Dearbhadh Squid + PAM ann an CentOS 7- SMB Networks

Clàr-amais coitcheann an t-sreath: Lìonraidhean coimpiutair airson SMEn: Ro-ràdh

Halo charaidean is charaidean!

Bu chòir tiotal an artaigil a bhith: «Seirbheis Geata MATE + NTP + Dnsmasq + + Apache + Squid le Dearbhadh PAM ann an Centos 7 - Lìonraidhean SME«. Airson adhbharan practaigeach bidh sinn ga ghiorrachadh.

Bidh sinn a ’leantainn leis an dearbhadh do luchd-cleachdaidh ionadail air coimpiutair Linux a’ cleachdadh PAM, agus an turas seo chì sinn mar as urrainn dhuinn Squid a thoirt don t-seirbheis Proxy airson lìonra beag de choimpiutairean, le bhith a ’cleachdadh na teisteanasan dearbhaidh a tha air an stòradh air an aon choimpiutair far a bheil an frithealaiche. a ’ruith Squid.

Ged a tha fios againn gu bheil e na chleachdadh gu math cumanta an-diugh, seirbheisean a dhearbhadh an aghaidh OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, msaa, tha sinn den bheachd gum feum sinn an toiseach a dhol tro fhuasglaidhean sìmplidh is saor, agus an uairsin aghaidh a thoirt air an fheadhainn as iom-fhillte. fheadhainn. Tha sinn a ’creidsinn gum feum sinn a dhol bhon sìmplidh chun an toinnte.

Clàr-innse

Ìre

Is e buidheann beag a th ’ann - le glè bheag de ghoireasan ionmhais - a tha coisrigte ri bhith a’ toirt taic do chleachdadh bathar-bog an-asgaidh agus a thagh ainm BhoLinux.Fan. Tha iad nan diofar Enthusiasts OS CentOS air an cruinneachadh ann an aon oifis. Cheannaich iad stèisean-obrach - chan e frithealaiche proifeasanta - a bheir iad seachad airson a bhith ag obair mar "fhrithealaiche."

Chan eil eòlas farsaing aig luchd-dealasach air mar as urrainn dhut frithealaiche OpenLDAP no Samba 4 AD-DC a bhuileachadh, agus chan urrainn dhaibh pàigheadh ​​airson cead a thoirt do Microsoft Active Directory. Ach, feumaidh iad seirbheisean ruigsinneachd eadar-lìn tro neach-ionaid airson an obair làitheil - gus brobhsadh a luathachadh - agus àite gus na sgrìobhainnean as luachmhoire aca a shàbhaladh agus obrachadh mar lethbhric cùl-taic.

Bidh iad fhathast mar as trice a ’cleachdadh siostaman obrachaidh Microsoft a chaidh fhaighinn gu laghail, ach tha iad airson an atharrachadh gu Siostaman Obrachaidh stèidhichte air Linux, a’ tòiseachadh leis an “Fhrithealaiche” aca.

Tha iad cuideachd ag amas air an t-seirbheisiche puist aca fhèin a bhith neo-eisimeileach - co-dhiù bhon tùs - seirbheisean leithid Gmail, Yahoo, HotMail, msaa, a tha iad a ’cleachdadh an-dràsta.

Stèidhichidh na Riaghailtean Firewall agus Routing an aghaidh an eadar-lìn e anns an ADSL Router fo chùmhnant.

Chan eil fìor ainm fearainn aca oir chan fheum iad seirbheis sam bith fhoillseachadh air an eadar-lìn.

CentOS 7 mar fhrithealaiche às aonais GUI

Tha sinn a ’tòiseachadh bho stàladh ùr de fhrithealaiche às aonais eadar-aghaidh grafaigeach, agus is e an aon roghainn a thaghas sinn tron ​​phròiseas«Frithealaiche bun-structair»Mar a chunnaic sinn ann an artaigilean roimhe san t-sreath.

Roghainnean tùsail

[root @ linuxbox ~] # cat / etc / ainm aoigheachd 
linuxbox

[root @ linuxbox ~] # cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox

[root @ linuxbox ~] # ainm aoigheachd
linuxbox

[root @ linuxbox ~] # ainm aoigheachd -f
linuxbox.fromlinux.fan

[root @ linuxbox ~] # ip addr liosta
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 lo

Bidh sinn a ’dì-chomasachadh Manaidsear an Lìonra

[root @ linuxbox ~] # systemctl stad NetworkManager

[root @ linuxbox ~] # systemctl cuir à comas NetworkManager

[root @ linuxbox ~] # inbhe systemctl NetworkManager
● NetworkManager.service - Manaidsear Lìonra air a luchdachadh: air a luchdachadh (/usr/lib/systemd/system/NetworkManager.service; ciorramach; ro-reic reiceadair: air a chomasachadh) Gnìomhach: neo-ghnìomhach (marbh) Docs: fear: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

Bidh sinn a ’rèiteachadh eadar-aghaidh an lìonraidh

Eadar-aghaidh Ens32 LAN ceangailte ris an Lìonra a-staigh

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = poblach

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Eadar-aghaidh Ens34 WAN ceangailte ris an eadar-lìn

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = tha BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Tha an t-slighe ADSL ceangailte ris # an eadar-aghaidh seo le # an seòladh a leanas GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = taobh a-muigh

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Rèiteachadh stòran

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # mkdir tùsail
[root @ linuxbox ~] # mv Centos- * tùsail /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum glan a h-uile càil
Plugins air an luchdachadh: fastmirror, langpacks Glanadh stòran: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Ùrachaidhean-Repo A ’glanadh a h-uile càil A’ glanadh liosta de na sgàthanan as luaithe
[root @ linuxbox yum.repos.d] # ùrachadh yum
Plugins luchdaichte: quickmirror, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Ùrachaidhean-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Ùrachaidhean-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 A ’dearbhadh na sgàthan as luaithe Chan eil pacaidean air an comharrachadh airson ùrachadh

An teachdaireachd "Chan eil pasganan air an comharrachadh airson ùrachadh»Air a shealltainn oir rè an stàlaidh chuir sinn an cèill na h-aon stòran ionadail a tha againn.

Centos 7 leis an àrainneachd deasg MATE

Gus na h-innealan rianachd fìor mhath a chleachdadh le eadar-aghaidh grafaigeach a bheir CentOS / Red Hat dhuinn, agus leis gu bheil sinn an-còmhnaidh ag ionndrainn GNOME2, chuir sinn romhainn MATE a chuir a-steach mar àrainneachd deasg.

[root @ linuxbox ~] # yum groupinstall "Siostam uinneig X"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Gus dèanamh cinnteach gu bheil an MATE a ’luchdachadh gu ceart, bidh sinn a’ cur an gnìomh an àithne a leanas ann an consol -local no iomallach-:

[root @ linuxbox ~] # systemctl isolate graphical.target

agus bu chòir an àrainneachd deasg a luchdachadh -air an sgioba ionadail- gu rèidh, a ’sealltainn an solas mar logadh a-steach grafaigeach. Bidh sinn a ’taipeadh ainm an neach-cleachdaidh ionadail agus am facal-faire aige, agus thèid sinn a-steach don MATE.

Gus innse don siostam gur e an àrainneachd tòiseachaidh bunaiteach 5-àrainneachd àrainneachdail - bidh sinn a ’cruthachadh a’ cheangal samhlachail a leanas:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

Bidh sinn ag ath-nuadhachadh an t-siostam agus bidh a h-uile dad ag obair gu math.

