llomny hasznlata biztost. Ebben az eth1 interfszre vonatkoz rszt kiegsztjk a kvetkez kt sorral dns-search proba.petrik.hu
dns-nameservers 10.1.51.23 A belltsok rvnyestse rdekben kapcsoljuk ki s be az eth1 interfszt:$ sudo ifdown eth1 && sudo ifup eth1Gpnv belltsa/etc/hostname
$ sudo nano /etc/hostname
petrik-szerver
Ezt kveten nyissuk meg hasonlkppen az/etc/hosts llomnyt, s lltsuk be az j nevet: $ sudo nano /etc/hosts
127.0.1.1 petrik-szerverIndtsuk jra a gpet.
$ sudo rebootDNS szerver teleptse s belltsa
A szerver esetben az eth0 interfsz:
IPv4 cm: 10.0.2.15
Hlzati maszk: 255.255.255.0
Alaprtelmezett tjr: 10.0.2.2
Hlzat: 10.0.2.0
zenetszrsi cm: 10.0.2.255
DNS kiszolgl: 10.1.51.23
Nvkeressi tartomnyok: proba.petrik.huA szerver eth1 interfsznek belltsa az albbi lesz:
IPv4 cm: 192.168.1.254Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255A munkalloms eth0 interfsznek konfigurcija az albbi lesz:
IPv4 cm: 192.168.1.2
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255
DNS kiszolgl: 192.168.1.254
Nvkeressi tartomnyok: proba.petrik.huTelepts s konfigurls$ sudo apt-get update
$ sudo apt-get install bind9 dnsutilsegy elsdleges mestert kell ltrehoznunk, ezrt lelltjuk a kiszolglt
$ sudo service bind9 stopA konfigurcis llomnyok az /etc/bind knyvtrban vannak.
Els lpsknt:
/etc/bind/named.conf.options$ sudo nano /etc/bind/named.conf.options
Itt megadtuk, hogy hova tovbbtsa a DNS szerver a nvfeloldsi krseket.A rekurzv nvfelolds engedlyezse rdekben a forwarders blokkot kveten helyezzk el recursion yes;majd szablyozzuk, hogy mely gpek vehetik ignybe a nvszolgltatst s a rekurzv nvfeloldst az albbi sorokkal allow-query { belso; };
allow-recursion { belso; };A belso egy cmke, aminek definilshoz az options blokkot kveten egy kln blokkot hozunk ltre, amiben a helyi gpet s a sajt alhlzatot nevezzk meg.
acl belso {
127.0.0.1;
192.168.1.0/24;
};
Mivel IPv6 hlzatunk nincs ezrt a
listen-on-v6 { any; };
sort tegyk megjegyzsbe (//).A proba.petrik.hu alatt hozzuk ltre sajt znnkat proba.petrik.hu nven. A nvfeloldsi zna mellett cmfeloldsi znt is ksztnk(1.168.192.in-addr.arpa)
Mindkett mester (master) zna lesz. A znk deklarlshoz nyissuk meg szerkesztsre a /etc/bind/named.conf.local llomnyt. $sudo nano /etc/bind/named.conf.local
Az llomny vgre begpeljk a kt zna defincijt:
zone "proba.petrik.hu" {
type master;
file "/etc/bind/proba.petrik.hu";
};
zone "1.168.192.in-addr.arpa" {
type master;
file "/etc/bind/1.168.192";
};Elszr ltrehozzuk a nvfeloldshoz szksges znafjt.db.local llomnyt vagy ltrehozhatunk egy teljesen res llomnyt is a
$ sudo nano /etc/bind/proba.petrik.hu
paranccsal. Begpeljk az albbiakat:
$TTL 604800
@ IN SOA petrik-szerver.proba.petrik.hu. hallgato.petrik-szerver.proba.petrik.hu. (
1 ; Sorszm
604800 ; Frissts
86400 ; jraprblkozs
3600000 ; Lejrat
2419200 ) ; Negatv gyorstrazsi id
;
@ IN NS petrik-szerver.proba.petrik.hu.
