Squid + Pagpapatotoo ng PAM sa CentOS 7- SMB Networks

Pangkalahatang index ng serye: Mga Network ng Computer para sa mga SME: Panimula

May-akda: Federico Antonio Valdes Toujague
federicotoujague@gmail.com
https://blog.desdelinux.net/author/fico

Kamusta mga kaibigan at kaibigan!

Ang pamagat ng artikulo ay dapat na: «MATE + NTP + Dnsmasq + Serbisyo sa Gateway + Apache + Squid na may Pagpapatotoo ng PAM sa Centos 7 - Mga Network ng SME«. Para sa mga praktikal na kadahilanan pinapaikliin namin ito.

Nagpapatuloy kami sa pagpapatotoo sa mga lokal na gumagamit sa isang Linux computer gamit ang PAM, at sa oras na ito makikita natin kung paano namin maibigay ang serbisyong Proxy sa Squid para sa isang maliit na network ng mga computer, sa pamamagitan ng paggamit ng mga kredensyal ng pagpapatunay na nakaimbak sa parehong computer kung saan tumatakbo ang server pusit.

Bagaman alam namin na ito ay pangkaraniwan na pagsasanay ngayon, upang patunayan ang mga serbisyo laban sa isang OpenLDAP, Red Hat's Directory Server 389, Microsoft Active Directory, atbp. Isinasaalang-alang namin na kailangan muna naming dumaan sa simple at murang mga solusyon, at pagkatapos ay harapin ang mga pinaka kumplikado. Naniniwala kami na dapat kaming pumunta mula sa simple hanggang sa kumplikado.

Yugto

Ito ay isang maliit na samahan -na may napakakaunting mga mapagkukunan sa pananalapi- na nakatuon sa pagsuporta sa paggamit ng Libreng Software at nag-opt para sa pangalan ng DesdeLinux.Pambayo. Ang mga ito ay iba't ibang mga Mahilig sa OS CentOS naka-grupo sa isang solong tanggapan. Bumili sila ng isang workstation - hindi isang propesyonal na server - na ilaan nila upang gumana bilang isang "server."

Ang mga mahilig ay walang malawak na kaalaman tungkol sa kung paano ipatupad ang isang OpenLDAP server o isang Samba 4 AD-DC, at hindi rin nila kayang mag-lisensya ng isang Microsoft Active Directory. Gayunpaman, kailangan nila ng mga serbisyo sa pag-access sa Internet sa pamamagitan ng isang Proxy para sa kanilang pang-araw-araw na trabaho - upang mapabilis ang pag-browse - at isang puwang upang mai-save ang kanilang pinakamahalagang dokumento at magtrabaho bilang mga backup na kopya.

Karamihan pa rin ang ginagamit nila ng ligal na nakuha na mga operating system ng Microsoft, ngunit nais na baguhin ang mga ito sa mga operating system na nakabatay sa Linux, nagsisimula sa kanilang "Server".

Hangad din nila na magkaroon ng kanilang sariling mail server upang maging independyente - hindi bababa sa pinagmulan - ng mga serbisyo tulad ng Gmail, Yahoo, HotMail, atbp., Na kung saan ay kasalukuyang ginagamit nila.

Itatakda ito ng Firewall at Routing Rules laban sa Internet sa nakakontratang ADSL Router.

Wala silang tunay na domain name dahil hindi nila kailangang mag-publish ng anumang serbisyo sa Internet.

Ang CentOS 7 bilang isang server na walang GUI

Nagsisimula kami mula sa isang bagong pag-install ng isang server nang walang isang graphic na interface, at ang tanging pagpipilian na pinili namin sa panahon ng proseso ay «Infrastructure Server»Tulad ng nakita natin sa mga nakaraang artikulo sa serye.

Paunang setting

[root @ linuxbox ~] # cat / etc / hostname 
kahon ng linux

[root @ linuxbox ~] # cat / etc / host
127.0.0.1   localhost localhost.localdomain localhost4 localhost4.localdomain4
::1         localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox

[root @ linuxbox ~] # hostname
kahon ng linux

[root @ linuxbox ~] # hostname -f
linuxbox.desdelinux.fan

[root @ linuxbox ~] Listahan ng # ip addr
[root @ linuxbox ~] # ifconfig -a
[root @ linuxbox ~] # ls / sys / class / net /
ens32 ens34 ito

Hindi namin pinagana ang Network Manager

[root @ linuxbox ~] # systemctl ihinto ang NetworkManager

[root @ linuxbox ~] # systemctl huwag paganahin ang NetworkManager

[root @ linuxbox ~] # systemctl status NetworkManager
● NetworkManager.service - Nag-load ang Network Manager: na-load (/usr/lib/systemd/system/NetworkManager.service; hindi pinagana; preset ng vendor: pinagana) Aktibo: hindi aktibo (patay) Mga Dokumento: man: NetworkManager (8)

[root @ linuxbox ~] # ifconfig -a

I-configure namin ang mga interface ng network

Ang Conn32 LAN interface ay konektado sa Panloob na Network

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = pampubliko

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ang Conn34 WAN interface na konektado sa Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=172.16.10.10
NETMASK=255.255.255.0
# El Router ADSL está conectado a
# ésta interfaz con
# la siguiente dirección IP
GATEWAY=172.16.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = panlabas

[root @ linuxbox ~] # ifdown ens34 && ifup ens34

Mga pagsasaayos ng repository

[root @ linuxbox ~] # cd /etc/yum.repos.d/
[root @ linuxbox ~] # orihinal na mkdir
[root @ linuxbox ~] # mv Centos- * orihinal /

[root @ linuxbox ~] # nano centos.repo
[Base-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/base/x86_64/
gpgcheck=0
enabled=1

[CentosPlus-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/centosplus/x86_64/
gpgcheck=0
enabled=1

[Epel-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/epel/x86_64/
gpgcheck=0
enabled=1

[Updates-Repo]
name=CentOS-$releasever
baseurl=http://192.168.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ linuxbox yum.repos.d] # yum malinis lahat
Na-load ang mga plugin: pinakamabilis na mirror, langpacks Mga paglilinis ng repository: Base-Repo CentosPlus-Repo Epel-Repo Media-Repo: Mga Update-Repo Paglilinis ng lahat ng Paglilinis ng listahan ng mga pinakamabilis na salamin
[root @ linuxbox yum.repos.d] # yum update
Mga na-load na plugin: pinakamabilis na sensor, langpacks Base-Repo | 3.6 kB 00:00 CentosPlus-Repo | 3.4 kB 00:00 Epel-Repo | 4.3 kB 00:00 Media-Repo | 3.6 kB 00:00 Mga Update-Repo | 3.4 kB 00:00 (1/9): Base-Repo / group_gz | 155 kB 00:00 (2/9): Epel-Repo / group_gz | 170 kB 00:00 (3/9): Media-Repo / group_gz | 155 kB 00:00 (4/9): Epel-Repo / updateinfo | 734 kB 00:00 (5/9): Media-Repo / primary_db | 5.3 MB 00:00 (6/9): CentosPlus-Repo / primary_db | 1.1 MB 00:00 (7/9): Mga Update-Repo / primary_db | 2.2 MB 00:00 (8/9): Epel-Repo / primary_db | 4.5 MB 00:01 (9/9): Base-Repo / primary_db | 5.6 MB 00:01 Pagtukoy ng pinakamabilis na mga salamin Walang mga pakete na minarkahan para sa pag-update

Ang mensahe "Walang markang pakete para sa pag-update»Ipinapakita dahil sa panahon ng pag-install ay idineklara namin ang parehong mga lokal na repository na mayroon kami sa aming pagtatapon.