Bidh sinn a ’stàladh an t-Seirbheis Ùine airson Lìonraidhean

[root @ linuxbox ~] # yum install ntp

Rè an stàladh bidh sinn a ’rèiteachadh gum bi an gleoc ionadail air a shioncronachadh le frithealaiche ùine na h-uidheamachd sysadmin.fromlinux.fan le IP 192.168.10.1. Mar sin, sàbhalaidh sinn am faidhle ntp.conf tùsail le:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

A-nis, bidh sinn a ’cruthachadh fear ùr leis an t-susbaint a leanas:

[root @ linuxbox ~] # nano /etc/ntp.conf # Frithealaichean air an rèiteachadh rè an stàlaidh: frithealaiche 192.168.10.1 iburst # Airson tuilleadh fiosrachaidh, faic duilleagan an duine de: # ntp.conf (5), ntp_acc (5) , ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Leig le sioncronadh leis an stòr ùine, ach chan eil # leig leis an stòr co-chomhairleachadh no atharrachadh a dhèanamh air an t-seirbheis seo a ’cuingealachadh ainm ainmichte notrap nopeer noquery # Leig le gach ruigsinneachd air an eadar-aghaidh Loopback cuingealachadh 127.0.0.1 cuingealachadh :: 1 # Cuir beagan nas lugha air coimpiutairean air an lìonra ionadail. cuir bacadh air 192.168.10.0 masc 255.255.255.0 nomodify notrap # Cleachd frithealaichean poblach a ’phròiseict pool.ntp.org # Ma tha thu airson a dhol a-steach don phròiseact tadhal air # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # craoladh frithealaiche craolaidh # cliant craolaidh #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # manycast server #manycastclient 239.255.254.254 autcasty #192.168.10.255 craoladh. 4 # Dèan comas air crioptachadh poblach. #crypto includefile / etc / ntp / crypto / pw # Prìomh fhaidhle anns a bheil na h-iuchraichean agus prìomh aithnichearan # air an cleachdadh nuair a bhios tu ag obair le iuchraichean crioptachaidh iuchrach co-chothromach / etc / ntp / iuchraichean # Sònraich na prìomh aithnichearan earbsach. #trustedkey 8 42 8 # Sònraich am prìomh aithnichear airson a chleachdadh leis a ’ghoireas ntpdc. #requestkey 8 # Sònraich am prìomh aithnichear airson a chleachdadh leis a ’ghoireas ntpq. #controlkey 2013 # Dèan comas air clàran staitistig a sgrìobhadh. #statistics clockstats cryptostats loopstats peerstats # Cuir à comas monitor secession gus casg a chuir air ionnsaighean # a ’cleachdadh an àithne monp ntpdc, nuair nach eil am bacadh # bunaiteach a’ toirt a-steach a ’bhratach noquery. Leugh CVE-5211-XNUMX # airson tuilleadh fiosrachaidh. # Nòta: Chan eil am Monitor ciorramach leis a ’bhratach cuibhreachaidh cuibhrichte. cuir à comas monitor

Bidh sinn a ’comasachadh, a’ tòiseachadh agus a ’sgrùdadh na seirbheis NTP

[root @ linuxbox ~] # inbhe systemctl ntpd
● ntpd.service - Seirbheis Ùine Lìonra air a luchdachadh: air a luchdachadh (/usr/lib/systemd/system/ntpd.service; ciorramach; ro-reic reiceadair: ciorramach) Gnìomhach: neo-ghnìomhach (marbh)

[root @ linuxbox ~] # systemctl comas ntpd
Cruthaichte symlink bho /etc/systemd/system/multi-user.target.wants/ntpd.service gu /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl tòiseachadh ntpd
[root @ linuxbox ~] # inbhe systemctl ntpd

[root @ linuxbox ~] # inbhe systemctl ntpdntpd.service - Seirbheis Ùine Lìonra
   Air a luchdachadh: air a luchdachadh (/usr/lib/systemd/system/ntpd.service; air a chomasachadh; ro-reic reiceadair: ciorramach) Gnìomhach: gnìomhach (a ’ruith) bho Dihaoine 2017-04-14 15:51:08 EDT; 1s ago Pròiseas: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Prìomh PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp agus am Balla-teine

[root @ linuxbox ~] # firewall-cmd --get-active-zone
taobh a-muigh
  eadar-aghaidh: ens34
poblach
  eadar-aghaidh: ens32

[root @ linuxbox ~] # firewall-cmd --zone = poblach --add-port = 123 / udp --permanent
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --reload
soirbheachadh

Bidh sinn a ’comasachadh agus a’ rèiteachadh an Dnsmasq

Mar a chunnaic sinn san artaigil roimhe san t-sreath Lìonraidhean Gnìomhachasan Beaga, tha Dnsamasq air a chuir a-steach gu bunaiteach air frithealaiche bun-structair CentOS 7.

[root @ linuxbox ~] # inbhe systemctl dnsmasq
● dnsmasq.service - frithealaiche tasgadan DNS. Air a luchdachadh: air a luchdachadh (/usr/lib/systemd/system/dnsmasq.service; ciorramach; ro-reic reiceadair: ciorramach) Gnìomhach: neo-ghnìomhach (marbh)

[root @ linuxbox ~] # systemctl comas dnsmasq
Air a chruthachadh symlink bho /etc/systemd/system/multi-user.target.wants/dnsmasq.service gu /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl tòiseachadh dnsmasq
[root @ linuxbox ~] # inbhe systemctl dnsmasq
● dnsmasq.service - frithealaiche tasgadan DNS. Air a luchdachadh: air a luchdachadh (/usr/lib/systemd/system/dnsmasq.service; air a chomasachadh; ro-reic reiceadair: ciorramach) Gnìomhach: gnìomhach (ruith) bho Dihaoine 2017-04-14 16:21:18 EDT; 4s ago Prìomh PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# ----------------------------------------------- ------------------ # ROGHAINNEAN COITCHEANN # ---------------------------- - -------------------------------------- fearann-fheumail # Na cuir seachad ainmean às aonais an àrainn part bogus-priv # Na cuir seachad seòlaidhean anns an àite neo-leasaichte leudachadh-hosts # Cuir gu fèin-obrachail an àrainn ris an eadar-aghaidh aoigheachd = ens32 # Interface LAN strict-order # Òrdugh gus am faidhle /etc/resolv.conf conf-dir a cheasnachadh = / etc /dnsmasq.d domain = desdelinux.fan # Seòladh ainm fearainn = / time.windows.com / 192.168.10.5 # A ’cur roghainn falamh de luach WPAD. Riatanach airson # Windos 7 agus luchd-dèiligidh às deidh sin a bhith gan giùlan fhèin gu ceart. ;-) dhcp-option = 252, "\ n" # Faidhle far an cuir sinn an cèill na HOSTS a bhios "toirmisgte" addn-hosts = / etc / banner_add_hosts local = / desdelinux.fan / # ------- --- ----------------------------------------------- --- ------- # REGISTROSCNAMEMXTXT # ------------------------------------- --- --------------------------- # Feumaidh an seòrsa clàraidh seo inntrigeadh # anns an fhaidhle / etc / hosts # me: 192.168.10.5 .10. coimpiutair. fan agus prìomhachas 10 mx-host = desdelinux.fan, mail.desdelinux.fan, 1 # Is e an ceann-uidhe bunaiteach airson clàran MX a thèid a chruthachadh # a ’cleachdadh an roghainn localmx: mx-target = mail.desdelinux.fan # A ’tilleadh clàr MX a’ comharrachadh an targaid mx airson A H-UILE # innealan ionadail localmx # TXT. Faodaidh sinn cuideachd clàr SPF ainmeachadh txt-record = desdelinux.fan, "v = spf4 a -all" txt-record = desdelinux.fan, "FromLinux, do bhlog coisrigte do bhathar-bog an-asgaidh" # -------- - ----------------------------------------------- - -------- # ATHARRACHADH AGUS CLEACHDAN # ------------------------------------ --- ---------------------------- # Tha raon IPv1 agus ùine màil # 29 gu 192.168.10.30,192.168.10.250,8 airson frithealaichean agus feumalachdan dhcp eile -range = 222. OPTIONS dhcp-option = 150 # NETMASK dhcp-option = 6 # ROUTER GATEWAY dhcp-option = 1234 # DNS Servers dhcp-option = 1,255.255.255.0, desdelinux.fan # DNS Ainm Domain dhcp-option = 3,192.168.10.5, 6,192.168.10.5 # roghainn ip-forwarding ON dhcp-option = 15 # BROADCAST dhcp-option = 19,1 # NTP dhcp-ùghdarrasach # DHCP ùghdarrasach air subnet # -------------- --- --------------- ----------------------------------- # Ma tha thu airson stòradh a-steach / var / log / messages an log de na ceistean # uncomment an loidhne gu h-ìosal # --------------------------------------- - --------------------------
# ceistean loga
# CRÌOCH faidhle /etc/dnsmasq.conf # --------------------------------------- ----------------------------