petrik-szerver IN A 192.168.1.254
A fentiekben szerepl msodik s harmadik sor az llomnyban egyetlen sorknt kell szerepeljen, s a hallgato eltt szkz vagy tabultor jel kell lljon! Az utols sor utn nyomjuk meg az Enter billentyt, ugyanis az llomny vgn jsor jel kell lljon.TTL (sec): a zna rekordjaira rvnyes alaprtelmezett elavulsi id (Time To Live)
SOA (Start Of Authority) rekord: tartalmazza a nvkiszolgl FQDN-jt (petrik-szerver.proba.petrik.hu.) ponttal lezrva.
Hozzuk ltre az inverz feloldshoz (cmfeloldshoz) szksges /etc/bind/1.168.192 znafjlt. Itt sablonknt hasznlhatjuk a db.127 llomnyt. A jelen gyakorlat sorn az res llomny ltrehozst vlasztjuk
$ sudo nano /etc/bind/1.168.192
majd begpeljk az albbi konfigurcit$TTL 604800
@ IN SOA petrik-szerver.proba.petrik.hu. hallgato.petrik-szerver.proba.petrik.hu. (
1 ; Sorszm
604800 ; Frissts
86400 ; jraprblkozs
2419200 ; Lejrat
604800 ) ; Negatv gyorstrazsi id
;
@ IN NS petrik-szerver.proba.petrik.hu.
254 IN PTR petrik-szerver
A fentiekben szerepl msodik s harmadik sor az llomnyban egyetlen sorknt kell szerepeljen, s a hallgato eltt szkz vagy tabultor jel kell lljon! Az utols sor utn nyomjuk meg az Enter billentyt, ugyanis az llomny vgn jsor jel kell lljon. Mentsk el a 1.168.192 llomnyt.
A znafjlok ltrehozst kveten a helyi gpet (127.0.0.1) kell belltanunk DNS szerverknt. Ennek rdekben az /etc/network/interfaces llomnyban adns-nameservers 10.1.51.23
sort lecserljk az albbi sorra
dns-nameservers 127.0.0.1
majd jraindtjuk a hlzati alrendszert
$ sudo /etc/init.d/networking restart
A DNS kiszolgl alapbl IPv6-on prblkozik a nvfeloldssal. Mivel csak IPv4 hlzatunk van a szerver indtsi opcii kztt ezt jeleznnk kell az /etc/defaults/bind9 llomnyban. Nyissuk meg szerkesztsre az llomnyt: $ sudo /etc/defaults/bind9 s egsztsk ki az OPTIONS sort a -4 kapcsolval az albbiakban megfelelen: OPTIONS=-u bind -4
A szerver gp TCP/IP konfigurcijt gy alaktjuk ki, hogy mindegyik interfsz esetben statikusan lltjuk be az adatokat. Ez az eth0 interfsz esetben az albbi:
IPv4 cm: 10.0.2.15
Hlzati maszk: 255.255.255.0
Alaprtelmezett tjr : 10.0.2.2
Hlzat: 10.0.2.0
zenetszrsi cm: 10.0.2.255
DNS kiszolgl: 10.1.51.23, 10.1.51.25
Nvkeressi tartomnyok: proba.petrik.hu A szerver eth1 interfsznek belltsa az albbi lesz: IPv4 cm: 192.168.1.254Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255Az Ubuntu Desktop munkalloms eth0 interfszt gy lltjuk be hogy DHCP-vel fogadja a belltsokat. A Windows 7 munkalloms Helyi kapcsolat interfszt gy lltjuk be hogy DHCP-vel fogadja a belltsokat.