Ang Centos 7 kasama ang kapaligiran sa desktop ng MATE

Upang magamit ang napakahusay na mga tool sa pangangasiwa na may isang graphic na interface na ibinibigay sa amin ng CentOS / Red Hat, at dahil palagi naming hahanapin ang GNOME2, nagpasya kaming i-install ang MATE bilang isang kapaligiran sa desktop.

[root @ linuxbox ~] # yum groupinstall "X Window system"
[root @ linuxbox ~] # yum groupinstall "MATE Desktop"

Upang mapatunayan na ang MATE ay naglo-load nang maayos, isinasagawa namin ang sumusunod na utos sa isang console -local o remote-:

[root @ linuxbox ~] # systemctl ihiwalay ang graphic.target

at dapat i-load ang kapaligiran sa desktop -sa lokal na pangkat- maayos, ipinapakita ang lightdm bilang isang graphic na pag-login. Nai-type namin ang pangalan ng lokal na gumagamit at ang password nito, at ipasok namin ang MATE.

Upang sabihin sa systemd na ang default na antas ng boot ay 5 -graphic na kapaligiran - nilikha namin ang sumusunod na simbolikong link:

[root @ linuxbox ~] # ln -sf /lib/systemd/system/runlevel5.target /etc/systemd/system/default.target

I-reboot namin ang system at lahat ay gumagana nang maayos.

I-install namin ang Serbisyo sa Oras para sa Mga Network

[root @ linuxbox ~] # yum install ntp

Sa panahon ng pag-install ay na-configure namin na ang lokal na orasan ay mai-synchronize sa time server ng kagamitan sysadmin.desdelinux.fan may IP 192.168.10.1. Kaya, nai-save namin ang file ntp.conf orihinal ni:

[root @ linuxbox ~] # cp /etc/ntp.conf /etc/ntp.conf.original

Ngayon, lumilikha kami ng bago kasama ang sumusunod na nilalaman:

[root @ linuxbox ~] # nano /etc/ntp.conf # Mga server na naka-configure habang naka-install: server 192.168.10.1 iburst # Para sa karagdagang impormasyon, tingnan ang mga pahina ng tao ng: # ntp.conf (5), ntp_acc (5), ntp_auth (5), ntp_clock (5), ntp_misc (5), ntp_mon (5). driftfile / var / lib / ntp / drift # Payagan ang pagsabay sa pinagmulan ng oras, ngunit hindi # payagan ang mapagkukunan na kumunsulta o baguhin ang serbisyong ito na paghigpitan ang default nomodify notrap nopeer noquery # Payagan ang lahat ng pag-access sa interface ng Loopback limitahan ang 127.0.0.1 paghigpitan :: 1 # Paghigpitan ng kaunti nang kaunti sa mga computer sa lokal na network. paghigpitan ang 192.168.10.0 mask 255.255.255.0 nomodify notrap # Gumamit ng mga pampublikong server ng proyekto pool.ntp.org # Kung nais mong sumali sa proyekto bisitahin ang # (http://www.pool.ntp.org/join.html). #broadcast 192.168.10.255 autokey # broadcast server broadcastclient # broadcast client #broadcast 224.0.1.1 autokey # multicast server #multicastclient 224.0.1.1 # multicast client #manycastserver 239.255.254.254 # Manycast server #manycastclient 239.255.254.254 client 192.168.10.255any broadcastclient 4 autokey.8 client. 42 # Paganahin ang pampublikong cryptography. #crypto comprefile / etc / ntp / crypto / pw # Key file na naglalaman ng mga key at key identifier # ginamit kapag nagpapatakbo sa mga simetriko key cryptography key / etc / ntp / keys # Tukuyin ang mga mapagkakatiwalaang key identifier. #trustkey 8 8 2013 # Tukuyin ang key identifier na gagamitin sa ntpdc utility. #requestkey 5211 # Tukuyin ang key identifier na gagamitin sa ntpq utility. #controlkey XNUMX # Paganahin ang pagsusulat ng mga rehistro ng istatistika. #statistics clockstats cryptostats loopstats peertats # Huwag paganahin ang hiwalay na monitor upang maiwasan ang paglaki ng # pag-atake gamit ang ntpdc monlist command, kapag ang default na # pagpigil ay hindi kasama ang flag ng noquery. Basahin ang CVE-XNUMX-XNUMX # para sa karagdagang detalye. # Tandaan: Ang Monitor ay hindi pinagana ng may limitadong flag ng paghihigpit. huwag paganahin ang monitor

Pinapagana namin, sinisimulan at suriin ang serbisyo ng NTP

[root @ linuxbox ~] # systemctl status ntpd
● ntpd.service - Na-load ang Serbisyo sa Oras ng Network: na-load (/usr/lib/systemd/system/ntpd.service; hindi pinagana; preset ng vendor: hindi pinagana) Aktibo: hindi aktibo (patay)

[root @ linuxbox ~] # systemctl paganahin ang ntpd
Nilikha symlink mula sa /etc/systemd/system/multi-user.target.wants/ntpd.service sa /usr/lib/systemd/system/ntpd.service.

[root @ linuxbox ~] # systemctl simulan ang ntpd
[root @ linuxbox ~] # systemctl status ntpd

[root @ linuxbox ~] # systemctl status ntpdntpd.service - Serbisyo sa Oras ng Network
   Na-load: na-load (/usr/lib/systemd/system/ntpd.service; pinagana; na-preset ng vendor: hindi pinagana) Aktibo: aktibo (tumatakbo) mula noong Biyernes 2017-04-14 15:51:08 EDT; 1s nakaraan Proseso: 1307 ExecStart = / usr / sbin / ntpd -u ntp: ntp $ OPTIONS (code = exited, status = 0 / SUCCESS) Pangunahing PID: 1308 (ntpd) CGroup: /system.slice/ntpd.service └─ 1308 / usr / sbin / ntpd -u ntp: ntp -g

Ntp at ang Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
panlabas
  mga interface: ens34
publiko
  mga interface: ens32

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 123 / udp --permanent
tagumpay
[root @ linuxbox ~] # firewall-cmd --reload
tagumpay

Pinapagana at ise-configure namin ang Dnsmasq

Tulad ng nakita natin sa nakaraang artikulo sa serye ng Small Business Networks, ang Dnsamasq ay na-install bilang default sa isang CentOS 7 Infrastructure Server.

[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS caching server. Na-load: na-load (/usr/lib/systemd/system/dnsmasq.service; hindi pinagana; preset ng vendor: hindi pinagana) Aktibo: hindi aktibo (patay)

[root @ linuxbox ~] # systemctl paganahin ang dnsmasq
Nilikha symlink mula sa /etc/systemd/system/multi-user.target.wants/dnsmasq.service sa /usr/lib/systemd/system/dnsmasq.service.

