Настройка роутера на CentOS 6.0

[Kivals]

Чтоб разрешить порт 8181 на определенный адрес для всей подсети - нужно

Код:

-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -d 22.22.22.22/0 -m tcp --dport 8181 -j ACCEPT

[Finch]

Кстати, если хочешь также вешать httpd (Apache) демон. Я его настраивал недавно у себя в песочнице (chroot jail) могу скинуть свои заметки на полях (чтоб не забыть).

[Kivals]

Давай.
Апач планировал поднимать на другом сервере внутри этой вируальной сети, а не на роутере

[Finch]

Чтоб разрешить порт 8181 на определенный адрес для всей подсети - нужно

Код:

-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -d 22.22.22.22/0 -m tcp --dport 8181 -j ACCEPT

У подсети 22.22.22.22 не может быть /0 Это число обозначает сколько значимых бит, которые обозначают подсеть.Например 192.168.30.0/24 Подсеть 192.168.30 А компьютеров будет 256 штук.

[Kivals]

http://www.cyberciti.biz/tips/linux-iptables-9-allow-icmp-ping.html

To enable ICMP ping outgoing request use following iptables rule:

Код:

SERVER_IP="202.54.10.20"
iptables -A OUTPUT -p icmp --icmp-type 8 -s $SERVER_IP -d 0/0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -d $SERVER_IP -m state --state ESTABLISHED,RELATED -j ACCEPT

А внутри /etc/sysconfig/iptables я могу объявить переменую и использовать ее?

У подсети 22.22.22.22 не может быть /0 ...

Ага. т.е. для 22.22.22.22 должно быть /32 и это в принципе можно опустить?

[Kivals]

Чего-то не хватает. При следующих настройках досуп в инет с внутренней машины не работает:

# iptables-save
# Generated by iptables-save v1.4.7 on Sat Oct 29 17:06:53 2011
*nat
:PREROUTING ACCEPT [228:58764]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [3:239]
-A POSTROUTING -o eth1 -j MASQUERADE
COMMIT
# Completed on Sat Oct 29 17:06:53 2011
# Generated by iptables-save v1.4.7 on Sat Oct 29 17:06:53 2011
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [67:8501]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 53 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p udp -m state --state NEW -m udp --dport 53 -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 25 -j ACCEPT
-A INPUT -s 192.168.30.0/24 -p tcp -m state --state NEW -m tcp --dport 110 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

Или в правилах должно быть "-A FORWARD ..." ?

[Finch]

Основная часть это руководство http://www.cyberciti.biz/tips/chroot-apache-under-rhel-fedora-centos-linux.html
Только так как апач старше 2.2.10, то пункт по установке и настройке mod_chroot нужно исключить. Также желательно исключить пункт по отключению Selinux

А остальное тут Кстати, я выбрал каталог /chroot/httpdjail в отличии от статьи /httpdjail


Чтобы система Selinux позволила apache читать и передавать в сеть файлы, нужно
пометить их соответвуюшим тегом контекста. В нашем случае httpd_sys_content_t.
Для этого достаточно пометить рабочий каталог. Теперь все файлы, которые будут
записаны в данный каталог, автоматически будут помечены этим же тегом контекста.

semanage fcontext -a -t httpd_sys_content_t "/chroot/httpdjail/var/www/html"
restorecon -v /chroot/httpdjail/var/www/html

Убедится, что на каталог и на файлы в нем выданы нужные теги контектса можно с
помошью команды ls.

ls -Z /chroot/httpdjail/var/www/html

Mожно проверить работу. Запишем в рабочий каталог файл index.html примерно
такого содержания.

Код:

<html>
   <head>
      <title>Hello world</title>
   </head>
   <body>
      <h1>Hello world</h1>
   </body>
</html>

Запускаем наш любимый браузер и проверяем, что все работает. Если получам, ошибку
доступа. Нужно проверить логи самого apache и также логи Selinux. Как правило,
если Selinux запретил доступ к файлу, в своем менеджере дает руководство по
решению проблемы.

Проверяем работу PHP, для этого создаем файл index.php с таким содержанием.

Код:

<html>
   <head>
       <title>PHP Hello World</title>
   </head>
   <body>
      <?php
         echo "PHP Hello World"; 
      ?>
   </body>
</html>

Аналогично проверяем его работу в браузере.

Добавляем в index.php строчку echo date('Z'); При проверке такого файла, выесняется
Что происходит сбой. Это происходит потому что PHP в песочнице не имеет доступа
к базе данных часовых поясов. Решение, нужно скопировать данную базу. Она находится
в каталоге /usr/share/zoneinfo

mkdir -p /chroot/httpdjail/usr/share/zoneinfo

Для каталога zoneinfo нужно поставить тег контектса locale_t

semanage fcontext -a -t locale_t /chroot/httpdjail/usr/share/zoneinfo
restorecon -v /chroot/httpdjail/usr/share/zoneinfo

Теперь можно копировать базу часовых поясов.

cp -Rv /usr/share/zoneinfo /chroot/httpdjail/usr/share/

Чтоб разрешить доступ из песочници к базе данных, нужно

setsebool -P httpd_can_network_connect_db 1

[Finch]

Код:

-A FORWARD -j REJECT --reject-with icmp-host-prohibited 

Запрешает абсолютно все пакеты проходить дальше через узел. Т.е. Если ты хочеш через узел пропускать какие либо пакеты, ты должен разрешить их форвардинг через твой узел. Т.е разрешаюшие правила форвардинга должны стоять до полного запрешения.