Frisstjk gpnkn a csomag adatbzist, majd teleptjk a kiszolglt.$ sudo apt-get update
$ sudo apt-get install isc-dhcp-server
A DHCP kiszolgl konfigurlshoz nyissuk meg szerkesztsre a /etc/dhcp/dhcpd.conf llomnyt: $ sudo nano /etc/dhcp/dhcpd.conf Az llomny tartalmt trljk, majd rjuk be az albbiakat: authoritative;
ddns-update-style none;
option domain-name "proba.petrik.hu";
option domain-name-servers 10.1.51.23;
option broadcast-address 192.168.1.255;option routers 192.168.1.254;
option subnet-mask 255.255.255.0;
default-lease-time 600; # 10 perc
max-lease-time 7200; # 2 raA rgztett IPv4 cm belltshoz nzzk meg az asztali Ubuntu opercis rendszert futtat virtulis gp bels hlzatra kapcsold interfsznek fizikai cmt VirtualBoxban. Az albbi pldban a 08:00:27:e4:f3:45 fizikai cmet felttelezzk.
host ubuntu-desktop
{ hardware ethernet 08:00:27:e4:f3:45;
fixed-address 192.168.1.5;
option host-name ubuntu-desktop;
}A dinamikus IPv4 cm kiosztshoz egy cmtartomnyt (192.168.1.10 192.168.1.250) definilunk. subnet 192.168.1.0 netmask 255.255.255.0{
range 192.168.1.10 192.168.1.250;
}Kvetkez lpsknt be szeretnnk lltani, hogy melyik interfszen nyjtson DHCP szolgltatst a szerver. Ehhez nyissuk meg szerkesztsre a /etc/default/isc-dhcp-server hcp-server llomnyt, s mdostsuk tartalmt az albbiak szerint: $ sudo nano /etc/default/isc-dhcp-server INTERFACES="eth1"Mentsk el az llomnyt, majd indtsuk el a szolgltatst. $ sudo service isc-dhcp-server startA szerverkonfigurci prbjaknt elszr az asztali gpen lltsuk be, hogy fogadja DHCP-vel a IPv4 konfigurcit, majd parancssorbl ellenrizzk a belltsok megltt. Amennyiben nem jelenik meg a kvnt cm azonnal, akkor futtassuk a DHCP kliens programot: $ sudo dhclientA prba msodik lpseknt lltsuk be VirtualBox-ban, hogy a Windows 7-es gp hlzati krtyja a bels hlzatra (intnet) csatlakozzon, majd indtsuk el a Windows 7-es gpet. Ellenrizzk le, hogy megkapja-e a belltsokat a Linuxos DHCP kiszolgltl. A szerver a
/var/lib/dhcp/dhcpd.leases llomnyban tartja nyilvn a brletbe kiadott konfigurcis adatokat. Tekintsk meg az llomny tartalmt$ more /var/lib/dhcp/dhcpd.leases
Megoszts NFS segtsgvelAz NFS (Network File System) segtsgvel knyvtrakat oszthatunk meg Linux/Unix opercis rendszert futtat gpek kztt. A megoszts kliens-szerver modellt kveti, ahol az erforrst megoszt gp a szerver, az erforrst ignybe vev gp a kliens.
A kt gp TCP/IP konfigurcijt gy alaktjuk ki, hogy mindegyik interfsz esetben statikusan lltjuk be az adatokat. A szerver esetben az eth0 interfsz:
IPv4 cm: 10.0.2.15
Hlzati maszk: 255.255.255.0
Alaprtelmezett tjr: 10.0.2.2
Hlzat: 10.0.2.0
zenetszrsi cm: 10.0.2.255
DNS kiszolgl: 10.1.51.23
Nvkeressi tartomny: gyakorlat.proba.petrik.hu
A szerver eth1 interfsznek belltsa az albbi lesz:
IPv4 cm: 192.168.1.254
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255A munkalloms eth0 interfsznek konfigurcija megegyezik a szerver eth0 interfsznek konfigurcijval. A munkalloms eth1 interfsznek konfigurcija az albbi lesz:
IPv4 cm: 192.168.1.2
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255
DNS kiszolgl: 192.168.1.254
Nvkeressi tartomny: gyakorlat.proba.petrik.hu
NFS szerver teleptse s belltsaAz albbi belltsokat a szerver virtulis gpen kell vgrehajtani.$ sudo apt-get update
$ sudo apt-get install nfs-kernel-server nfs-common portmap yTegyk fel, hogy a /home/megosztas knyvtrat szeretnnk megosztani. Elszr hozzuk ltre a knyvtrat, majd lltsuk be, hogy brki olvashassa, rhassa vagy futtathasson benne.
