BaseALT — стабильная Linux-платформа для сетевой и серверной инфраструктуры. Предсказуемое поведение системы, контроль пакетов и конфигурации.
base/alt
Настройка сервера для IpTables
Base/ALT
Проверка сети:
Переименование машины:
Часовой пояс:
Настройка iptables:
Настройка сети:
ip -c a
ping 8.8.8.8
sysctl -a | grep “ip_forward”
ping 8.8.8.8
sysctl -a | grep “ip_forward”
hostnamectl set-hostname isp.myau-team.cat
apt-get install tzdata
timedatectl set-timezone Europe/Moscow
timedatectl
timedatectl set-timezone Europe/Moscow
timedatectl
apt-get update && apt-get install -y iptables
ip -c -br a – просматриваем нужный интерфейс DHCP
iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
iptables -t nat -L -n -v – проверка правила
iptables-save >> /etc/sysconfig/iptables – сохранение
systemctl enable --now iptables - автозагрузка
iptables -t nat -L -n -v
ip -c -br a – просматриваем нужный интерфейс DHCP
iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE
iptables -t nat -L -n -v – проверка правила
iptables-save >> /etc/sysconfig/iptables – сохранение
systemctl enable --now iptables - автозагрузка
iptables -t nat -L -n -v
ip -c a – просматриваем названия адаптеров
ls /etc/net/ifaces/ - просмотр списка файлов адаптера
mkdir -p /etc/net/ifaces/ens{4,5} – создание новых папок для сетевых адаптеров
vim /etc/net/ifaces/enp6s19/options – внутри прописать TYPE=eth
vim /etc/net/ifaces/enp6s20/options – внутри прописать TYPE=eth
echo “192.168.1.1/28” > /etc/net/ifaces/ens4/ipv4address – назначение IP
echo “192.168.2.1/28” > /etc/net/ifaces/ens5/ipv4address - назначение IP
vim /etc/net/sysctl.conf – поменять 0 на 1 в net.ipv4.ip_forward = 0
vim /etc/resolv.conf – внутри прописать nameserver 8.8.8.8
ls /etc/net/ifaces/ - просмотр списка файлов адаптера
mkdir -p /etc/net/ifaces/ens{4,5} – создание новых папок для сетевых адаптеров
vim /etc/net/ifaces/enp6s19/options – внутри прописать TYPE=eth
vim /etc/net/ifaces/enp6s20/options – внутри прописать TYPE=eth
echo “192.168.1.1/28” > /etc/net/ifaces/ens4/ipv4address – назначение IP
echo “192.168.2.1/28” > /etc/net/ifaces/ens5/ipv4address - назначение IP
vim /etc/net/sysctl.conf – поменять 0 на 1 в net.ipv4.ip_forward = 0
vim /etc/resolv.conf – внутри прописать nameserver 8.8.8.8
Настройка сети:
ip -c a – просматриваем названия адаптеров
ls /etc/net/ifaces/ - просмотр списка файлов адаптера
vim /etc/net/ifaces/ens3/options – оставляем только TYPE=eth, BOOTPROTO=static
echo ”192.168.20.2/28” > /etc/net/ifaces/ens3/ipv4address
echo ”default via 192.168.20.1” > /etc/net/ifaces/ens3/ipv4route
vim /etc/net/ifaces/ens3/resolv.conf - вводим две строчки:
search au-team.irpo
nameserver 192.168.100.2
systemctl restart network
ls /etc/net/ifaces/ - просмотр списка файлов адаптера
vim /etc/net/ifaces/ens3/options – оставляем только TYPE=eth, BOOTPROTO=static
echo ”192.168.20.2/28” > /etc/net/ifaces/ens3/ipv4address
echo ”default via 192.168.20.1” > /etc/net/ifaces/ens3/ipv4route
vim /etc/net/ifaces/ens3/resolv.conf - вводим две строчки:
search au-team.irpo
nameserver 192.168.100.2
systemctl restart network
Проверка настройки сети
Переименовать устройство
ip -c a
ip -r r
ping роутера
ip -r r
ping роутера