Bidh sinn a ’cruthachadh am faidhle / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 oifis192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Seòlaidhean IP stèidhichte

[root @ linuxbox ~] # nano / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6 192.168.10.5 linuxbox.fromlinux.fan linuxbox 192.168.10.1 sysadmin.fromlinux.fan sysadmin.fromlinux.fan

Bidh sinn a ’rèiteachadh am faidhle /etc/resolv.conf - fuasgladh

[root @ linuxbox ~] # nano /etc/resolv.conf
rannsaich desdelinux.fan nameserver 127.0.0.1 # Airson ceistean DNS taobh a-muigh no neo-àrainn # desdelinux.fan # local = / desdelinux.fan / nameserver 8.8.8.8

Bidh sinn a ’sgrùdadh criathradh faidhle dnsmasq.conf, bidh sinn a ’tòiseachadh agus a’ sgrùdadh inbhe na seirbheis

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: sgrùdadh criathradh ceart gu leòr.
[root @ linuxbox ~] # systemctl ath-thòiseachadh dnsmasq
[root @ linuxbox ~] # inbhe systemctl dnsmasq

Dnsmasq agus am Balla-teine

[root @ linuxbox ~] # firewall-cmd --get-active-zone
taobh a-muigh
  eadar-aghaidh: ens34
poblach
  eadar-aghaidh: ens32

Seirbheis àrainn o Frithealaiche Ainm Domain (dns). Pròtacal sèididh «IP le crioptachadh«

[root @ linuxbox ~] # firewall-cmd --zone = poblach --add-port = 53 / tcp --permanent
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --zone = poblach --add-port = 53 / udp --permanent
soirbheachadh

Ceistean Dnsmasq gu frithealaichean DNS taobh a-muigh

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
soirbheachadh

Seirbheis bootps o Frithealaiche BOOTP (dhcp). Pròtacal ippc «Prìomh phasgan pluribus eadar-lìn«

[root @ linuxbox ~] # firewall-cmd --zone = poblach --add-port = 67 / tcp --permanent
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --zone = poblach --add-port = 67 / udp --permanent
soirbheachadh

[root @ linuxbox ~] # firewall-cmd --reload
soirbheachadh

[root @ linuxbox ~] # firewall-cmd - poball poblach poblach (gnìomhach)
  targaid: default icmp-block-inversion: no eadar-aghaidh: stòran ens32: seirbheisean: dhcp dns ntp ssh puirt: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp protocols: masquerade: no forward-puirt: sourceports: icmp -blocaichean: riaghailtean beairteach:

[root @ linuxbox ~] # firewall-cmd --info-zone taobh a-muigh (gnìomhach)
  targaid: default icmp-block-inversion: no eadar-aghaidh: stòran ens34: seirbheisean: puirt dns: 53 / udp 53 / tcp protocols: masquerade: tha air adhart-puirt: sourceports: icmp-blocaichean: paramadair-duilgheadas ath-stiùireadh router-sanasachd router- sireadh stòran-quench riaghailtean beairteach:

Ma tha sinn airson eadar-aghaidh grafaigeach a chleachdadh gus am Balla-teine ​​a rèiteachadh ann an CentOS 7, bidh sinn a ’coimhead anns a’ chlàr coitcheann - bidh e an urra ris an àrainneachd deasg anns a bheil e a ’nochdadh - an tagradh« Firewall », bidh sinn ga chur an gnìomh agus às deidh dhuinn facal-faire an neach-cleachdaidh a chuir a-steach freumh, gheibh sinn cothrom air eadar-aghaidh a ’phrògraim mar sin. Ann am MATE tha e a ’nochdadh anns a’ chlàr «Siostam »->" Rianachd "->" Balla-teine ​​".

Bidh sinn a ’taghadh an Sgìre«poblach»Agus tha sinn a’ toirt ùghdarras do na Seirbheisean a tha sinn airson a bhith air am foillseachadh air an LAN, a tha gu ruige seo dhcp, dns, ntp agus ssh. Às deidh dhuinn na seirbheisean a thaghadh, a ’dearbhadh gu bheil a h-uile càil ag obair ceart, feumaidh sinn na h-atharrachaidhean a dhèanamh ann an Runtime gu Maireannach. Gus seo a dhèanamh thèid sinn chun chlàr-taice Roghainnean agus tagh an roghainn «Ruith ùine gu maireannach".

Nas fhaide air adhart bidh sinn a ’taghadh an Sgìre«taobh a-muigh»Agus bidh sinn a’ dèanamh cinnteach gu bheil na puirt a tha riatanach gus conaltradh leis an eadar-lìn fosgailte. NA foillsich Seirbheisean san Sòn seo mura h-eil fios againn gu math dè tha sinn a ’dèanamh!.

Na dìochuimhnich sinn na h-atharrachaidhean a dhèanamh Maireannach tron ​​roghainn «Ruith ùine gu maireannach»Agus ath-luchdaich an deamhan Air adhart, a h-uile uair a chleachdas sinn an inneal grafaigeach cumhachdach seo.