$ sudo mkdir /home/megosztas
$ sudo chmod 777 /home/megosztasA megosztott knyvtrakat az /etc/exports konfigurcis llomnyban kell felsorolnunk. Nyissuk meg szerkesztsre az llomnyt. $ sudo nano /etc/exportsAz llomnyban minden megosztshoz egy sor tartozik. A sor a megosztani kvnt knyvtr teljes elrsi tvonalval kezddik, ez a mi esetnkben /home/megosztas. A knyvtrat teljes hozzfrssel (rhat/olvashat) szeretnnk megosztani a 192.168.1.0 alhlzat sszes gpe szmra. A megosztst ler sor a kvetkez:/home/megosztas 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)A fenti konfigurci valjban egy sor, csak az oldalszlessg korlt miatt jelenik meg fentebb kt sorban. A hlzati IPv4 cm helyett egy csillagot megadva az sszes szmtgp szmra megoszthatjuk knyvtrunkat. A megoszts kedvezmnyezettje lehet egyetlen gp is, ilyenkor az adott gp IP cmt vagy nevt kell itt megadnunk. Figyeljnk oda arra, hogy a nyit zrjel eltt nem llhat szkz s minden knytrmegoszts kln sorban kell lljon. Mintaknt nzznk meg nhny pldt: /home 192.168.1.1/255.255 255 0 rw
/segedlet belzebub(rw) pandora ro ) /ubuntu ro sync no root s ash ))
Indtsuk jra az NFS kiszolgl programot.$ sudo /etc/init.d/nfs-kernel-server restart
$ sudo exportfs a vAz exportfs parancs segtsgvel karbantarthat a kzztett (exportlt) knyvtrak tblzata. A a parancs hatsra a konfigurcis llomnyban megadott sszes llomnyt exportljuk, mg a v kapcsol hatsra rszletes informcit kapunk a parancs eredmnyrl.
NFS kliens teleptse s belltsaAz albbi belltsokat a kliens virtulis gpen kell vgrehajtani.
A megoszts ignybevtele, azaz a megosztott knyvtr hasznlata gy lehetsges, hogy a kliens gp knyvtrrendszerben egy knyvtrhoz felcsatoljuk a szerver ltal megosztott knyvtrat. Ezt kveten a felhasznl szmra a tvoli knyvtr ugyangy jelenik meg s ugyangy hasznlhat, mint egy helyi knyvtr.
Hozzuk ltre a knyvtrfban azt a mappt, ahova fel kvnjuk csatolni a kiszolgl ltal megosztott knyvtrat. $mkdir /home/hallgato/megosztas Kvetkez lpsknt felcsatoljuk (importljuk) a kiszolgl ltal megosztott knyvtrat:$ sudo mount t nfs 192.168.1.254:/home/megosztas /home/hallgato/megosztas
A fenti konfigurci valjban egy sor, csak az oldalszlessg korlt miatt jelenik meg fentebb kt sorban.
A kliens gp lelltsakor a felcsatols megsznik. Amennyiben azt szeretnnk, hogy minden indtskor automatikusan csatoldjon fel a knyvtr, akkor az /etc/fstab llomnyba egy j sort kell rnunk. Ehhez nyissuk meg az llomnyt.
$ sudo nano /etc/fstab
Helyezzk:
192.168.1.254:/home/megosztas /home/hallgato/megosztas nfs rw,hard,intr 0 0
Mentsk el az llomnyt, majd prbljuk ki a belltst.