[root @ linuxbox ~] # systemctl simulan ang dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq
● dnsmasq.service - DNS caching server. Na-load: na-load (/usr/lib/systemd/system/dnsmasq.service; pinagana; na-preset ng vendor: hindi pinagana) Aktibo: aktibo (tumatakbo) mula noong Fri 2017-04-14 16:21:18 EDT; 4s ang nakalipas Main PID: 33611 (dnsmasq) CGroup: /system.slice/dnsmasq.service └─33611 / usr / sbin / dnsmasq -k

[root @ linuxbox ~] # mv /etc/dnsmasq.conf /etc/dnsmasq.conf.original

[root @ linuxbox ~] # nano /etc/dnsmasq.conf
# -------------------------------------------------------------------
# O P C I O N E S   G E N E R A L E S
# -------------------------------------------------------------------
domain-needed   # No pasar nombres sin la parte del dominio
bogus-priv  # No pasar direcciones en el espacio no enrutado
expand-hosts    # Adiciona automaticamente el dominio al host
interface=ens32 # Interface LAN

strict-order    # Orden en que consulta el archivo /etc/resolv.conf
conf-dir=/etc/dnsmasq.d
domain=desdelinux.fan   # Nombre del dominio

address=/time.windows.com/192.168.10.5

# Envía una opción vacía del valor WPAD. Se requiere para que 
# se comporten bien los clientes Windos 7 y posteriores. ;-)
dhcp-option=252,"\n"

# Archivo donde declararemos los HOSTS que serán "baneados"
addn-hosts=/etc/banner_add_hosts

local=/desdelinux.fan/

# -------------------------------------------------------------------
# R E G I S T R O S   C N A M E    M X    T X T
# -------------------------------------------------------------------
# Este tipo de registro requiere de una entrada
# en el archivo /etc/hosts
# ej: 192.168.10.5 linuxbox.desdelinux.fan linuxbox
# cname=ALIAS,REAL_NAME
cname=mail.desdelinux.fan,linuxbox.desdelinux.fan

# REGISTROS MX
# Devuelve un registro MX con el nombre "desdelinux.fan" con destino
# al equipo mail.desdelinux.fan y prioridad de 10
mx-host=desdelinux.fan,mail.desdelinux.fan,10

# El destino por defecto para los registros MX que se creen
# utilizando la opción localmx será:
mx-target=mail.desdelinux.fan

# Devuelve un registro MX apuntando al mx-target para TODAS
# las máquinas locales
localmx

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a -all"
txt-record=desdelinux.fan,"DesdeLinux, su Blog dedicado al Software Libre"

# -------------------------------------------------------------------
# R A N G O   Y   S U S   O P C I O N E S
# -------------------------------------------------------------------
# Rango IPv4 y tiempo de arrendamiento
# De la 1 a la 29 son para los Servidores y otras necesidades
dhcp-range=192.168.10.30,192.168.10.250,8h

dhcp-lease-max=222      # Cantidad máxima de direcciones a arrendar
                        # por defecto son 150
# Rango IPV6
# dhcp-range=1234::, ra-only

# Opciones para el RANGO
# O P C I O N E S
dhcp-option=1,255.255.255.0 # NETMASK
dhcp-option=3,192.168.10.5  # ROUTER GATEWAY
dhcp-option=6,192.168.10.5  # DNS Servers
dhcp-option=15,desdelinux.fan   # DNS Domain Name
dhcp-option=19,1        # option ip-forwarding ON
dhcp-option=28,192.168.10.255   # BROADCAST
dhcp-option=42,192.168.10.5 # NTP

dhcp-authoritative      # DHCP Autoritario en la subnet

# -------------------------------------------------------------------
# Si desean almacenar en /var/log/messages el log de las consultas
# elimine el comentario de la línea a continuación
# -------------------------------------------------------------------
# mga log-query
# KATAPUSAN ng file /etc/dnsmasq.conf # ------------------------------------ ----------------------------

Lumilikha kami ng file / etc / banner_add_hosts

[root @ linuxbox ~] # nano / etc / banner_add_hosts
192.168.10.5 windowsupdate.com 192.168.10.5 ctldl.windowsupdate.com 192.168.10.5 ocsp.verisign.com 192.168.10.5 csc3-2010-crl.verisign.com 192.168.10.5 www.msftncsi.com 192.168.10.5 ipv6.msftncsi.com 192.168.10.5 teredo.ipv6.microsoft.com 192.168.10.5 ds.download.windowsupdate.com 192.168.10.5 download.microsoft.com 192.168.10.5 fe2.update.microsoft.com 192.168.10.5 crl.microsoft.com 192.168.10.5 www .download.windowsupdate.com 192.168.10.5 win8.ipv6.microsoft.com 192.168.10.5 spynet.microsoft.com 192.168.10.5 spynet1.microsoft.com 192.168.10.5 spynet2.microsoft.com 192.168.10.5 spynet3.microsoft.com 192.168.10.5. 4 spynet192.168.10.5.microsoft.com 5 spynet192.168.10.5.microsoft.com 15 office192.168.10.5client.microsoft.com 192.168.10.5 addons.mozilla.org XNUMX crl.verisign.com

Naayos ang mga IP address

[root @ linuxbox ~] # nano / etc / host
127.0.0.1       localhost localhost.localdomain localhost4 localhost4.localdomain4
::1             localhost localhost.localdomain localhost6 localhost6.localdomain6
192.168.10.5    linuxbox.desdelinux.fan linuxbox
192.168.10.1    sysadmin.desdelinux.fan sysadmin

I-configure namin ang file /etc/resolv.conf - resolver

[root @ linuxbox ~] # nano /etc/resolv.conf
paghahanap desdelinux.fan
nameserver 127.0.0.1
# Para consultas DNS externas o 
# que no sean del dominio desdelinux.fan
# local=/desdelinux.fan/
nameserver 8.8.8.8

Sinusuri namin ang syntax ng file dnsmasq.conf, sinisimulan at sinusuri namin ang katayuan ng serbisyo

[root @ linuxbox ~] # dnsmasq --test
dnsmasq: suriin ang syntax OK.
[root @ linuxbox ~] # systemctl restart dnsmasq
[root @ linuxbox ~] # systemctl status dnsmasq

Dnsmasq at ang Firewall

[root @ linuxbox ~] # firewall-cmd --get-active-zones
panlabas
  mga interface: ens34
publiko
  mga interface: ens32

serbisyo domain o Domain Name Server (dns). Protocol palo «IP na may Encryption«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / tcp --permanent
tagumpay
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 53 / udp --permanent
tagumpay

Ang mga query ng Dnsmasq sa mga panlabas na DNS server

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / tcp --permanent
tagumpay
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 53 / udp --permanent
tagumpay

serbisyo mga bootp o Server ng BOOTP (dhcp). Protocol ippc «Internet Pluribus Packet Core«

[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / tcp --permanent
tagumpay
[root @ linuxbox ~] # firewall-cmd --zone = public --add-port = 67 / udp --permanent
tagumpay

[root @ linuxbox ~] # firewall-cmd --reload
tagumpay

[root @ linuxbox ~] # firewall-cmd --info-zone na pampubliko (aktibo)
  target: default icmp-block-inversion: walang mga interface: ens32 na mapagkukunan: mga serbisyo: dhcp dns ntp ssh ports: 67 / tcp 53 / udp 123 / udp 67 / udp 53 / tcp na mga protocol: masquerade: walang mga forward-port: sourceports: icmp -blocks: mayamang panuntunan:

[root @ linuxbox ~] # firewall-cmd --info-zone external external (aktibo)
  target: default icmp-block-inversion: walang mga interface: ens34 na mapagkukunan: mga serbisyo: dns port: 53 / udp 53 / tcp na mga protocol: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router- paghingi ng mapagkukunang-pagsusubo ng mayamang panuntunan:

Kung nais naming gumamit ng isang graphic na interface upang mai-configure ang Firewall sa CentOS 7, titingnan namin ang pangkalahatang menu - depende ito sa kapaligiran sa desktop kung saan lumilitaw ang submenu - ang application na «Firewall», isinasagawa namin ito at pagkatapos na ipasok ang password ng gumagamit ugat, maa-access namin ang interface ng programa tulad ng. Sa MATE lilitaw ito sa menu «System »->" Administrasyon "->" Firewall ".

