Hálózati beállítások és szolgáltatások Linux tanfolyam Hálózati beállítások és szolgáltatások
Hálózati beállítások /etc/network/interfaces interfacebeállítások iface eth0 inet static address 152.66.208.182 netmask 255.255.248.0 network 192.168.208.0 broadcast 192.168.215.255 gateway 192.168.215.254 dns-nameservers 152.66.208.1 dns-search sch.bme.hu /etc/hosts statikus routolás /etc/resolf.conf DNS beállítások ifconfig paranccsal is beállíthatóak az interfacek.
Tűzfal - iptables iptables táblák: A különböző feladatokhoz táblákat használ 3 beépített tábla: nat, filter, mangle A táblákra a –t kapcsolóval hivatkozhatunk. iptables láncok: A táblák láncokat tartalmaznak, ezek a láncok tartalmazzák a szabályokat. Láncok használata: -N Új láncot hoz létre. -X Üres lánc törlésére szolgál. -P Megváltoztatja az irányelvet beépített láncon. -L Adott lánc szabályait listázza. -F Adott lánc összes szabályának törlése. -Z A csomag és byte számlálók nullázására szolgál egy adott lánc valamennyi szabályában.
Tűzfal – NAT tábla A címfordításért felel 3 beépített lánca van: - preruoting: útválasztás előtt hajtódik végre (DNAT) - postrouting: útválasztás után hajtódik végre (SNAT) - output: kimeneti lánc, amelyik gépen fut a tűzfal, azon a prerouting lánc nem hajtódik végre, ezért itt is be kell állítani a szabályokat.
Tűzfal – FILTER tábla Szűrésekre használjuk A beépített láncai: - input: bemeneti lánc - output: kimeneti lánc - forward: továbítandó csomagok
Tűzfal – MANGLE tábla Csomagmódosításra A láncai: - prerouting: Abban az esetben használjuk, ha pl az input és a forward láncban is szerepel egy szabály. - output: kimenet
Tűzfal – táblák és láncok kapcsolata
Tűzfal - szabályok Szabályok kezelése: -A Új szabály hozzáfűzése a lánchoz. -I Szabály beszúrása az adott pozícióra. -R Az adott pozíciójú szabály cseréje új szabályra. -D Az adott pozíción lévő, vagy az első illeszkedő szabály törlése. Címek megadása: -s forrás -d cél (pl SCH tartomány: 152.66.208.0/21) Protokoll meghatározása: -p (TCP, UDP, ICMP) Interface megadása: -i input -o output Szabály eredménye: -j kapcsoló ACCEPT: elfogad DROP: eldob REJECT: visszautasít
Tűzfal – bővítmény TCP -p TCP kapcsolóval kapcsolható be. --tcp-flags: TCP flagek vizsgálata (SYN,ACK,FIN,RST,URG,PSH) --source-port: forrás port --destination-port célport UDP -p UDP kapcsolóval kapcsolható be. --source-port: forrás port --destination-port célport MAC -m MAC kapcsolóval kapcsolható be. Csak input és prerouting láncban használható. --mac-source
Tűzfal - példa #!/bin/sh /sbin/iptables -F INPUT # SSH SCH-bol /sbin/iptables -A INPUT -s 152.66.208.0/21 -p tcp --destination-port 22 -j ACCEPT # FTP SCH-bol /sbin/iptables -A INPUT -s 152.66.208.0/21 -p tcp --destination-port 20:21 -j ACCEPT # ping SCH-bol /sbin/iptables -A INPUT -s 152.66.208.0/21 -p icmp -j ACCEPT # minden mas eldob /sbin/iptables -A INPUT -s 0/0 -j DROP
Gateway # Kimenő ppp0 forgalom maszkolása iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE # Új és INVALID csomagok kiszűrése a ppp0 interfészről. iptables -A INPUT -i ppp0 -m state --state NEW,INVALID -j DROP iptables -A FORWARD -i ppp0 0 -m state --state NEW,INVALID -j DROP # IP forwarding bekapcsolása echo 1 > /proc/sys/net/ipv4/ip_forward
Route A route parancsal szerkeszthető, és listázható a routingtábla. Itt statikusan beállítható melyik interfacen keresztül mely hálózatok érhetőek el. Az interfacek felhúzásánál automatikusan kitöltődik
Inetd, és daemon Az inetd egy szervereket futtató daemon. A bejövő kérést megvizsgálja, és a szükséges szerverprogramot elindítja. Daemon módban futtatva a szervert nincs szükség az inetd-re. Kiszolgálókon érdemes daemonként futtatni, kis forgalmú asztali gépen inkább inetd ajánlott.
A linux alapvető szerverszolgáltatásai Hálózati szolgáltatások: DNS, DHCP Távoli hozzáférés: SSH Fájlok átvitele: SCP, FTP, SMB WWW: WEB, PHP, MYSQL Levelezés: MTA, POP3, IMAP
Hálózati szolgáltatások DNS – BIND /etc/bind/named.conf zone "sajatnet.hu" { type master; file "/etc/bind/db.sajatnet"; }; zone „208-215.66.152.in-addr.arpa" { type master; file "/etc/bind/db.168.192"; }; DHCP – DHCPD /etc/dhcpd.conf
Távoli hozzáférés SSH /etc/sshd_config PermitEmtyPasswords no PermitRootLogin no
Fájlok átvitele SCP Ehhez csak egy SSH szerverre van szukség FTP Ehhez rengeteg szervermegoldás létezik linuxon pl: proftpd, pure-ftpd, tftpd, wu-ftpd SMB (samba) Ez a windowsos fájlmegosztás. Tud sok mindent: ACL, userAUTH, fájl- és nyomtatómegosztás, DC /etc/samba/smb.conf
WWW WEB – Apache /etc/apache/httpd.conf PHP /etc/php/mod_php/php.ini MYSQL /etc/mysql/my.conf mysql paranccsal lehet csatlatozni a szerverhez phpmyadmin webes felulet
Levelezés MTA – exim /etc/exim/exim.conf POP3 – cyrus-pop3 IMAP – cyrus
VÉGE Magyar nyelvü irodaqlom: http://www.szabilinux.hu Köszönöm a figyelmet Tomon Sándor tomon@sch.bme.hu