$ sudo mount /home/hallgato/megosztasMegoszts Samba segtsgvelA Samba segtsgvel knyvtrakat, nyomtatkat oszthatunk meg Linux s Windows opercis rendszert futtat gpek kztt. A megoszts kliens-szerver modellt kveti, ahol az erforrst megoszt gp a szerver, az erforrst ignybe vev gp a kliens.
A szerver esetben az eth0 interfsz:IPv4 cm: 10.0.2.15
Hlzati maszk: 255.255.255.0
Alaprtelmezett tjr: 10.0.2.2
Hlzat: 10.0.2.0
zenetszrsi cm: 10.0.2.255
DNS kiszolgl: 10.1.51.23
Nvkeressi tartomnyok: gyakorlat.proba.petrik.hu
A szerver eth1 interfsznek belltsa az albbi lesz:
IPv4 cm: 192.168.1.254
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255A munkalloms eth0 interfsznek konfigurcija megegyezik a szerver eth0 interfsznek konfigurcijval. A munkalloms eth1 interfsznek konfigurcija az albbi lesz:
IPv4 cm: 192.168.1.2
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255
DNS kiszolgl: 192.168.1.254
Nvkeressi tartomnyok: gyakorlat.proba.petrik.huSamba kiszolgl teleptse$ sudo mkdir /home/smbmegosztas
$ sudo chown hallgato /home/smbmegosztas
$ sudo chgrp hallgato /home/smbmegosztasMegj.: A Filesystem Hierarchy Standard ajnlsa szerint a megosztott knyvtrakat a /srv/samba knyvtr al ajnlott elhelyezni.$ sudo apt-get update
$ sudo apt-get install samba smbfs
Nyissuk meg a konfigurcis llomnyt.
$ sudo nano /etc/samba/smb.confElsknt lltsuk be a munkacsoport nevt. Ehhez megkeressk a megfelel sort (workgroup), majd az egyenlsg jel utni rszt megvltoztatjuk. workgroup=GYAKORLATAz albbiakban a legtbb bellts esetben hasonlkppen fogunk eljrni. Amennyiben valamelyik kulcs (pl. netbios name) nem szerepel a kezdeti konfigurcis llomnyban, akkor a teljes sort begpeljk, egybknt csak az egyenlsg jel utni rszt mdostjuk. Nhny esetben a kulcs (pl. security) kezdetben megjegyzsben ll, ilyenkor el kell tvoltani a sor elejn ll pontosvesszt.
Msodik belltsunk a gp NetBIOS neve lesz (ezt be kell gpelni): netbios name=petrik-szerverEzt kveten a megosztsok biztonsgi modelljt (szintjt) felhasznlira lltjuk. Ez azt jelenti, hogy egyedi felhasznli nvvel s jelszval frhetnek hozz a megosztott erforrsokhoz, illetve felhasznlnknt szablyozhatjuk a jogosultsgokat. security=user Bekapcsoljuk a Samba szerver WINS szolgltatst, ami azt jelenti, hogy szervernk egy Windows Internet Name Service kiszolgl feladatait is el fogja ltni. A kulcs kezdetben megjegyzsben van. wins support=yes Engedlyezzk, hogy a Samba szerver megksrelje a megvltoztatott Samba jelszavakat a Linux jelsz adatbzisban is rvnyesteni. unix password sync=yes Az ltalnos belltsok utn ltrehozunk egy megosztst. A knyvtrat szeretnnk megosztani a hallgato nev felhasznl szmra. A konfigurcis llomny vgn ltrehozunk egy j szakaszt az j megoszts szmra.
[smbmegosztas]
Adunk hozz egy rvid magyarz szveget.
comment=Ez egy megoszts
Belltjuk az elrsi tvonalt s a hozzfrs szablyozst. Legyen a knyvtr rhat.
writeable=yes
path=/home/smbmegosztas Jelsz nlkl ne lehessen hozzfrni
public=no Ne legyen rejtett, jelenjen meg a megosztsok listjban
browseable=yes A hallgato felhasznl rhatja s olvashatja.
read list=hallgato
write list=hallgato Mentsk el a konfigurcis llomnyt, majd teszteljk azt.