Pinipili namin ang Lugar «publiko»At pinahintulutan namin ang Mga Serbisyo na nais naming mai-publish sa LAN, na hanggang ngayon ay dhcp, Dns, ntp at ssh. Matapos mapili ang mga serbisyo, napatunayan na ang lahat ay gumagana nang tama, dapat naming gawin ang mga pagbabago sa Runtime to Permanent. Upang magawa ito, pupunta kami sa menu ng Mga Pagpipilian at piliin ang pagpipilian «Patakbuhin ang oras upang permanenteng".

Mamaya pinili namin ang Area «panlabas»At sinusuri namin na ang mga Ports na kinakailangan upang makipag-usap sa Internet ay bukas. HUWAG mai-publish ang Mga Serbisyo sa Zone na ito maliban kung alam namin nang husto kung ano ang ginagawa namin!.

Huwag kalimutan na gawin ang mga pagbabago na Permanent sa pamamagitan ng pagpipilian «Patakbuhin ang oras upang permanenteng»At i-reload ang demonyo FirewallD, sa tuwing gagamitin namin ang napakalakas na graphic tool na ito.

NTP at Dnsmasq mula sa isang Windows 7 client

Ang pagsabay sa NTP

panlabas

Leased IP address

Microsoft Windows [Bersyon 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Nakalaan ang lahat ng mga karapatan. C: \ Users \ buzz> ipconfig / lahat ng Pangalan ng Host ng Configure ng Windows IP. . . . . . . . . . . . : PITONG
   Pangunahing Dns Suffix. . . . . . . :
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.fan

Ethernet adapter Local Area Connection:

   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Intel(R) PRO/1000 MT Network Connection
   Physical Address. . . . . . . . . : 00-0C-29-D6-14-36
   DHCP Enabled. . . . . . . . . . . : Yes
   Autoconfiguration Enabled . . . . : Yes
   IPv4 Address. . . . . . . . . . . : 192.168.10.115 (Ginustong)
   Subnet Mask . . . . . . . . . . . : 255.255.255.0
   Lease Obtained. . . . . . . . . . : Friday, April 14, 2017 5:12:53 PM
   Lease Expires . . . . . . . . . . : Saturday, April 15, 2017 1:12:53 AM
   Default Gateway . . . . . . . . . : 192.168.10.1
   DHCP Server . . . . . . . . . . . : 192.168.10.5
   DNS Servers . . . . . . . . . . . : 192.168.10.5
   NetBIOS over Tcpip. . . . . . . . : Enabled

Tunnel adapter Local Area Connection* 9:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . :
   Description . . . . . . . . . . . : Microsoft Teredo Tunneling Adapter
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

Tunnel adapter isatap.desdelinux.fan:

   Media State . . . . . . . . . . . : Media disconnected
   Connection-specific DNS Suffix  . : desdelinux.fan
   Description . . . . . . . . . . . : Microsoft ISATAP Adapter #2
   Physical Address. . . . . . . . . : 00-00-00-00-00-00-00-E0
   DHCP Enabled. . . . . . . . . . . : No
   Autoconfiguration Enabled . . . . : Yes

C:\Users\buzz>

Tip

Ang isang mahalagang halaga sa mga kliyente sa Windows ay ang "Pangunahing Dns Suffix" o "Pangunahing panlapi ng koneksyon". Kapag hindi ginagamit ang isang Microsoft Domain Controller, ang operating system ay hindi magtatalaga ng anumang halaga dito. Kung nahaharap kami sa isang kaso tulad ng inilarawan sa simula ng artikulo at nais naming malinaw na ideklara ang halagang iyon, dapat kaming magpatuloy alinsunod sa ipinakita sa sumusunod na imahe, tanggapin ang mga pagbabago at muling simulan ang kliyente.

Kung tatakbo ulit tayo CMD -> ipconfig / lahat makukuha natin ang mga sumusunod:

Microsoft Windows [Bersyon 6.1.7601] Copyright (c) 2009 Microsoft Corporation. Nakalaan ang lahat ng mga karapatan. C: \ Users \ buzz> ipconfig / lahat ng Pangalan ng Host ng Configure ng Windows IP. . . . . . . . . . . . : PITONG
   Pangunahing Dns Suffix. . . . . . . : desdelinux.fan
   Node Type . . . . . . . . . . . . : Hybrid
   IP Routing Enabled. . . . . . . . : No
   WINS Proxy Enabled. . . . . . . . : No
   DNS Suffix Search List. . . . . . : desdelinux.fan

Ang natitirang mga halaga ay mananatiling hindi nagbabago

Mga pagsusuri sa DNS

buzz @ sysadmin: ~ $ host spynet.microsoft.com
spynet.microsoft.com has address 127.0.0.1
Host spynet.microsoft.com not found: 5(REFUSED)
spynet.microsoft.com mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host linuxbox
linuxbox.desdelinux.fan has address 192.168.10.5
linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host sysadmin
sysadmin.desdelinux.fan has address 192.168.10.1
sysadmin.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

buzz @ sysadmin: ~ $ host mail
email.desdelinux.fan is an alias for linuxbox.desdelinux.fan.
linuxbox.desdelinux.fan has address 192.168.10.5
linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

Nag-install kami -para sa pagsubok lamang- isang Awtoridad na DNS server NSD sa sysadmin.desdelinux.fan, at isinasama namin ang IP address 172.16.10.1 sa archive /etc/resolv.conf ng pangkat linuxbox.desdelinux.fan, upang mapatunayan na ang Dnsmasq ay naisakatuparan nang tama ang pagpapaandar na Forwarder. Ang mga sandbox sa NSD server ay favt.org y toujague.org. Ang lahat ng mga IP ay katha o mula sa mga pribadong network.

Kung hindi namin pinagana ang interface ng WAN ens34 gamit ang utos ifdown ens34, Hindi makakapagtanong ang Dnsmasq ng mga panlabas na DNS server.

[buzz @ linuxbox ~] $ sudo ifdown ens34 [buzz @ linuxbox ~] $ host -t mx toujague.org
Hindi nahanap ang host toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host pizzapie.favt.org
Hindi nahanap ang host pizzapie.favt.org: 3 (NXDOMAIN)

Paganahin natin ang ens34 interface at suriin muli:

[buzz @ linuxbox ~] $ sudo ifup ens34
buzz @ linuxbox ~] $ host pizzapie.favt.org
Ang pizzapie.favt.org ay isang alias para sa paisano.favt.org. Ang paisano.favt.org ay may address na 172.16.10.4

[buzz @ linuxbox ~] $ host pizzapie.toujague.org
Hindi nahanap ang host pizzas.toujague.org: 3 (NXDOMAIN)

[buzz @ linuxbox ~] $ host poblacion.toujague.org
Ang poblacion.toujague.org ay may address sa 169.18.10.18

[buzz @ linuxbox ~] $ host -t NS favt.org
favt.org name server ns1.favt.org. favt.org name server ns2.favt.org.

[buzz @ linuxbox ~] $ host -t NS toujague.org
toujague.org name server ns1.toujague.org. toujague.org name server ns2.toujague.org.

[buzz @ linuxbox ~] $ host -t MX toujague.org
Ang mail ng toujague.org ay pinangangasiwaan ng 10 mail.toujague.org.