NTP agus Dnsmasq bho neach-dèiligidh Windows 7

Sioncronadh le NTP

taobh a-muigh

Seòladh IP air màl

Microsoft Windows [Tionndadh 6.1.7601] Dlighe-sgrìobhaidh (c) 2009 Microsoft Corporation. Còraichean uile glèidhte. C: \ Cleachdaichean \ buzz> ipconfig / a h-uile ainm aoigheachd rèiteachaidh IP IP. . . . . . . . . . . . : SEACHD
   Iar-leasachan Dns bun-sgoile. . . . . . . :
   Seòrsa Nòd. . . . . . . . . . . . : Comasachadh IP IP Hybrid air a chomasachadh. . . . . . . . : Chan eil neach-ionaid WINS air a chomasachadh. . . . . . . . : No Liosta Rannsachaidh Suffix DNS. . . . . . : desdelinux.fan Ethernet adapter Ceangal Sgìre Ionadail: Suffix DNS a tha sònraichte don cheangal. : desdelinux.fan Tuairisgeul. . . . . . . . . . . : Seòladh fiosaigeach Ceangal Lìonra Intel (R) PRO / 1000 MT. . . . . . . . . : 00-0C-29-D6-14-36 DHCP air a chomasachadh. . . . . . . . . . . : Tha Comas fèin-rèiteachaidh air a chomasachadh. . . . : Agus tha
   Seòladh IPv4. . . . . . . . . . . : 192.168.10.115 (Roghainn)
   Measg subnet. . . . . . . . . . . : 255.255.255.0 Lease air fhaighinn. . . . . . . . . . : Dihaoine, 14 Giblean, 2017 5:12:53 PM Lease a ’tighinn gu crìch. . . . . . . . . . : Disathairne, 15 Giblean, 2017 1:12:53 AM Geata bunaiteach. . . . . . . . . : 192.168.10.1 Frithealaiche DHCP. . . . . . . . . . . : 192.168.10.5 Frithealaichean DNS. . . . . . . . . . . : 192.168.10.5 NetBIOS thairis air Tcpip. . . . . . . . : Atharrachadh Tunailean le comas Ceangal Sgìre Ionadail * 9: Stàite nam Meadhanan. . . . . . . . . . . : Suffix DNS Suffix ceangailte gu sònraichte ris na meadhanan. : Tuairisgeul. . . . . . . . . . . : Seòladh Corporra Adapter Tunneling Microsoft Teredo. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP air a chomasachadh. . . . . . . . . . . : Cha deach fèin-rèiteachadh a chomasachadh. . . . : Tha adapter Tunnel isatap.fromlinux.fan: Stàite nam Meadhanan. . . . . . . . . . . : Suffix DNS Suffix ceangailte gu sònraichte ris na meadhanan. : desdelinux.fan Tuairisgeul. . . . . . . . . . . : Microsoft ISATAP Adapter # 2 Seòladh Corporra. . . . . . . . . : 00-00-00-00-00-00-00-E0 DHCP air a chomasachadh. . . . . . . . . . . : Cha deach fèin-rèiteachadh a chomasachadh. . . . : Tha C: \ Cleachdaichean \ buzz>

Tip

Is e luach cudromach ann an teachdaichean Windows an "Primary Dns Suffix" no "Prìomh Cheangal Ceangal". Nuair nach eilear a ’cleachdadh Rianadair Domain Microsoft, chan eil an siostam obrachaidh a’ sònrachadh luach sam bith dha. Ma tha sinn an aghaidh cùis mar an tè a chaidh a mhìneachadh aig toiseach an artaigil agus tha sinn airson an luach sin ainmeachadh gu soilleir, feumaidh sinn a dhol air adhart a rèir na tha air a nochdadh san ìomhaigh a leanas, gabhail ris na h-atharrachaidhean agus an neach-dèiligidh ath-thòiseachadh.

 

Ma ruitheas sinn a-rithist CMD -> ipconfig / uile gheibh sinn na leanas:

Microsoft Windows [Tionndadh 6.1.7601] Dlighe-sgrìobhaidh (c) 2009 Microsoft Corporation. Còraichean uile glèidhte. C: \ Cleachdaichean \ buzz> ipconfig / a h-uile ainm aoigheachd rèiteachaidh IP IP. . . . . . . . . . . . : SEACHD
   Iar-leasachan Dns bun-sgoile. . . . . . . : desdelinux.fan
   Seòrsa Nòd. . . . . . . . . . . . : Comasachadh IP IP Hybrid air a chomasachadh. . . . . . . . : Chan eil neach-ionaid WINS air a chomasachadh. . . . . . . . : No Liosta Rannsachaidh Suffix DNS. . . . . . : desdelinux.fan

Tha an còrr de na luachan gun atharrachadh

Sgrùdaidhean DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com air seòladh 127.0.0.1 Cha lorgar spynet.microsoft.com: 5 (REFUSED) spynet.microsoft.com post air a làimhseachadh le 1 mail.fromlinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
tha seòladh 192.168.10.5 air a làimhseachadh le linuxbox.desdelinux.fan le 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan air seòladh 192.168.10.1 tha post sysadmin.desdelinux.fan air a làimhseachadh le 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ post aoigheachd
Tha mail.desdelinux.fan na ailias airson linuxbox.desdelinux.fan. tha seòladh 192.168.10.5 air a làimhseachadh le linuxbox.desdelinux.fan le 1 mail.desdelinux.fan.

Bidh sinn a ’stàladh -airson deuchainn a-mhàin- frithealaiche ùghdarrasach DNS NSD ann an sysadmin.fromlinux.fan, agus bidh sinn a ’toirt a-steach an seòladh IP 172.16.10.1 san tasglann /etc/resolv.conf den sgioba linuxbox.fromlinux.fan, gus dearbhadh gu robh Dnsmasq a ’coileanadh a dhleastanas Forwarder gu ceart. Tha bogsaichean gainmhich air an fhrithealaiche NSD favt.org y toujague.org. Tha a h-uile IP breugach no bho lìonraidhean prìobhaideach.

Ma chuireas sinn dheth an eadar-aghaidh WAN ens34 a ’cleachdadh an àithne ifdown ens34, Cha bhith e comasach dha Dnsmasq luchd-frithealaidh DNS taobh a-muigh a cheasnachadh.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Cha deach aoigheachd toujague.org a lorg: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ òstair pizzapie.favt.org
Cha lorgar pizzapie.favt.org: 3 (NXDOMAIN)

Leig leinn an eadar-aghaidh ens34 a chomasachadh agus sgrùdadh a-rithist:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ òstair pizzapie.favt.org
Tha pizzapie.favt.org na ailias airson paisano.favt.org. tha seòladh 172.16.10.4 aig paisano.favt.org

[buzz @ linuxbox ~] $ òstair pizzapie.toujague.org
Cha lorgar pizzas.toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
tha seòladh 169.18.10.18 aig poblacion.toujague.org

[buzz @ linuxbox ~] $ host -t NS favt.org
frithealaiche ainm favt.org ns1.favt.org. frithealaiche ainm favt.org ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
frithealaiche ainm toujague.org ns1.toujague.org. frithealaiche ainm toujague.org ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
tha post toujague.org air a làimhseachadh le 10 mail.toujague.org.

Nach co-chomhairleachadh bho sysadmin.fromlinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
lorg bho linux.fan nameserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
tha seòladh 169.18.10.19 aig mail.toujague.org

Tha an Dnsmasq ag obair mar Forwarder gu ceart.

Squid

Anns an leabhar ann an cruth PDF «Rèiteachadh frithealaiche Linux»Ceann-latha 25 Iuchar, 2016, leis an Ùghdar Joel Barrios Dueñas (darkshram@gmail.com - http://www.alcancelibre.org/), teacsa air an tug mi iomradh ann an artaigilean roimhe, tha caibideil iomlan ann a tha coisrigte don Roghainnean rèiteachaidh bunaiteach squid.