$ sudo testparmA rendszer adatbzisai a /var/lib/samba knyvtrban tallhatak
Vegyk fel a hallgato felhasznlt a Samba adatbzisba. $ sudo smbpasswd -a hallgato A jelsz legyen hallgato.
Indtsuk el/jra a szervert. $ sudo service smbd restartSamba kliens teleptse s konfigurlsaHozzunk ltre egy smbkliens nev knyvtrat, ide fogjuk felcsatolni a szerver ltal megosztott mappt. $ mkdir /home/hallgato/smbmegosztas$ sudo apt-get update
$ sudo apt-get install smbfs smbclient
Krdezzk le a kiszolgl ltal megosztott knyvtrakat.
$ smbclient -L ubuntu-server -N
A Sharename oszlopban meg kell jelenjen az smbmegosztas sor.
Hajtsuk vgre a felcsatolst.
$sudo smbmount //192.168.1.254/smbmegosztas /home/hallgato/smbmegosztas -o username=hallgato
Lpjnk be a knyvtrba, s hozzunk ltre ott egy j szveges llomnyt. Lpjnk ki a knyvtrbl, majd csatoljuk azt le.
$sudo smbumount /home/hallgato/smbmegosztas/
Ha azt szeretnnk, hogy minden indtskor automatikusan csatoldjon fel a knyvtr, akkor az /etc/fstab llomnyba egy j sort kell rnunk. Ehhez nyissuk meg az llomnyt.
$sudo nano /etc/fstab
Helyezzk el a kvetkez sort (egyetlen sorba rva, s a sor vgn az Enter-t lenyomva): //192.168.1.254/smbmegosztas /home/hallgato/smbmegosztas smbfs username=hallgato,password=hallgato,umask=000 0 0$sudo mount /home/hallgato/smbmegosztasA hlzati cmfordts (NAT) megvalstsaCsomagszr tzfalak, illetve a cmfordtsra kpes hlzati eszkzk (pl. router) kiegszt szolgltatsa, mely lehetv teszi a bels hlzatra gpek kzvetlen kommunikcijt tetszleges protokollokon keresztl kls gpekkel anlkl, hogy azoknak sajt nyilvnos IP-cmmel kellene rendelkeznik. A hlzati cmfordt a bels gpekrl rkez csomagokat az internetre tovbbts eltt gy mdostja, hogy azok feladjaknt sajt magt tnteti fel, gy az azokra rkez vlaszcsomagok is hozz kerlnek majd tovbbtsra.A cmfordts tpusai A cmfordts tbbfle sma szerint kerlhet megvalstsra, amelyekben a fordts jellege, illetve a portok s protokollok kezelse tr el egymstl. A cmek s a portok eltt ll vastagbets b- s k- eltagok a bels s kls fogalmakat rvidtik a magyarzatok egyszerbb tlthatsgnak rdekben.Egy az egyben cmfordts (Full cone NAT) Amikor egy bels cm (b-Cm:b-Port) egy kls cmre fordul (k-Cm:k-Port), brmilyen csomag a bels cmrl (b-Cm:b-Port) a kls cmen (k-Cm:k-Port) keresztlkerl kikldsre.
Cmhez kttt cmfordts (Address Restricted cone NAT)Amikor egy bels cm (b-Cm:b-Port) egy kls cmre fordul (k-Cm:k-Port), brmilyen csomag a bels cmrl (b-Cm:b-Port) a kls cmen (k-Cm:k-Port) keresztl kerl kikldsre.
Porthoz s cmhez kttt cmfordts (Port-Restricted cone NAT) Hasonl mint az elz (Address) Restricted cone NAT, de a megkts a portszmra is vonatkozik.
