Настройка роутера на CentOS 6.0

[Kivals]

Установил, сетевые интерфейсы настроил:

ifcfg-eth0

DEVICE="eth0"
NM_CONTROLLED="yes"
ONBOOT=yes
HWADDR=00:0C:29:2F:6D:E5
TYPE=Ethernet
BOOTPROTO=none
IPADDR=192.168.30.100
PREFIX=24
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
UUID=5fb06bd0-0bb0-7ffb-45f1-d6edd65f3e03

ifcfg-eth1

Реальные IP & Gate изменены

DEVICE="eth1"
NM_CONTROLLED="yes"
ONBOOT=yes
TYPE=Ethernet
BOOTPROTO=none
IPADDR=12.34.56.78
PREFIX=24
GATEWAY=12.34.56.1
DNS1=4.4.4.4
DNS2=8.8.8.8
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth1"
UUID=9c92fad9-6ecb-3e6c-eb4d-8a47c6f50c04
HWADDR=00:0C:29:2F:6D:EF

Для внутренней карты Gate & DNS не прописаны - это верно или нет?

Как теперь дальше решить следующие задачи:
1. Настроить его (сервер) как роутер для машин из внутренней сети 192.168.30.0/24
2. Настроить как кеширующий DNS сервер, чтобы во внутенней сети указывать его (192.168.30.100)
3. Пробросить порты из-вне на внутенние сервера

С (3) вопросом вроде понятно - RXL мне писал пример, а вот первые 2 - не знаю

[RXL]

У меня принцип: меньше "сервиса", больше надежности. Все что нужно для работы, это команды ip, ifup и ifdown, а также набор конфигов.

1. Снеси NetworkManager - Г и вредная вещь. Соотв., параметр NM_CONTROLLED не нужен.
2. Параметры DNS1 и DNS2 убери и пропиши нужные сервера в /etc/resolv.conf. У тебя же не динамическое подключение, а постоянное. Данные настройки влияют только на сам хост (роутер).
3. Параметры DEFROUTE и GATEWAY не нужны. Маршрут по умолчанию пропиши в /etc/sysconfig/network. Маршрут по умолчанию только один. Все остальные маршруты можно прописать в /etc/sysconfig/network-scripts/route-eth0 и/или route-eth1 - там они в формате команды ip (см. ip route help).
4. Параметры NAME и UUID - бесполезные.
5. IPV4_FAILURE_FATAL - убери его или поставь "no".
6. Добавь NOZEROCONF=yes.

По твоим пунктам:
1. В файле /etc/sysctl.conf:

# Controls IP packet forwarding
net.ipv4.ip_forward = 1

2. Чуть позже расскажу. Это очень просто. Пока поставь пакеты bind и bind-chroot.

3. Настройки файрвола хранятся в /etc/sysconfig/iptables. Можно править в файле и потом сделать service iptables restart, а можно править прямо в памяти (утилита iptables) и потом сохранить в конфиг: service iptables save.
Насчет пробросить - надо знать твою организацию сети: у тебя внешние все IP будут назначены на интерфейс роутера или внешний роутер использует твой роутер как маршрут для подсети?

Для выхода внутренних машин в инет тоже правило iptables:

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE


Чтобы дать более дельные советы нужно больше деталей.

[Kivals]

Все эти параметры были установлены графическим мастером при инсталяции с CentOS-6.0-i386-minimal.iso

1. Снеси NetworkManager - Г и вредная вещь. Соотв., параметр NM_CONTROLLED не нужен.

Как снести? (чтобы я чего лишего не наделал)?

6. Добавь NOZEROCONF=yes.

В оба интерфейса?

По твоим пунктам:...