Air sgàth cho cudromach sa tha an t-seirbheis lìn - neach-ionaid, bidh sinn ag ath-riochdachadh an Ro-ràdh a chaidh a dhèanamh mun Squid anns an leabhar a chaidh ainmeachadh:

105.1. Ro-ràdh.

105.1.1. Dè a th ’ann am frithealaiche eadar-mheadhanach (neach-ionaid)?

An teirm sa Bheurla "Neach-ionaid" tha brìgh glè choitcheann agus aig an aon àm dà-sheaghach, ged-tà
an-còmhnaidh air a mheas mar cho-fhacal de bhun-bheachd "Eadar-mheadhanair". Tha e mar as trice air eadar-theangachadh, anns an t-seadh teann, mar riochdaire o cumhachd (am fear aig a bheil cumhachd thairis air fear eile).

Un Frithealaiche eadar-mheadhanach Tha e air a mhìneachadh mar choimpiutair no inneal a tha a ’tabhann seirbheis lìonra a tha a’ toirt a-steach leigeil le teachdaichean ceanglaichean lìonra neo-dhìreach a dhèanamh ri seirbheisean lìonra eile. Tron phròiseas bidh na leanas:

  • Ceangal cliant ri a Neach-frithealaidh proxy.
  • Bidh neach-dèiligidh ag iarraidh ceangal, faidhle, no goireas eile a tha ri fhaighinn air frithealaiche eadar-dhealaichte.
  • Bidh frithealaiche eadar-mheadhanach a ’toirt seachad an goireas an dàrna cuid le bhith a’ ceangal ris an fhrithealaiche ainmichte
    no ga fhrithealadh bho tasgadan.
  • Ann an cuid de chùisean bidh an Frithealaiche eadar-mheadhanach faodaidh e iarrtas an neach-dèiligidh no an
    freagairt frithealaiche airson diofar adhbharan.

a ' Luchd-frithealaidh proxy mar as trice bidh iad air an dèanamh gus obrachadh aig an aon àm mar bhalla teine ​​ag obair anns an Ìre lìonra, ag obair mar shìoltachan pacaid, mar ann an cùis iptables no ag obair anns an Ìre Iarrtais, a ’cumail smachd air diofar sheirbheisean, mar a tha Còmhdach TCP. A rèir a ’cho-theacsa, canar ris a’ bhalla teine ​​cuideachd BPD o BÒrdugh Protection Device no dìreach criathrag pacaid.

Iarrtas cumanta de Luchd-frithealaidh proxy a bhith ag obair mar tasgadan de shusbaint lìonra (HTTP sa mhòr-chuid), a ’solarachadh faisg air an luchd-dèilige tasgadan de dhuilleagan is fhaidhlichean a tha rim faighinn tron ​​lìonra air frithealaichean iomallach HTTP, a’ leigeil le teachdaichean an lìonra ionadail faighinn thuca ann an a nas luaithe agus nas earbsaiche.

Nuair a gheibhear iarrtas airson goireas Lìonra ainmichte ann an a URL (Uniform Resource Locator) an Frithealaiche eadar-mheadhanach coimhead airson toradh URL taobh a-staigh an tasgadan. Ma lorgar e, thèid an Frithealaiche eadar-mheadhanach A ’freagairt an neach-ceannach le bhith a’ toirt seachad an t-susbaint a chaidh iarraidh sa bhad. Ma tha an susbaint a chaidh iarraidh neo-làthaireach san tasgadan, thèid an Frithealaiche eadar-mheadhanach gheibh e bho fhrithealaiche iomallach e, ga lìbhrigeadh don neach-dèiligidh a dh ’iarr e agus a’ cumail leth-bhreac anns an tasgadan. Tha an susbaint san tasgadan an uairsin air a thoirt air falbh tro algorithm crìochnachaidh a rèir aois, meud agus eachdraidh freagairtean do dh'iarrtasan (amas) (eisimpleirean: LRU, LFUDA y GDSF).

Faodaidh luchd-frithealaidh proxy airson susbaint Lìonra (Web Proxies) cuideachd a bhith nan sìoltachain den t-susbaint a thathar a ’frithealadh, a’ cur an gnìomh poileasaidhean caisgireachd a rèir slatan-tomhais rèiteachaidh..

Is e an dreach de Squid a stàlaicheas sinn 3.5.20-2.el7_3.2 bhon ionad-tasgaidh ùrachaidhean.

Cur a-steach

[root @ linuxbox ~] # yum stàladh squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  squid.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl comas squid

Cudromach

  • Is e prìomh amas an artaigil seo Ùghdarrachadh a thoirt do luchd-cleachdaidh ionadail ceangal a dhèanamh le Squid bho choimpiutairean eile ceangailte ris an LAN. A bharrachd air an sin, cuir an gnìomh cridhe frithealaiche ris an tèid seirbheisean eile a chur. Chan e artaigil a th ’ann a tha coisrigte don Squid mar sin.
  • Gus beachd fhaighinn air roghainnean rèiteachaidh Squid, leugh am faidhle /usr/share/doc/squid-3.5.20/squid.conf.documented, aig a bheil 7915 loidhne.

SELinux agus Squid

[root @ linuxbox ~] # getsebool -a | grep squid
squid_connect_any -> air squid_use_tproxy -> dheth

[root @ linuxbox ~] # setsebool -P squid_connect_any = air

rèiteachaidh

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # puirt neo-chlàraichte acl Safe_ports port 280 # http-mgmt acl port Safe_ports 488 # gss-http acl Safe_ports port 591 # filemaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Tha sinn a ’diùltadh ceistean airson puirt neo-thèarainte http_access àicheadh! Safe_ports # Tha sinn a’ diùltadh modh CONNECT airson puirt neo-thèarainte http_access diùltadh CONNECT! SSL_ports # Access to Manaidsear tasgadan a-mhàin bho localhost http_access a ’leigeil le manaidsear localhost http_access diùltadh manaidsear # Tha sinn a’ moladh gu làidir gum bi na leanas neo-chomasach gus tagraidhean lìn # neo-chiontach a tha a ’ruith air an t-seirbheisiche proxy a dhìon a tha den bheachd gur e ionadail an aon # aon as urrainn faighinn gu seirbheisean air“ localhost ” cleachdaiche http_access diùltadh to_localhost # # INSERT YOUR RULE (S) AN-SEO GUS A BHITH A ’GABHAIL A-STEACH DÙTHCHAS BHO CLIENTS # # ùghdarras PAM
auth_param basic program / usr / lib64 / squid / basic_pam_auth
auth_param basic children 5 auth_param basic real from linux.fan auth_param basic credentialsttl 2 uair a thìde auth_param basic caseensitive dheth # Acl feumar dearbhadh a dhèanamh gus faighinn gu Squid Enthusiasts proxy_auth CEISTEAN # Leigidh sinn ruigsinneachd do luchd-cleachdaidh dearbhte # tro PAM http_access àicheadh! Luchd-dealasach # Cothrom air làraichean FTP acl ftp proto FTP http_access allow ftp http_access allow localnet http_access allow localhost # Tha sinn a ’diùltadh ruigsinneachd sam bith eile don neach-ionaid http_access a’ diùltadh a h-uile # Squid mar as trice ag èisteachd air port 3128 http_port 3128 # Bidh sinn a ’fàgail na“ coredumps ”anns a’ chiad eòlaire tasgadan coredump_dir / var / spool / squid # # Cuir gin de na h-inntrigidhean refresh_pattern agad fhèin os cionn iad sin. # refresh_pattern ^ ftp: 1440 20% 10080 refresh_pattern ^ gopher: 1440 0% 1440 refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 refresh_pattern. 0 20% 4320 cache_mem 64 MB # Cache memory memory_replacement_policy lru cache_replacement_policy heap LFUDA cache_dir aufs / var / spool / squid 4096 16 256 maxim_object_size 4 MB cache_swap_low 85 cache_swap_highux 90 cuxOindinn_chex_inds