Amikor egy bels cm (b-Cm:b-Port) egy kls cmre fordul (k-Cm:k-Port), brmilyen csomag a bels cmrl (b-Cm:b-Port) a kls cmen (k-Cm:k-Port) keresztl kerl kikldsre.
Szimmetrikus cmfordts (Symmetric NAT) Brmilyen krs egy adott bels (b-Cm:b-Port) gprl, amely egy kls (k-Cm:k-Port)-ra irnyul egy egyedi kls cmre s portra fordul, amit a kls gp forrsnak tekint (ahov majd vlaszolnia kell, ha el akarja rni a bels gpet).
A legtbb cmfordtsi megolds kombinlja egymssal az egyes tpusokat.
A szerver esetben az eth0 interfsz:IPv4 cm: 10.0.2.15
Hlzati maszk: 255.255.255.0
Alaprtelmezett tjr : 10.0.2.2
Hlzat: 10.0.2.0
zenetszrsi cm: 10.0.2.255
DNS kiszolgl: 10.1.51.23, 10.1.51.25
Nvkeressi tartomnyok: proba.petrik.hu A szerver eth1 interfsznek belltsa az albbi lesz: IPv4 cm: 192.168.1.254
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255 A munkalloms eth0 interfsznek konfigurcija az albbi lesz:IPv4 cm: 192.168.1.2
Hlzati maszk: 255.255.255.0
Hlzat: 192.168.1.0
zenetszrsi cm: 192.168.1.255Tzfal belltsaNetfilter alrendszert, amely a kiszolglra irnyul vagy azon tmen hlzati forgalom sorsnak befolysolsra vagy eldntsre hasznlhat. A kernel csomagszr rendszere kevss lenne hasznlhat a kezelsre szolgl, felhasznli trbl hasznlhat fellet nlkl. Amikor egy csomag elri a kiszolgljt, tkerl a Netfilter alrendszerhez elfogadsra, mdostsra vagy elutastsra, a felhasznli trbl az iptables segtsgvel megadott szablyok alapjn. gy ha jl ismeri, akkor egyedl az iptablesre van szksg a tzfal kezelsre, de szmos elttprogram rhet el a feladat egyszerstsre.Az Ubuntu alaprtelmezett tzfalbellt eszkze az ufw. Az iptables belltsnak megknnytsre tervezett ufw felhasznlbart mdon teszi lehetv IPv4 vagy IPv6 kiszolgl alap tzfal ltrehozst.A tzfal engedlyezse: $ sudo ufw enable
A klnbz portok megnyitshoz, engedlyezshez az allow utasts szksges: $ sudo ufw allow 80 a http port engedlyezse A deny parancsal lehet a nyitott portot bezrni:
$ sudo ufw deny 80 a http port tiltsa
A tzfal szablyokat szmozott rendben is fl tudjuk venni: $sudo ufw insert 1 allow 631/tcp nyomtat megoszts A tzfal szably eltvoltshoz a delete parancs szksges: $ sudo ufw delete deny 80 Engedlyezni lehet egy adott hlzatrl vagy kiszolglrl a hozzfrst egy porthoz. Az albbi pldval megadjuk az SSH hozzfrst a 192.168.1.10 IP-cm gp szmra brmely IP-cmhez ezen a kiszolgln: $ sudo ufw allow proto tcp from 192.168.1.10 to any port 22 Engedlyezhet az SSH hozzfrs egy teljes alhlzatbl is: $ sudo ufw allow proto tcp from 192.168.1.0/24 to any port 22A NAT teleptse s konfigurlsaAz IP lczs clja, hogy a privt, nem kzvetthet IP cmekkel rendelkez gpek elrjk az internetet az lczst vgz gpen keresztl.Az IP lczst ufw szablyok segtsgvel valstjuk meg. Ezek aszerint vannak kt llomnyra klnvlasztva, hogy a parancssori ufw szablyok eltt (before.rules) vagy utn (after.rules) kerlnek-e vgrehajtsra.