Спасибо! Сделаю - отпишусь

[Finch]

Под root

chkconfig

Покажет какие демоны присутствуют в системе и для какого уровня запуска они работают. Существует 7 уровней запуска. 0 уровень это уровень останова системы. 1 уровень это уровень отладки системы. Эквивалентен Safe mode Винды. со 2 по 5 уровни рабочие. 3 уровень как правило система загружается полностью до консоли. И 5 уровень это загрузка до GUI. 6 уровень это перезагрузка системы. Теперь смотришь таблицу, и ищешь тот демон, с которым ты хочешь поруководить. В твоем случае NetworkManager.. Запрещаешь его загрузку

chkconfig networkmanager off

И останавливаешь его вручную

/etc/init.d/NetworkManager stop

Проверяешь, что все работает после перезагрузки.

Если все работает как часы. Можно и удалять.
Список всех пакетов NetworkManager

rpm -qa|grep -i networkmanager

У меня вышел такой список

NetworkManager-vpnc-0.9.0-1.fc15.i686
NetworkManager-gtk-0.9.1.90-3.git20110927.fc15.i686
NetworkManager-openvpn-0.9.0-1.fc15.i686
NetworkManager-openconnect-0.9.0-2.fc15.i686
NetworkManager-0.9.1.90-3.git20110927.fc15.i686
NetworkManager-pptp-0.9.0-1.fc15.i686
evolution-NetworkManager-3.0.3-1.fc15.i686
NetworkManager-glib-0.9.1.90-3.git20110927.fc15.i686
NetworkManager-gnome-0.9.1.90-3.git20110927.fc15.i686

Теперь удаляешь

yum remove NetworkManager-vpnc NetworkManager-gtk NetworkManager-openvpn

[RXL]

NerworkManager - весьма опасная утилита, т.к. она рассчитана интерактивную работу непосредственно с консоли или в локальном GUI и будучи запущена по сети легко может оставить удаленный сервер без связи с миром.

chkconfig и service — это работа с сервисами стандарта SYSV.

chkconfig --list   — просмотр
chkconfig service_name [off | on]   — разрешить или запретить автоматическую загрузку сервиса
service service_name [ stop | start ]  — остановка и запуск сервиса

Настройка bind. Команда и сервис называются named. С установленным пакетом bind-chroot конфиг расположен здесь:
/var/named/chroot/etc
По умолчанию, после установки там уже должны лежать все необходимые файлы. Наш конфиг - named.conf.

Приведу часть своего конфига (уже измененного)

Код:

controls
{
    inet 127.0.0.1 allow { 127.0.0.1; } keys { rndckey; };
};

include "/etc/rndc.key";

acl "ALL" { 0/0; };

options
{
    listen-on port 53 { any; };
    directory "/var/named";
    dump-file "/var/named/data/cache_dump.db";
    statistics-file "/var/named/data/named_stats.txt";
    memstatistics-file "/var/named/data/named_mem_stats.txt";
    allow-query { "ALL"; };
    recursion yes;
    notify yes;
};

logging
{
    channel default_debug
    {
        file "data/named.run";
        severity dynamic;
    };

    channel debug_file
    {
        file "data/queries.log";
        severity warning;
    };

    category client { debug_file; };
    category queries { debug_file; };
    category config { debug_file; };
};

zone "." IN
{
    type hint;
    file "named.ca";
};

#include "/var/named/chroot/etc/named.rfc1912.zones";

Последняя конструкция ссылается на файл /var/named/chroot/var/named/named.ca как на описание корневой зоны. Он должен уже быть у тебя.
Проверь, что фарвол не закрывает доступ к сервису из локалки (tcp/53 и udp/53).
Вот и все. Укажи своим хостам в локалке использовать локальный адрес твоего роутера как DNS. Запросы он будет пересылать в интернет, но также будет кешировать ранее запрошенную информацию до истечения TTL.


Добавлено через 3 минуты и 24 секунды:
Про настройку файрвола - это отдельная, более широкая тема.
С одной стороны, можно попробовать использовать утилиты RedHat для его конфигурирования. С другой, не сложно изучить систему и писать правила самостоятельно.

[Kivals]

Finch, RXL, Спасибо за детальную информацию!

А почему в последней комманде выборочное удаление? Просто для сохранения места в сообщении - или все остальные пакеты по каким-то причинам нужно оставить?