Bidh sinn a ’sgrùdadh criathradh an fhaidhle /etc/squid/squid.conf

[root @ linuxbox ~] # squid -k parse
2017/04/16 15: 45: 10 | Toiseach tòiseachaidh: A ’tòiseachadh sgeamaichean dearbhaidh ...
 2017/04/16 15: 45: 10 | Toiseach tòiseachaidh: Sgeama Dearbhaidh Tòiseachaidh ‘bunaiteach’ 2017/04/16 15: 45: 10 | Toiseach tòiseachaidh: Sgeama Dearbhaidh Tòiseachaidh ‘digest’ 2017/04/16 15: 45: 10 | Toiseach tòiseachaidh: Sgeama Dearbhaidh Tòiseachaidh ‘barganachadh’ 2017/04/16 15: 45: 10 | Toiseach tòiseachaidh: Sgeama Dearbhaidh Tòiseachaidh ‘ntlm’ 2017/04/16 15: 45: 10 | Toiseach tòiseachaidh: Dearbhadh tòiseachaidh.
 2017/04/16 15: 45: 10 | Faidhle rèiteachaidh giollachd: /etc/squid/squid.conf (doimhneachd 0) 2017/04/16 15: 45: 10 | Giullachd: acl localnet src 192.168.10.0/24 2017/04/16 15: 45: 10 | Giullachd: acl SSL_ports port 443 21 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 80 # http 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 21 # ftp 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 443 # https 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 70 # gopher 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 210 # wais 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 1025-65535 # puirt neo-chlàraichte 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 280 # http-mgmt 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 488 # gss-http 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 591 # filemaker 2017/04/16 15: 45: 10 | Giullachd: acl Safe_ports port 777 # multiling http 2017/04/16 15: 45: 10 | Giullachd: acl Modh CONNECT CONNECT 2017/04/16 15: 45: 10 | Giullachd: http_access àicheadh! Safe_ports 2017/04/16 15: 45: 10 | Giullachd: http_access diùltadh CONNECT! SSL_ports 2017/04/16 15: 45: 10 | Giullachd: http_access leig le manaidsear localhost 2017/04/16 15: 45: 10 | Giullachd: http_access diùltadh manaidsear 2017/04/16 15: 45: 10 | Giullachd: http_access diùltadh to_localhost 2017/04/16 15: 45: 10 | Giullachd: auth_param basic program / usr / lib64 / squid / basic_pam_auth 2017/04/16 15: 45: 10 | Giullachd: auth_param clann bunaiteach 5 2017/04/16 15: 45: 10 | Giullachd: auth_param fearann ​​bunaiteach bho linux.fan 2017/04/16 15: 45: 10 | Giullachd: auth_param basic credentialsttl 2 uair 2017/04/16 15: 45: 10 | Giullachd: auth_param basic caseensitive dheth 2017/04/16 15: 45: 10 | Giullachd: acl Enthusiasts proxy_auth RI TEACHD 2017/04/16 15: 45: 10 | Giullachd: http_access àicheadh! Luchd-dealasach 2017/04/16 15: 45: 10 | Giullachd: acl ftp proto FTP 2017/04/16 15: 45: 10 | Giullachd: http_access allow ftp 2017/04/16 15: 45: 10 | Giullachd: http_access ceadaich localnet 2017/04/16 15: 45: 10 | Giullachd: http_access ceadaich localhost 2017/04/16 15: 45: 10 | Giullachd: http_access a ’diùltadh a h-uile 2017/04/16 15: 45: 10 | Giullachd: http_port 3128 2017/04/16 15: 45: 10 | Giullachd: coredump_dir / var / spool / squid 2017/04/16 15: 45: 10 | Giullachd: refresh_pattern ^ ftp: 1440 20% 10080 2017/04/16 15: 45: 10 | Giullachd: refresh_pattern ^ gopher: 1440 0% 1440 2017/04/16 15: 45: 10 | Giullachd: refresh_pattern -i (/ cgi-bin / | \?) 0 0% 0 2017/04/16 15: 45: 10 | Giullachd: refresh_pattern. 

Bidh sinn ag atharrachadh ceadan a-steach / usr / lib64 / squid / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Bidh sinn a ’cruthachadh an eòlaire tasgadan

# Dìreach gun fhios ... [root @ linuxbox ~] # stad squid seirbheis
Ag ath-stiùireadh gu / bin / systemctl stad squid.service

[root @ linuxbox ~] # squid -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Suidhich Directory gnàthach gu / var / spool / squid 2017/04/16 15:48:28 kid1 | A ’cruthachadh stiùiridhean iomlaid a tha a dhìth 2017/04/16 15:48:28 kid1 | / var / spool / squid ann 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 03 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 04 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 05 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 06 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 08 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 09 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 0A 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 0B 2017/04/16 15:48:28 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 0E 2017/04/16 15:48:29 kid1 | A ’dèanamh stiùiridhean ann an / var / spool / squid / 0F

Aig an ìre seo, ma bheir e greis an àithne a thilleadh gu sgiobalta - nach deach a thilleadh thugam a-riamh - brùth air Enter.

[root @ linuxbox ~] # tòiseachadh squid seirbheis
[root @ linuxbox ~] # ath-thòiseachadh squid seirbheis
[root @ linuxbox ~] # inbhe squid seirbheis
Ag ath-stiùireadh gu inbhe / bin / systemctl squid.service ● squid.service - Neach-ionaid cididh squid Luchdaich: luchdaichte (/usr/lib/systemd/system/squid.service; ciorramach; ro-reic reiceadair: ciorramach) Gnìomhach: gnìomhach (ruith) bho dom 2017-04-16 15:57:27 EDT; 1s ago Pròiseas: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = air fhàgail, inbhe = 0 / SUCCESS) Pròiseas: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (còd = air fhàgail, inbhe = 0 / SUCCESS) Pròiseas: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = air fhàgail, inbhe = 0 / SUCCESS) Prìomh PID: 2876 (squid) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf Apr 16 15:57:27 linuxbox systemd [1]: A ’tòiseachadh neach-ionaid cidsidh Squid ... Apr 16 15:57:27 linuxbox systemd [1]: Thòisich neach-ionaid caching Squid. Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: tòisichidh 1 clann Apr 16 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) pròiseas 2878 ... ed Apr 16 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (squid-1) pròiseas 2878 ... 1 Beachd: Chaidh cuid de loidhnichean ellipsized, cleachd -l gus an nochdadh gu h-iomlan

[root @ linuxbox ~] # cat / var / log / messages | grep squid

Ceartachaidhean balla-teine

Feumaidh sinn cuideachd fosgladh anns an Sòn «taobh a-muigh"na puirt 80 HTTP y 443 HTTPS gus an urrainn don Squid conaltradh leis an eadar-lìn.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --reload
soirbheachadh
[root @ linuxbox ~] # firewall-cmd --info-zone a-muigh
targaid taobh a-muigh (gnìomhach): default icmp-block-inversion: no eadar-aghaidh: stòran ens34: seirbheisean: puirt dns: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  protocolaidhean: masquerade: tha air adhart-puirt: sourceports: icmp-blocaichean: paramadair-duilgheadas ath-stiùireadh router-sanasachd router-sireadh tagradh stòr-quench riaghailtean beairteach:
  • Chan eil e idle a dhol chun tagradh grafaigeach «Suidhich ballachan teine»Agus dèan cinnteach gu bheil puirt 443 tcp, 80 tcp, 53 tcp, agus 53 udp fosgailte airson a’ chrios «taobh a-muigh«, Agus nach eil sinn air seirbheis sam bith fhoillseachadh dhi.