Sumangguni tayo mula sa sysadmin.desdelinux.fan:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
paghahanap desdelinux.fan
nameserver 192.168.10.5

xeon @ sysadmin: ~ $ host mail.toujague.org
Ang mail.toujague.org ay may address na 169.18.10.19

Ang Dnsmasq ay gumagana tulad ng Pagpapasa tama.

pusit

Sa libro sa format na PDF «Pag-configure ng Linux Server»Petsa noong Hulyo 25, 2016, ng May-akda Joel Barrios Duenas (darkshram@gmail.com - http://www.alcancelibre.org/), isang teksto kung saan ako nag-refer sa mga nakaraang artikulo, mayroong isang buong kabanata na nakatuon sa Mga Pagpipilian sa Pangunahing Pag-configure ng Squid.

Dahil sa kahalagahan ng serbisyo sa Web - Proxy, binubuo namin ang Panimulang ginawa tungkol sa Squid sa nabanggit na libro:

105.1. Panimula.

105.1.1. Ano ang isang Intermediary Server (Proxy)?

Ang term sa English "Proxy" ay may isang napaka-pangkalahatan at sa parehong oras hindi siguradong kahulugan, bagaman
ay palaging itinuturing na isang kasingkahulugan ng konsepto ng "Tagapamagitan". Karaniwan itong isinalin, sa mahigpit na kahulugan, bilang delegado o binigyan ng kapangyarihan (ang may kapangyarihan sa isa pa).

Un Tagapamagitan ng Server Ito ay tinukoy bilang isang computer o aparato na nag-aalok ng isang serbisyo sa network na binubuo ng pagpapahintulot sa mga kliyente na gumawa ng mga hindi direktang koneksyon sa network sa iba pang mga serbisyo sa network. Sa proseso ay nangyayari ang sumusunod:

  • Nag-uugnay ang kliyente sa a Proxy server.
  • Humihiling ang kliyente ng isang koneksyon, file, o iba pang mapagkukunan na magagamit sa ibang server.
  • Ang tagapamagitan ng Server ay nagbibigay ng mapagkukunan alinman sa pamamagitan ng pagkonekta sa tinukoy na server
    o paghahatid nito mula sa isang cache.
  • Sa ilang mga kaso ang Tagapamagitan ng Server maaaring baguhin ang kahilingan ng kliyente o ang
    tugon ng server para sa iba't ibang mga layunin.

Los Mga Proxy Server sila ay karaniwang ginagawa upang gumana nang sabay-sabay bilang isang pader ng sunog na tumatakbo sa Antas ng network, kumikilos bilang isang packet filter, tulad ng sa kaso ng iptables o pagpapatakbo sa Antas ng Application, pagkontrol sa iba't ibang mga serbisyo, tulad ng kaso ng TCP wrapper. Nakasalalay sa konteksto, ang pader ng apoy ay kilala rin bilang Extension ng BPD o Border Ppag-ikot Device o just packet filter.

Isang karaniwang aplikasyon ng Mga Proxy Server ay upang gumana bilang isang cache ng nilalaman ng network (pangunahin sa HTTP), na nagbibigay sa kalapitan ng mga kliyente ng isang cache ng mga pahina at mga file na magagamit sa pamamagitan ng Network sa mga remote na HTTP server, na pinapayagan ang mga kliyente ng lokal na network na ma-access ang mga ito sa isang mas mabilis at mas maaasahan.

Kapag natanggap ang isang kahilingan para sa isang tinukoy na mapagkukunan ng Network sa a URL (Uuniporme Rmapagkukunan Locator) ang Tagapamagitan ng Server hanapin ang resulta ng URL sa loob ng cache. Kung ito ay matatagpuan, ang Tagapamagitan ng Server Tumutugon sa customer sa pamamagitan ng pagbibigay agad ng hiniling na nilalaman. Kung ang hiniling na nilalaman ay wala sa cache, ang Tagapamagitan ng Server kukunin ito mula sa isang remote server, ihahatid ito sa kliyente na humiling nito at pinapanatili ang isang kopya sa cache. Ang nilalaman sa cache pagkatapos ay aalisin sa pamamagitan ng isang expiration algorithm ayon sa edad, laki at kasaysayan ng mga tugon sa mga kahilingan (hits) (mga halimbawa: LRU, LFUDA y GDSF).

Ang Mga Proxy Server para sa nilalaman ng Network (Web Proxies) ay maaari ring kumilos bilang mga filter ng nilalamang inihatid, na naglalapat ng mga patakaran sa censorship alinsunod sa di-makatwirang pamantayan..

Ang bersyon ng Squid na mai-install namin ay 3.5.20-2.el7_3.2 mula sa imbakan Update.

Instalasyon

[root @ linuxbox ~] # yum install squid

[root @ linuxbox ~] # ls / etc / squid /
cachemgr.conf errorpage.css.default  pusit.conf
cachemgr.conf.default mime.conf              squid.conf.default
errorpage.css mime.conf.default

[root @ linuxbox ~] # systemctl paganahin ang pusit

Mahalaga

  • Ang pangunahing layunin ng artikulong ito ay upang Pahintulutan ang mga lokal na gumagamit na kumonekta sa Squid mula sa iba pang mga computer na konektado sa LAN. Bilang karagdagan, ipatupad ang core ng isang server kung saan idaragdag ang iba pang mga serbisyo. Hindi ito isang artikulo na nakatuon sa Squid tulad nito.
  • Upang makakuha ng ideya ng mga pagpipilian sa pagsasaayos ng Squid, basahin ang file /usr/share/doc/squid-3.5.20/squid.conf.documented, na may mga linya ng 7915.

SELinux at Squid

[root @ linuxbox ~] # getsebool -a | grep squid
squid_connect_any -> sa squid_use_tproxy -> off

[root @ linuxbox ~] # setebool -P squid_connect_any = on

configuration

[root @ linuxbox ~] # nano /etc/squid/squid.conf
# LAN acl localnet src 192.168.10.0/24 acl SSL_ports port 443 21
acl Safe_ports port 80 # http acl Safe_ports port 21 # ftp acl Safe_ports port 443 # https acl Safe_ports port 70 # gopher acl Safe_ports port 210 # wais acl Safe_ports port 1025-65535 # hindi rehistradong mga port acl Safe_ports port 280 # http-mgmt acl Safe_ports port 488 # gss-http acl Safe_ports port 591 # filmaker acl Safe_ports port 777 # multiling http acl CONNECT method CONNECT # Tinanggihan namin ang mga query para sa mga hindi ligtas na port http_access deny! Safe_ports # Tinanggihan namin ang paraan ng CONNECT sa mga hindi ligtas na port http_access tanggihan ang CONNECT! Ang SSL_ports # Pag-access lamang sa manager ng Cache mula sa localhost http_access ay pinapayagan ang localhost manager na http_access deny manager # Mahigpit naming inirerekomenda ang sumusunod na maging hindi komportable upang maprotektahan ang mga inosenteng # web application na tumatakbo sa proxy server na sa palagay ay ang isa lamang na maaaring mag-access ng mga serbisyo sa "localhost" ay isang lokal na gumagamit http_access tanggihan na_localhost # # I-INSERT ANG IYONG SARILING PANUNTUNAN (S) DITO UPANG HAYAAN ANG ACCESS MULA SA IYONG mga KLIND # # PAM na pahintulot
auth_param pangunahing programa / usr / lib64 / pusit / basic_pam_auth
auth_param basic children 5
auth_param basic realm desdelinux.fan
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