Кстати оказалось NerworkManager и не установлен:

[root@router ~]# chkconfig
auditd          0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
cgconfig        0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
cgred           0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
fcoe            0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
ip6tables       0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
iptables        0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
iscsi           0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл
iscsid          0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл
lldpad          0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
lvm2-monitor    0:выкл  1:вкл   2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
multipathd      0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
netconsole      0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
netfs           0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл
network         0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
nfs             0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
nfslock         0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл
rdisc           0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
restorecond     0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
rpcbind         0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
rpcgssd         0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл
rpcidmapd       0:выкл  1:выкл  2:выкл  3:вкл   4:вкл   5:вкл   6:выкл
rpcsvcgssd      0:выкл  1:выкл  2:выкл  3:выкл  4:выкл  5:выкл  6:выкл
rsyslog         0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
sshd            0:выкл  1:выкл  2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
udev-post       0:выкл  1:вкл   2:вкл   3:вкл   4:вкл   5:вкл   6:выкл
[root@router ~]# rpm -qa|grep -i networkmanager
[root@router ~]#

Попутно возник вопрос - как переключить интерфейс на английский?
При установке спрашивало язык установки - выбрал русский, так она русский и оставила для системы, а я не хочу

[RXL]

В файл ~/.profile добавь строку

export LC_ALL=en_US.UTF-8

После перелогинься.
Если для всей системы, то укажи нужные настройки в файле /etc/sysconfig/i18n

На шелеке я в этом файле удалил все и оставил одну строку:

LANG="C"

Это чтобы все демоны не пытались локализовываться.
Собственно, все переменные окружения, влияющие на локаль и на i18n можно просмотреть командой locale

[Finch]

Ксли вопрос ко мне То я просто показал как можно удалять. Не стал рсписывать до конца

Кстати вот http://magazine.redhat.com/2007/03/09/understanding-your-red-hat-enterprise-linux-daemons/ Описание всех практически демонов. Кто и за что отвечает.

Если например в системе не используется IPv6 то ip6tables можно спокойно отключить.

Добавлено через 6 минут и 42 секунды:
Кстати Ром, в 6 версии CentOS уже перешел на Systemd?

[RXL]

Кто есть systemd? Первый раз слышу.

Ага - прочитал.
http://en.wikipedia.org/wiki/Systemd
https://wiki.archlinux.org/index.php/Systemd

Не знаю. Я ставил CentOS 6.0 и RHEL 6.0 только для тестов и с сервисами работал через chkconfig и service. Живых систем не осталось - предпочитаю пока 5-ю версию.

systemd is enabled by default in Fedora 15

Fedora 15 соответствует RHEL6. Т.ч. вполне возможно, что есть. Думаю, что это опция.

[Finch]

Просто Федора 15 уже перешла и большая часть демонов ушла в systemd запуск. Просто в его списке я не вижу например Cron, Avahi, acpid

[Kivals]

named не поднялся:

[root@router etc]# service named start
Starting named:
Error in named configuration:
/etc/named.conf:3: unknown key 'rndckey'
                                                           [FAILED]

iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
не дает эффекта:

[Dimka]

Kivals, потому что там (рядом с конфигом) должен лежать файлик rndc.key примерно такого содержания:

Код:

key "rndc-key" {
        algorithm hmac-md5;
        secret "...";
};

Либо же этот кусок включить в named.conf. Вместо многоточия будет некая закодированная строчка. Как я понимаю, нужно это для авторизованного доступа к DNS-серверу по порту 953. Ты этим можешь не пользоваться, порт можешь закрыть фильтрами, но секция эта в настройках должна быть - последние версии bind её хотят.

Для генерации ключа есть программка rndc-confgen. Просто запускаешь её без всяких параметров, и она в стандартный поток вывода пишет всё нужное с комментариями.

[Kivals]

Dimka, ясно, спасибо!...