Els lpsknt engedlyezzk a csomagtovbbtst. Ehhez nyissuk meg szerkesztsre a /etc/default/ufw llomnyt:$ sudo nano /etc/default/ufwDEFAULT FORWARD POLICY=DROP
belltst cserljk
DEFAULT FORWARD POLICY=ACCEPT
-ra, s mentsk az llomnyt. Ezt kveten nyissuk meg szerkesztsre a /etc/ufw/sysctl.conf llomnyt,
$ sudo mcedit /etc/ufw/sysctl.confvegyk ki a megjegyzsbl a net/ipv4/ip_forward=1 sort. Amennyiben az IPv6 csomagtovbbtst is engedlyezni kvnjuk, akkor a net/ipv6/conf/default/forwarding=1 sort is vegyk ki megjegyzsbl. Mentsk az llomnyt.
Msodik lpsknt konfigurlnunk kell a nat tblt, mivel alaprtelmezs szerint csak a filter tbla konfigurlt. Ehhez nyissuk meg szerkesztsre a /etc/ufw/before.rules llomnyt
$ sudo mcedit /etc/ufw/before.rules
A bevezet megjegyzs (#) sorokat kveten helyezzk el az albbiakat# nat tbla szablyai *nat:POSTROUTING ACCEPT [0:0]
# Tovbbtsa az eth1-rl rkez forgalmat az eth0-n keresztl -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE
COMMIT
Utols lpsknt letiltjuk, s jra engedlyezzk az ufw szoftver mkdst
$ sudo ufw disable
$ sudo ufw enableOpenSSH kiszolglHlzatba kapcsolt szmtgpek tvoli felgyeletre, s az ezek kzti adattvitelre hasznlhat hatkony eszkzk.
Secure Shell (SSH) protokollcsaldjnak szabadon elrhet verzija.Atelnetvagy azrcp, nem biztonsgosak, mert a felhasznl jelszavt egyszer szvegknt viszik t. Az OpenSSH egy kiszolgldmont s klienseszkzket biztost a biztonsgos, titkostott tvoli felgyelet s fjltviteli mveletek megknnytsre, hatkonyan helyettestve a hagyomnyos eszkzket.Az OpenSSH kiszolglkomponense, azsshdfolyamatosan figyeli a klienskapcsolatokat a klienseszkzktl. Kapcsoldsi krs rkezsekor azsshda kapcsold klienseszkztl fggen ltrehozza a megfelel kapcsolatot. Ha pldul a tvoli szmtgp azsshkliensalkalmazssal kapcsoldik, akkor az OpenSSH kiszolgl hitelests utn ltrehoz egy tvoli felgyeleti munkamenetet. Ha a tvoli felhasznl az OpenSSH kiszolglhoz azscphasznlatval csatlakozik, akkor az OpenSSH kiszolgldmon a hitelests utn fjlok biztonsgos msolst kezdemnyezi a kiszolgl s a kliens kztt. Az OpenSSH szmos hitelestsi mdszert hasznlhat, tbbek kzt egyszer szveges jelszt, nyilvnos kulcsot sKerberosjegyeket.
sudo apt-get install openssh-client
sudo apt-get install openssh-server/etc/ssh/sshd_config$ sudo nano /etc/ssh/sshd_config
A konfigurcis fjl szerkesztse eltt ksztsen msolatot az eredeti fjlrl, s tegye rsvdett, gy referenciaknt megmaradnak az eredeti belltsok, s szksg esetn jra felhasznlhatja azokat.
A kvetkez parancsok kiadsval msolja le az/etc/ssh/sshd_configfjlt, s tegye rsvdett:
sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.originalsudo chmod a-w /etc/ssh/sshd_config.originalMdostsa a Port direktvtPort 2222Engedlyezze a nyilvnos kulcs alap bejelentkezst
PubkeyAuthentication yessudo /etc/init.d/ssh restart1
top related