hostnamectl set-hostname mur-srv.au-team.irpo
exec bash
exec bash
базовая настройка ОС
Проверка:
ovs-vsctl show
Переименовать устройство
hostnamectl set-hostname mur-sw.myau-team.cat
Настройка SW:
ip -c -br a – просматриваем названия адаптеров
ls /etc/net/ifaces/ - просмотр списка файлов адаптера
mv /etc/net/ifaces/{ens18, enp6s18} – первое значение адаптер, который есть на машине. Второе значение на что мы переименовываем (берем из ip a)
mkdir -p /etc/net/ifaces/enp6s{19,20} – создание новых папок для сетевых адаптеров
vim /etc/net/ifaces/enp6s18/options – внутри прописать
TYPE=eth
BOOTPROTO=static
Так сделать для всех трех интерфейсов
systemctl restart network
systemctl enable --now openvswitch
ovs-vsctl add-br sw1
ovs-vsctl add-port sw1 enp6s18 trunks=100, 200, 999
ovs-vsctl add-port sw1 enp6s19 tag=100
ovs-vsctl add-port sw1 enp6s20 tag=200
vim /etc/sysctl.conf – поменять 0 на 1 в net.ipv4.ip_forward = 0
sysctl -p
modprobe 8021q
reboot
ls /etc/net/ifaces/ - просмотр списка файлов адаптера
mv /etc/net/ifaces/{ens18, enp6s18} – первое значение адаптер, который есть на машине. Второе значение на что мы переименовываем (берем из ip a)
mkdir -p /etc/net/ifaces/enp6s{19,20} – создание новых папок для сетевых адаптеров
vim /etc/net/ifaces/enp6s18/options – внутри прописать
TYPE=eth
BOOTPROTO=static
Так сделать для всех трех интерфейсов
systemctl restart network
systemctl enable --now openvswitch
ovs-vsctl add-br sw1
ovs-vsctl add-port sw1 enp6s18 trunks=100, 200, 999
ovs-vsctl add-port sw1 enp6s19 tag=100
ovs-vsctl add-port sw1 enp6s20 tag=200
vim /etc/sysctl.conf – поменять 0 на 1 в net.ipv4.ip_forward = 0
sysctl -p
modprobe 8021q
reboot
настройка openvswitch
Настройка удаленного доступа SSH
systemctl status sshd.service
ssh -p 2026 user@localhost
два раза неправильный пароль – проверка кол-ва попыток
ssh -p 2026 sshuser@localhost
пароль P@ssw0rd
whoami
logout
ssh -p 2026 user@localhost
два раза неправильный пароль – проверка кол-ва попыток
ssh -p 2026 sshuser@localhost
пароль P@ssw0rd
whoami
logout
echo “Authorized access only” > /etc/openssh/banner
systemctl restart sshd.service
systemctl restart sshd.service
Проверка:
Настройка в файле sshd_config:
Настройка в файле vim /etc/openssh/sshd_config:
chown root:named /etc/bind/zone/myau-team.cat.zone
chown root:named /etc/bind/zone/168.192.in-addr.arpa
systemctl enable --now bind
systemctl status bind.service
chown root:named /etc/bind/zone/168.192.in-addr.arpa
systemctl enable --now bind
systemctl status bind.service
cp /etc/bind/zone/empty /etc/bind/zone/myau-team.cat.zone
cp /etc/bind/zone/empty /etc/bind/zone/168.192.in-addr.arpa
cp /etc/bind/zone/empty /etc/bind/zone/168.192.in-addr.arpa
Выдача прав и автозагрузка:
Создание файлов:
Проверка:
Часовой пояс:
apt-get install tzdata
timedatectl set-timezone Europe/Moscow
timedatectl
timedatectl set-timezone Europe/Moscow
timedatectl
НАСТРОЙКА DNS и часового пояса
Файл обратной:
vim /etc/bind/rfc1912.conf
Файл прямой:
vim /etc/bind/options.conf
СЕТЕВОЕ ВРЕМЯ CHRONY
Настройка:
vim /etc/chrony.conf:
pool 192.168.1.1
pool 192.168.1.1
Проверка:
chronyc sources
Проверка групп и пользователей:
samba-tool group listmembers kis