# Para acceder al Squid se requiere autenticación
acl Entusiastas proxy_auth REQUIRED

# Permitimos el acceso a usuarios autenticados
# mediante PAM
http_access deny !Entusiastas

# Acceso a sitios FTP
acl ftp proto FTP
http_access allow ftp

http_access allow localnet
http_access allow localhost

# Negamos cualquier otro acceso al proxy
http_access deny all

# Squid normalmente escucha por el puerto 3128
http_port 3128

# Dejamos los "coredumps" en el primer directorio caché
coredump_dir /var/spool/squid

#
# Add any of your own refresh_pattern entries above these.
#
refresh_pattern ^ftp:       1440    20% 10080
refresh_pattern ^gopher:    1440    0%  1440
refresh_pattern -i (/cgi-bin/|\?) 0 0%  0
refresh_pattern .       0   20% 4320

cache_mem 64 MB
# Memoria Caché
memory_replacement_policy lru
cache_replacement_policy heap LFUDA
cache_dir aufs /var/spool/squid 4096 16 256
maximum_object_size 4 MB
cache_swap_low 85
cache_swap_high 90
cache_mgr buzz@desdelinux.fan

# Otros parámetros
visible_hostname linuxbox.desdelinux.fan

Sinusuri namin ang syntax ng file /etc/squid/squid.conf

[root @ linuxbox ~] # pusit -k parse
2017/04/16 15:45:10| Startup: Initializing Authentication Schemes ...
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'basic'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'digest'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'negotiate'
2017/04/16 15:45:10| Startup: Initialized Authentication Scheme 'ntlm'
2017/04/16 15:45:10| Startup: Initialized Authentication.
2017/04/16 15:45:10| Processing Configuration File: /etc/squid/squid.conf (depth 0)
2017/04/16 15:45:10| Processing: acl localnet src 192.168.10.0/24
2017/04/16 15:45:10| Processing: acl SSL_ports port 443 21
2017/04/16 15:45:10| Processing: acl Safe_ports port 80     # http
2017/04/16 15:45:10| Processing: acl Safe_ports port 21     # ftp
2017/04/16 15:45:10| Processing: acl Safe_ports port 443        # https
2017/04/16 15:45:10| Processing: acl Safe_ports port 70     # gopher
2017/04/16 15:45:10| Processing: acl Safe_ports port 210        # wais
2017/04/16 15:45:10| Processing: acl Safe_ports port 1025-65535 # unregistered ports
2017/04/16 15:45:10| Processing: acl Safe_ports port 280        # http-mgmt
2017/04/16 15:45:10| Processing: acl Safe_ports port 488        # gss-http
2017/04/16 15:45:10| Processing: acl Safe_ports port 591        # filemaker
2017/04/16 15:45:10| Processing: acl Safe_ports port 777        # multiling http
2017/04/16 15:45:10| Processing: acl CONNECT method CONNECT
2017/04/16 15:45:10| Processing: http_access deny !Safe_ports
2017/04/16 15:45:10| Processing: http_access deny CONNECT !SSL_ports
2017/04/16 15:45:10| Processing: http_access allow localhost manager
2017/04/16 15:45:10| Processing: http_access deny manager
2017/04/16 15:45:10| Processing: http_access deny to_localhost
2017/04/16 15:45:10| Processing: auth_param basic program /usr/lib64/squid/basic_pam_auth
2017/04/16 15:45:10| Processing: auth_param basic children 5
2017/04/16 15:45:10| Processing: auth_param basic realm desdelinux.fan
2017/04/16 15:45:10| Processing: auth_param basic credentialsttl 2 hours
2017/04/16 15:45:10| Processing: auth_param basic casesensitive off
2017/04/16 15:45:10| Processing: acl Entusiastas proxy_auth REQUIRED
2017/04/16 15:45:10| Processing: http_access deny !Entusiastas
2017/04/16 15:45:10| Processing: acl ftp proto FTP
2017/04/16 15:45:10| Processing: http_access allow ftp
2017/04/16 15:45:10| Processing: http_access allow localnet
2017/04/16 15:45:10| Processing: http_access allow localhost
2017/04/16 15:45:10| Processing: http_access deny all
2017/04/16 15:45:10| Processing: http_port 3128
2017/04/16 15:45:10| Processing: coredump_dir /var/spool/squid
2017/04/16 15:45:10| Processing: refresh_pattern ^ftp:      1440    20% 10080
2017/04/16 15:45:10| Processing: refresh_pattern ^gopher:   1440    0%  1440
2017/04/16 15:45:10| Processing: refresh_pattern -i (/cgi-bin/|\?) 0    0%  0
2017/04/16 15:45:10| Processing: refresh_pattern .      0   20% 4320
2017/04/16 15:45:10| Processing: cache_mem 64 MB
2017/04/16 15:45:10| Processing: memory_replacement_policy lru
2017/04/16 15:45:10| Processing: cache_replacement_policy heap LFUDA
2017/04/16 15:45:10| Processing: cache_dir aufs /var/spool/squid 4096 16 256
2017/04/16 15:45:10| Processing: maximum_object_size 4 MB
2017/04/16 15:45:10| Processing: cache_swap_low 85
2017/04/16 15:45:10| Processing: cache_swap_high 90
2017/04/16 15:45:10| Processing: cache_mgr buzz@desdelinux.fan
2017/04/16 15:45:10| Processing: visible_hostname linuxbox.desdelinux.fan
2017/04/16 15:45:10| Initializing https proxy context

Inaayos namin ang mga pahintulot sa / usr / lib64 / pusit / basic_pam_auth

[root @ linuxbox ~] # chmod u + s / usr / lib64 / squid / basic_pam_auth

Lumilikha kami ng direktoryo ng cache

# Kung sakali ... [root @ linuxbox ~] # service squid stop
Ang pag-redirect sa / baseng / systemctl stop squid.service

[root @ linuxbox ~] # pusit -z
[root @ linuxbox ~] # 2017/04/16 15:48:28 kid1 | Itakda ang Kasalukuyang Direktoryo sa / var / spool / squid 2017/04/16 15:48:28 kid1 | Lumilikha ng mga nawawalang direktoryo ng pagpapalit 2017/04/16 15:48:28 kid1 | / var / spool / squid umiiral 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / squid / 00 2017/04/16 15:48:28 kid1 | Gumagawa ng mga direktoryo sa / var / spool / squid / 01 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / squid / 02 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 03 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 04 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 05 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 06 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / squid / 07 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 08 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 09 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 0A 2017/04/16 15:48:28 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 0B 2017/04/16 15:48:28 kid1 | Gumagawa ng mga direktoryo sa / var / spool / squid / 0C 2017/04/16 15:48:29 kid1 | Gumagawa ng mga direktoryo sa / var / spool / squid / 0D 2017/04/16 15:48:29 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / pusit / 0E 2017/04/16 15:48:29 kid1 | Ang paggawa ng mga direktoryo sa / var / spool / squid / 0F

Sa puntong ito, kung tumatagal upang maibalik ang prompt ng utos - na hindi na bumalik sa akin - pindutin ang Enter.