Но rndc-confgen у меня уходит в глухой угол: курсор мигает в новой строке и прерывается по Ctrl+С.
Ждал, наверное, полчаса...
Потом попробовал вводить данные - дает вводить, как будто ждет чего-то из стандартного потока... Ввел всякую лабуду (думал может нужно для крипрографии набор хаотичных данных), но безрезультатно

[Kivals]

# rpm -qa|grep -i bind
rpcbind-0.2.0-8.el6.i686
bind-libs-9.7.0-5.P2.el6_0.1.i686
bind-chroot-9.7.0-5.P2.el6_0.1.i686
bind-9.7.0-5.P2.el6_0.1.i686

C пакетами все ок?

[Sla]

http://unix1.jinr.ru/~lavr/bind9setup.html

[Kivals]

Sla, не знаю почему, но помогло
Запустил команду из статьи (через putty):
rndc-confgen -a -c /etc/rndc.key
она опять ушла в угол
Пока пошел читать статью дальше и что-то пробовать (в консоли через vSphere) она закончила и сгенерила мне /etc/rndc.key

После этого поменял строку

Код:

    inet 127.0.0.1 allow { 127.0.0.1; } keys { rndckey; };

на

Код:

    inet 127.0.0.1 allow { 127.0.0.1; } keys { rndc-key; };

и bind запустился

[Dimka]

Kivals, у меня rndc-confgen выдаёт ответ мгновенно. Что-то у тебя не так установлено. Что именно - не знаю.

[Kivals]

Dimka, ставил по умолчанию с CentOS-6.0-i386-minimal.iso на виртуальную машину на VMWare ESXi
Может это какие-то особенности ESXi (vmware) ?

[Kivals]

В процессе использования find для поиска настроек syslog вылезла такая ошибка:

find: File system loop detected; `/var/named/chroot/var/named' is part of the same file system loop as `/var/named'.

Как разрулить эту петлю?

И далтше вопрос о настройке - bind запустился, но windows машина (для которой в качестве основного DNS сервера установлен этот роутер) не может найти имя:

Как проверить (на линуксе) что named работает корректно?

P.S. Ногами не бейте - ну чайник я в линуксе Этот сервер нужен как часть бОльшего проекта - времени разбираться со всеми нюансами пока нет...

[Dimka]

Kivals, в линуксе, как и в Windows, для работы с DNS есть средство nslookup. В Linux вместо него рекомендуют использовать host. nslookup - клиент DNS, в нём можно указать адрес сервера, с которым ты хочешь работать, выбирать типы записей, которые ты хочешь отслеживать, а при включенном debug смотреть полные ответы сервера.

Первый вопрос: настроен ли твой сервер на forward запросов к DNS-серверу твоего провайдера (можно ещё на серверы национального домена как резервный вариант, и на серверы корневой зоны ".")? Система DNS иерархична, поэтому твой сервер должен быть встроен в иерархию.

[RXL]

Слав, никаких специфик там нет. Разве что в minimal может не быть каких-то пакетов, но ты их можешь доставлять из репозитория через yum.

[Kivals]

RXL, я тоже так думал, но почему надолго зависает rndc-confgen?

[Kivals]

Dimka, nslookup пробовал - нет у меня:

# nslookup
-bash: nslookup: command not found

host - аналогично

# host
-bash: host: command not found

Нужно что-то доставить?

Первый вопрос: настроен ли твой сервер на forward запросов к DNS-серверу твоего провайдера

Как и описывал RXL:

Параметры DNS1 и DNS2 убери и пропиши нужные сервера в /etc/resolv.conf

# cat /etc/resolv.conf
# Generated by NetworkManager
# search washdc.fios.verizon.net
nameserver 12.34.56.1 # Тут у меня реальный IP
nameserver 8.8.8.8
nameserver 4.4.4.4

[RXL]

Dimka, в Linux вместо nslookup, как средства диагностики DNS, рекомендуется использовать dig, предназначенный ему на замену.