Nòta air a ’phrògram cuideachaidh basic_pam_auth

Ma nì sinn co-chomhairle le leabhar-làimhe a ’ghoireis seo troimhe fear basic_pam_auth Leughaidh sinn gu bheil an t-ùghdar fhèin a ’moladh gu làidir gun tèid am prògram a ghluasad gu eòlaire far nach eil cead gu leòr aig luchd-cleachdaidh àbhaisteach faighinn chun inneal.

Air an làimh eile, tha fios leis an sgeama ceadachaidh seo, gu bheil na teisteanasan a ’siubhal ann an teacsa shoilleir agus nach eil e sàbhailte airson àrainneachdan nàimhdeil, leugh lìonraidhean fosgailte.

Jeff Yestrumskas coisrig an artaigil «Mar a nì thu: Suidhich neach-ionaid lìn tèarainte a ’cleachdadh crioptachadh SSL, Squid Caching Proxy agus dearbhadh PAM»A thaobh a bhith a’ meudachadh tèarainteachd leis an sgeama dearbhaidh seo gus an urrainnear a chleachdadh ann an lìonraidhean fosgailte a dh ’fhaodadh a bhith nàimhdeil.

Bidh sinn a ’stàladh httpd

Mar dhòigh air sgrùdadh a dhèanamh air obrachadh Squid - agus co-dhiù le Dnsmasq- cuiridh sinn an t-seirbheis a-steach httpd -Ar seirbheisiche lìn - nach eil riatanach a dhèanamh. Anns an fhaidhle càirdeach don Dnsmasq / etc / banner_add_hosts Bidh sinn a ’foillseachadh na làraich a tha sinn airson a bhith air an toirmeasg, agus bidh sinn gu sònraichte a’ sònrachadh an aon seòladh IP a th ’aige linuxbox. Mar sin, ma dh ’iarras sinn ruigsinneachd air gin de na làraich sin, duilleag-dachaigh an httpd.

[root @ linuxbox ~] # yum stàladh httpd [root @ linuxbox ~] # systemctl comas httpd
Air a chruthachadh symlink bho /etc/systemd/system/multi-user.target.wants/httpd.service gu /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl tòiseachadh httpd

[root @ linuxbox ~] # inbhe systemctl httpd
● httpd.service - Am frithealaiche Apache HTTP air a luchdachadh: air a luchdachadh (/usr/lib/systemd/system/httpd.service; air a chomasachadh; ro-reic reiceadair: ciorramach) Gnìomhach: gnìomhach (a ’ruith) bho Ghrian 2017-04-16 16:41: 35 EDT; 5s ago Docs: fear: httpd (8) fear: apachectl (8) Prìomh PID: 2275 (httpd) Inbhe: "Iarrtasan giullachd ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -D└OR2280ROUND / usr / sbin / httpd -DFOREGROUND Apr 16 16:41:35 linuxbox systemd [1]: A ’tòiseachadh air frithealaiche Apache HTTP ... Apr 16 16:41:35 linuxbox systemd [1]: Thòisich am frithealaiche HTTP Apache.

SELinux agus Apache

Tha grunn phoileasaidhean aig Apache ri rèiteachadh taobh a-staigh co-theacsa SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> dheth httpd_builtin_scripting -> air httpd_can_check_spam -> dheth httpd_can_connect_ftp -> dheth httpd_can_connect_ldap -> dheth httpd_can_connect_mythtv -> dheth httpd_can_connect off_zabbwork__b_b_work__b_b_work httpd_can_network_memcache -> far httpd_can_network_relay -> far httpd_can_sendmail -> far httpd_dbus_avahi -> far httpd_dbus_sssd -> far httpd_dontaudit_search_dirs -> far httpd_enable_cgi -> httpd_enable_offmirs -> httpd_enable_enable offpd_server_offmirs -> httpd_enablem offpd_server_enable_cgi -> offhpd_enablem dheth httpd_graceful_shutdown -> air httpd_manage_ipa -> dheth httpd_mod_auth_ntlm_winbind -> dheth httpd_mod_auth_pam -> dheth httpd_read_user_content -> dheth httpd_run_ipa -> dheth httpd_run_preupgrade -> far httpd_unun_runc_ offlift_ift__ httpd_ssi_exec -> dheth httpd_sys_script_anon_write -> dheth httpd_tmp_exec -> dheth httpd_tty_comm - > dheth httpd_unified -> dheth httpd_use_cifs -> dheth httpd_use_fusefs -> dheth httpd_use_gpg -> dheth httpd_use_nfs -> dheth httpd_use_openstack -> far httpd_use_sasl -> dheth httpd_verify_dns -> dheth

Cha rèitich sinn ach na leanas:

Cuir post-d tro Apache

root @ linuxbox ~] # setsebool -P httpd_can_sendmail 1

Leig le Apache na tha ann an clàran dachaigh luchd-cleachdaidh ionadail a leughadh

root @ linuxbox ~] # setsebool -P httpd_read_user_content 1

Leig le rianachd tro FTP no FTPS eòlaire sam bith air a riaghladh le
Apache no leig le Apache obrachadh mar fhrithealaiche FTP ag èisteachd airson iarrtasan tron ​​phort FTP

[root @ linuxbox ~] # setsebool -P httpd_enable_ftp_server 1

Airson tuilleadh fiosrachaidh, feuch an leugh thu Rèiteachadh frithealaiche Linux.

Bidh sinn a ’sgrùdadh an Dearbhaidh

Chan eil air fhàgail ach brobhsair fhosgladh air ionad-obrach agus puing, mar eisimpleir, gu http://windowsupdate.com. Nì sinn sgrùdadh gu bheil an t-iarrtas air ath-stiùireadh gu ceart gu duilleag dachaigh Apache ann an linuxbox. Gu dearbh, ainm làrach sam bith a chaidh ainmeachadh san fhaidhle / etc / banner_add_hosts thèid do ath-stiùireadh chun aon duilleag.

Tha na h-ìomhaighean aig deireadh an artaigil ga dhearbhadh.

Stiùireadh luchd-cleachdaidh

Bidh sinn ga dhèanamh a ’cleachdadh an inneal grafaigeach«Stiùireadh luchd-cleachdaidh»A gheibh sinn tron ​​t-siostam clàr -> Rianachd -> Stiùireadh luchd-cleachdaidh. Gach uair a chuireas sinn cleachdaiche ùr ris, thèid am pasgan aige a chruthachadh / dachaigh / cleachdaiche gu fèin-ghluasadach.