[root @ linuxbox ~] # service squid start
[root @ linuxbox ~] # service squid restart
[root @ linuxbox ~] # katayuan ng pusit ng serbisyo
Pag-redirect sa / bin / systemctl status squid.service ● squid.service - Squid caching proxy Loaded: load (/usr/lib/systemd/system/squid.service; hindi pinagana; preset ng vendor: hindi pinagana) Aktibo: aktibo (tumatakbo) dahil dom 2017-04-16 15:57:27 EDT; 1s nakaraan Proseso: 2844 ExecStop = / usr / sbin / squid -k shutdown -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Proseso: 2873 ExecStart = / usr / sbin / squid $ SQUID_OPTS -f $ SQUID_CONF (code = exited, status = 0 / SUCCESS) Proseso: 2868 ExecStartPre = / usr / libexec / squid / cache_swap.sh (code = exited, status = 0 / SUCCESS) Pangunahing PID: 2876 (pusit) CGroup: /system.slice/squid .service └─2876 / usr / sbin / squid -f /etc/squid/squid.conf Abr 16 15:57:27 linuxbox systemd [1]: Simula ng Squid caching proxy ... Abr 16 15:57:27 linuxbox systemd [1]: Sinimulan ang Squid caching proxy. Abr 16 15:57:27 linuxbox squid [2876]: Squid Parent: sisimulan ang 1 mga bata Abril 16 15:57:27 linuxbox squid [2876]: Squid Parent: (squid-1) proseso 2878 ... ed Abr 16 15 : 57: 27 linuxbox squid [2876]: Squid Parent: (pusit-1) proseso 2878 ... 1 Pahiwatig: Ang ilang mga linya ay ellipsized, gamitin -l upang ipakita ang buong

[root @ linuxbox ~] # cat / var / log / mga mensahe | grep squid

Inaayos ang Firewall

Dapat din tayong magbukas sa Zone «panlabas"ang mga daungan 80HTTP y 443 HTTPS kaya ang Squid ay maaaring makipag-usap sa Internet.

[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 80 / tcp --permanent
tagumpay
[root @ linuxbox ~] # firewall-cmd --zone = external --add-port = 443 / tcp --permanent
tagumpay
[root @ linuxbox ~] # firewall-cmd --reload
tagumpay
[root @ linuxbox ~] # firewall-cmd - panlabas na-zone
panlabas (aktibo) na target: default na icmp-block-inversion: walang mga interface: ens34 na mapagkukunan: mga serbisyo: dns port: 443 / tcp 53 / udp 80 / tcp 53 / tcp
  mga protocol: masquerade: yes forward-ports: sourceports: icmp-blocks: parameter-problem redirect router-advertisement router-solicitation source-quench rich rules:
  • Hindi idle na pumunta sa graphic application «Pag-configure ng Firewall»At suriin na ang mga port ng 443 tcp, 80 tcp, 53 tcp, at 53 udp ay bukas para sa zone«panlabas«, At na HINDI namin nai-publish ang anumang serbisyo para sa kanya.

Tandaan sa programa ng basic_pam_auth helper

Kung ikunsulta namin ang manu-manong gamit na ito sa pamamagitan ng tao basic_pam_auth Mababasa namin na ang may-akda mismo ay gumawa ng isang malakas na rekomendasyon na ilipat ang programa sa isang direktoryo kung saan ang mga normal na gumagamit ay walang sapat na mga pahintulot upang ma-access ang tool.

Sa kabilang banda, nalalaman na sa pamamaraan ng pagpapahintulot na ito, ang mga kredensyal ay naglalakbay sa payak na teksto at hindi ito ligtas para sa mga kapaligiran na pagalit, basahin ang mga bukas na network.

jeff yestrumskas italaga ang artikulo «How-to: Mag-set up ng isang secure na web proxy gamit ang SSL na naka-encrypt, Squid Caching Proxy at pagpapatotoo ng PAM»Sa isyu ng pagtaas ng seguridad kasama ang scheme ng pagpapatotoo na ito upang magamit ito sa potensyal na pagalit na bukas na mga network.

Nag-install kami ng httpd

Bilang isang paraan upang suriin ang pagpapatakbo ng Squid -at hindi sinasadya na ng Dnsmasq- mai-install namin ang serbisyo httpd -Apache web server- na hindi kinakailangan upang gawin. Sa file na may kaugnayan sa Dnsmasq / etc / banner_add_hosts Idineklara namin ang mga site na nais naming bawal, at malinaw naming itinalaga sa kanila ang parehong IP address na mayroon sila kahon ng linux. Sa gayon, kung humiling kami ng pag-access sa alinman sa mga site na ito, ang home page ng httpd.

[root @ linuxbox ~] # yum install httpd [root @ linuxbox ~] # systemctl paganahin ang httpd
Nilikha symlink mula sa /etc/systemd/system/multi-user.target.wants/httpd.service sa /usr/lib/systemd/system/httpd.service.

[root @ linuxbox ~] # systemctl simulan ang httpd

[root @ linuxbox ~] # systemctl status httpd
● httpd.service - Ang Apache HTTP Server Loaded: load (/usr/lib/systemd/system/httpd.service; pinagana; preset ng vendor: hindi pinagana) Aktibo: aktibo (tumatakbo) mula noong Sun 2017-04-16 16:41: 35 EDT; 5s ago Docs: man: httpd (8) man: apachectl (8) Pangunahing PID: 2275 (httpd) Katayuan: "Mga kahilingan sa pagpoproseso ..." CGroup: /system.slice/httpd.service ├─2275 / usr / sbin / httpd -DFOREGROUND ├─2276 / usr / sbin / httpd -DFOREGROUND ├─2277 / usr / sbin / httpd -DFOREGROUND ├─2278 / usr / sbin / httpd -DFOREGROUND ├─2279 / usr / sbin / httpd -DFOREGROUND └─2280 / usr / sbin / httpd -DFOREGROUND Abr 16 16:41:35 linuxbox systemd [1]: Simula Ang Apache HTTP Server ... Abr 16 16:41:35 linuxbox systemd [1]: Sinimulan Ang Apache HTTP Server.

SELinux at Apache

Ang Apache ay may maraming mga patakaran upang mai-configure sa loob ng konteksto ng SELinux.

[root @ linuxbox ~] # getsebool -a | grep httpd
httpd_anon_write -> off httpd_builtin_scripting -> sa httpd_can_check_spam -> off httpd_can_connect_ftp -> off httpd_can_connect_ldap -> off httpd_can_connect_mythtv -> off httpd_can_connect network off_zabbi__bwork_bwork_bwork httpd_can_network_memcache -> off httpd_can_network_relay -> off httpd_can_sendmail -> off httpd_dbus_avahi -> off httpd_dbus_sssd -> off httpd_dontaudit_search_dirs -> off httpd_enable_cgi -> httpd_enable_offerdd_ddd off_daptor_download httpd_graceful_shutdown -> sa httpd_manage_ipa -> off httpd_mod_auth_ntlm_winbind -> off httpd_mod_auth_pam -> off httpd_read_user_content -> off httpd_run_ipa -> off httpd_run_preupgrade -> off httpd_rwf offstart off httpd_ssi_exec -> off httpd_sys_script_anon_write -> off httpd_tmp_exec -> off httpd_tty_comm - > off httpd_unified -> off httpd_use_cifs -> off httpd_use_fusefs -> off httpd_use_gpg -> off httpd_use_nfs -> off httpd_use_openstack -> off httpd_use_sasl -> off httpd_verify_dns -> off

Ise-configure lamang namin ang sumusunod:

Magpadala ng email sa pamamagitan ng Apache

root @ linuxbox ~] # setebool -P httpd_can_sendmail 1

Payagan ang Apache na basahin ang mga nilalaman na matatagpuan sa mga direktoryo sa bahay ng mga lokal na gumagamit

root @ linuxbox ~] # setebool -P httpd_read_user_content 1

Payagan ang pamamahala sa pamamagitan ng FTP o FTPS anumang direktoryo na pinamamahalaan ng
Apache o payagan ang Apache na gumana bilang isang FTP server na nakikinig para sa mga kahilingan sa pamamagitan ng FTP port

[root @ linuxbox ~] # setebool -P httpd_enable_ftp_server 1

Para sa karagdagang impormasyon, mangyaring basahin Pag-configure ng Linux Server.