samba-tool group listmembers mur
Добавление групп и пользователей:
samba-tool group add mur
samba-tool group add kis
for i in {1..5};
do
samba-tool user add muruser$i P@ssw0rd;
samba-tool user setexpiry muruser$i --noexpiry;
samba-tool group addmembers "mur" muruser$i;
done
for i in {1..5};
do
samba-tool user add kisuser$i P@ssw0rd;
samba-tool user setexpiry kisuser$i --noexpiry;
samba-tool group addmembers "kis" kisuser$i;
done
samba-tool group add kis
for i in {1..5};
do
samba-tool user add muruser$i P@ssw0rd;
samba-tool user setexpiry muruser$i --noexpiry;
samba-tool group addmembers "mur" muruser$i;
done
for i in {1..5};
do
samba-tool user add kisuser$i P@ssw0rd;
samba-tool user setexpiry kisuser$i --noexpiry;
samba-tool group addmembers "kis" kisuser$i;
done
НАСТРОЙКА SAMBA DC
НАСТРОЙКА ANSIBLE
vim /etc/ansible/hosts
[mur]
hq-srv ansible_host=192.168.100.2 ansible_port=2026 ansible_ssh_user=root ansible_ssh_pass=toor
hq-cli ansible_host=192.168.200.2 ansible_port=22 ansible_ssh_user=root ansible_ssh_pass=toor
hq-rtr ansible_host=192.168.1.2 ansible_port=22 ansible_ssh_user=net_admin ansible_ssh_pass=P@ssw0rd ansible_connection=network_c
li ansible_network_os=ios
[kis]
kis-rtr ansible_host=192.168.2.2 ansible_port=22 ansible_ssh_user=net_admin ansible_ssh_pass=P@ssw0rd ansible_connection=network_c
li ansible_network_os=ios
kis-cli ansible_host=192.168.30.2 ansible_port=22 ansible_ssh_user=root ansible_ssh_pass=toor
[mur]
hq-srv ansible_host=192.168.100.2 ansible_port=2026 ansible_ssh_user=root ansible_ssh_pass=toor
hq-cli ansible_host=192.168.200.2 ansible_port=22 ansible_ssh_user=root ansible_ssh_pass=toor
hq-rtr ansible_host=192.168.1.2 ansible_port=22 ansible_ssh_user=net_admin ansible_ssh_pass=P@ssw0rd ansible_connection=network_c
li ansible_network_os=ios
[kis]
kis-rtr ansible_host=192.168.2.2 ansible_port=22 ansible_ssh_user=net_admin ansible_ssh_pass=P@ssw0rd ansible_connection=network_c
li ansible_network_os=ios
kis-cli ansible_host=192.168.30.2 ansible_port=22 ansible_ssh_user=root ansible_ssh_pass=toor
Настройка в файле /etc/ansible/hosts:
ansible all -m ping
После настройки перезагрузить все устройства !!!
Проверка:
web-based аутентификация
htpasswd -c /etc/nginx/.htpasswd WEB
apt-get update
apt-get install apache2-htpasswd –y
htpasswd -c /etc/nginx/.htpasswd WEB
apt-get install apache2-htpasswd –y
htpasswd -c /etc/nginx/.htpasswd WEB
Проверка:
Настройка:
НАСТРОЙКА вЕБ-ПРИЛОЖЕНИЯ
systemctl restart mariadb
systemctl restart httpd2
systemctl restart httpd2
CREATE USER ‘webc’@’localhost’ IDENTIFIED BY ‘P@ssw0rd’;
GRANT ALL PRIVILEGES ON webdb.* TO ‘webc’@’localhost’ WITH GRANT OPTION;
EXIT;
mariadb –u webc –p –D webdb < /mnt/web/dump.sql
GRANT ALL PRIVILEGES ON webdb.* TO ‘webc’@’localhost’ WITH GRANT OPTION;
EXIT;
mariadb –u webc –p –D webdb < /mnt/web/dump.sql
mount /dev/sr0 /mnt
cp /mnt/web/index.php /var/www/html/
cp /mnt/web/logo.png /var/www/html/
vim/var/www/html/index.php
cp /mnt/web/index.php /var/www/html/
cp /mnt/web/logo.png /var/www/html/
vim/var/www/html/index.php
Перезагрузка после настройки:
Настройка mariadb:
Настройка:
обратная связь
Если у Вас возникли вопросы или Вы нашли ошибку на сайте напишите нам