 

Leth-bhreacan cùil

Luchd-dèiligidh Linux

Chan fheum thu ach am brabhsair faidhle àbhaisteach agus comharraich gu bheil thu airson ceangal a dhèanamh, mar eisimpleir: ssh: // buzz @ linuxbox / home / buzz agus às deidh dhut am facal-faire a chuir a-steach, thèid an eòlaire a thaisbeanadh dachaigh den chleachdaiche sgaoileadh.

Luchd-dèiligidh Windows

Ann an teachdaichean Windows, bidh sinn a ’cleachdadh an inneal WinSCP. Nuair a bhios sinn air a chuir a-steach, bidh sinn ga chleachdadh san dòigh a leanas:

 

 

Simple, ceart?

Geàrr-chunntas

Chunnaic sinn gu bheil e comasach PAM a chleachdadh gus seirbheisean a dhearbhadh ann an lìonra beag agus ann an àrainneachd fo smachd a tha gu tur air falbh bho làmhan hackers. Tha e gu ìre mhòr mar thoradh air gu bheil na teisteanasan dearbhaidh a ’siubhal ann an teacs sìmplidh agus mar sin chan e sgeama dearbhaidh a th’ ann airson a chleachdadh ann an lìonraidhean fosgailte leithid puirt-adhair, lìonraidhean Wi-Fi, msaa. Ach, tha e na dhòigh ùghdarrachaidh sìmplidh, furasta a bhuileachadh agus a rèiteachadh.

Stòran ris an deach co-chomhairleachadh

Tionndadh PDF

Luchdaich sìos an dreach PDF an seo.

Gus an ath artaigil!


Tha susbaint an artaigil a ’cumail ri na prionnsapalan againn de moraltachd deasachaidh. Gus aithris a dhèanamh air mearachd cliog an seo.

9 bheachd, fàg do chuid fhèin

Fàg do bheachd

Seòladh-d cha tèid fhoillseachadh. Feum air achaidhean air an comharrachadh le *

*

*

  1. Uallach airson an dàta: Miguel Ángel Gatón
  2. Adhbhar an dàta: Smachd air SPAM, riaghladh bheachdan.
  3. Dìleab: Do chead
  4. Conaltradh an dàta: Cha tèid an dàta a thoirt do threas phàrtaidhean ach a-mhàin fo dhleastanas laghail.
  5. Stòradh dàta: Stòr-dàta air a chumail le Occentus Networks (EU)
  6. Còraichean: Aig àm sam bith faodaidh tu am fiosrachadh agad a chuingealachadh, fhaighinn air ais agus a dhubhadh às.

  1.   NauTiluS thuirt

    Chaidh dreuchd iongantach a leigheas Mgr Fico. Taing airson an eòlas agad a cho-roinn.

  2.   dearc thuirt

    Tha fios agam cho duilich ‘s a tha e artaigil a chuir ri chèile le ìre cho mionaideach, le deuchainnean gu math soilleir agus os cionn a h-uile càil le bun-bheachdan agus ro-innleachdan air an atharrachadh a rèir nan inbhean. Tha mi dìreach a ’toirt mo ad don t-seud tabhartasan seo, mòran taing dha Fico airson obair cho math.

    Cha do chuir mi a-riamh squid ri dearbhadh pam ach bidh mi a ’dol cho fada‘ s as urrainn dhomh gus an cleachdadh seo a dhèanamh san obair-lann agam ... Amas amas agus lean sinn air adhart !!

  3.   federico thuirt

    NaTiluS: Mòran taing airson do bheachd agus do mheasadh.
    Lizard: Dhuibhse cuideachd, mòran taing airson do bheachd agus do mheasadh.

    Chan eil an ùine agus an oidhirp a tha air a bhith a ’dèanamh artaigilean mar an tè seo air a dhuaiseachadh ach le leughadh agus beachdan bhon fheadhainn a bhios a’ tadhal air coimhearsnachd FromLinux. Tha mi an dòchas gu bheil e feumail dhut nad obair làitheil.
    Bidh sinn a ’cumail a’ dol!

  4.   Anonymous thuirt

    Tabhartas do-chreidsinneach saoranach !!!! Leugh mi gach aon de na h-artaigilean agad agus is urrainn dhomh a ràdh gum faod eadhon airson neach aig nach eil eòlas adhartach ann am bathar-bog an-asgaidh (mar mise) an artaigil eireachdail seo a leantainn ceum air cheum. Slàinte !!!!

  5.   IWO thuirt

    Taing Fico airson an artaigil sgoinneil eile seo; Mar nach biodh sin gu leòr leis a h-uile post a chaidh fhoillseachadh mar-thà, ann an seo tha seirbheis againn nach robh air a chòmhdach roimhe le Sreath PYMES agus tha sin air leth cudromach: an “SQUID” no Proxy of LAN. Chan eil dad a dh ’fheumas teaghlach an fheadhainn a tha den bheachd gu bheil sinn mar“ sysadmins ”an seo stuth math eile airson ar n-eòlas a sgrùdadh agus a dhoimhneachadh.

  6.   federico thuirt

    Tapadh leibh uile airson do bheachdan. Bidh an ath artaigil a ’dèiligeadh ri frithealaiche cabadaich Prosody le dearbhadh an aghaidh teisteanasan ionadail (PAM) tro Cyrus-SASL, agus thèid an t-seirbheis sin a bhuileachadh san aon fhrithealaiche seo.

  7.   kenpachiRo17 thuirt

    Ann an deagh àm fear-dùthcha !!!! Taic mhòr eadhon dhaibhsan mar mise aig nach eil eòlas mòr mu bhathar-bog an-asgaidh agus a tha dìoghrasach mu bhith ag ionnsachadh le artaigilean cho fìor mhath ris an fhear seo. Tha mi air a bhith a ’leantainn do thabhartasan agus bu mhath leam faighinn a-mach dè an artaigil a bhiodh tu a’ moladh dhomh tòiseachadh air an t-sreath seo de SME Networks, oir tha mi air a bhith a ’leughadh ann an dòigh mì-rianail agus tha mi a’ smaoineachadh gu bheil tòrr susbaint luachmhor ann airson mion-fhiosrachadh sam bith a chall. Às aonais barrachd, beannachdan agus is dòcha gum bi an eòlas co-roinnte a bharrachd air a ’bhathar-bog an-asgaidh !!

    1.    federico thuirt

      Fear-dùthcha fàilte !!!. Tha mi a ’moladh dhut tòiseachadh aig an toiseach, ged a dh’ fhaodadh gum bi e coltach ris an t-slighe fhada, is e an dòigh as giorra gus nach tèid thu air chall. Anns a ’chlàr-amais - nach eil air ùrachadh leis an dà artaigil mu dheireadh- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, stèidhich sinn an òrdugh leughaidh a chaidh a mholadh den t-Sreath, a tha a ’tòiseachadh le mar a nì mi mo chuid Stuth-obrach, a ’leantainn le grunn dhreuchdan coisrigte don chuspair Mas-fhìorachadh, lean le grunn chèis BIND, Isc-Dhcp-Server, agus Dnsmasq, agus mar sin air adhart gus am faigh sinn air a ’phàirt buileachaidh seirbheis airson lìonra SME, sin far a bheil sinn an-dràsta. Tha mi an dòchas gun cuidich e thu.

      1.    kenpachiRo17 thuirt

        Uill bidh e !!!! Anns a ’bhad bidh mi a’ tòiseachadh leis an t-sreath bhon toiseach agus tha mi a ’coimhead air adhart ri artaigilean ùra. Slàinte !!!!