Dimka, nslookup пробовал - нет у меня:

# nslookup
-bash: nslookup: command not found

host - аналогично

# host
-bash: host: command not found

Нужно что-то доставить?

yum install bind-utils

Первый вопрос: настроен ли твой сервер на forward запросов к DNS-серверу твоего провайдера

Как и описывал RXL:

Параметры DNS1 и DNS2 убери и пропиши нужные сервера в /etc/resolv.conf

# cat /etc/resolv.conf
# Generated by NetworkManager
# search washdc.fios.verizon.net
nameserver 12.34.56.1 # Тут у меня реальный IP
nameserver 8.8.8.8
nameserver 4.4.4.4

Это не для "forward запросов", а настройки данного конкретного хоста - к каким серверам DNS он будет обращаться для собственных нужд. К bind это никакого отношения не имеет.
Никакого "форварда" не надо. В конфиге named.conf я показывал, что надо прописать:

Код:

zone "." IN
{
    type hint;
    file "named.ca";
};

Файл named.ca содержит информацию о корневых серверах системы DNS:

Код:

;       This file holds the information on root name servers needed to
;       initialize cache of Internet domain name servers
;       (e.g. reference this file in the "cache  .  <file>"
;       configuration file of BIND domain name servers).
;
;       This file is made available by InterNIC
;       under anonymous FTP as
;           file                /domain/named.cache
;           on server           FTP.INTERNIC.NET
;       -OR-                    RS.INTERNIC.NET
;
;       last update:    Jan 29, 2004
;       related version of root zone:   2004012900
;
;
; formerly NS.INTERNIC.NET
;
.                        3600000  IN  NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.      3600000      A     198.41.0.4
;
; formerly NS1.ISI.EDU
;
.                        3600000      NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.      3600000      A     192.228.79.201
;
; formerly C.PSI.NET
;
.                        3600000      NS    C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.      3600000      A     192.33.4.12
;
; formerly TERP.UMD.EDU
;
.                        3600000      NS    D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.      3600000      A     128.8.10.90
;
; formerly NS.NASA.GOV
;
.                        3600000      NS    E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.      3600000      A     192.203.230.10
;
; formerly NS.ISC.ORG
;
.                        3600000      NS    F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.      3600000      A     192.5.5.241
;
; formerly NS.NIC.DDN.MIL
;
.                        3600000      NS    G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4
;
; formerly AOS.ARL.ARMY.MIL
;
.                        3600000      NS    H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.      3600000      A     128.63.2.53
;
; formerly NIC.NORDU.NET
;
.                        3600000      NS    I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.      3600000      A     192.36.148.17
;
; operated by VeriSign, Inc.
;
.                        3600000      NS    J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.      3600000      A     192.58.128.30
;
; operated by RIPE NCC
;
.                        3600000      NS    K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.      3600000      A     193.0.14.129
;
; operated by ICANN
;
.                        3600000      NS    L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.      3600000      A     198.32.64.12
;
; operated by WIDE
;
.                        3600000      NS    M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.      3600000      A     202.12.27.33
; End of File

https://forum.shelek.ru/index.php/topic,27795.msg270604.html#msg270604

[Kivals]

Ром, спасибо, я все эти настройки честно скопипастил и запустил бинд.
Если dig выдает резльтат - значит bind работает корректно?

# dig shelek.ru

; <<>> DiG 9.7.0-P2-RedHat-9.7.0-5.P2.el6_0.1 <<>> shelek.ru
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 51777
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;shelek.ru.                     IN      A

;; ANSWER SECTION:
shelek.ru.              3600    IN      A       89.253.196.249

;; Query time: 735 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Oct 28 19:05:43 2011
;; MSG SIZE  rcvd: 43

Странно только что берется DNS google (второй в списке), а не повайдера (первый в списке)
Туплю. Ты же написал, что эти настройки не связаны

[Kivals]

А что в современных системах вместо man?
И еще - позабыл какая команда была подобна more, но с возможностью листать и вверх...

[Sla]

less

[Kivals]

Sla, спасибо!

А по поводу man?

[Sla]

А может ты просто не установил маны?

[Kivals]

# man dig
-bash: man: command not found

а вот info выдает что нет данных...

No menu item `dig' in node `(dir)Top'.