Sinusuri namin ang Pagpapatotoo

Nananatili lamang ito upang buksan ang isang browser sa isang workstation at point, halimbawa, upang http://windowsupdate.com. Susuriin namin na ang kahilingan ay nai-redirect nang tama sa home page ng Apache sa linuxbox. Sa katunayan, ang anumang pangalan ng site na idineklara sa file / etc / banner_add_hosts ire-redirect ka sa parehong pahina.

Ang mga imahe sa dulo ng artikulo ay nagpapatunay nito.

Pamamahala ng Mga Gumagamit

Ginagawa namin ito gamit ang graphic tool «Pamamahala ng User»Aling ina-access namin sa pamamagitan ng menu ng System -> Administrasyon -> Pamamahala ng gumagamit. Sa tuwing magdagdag kami ng isang bagong gumagamit, ang folder nito ay nilikha / tahanan / gumagamit awtomatiko.

pag-backup

Mga kliyente sa Linux

Kailangan mo lamang ang normal na browser ng file at ipahiwatig na nais mong kumonekta, halimbawa: ssh: // buzz @ linuxbox / home / buzz at pagkatapos ipasok ang password, ipapakita ang direktoryo bahay ng gumagamit buzz.

Mga Windows Client

Sa mga kliyente sa Windows, ginagamit namin ang tool WinSCP. Kapag na-install, ginagamit namin ito sa sumusunod na paraan:

Simple, tama ba?

Buod

Nakita namin na posible na gamitin ang PAM upang patunayan ang mga serbisyo sa isang maliit na network at sa isang kontroladong kapaligiran na ganap na ihiwalay mula sa mga kamay ng hackers. Panimula ito dahil sa ang katunayan na ang mga kredensyal ng pagpapatotoo ay naglalakbay sa simpleng teksto at samakatuwid hindi ito isang scheme ng pagpapatotoo na gagamitin sa mga bukas na network tulad ng mga paliparan, mga network ng Wi-Fi, atbp. Gayunpaman, ito ay isang simpleng mekanismo ng pagpapahintulot, madaling ipatupad at mai-configure.

Kumonsulta ang mga mapagkukunan

Bersyon ng PDF

I-download ang bersyon ng PDF dito.

Hanggang sa susunod na artikulo!


9 na puna, iwan mo na ang iyo

Iwanan ang iyong puna

Ang iyong email address ay hindi nai-publish. Mga kinakailangang patlang ay minarkahan ng *

*

*

  1. Responsable para sa data: Miguel Ángel Gatón
  2. Layunin ng data: Kontrolin ang SPAM, pamamahala ng komento.
  3. Legitimation: Ang iyong pahintulot
  4. Komunikasyon ng data: Ang data ay hindi maiparating sa mga third party maliban sa ligal na obligasyon.
  5. Imbakan ng data: Ang database na naka-host ng Occentus Networks (EU)
  6. Mga Karapatan: Sa anumang oras maaari mong limitahan, mabawi at tanggalin ang iyong impormasyon.

  1.   NauTiluS dijo

    Napakalaking post ay pinagaling si G. Fico. Salamat sa pagbabahagi ng iyong kaalaman.

  2.   butiki dijo

    Alam ko kung gaano kahirap pagsamahin ang isang artikulo na may tulad na antas ng detalye, na may malinaw na mga pagsubok at higit sa lahat may mga konsepto at diskarte na iniakma sa mga pamantayan. Inaalis ko lang ang aking sumbrero sa hiyas ng mga kontribusyon na ito, maraming salamat Fico para sa napakagandang trabaho.

    Hindi ko pa pinagsama ang pusit sa pagpapatotoo ng pam ngunit napupunta ako hangga't maaari upang gawin ang kasanayan sa aking laboratoryo ... Yakapin ang layunin at magpatuloy kami !!

  3.   Federico dijo

    NaTiluS: Maraming salamat sa iyong komento at pagsusuri.
    Kadal: Sa iyo rin, maraming salamat sa iyong komento at pagsusuri.

    El tiempo y el esfuerzo dedicados en la confección de artículos como éste, solo se ven recompensados con la lectura y comentarios de los que visitan la comunidad DesdeLinux. Espero les sea útil en su diario trabajo.
    Tuloy kami!

  4.   Hindi kilala dijo

    Hindi kapani-paniwala na kontribusyon ng mamamayan !!!! Nabasa ko ang bawat isa sa iyong mga artikulo at masasabi kong kahit na ang isang tao na walang advanced na kaalaman sa Libreng Software (tulad ng sa akin) ay maaaring sundin ang napakagandang artikulo nang sunud-sunod. Cheers !!!!

  5.   IWO dijo

    Salamat Fico para sa iba pang mahusay na artikulong ito; Tulad ng kung iyon ay hindi sapat sa lahat ng mga post na nai-publish, sa ito mayroon kaming isang serbisyo na hindi pa sakop ng PYMES Series at iyon ay napakahalaga: ang "SQUID" o Proxy ng isang LAN. Walang anuman na para sa amin ang pamilya ng mga nag-aakalang kami ay "sysadmins" ay mayroong iba pang magagandang materyal upang pag-aralan at palalimin ang ating kaalaman.

  6.   Federico dijo

    Salamat sa inyong lahat sa inyong mga puna. Haharapin ng susunod na artikulo ang server ng chat ng Prosody na may pagpapatotoo laban sa mga lokal na kredensyal (PAM) sa pamamagitan ng Cyrus-SASL, at ang serbisyong iyon ay ipapatupad sa parehong server na ito.

  7.   kenpachiRo17 dijo

    Sa good time na kababayan !!!! Mahusay na kontribusyon kahit para sa mga katulad ko na walang mahusay na kaalaman tungkol sa Libreng Software at masigasig sa pag-aaral sa mga artikulo na kasing ganda ng isang ito. Sinusundan ko ang iyong mga naiambag at nais kong malaman sa pamamagitan ng aling artikulo ang inirerekumenda mo sa akin na magsimula sa seryeng ito ng SME Networks, dahil nagbabasa ako sa isang hindi kaguluhan at sa palagay ko mayroon itong maraming mahalagang nilalaman upang makaligtaan ang anumang detalye. Nang walang higit pa, mga pagbati at maaaring ang ibinahaging kaalaman pati na rin ang Software ay manatiling Libre !!

    1.    Federico dijo

      Pagbati kababayan !!!. Inirerekumenda kong simulan mo sa simula, na kahit na parang ang layo nito, ito ang pinakamaikling paraan upang hindi mawala. Sa index -na hindi na-update sa huling dalawang artikulo- https://blog.desdelinux.net/redes-computadoras-las-pymes-introduccion/, itinatag namin ang inirekumendang order ng pagbasa ng Series, na nagsisimula sa kung paano gawin ang aking Workstation, nagpapatuloy sa maraming mga post na nakatuon sa paksa Virtualization, sundan ng maraming sobre BIND, Isc-Dhcp-Server, at Dnsmasq, at iba pa hanggang sa makarating kami sa bahagi ng pagpapatupad ng serbisyo para sa network ng SME, na kung saan kami ay kasalukuyang. Sana makatulong ito sa iyo.

      1.    kenpachiRo17 dijo

        Ito ay magiging !!!! Kaagad na nagsisimula ako sa serye mula sa simula at inaasahan ko ang mga bagong artikulo. Cheers !!!!