[Kivals]

Как выглядят правила форвардинга?
Такие варианты у меня не прокатили:

-A FORWARD -i eth0 -o eth1 -j ACCEPT
-A FORWARD -s 192.168.30.0/24 -p tcp --dport 80 -j ACCEPT

[Finch]

http://oceanpark.com/notes/firewall_example.html Тут есть скрипт настройки с коментариями Из него можно выудить

Код:

#
# Forward all packets from eth1 (internal network) to eth0 (the internet).
#
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT

#
# Forward packets that are part of existing and related connections from eth0 to eth1.
#
iptables -A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT

Т.е по правилам

Код:

-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state ESTABLISHED,RELATED -j ACCEPT
-A FORWARD -j REJECT --reject-with icmp-host-prohibited

[RXL]

Есть мнение, что надо переходить на Science Linux - тоже клон RHEL. Совместим с CentOS.

[Kivals]

RXL, Какие плюсы у Science Linux по сравнению с CentOS ?

[Kivals]

Для проброса порта с обного IP на другой Рома когда-то писал мне следующие правила IP tables (перевел в общий вид):

Код:

iptables -t nat -A PREROUTING -d $ExtIP -p tcp -m tcp --dport $ExtPort -j DNAT --to-destination $IntIP:$IntPort
iptables -t nat -A POSTROUTING -d $IntIP -p tcp -m tcp --dport $IntPort -j SNAT --to-source $ExtIP

Правильно ли я их интерпретировал из частного случая (когда были подставлены реальные значения IP и портов)? Особенно вызывает вопрос --dport $IntPort во второй строке: там только один порт - а если бы он у меня не совпадал?
Реально сейчас мне нужно пробросить порт 9999 с внешнего IP на порт 3389 (RDP) IP внутренней сети 192.168.30.30.

Еще вопрос: таких пробросов будет достаточно много (порядка 10-20). Хочу создать текстовый файл вида:

Код:

ExtIP	ExtPort	IntIP	IntPort

Из которого читать данные и скриптом при загрузке задавать нужные правил форвардинга.
Где (идеологически правильно) разместить этот скрипт и как настроить его вызов при загрузке / переинициализации iptables?

[RXL]

RXL, Какие плюсы у Science Linux по сравнению с CentOS ?

У команды CentOS сложилась хреновая ситуация: лидер проекта слинял вместе с кассой пожертвований, соотв., работники отваливаются - осталось всего трое. У них нет ресурсов на поддержку проекта. Обновления сильно затянулись. Ветку 5 с грехом пополам поддерживают, а 6-я ветка отстает от RedHat на пол года.
Проект Science Linux также базируется на SRPM пакетах RHEL, но зато у них есть полноценное финансирование (CERN, институт Ферми).
Оба дистрибутива полностью совместимы с RHEL и между собой. Т.е. переход на другой дистрибутив заключается только в установке на хосте одного пакета: *-release (* - название дистрибутива). После чего нужно в /etc/yum.repos.d/ запретить/разрешить нужные репозитории и обновляться через yum. Нумерация версий совпадает.

[Kivals]

"Т.е. переход на другой дистрибутив заключается..."
Где про это можно подробнее почитать (как указать название дистрибутва, как поменять репозитории, как обновиться )?

[Kivals]

Сделал согласно этой инструкции:
http://blog.bradiceanu.net/2011/09/02/how-to-convert-centos-6-0-to-scientific-linux-6-x/

Не выполняются пункты с удалением пакетов - пишет есть зависимости

# rpm -e centos-release
error: Failed dependencies:
        /etc/system-release is needed by (installed) initscripts-9.03.17-1.el6.centos.i686
# rpm -e yum-plugin-fastestmirror
error: Failed dependencies:
        yum-plugin-fastestmirror is needed by (installed) yum-3.2.27-14.el6.centos.noarch
# rpm -q -a| grep -i "centos"
centos-release-6-0.el6.centos.5.i686
plymouth-scripts-0.8.3-17.el6.centos.i686
yum-3.2.27-14.el6.centos.noarch
initscripts-9.03.17-1.el6.centos.i686
plymouth-0.8.3-17.el6.centos.i686
plymouth-core-libs-0.8.3-17.el6.centos.i686

Все можно удалять?

Вот после это инструции (http://nixgeek.com/convert-centos-6-server-to-scientific-linux-6.html):

yum erase centos-release
yum clean all
yum distro-sync
yum reinstall `rpm -qa --qf "%{NAME} %{VENDOR}\n"|grep CentOS|awk '{print $1}'`

Осталось меньше пакетов:

# rpm -q -a| grep -i "centos"
plymouth-scripts-0.8.3-17.el6.centos.i686
yum-3.2.27-14.el6.centos.noarch
plymouth-core-libs-0.8.3-17.el6.centos.i686

Они нужны?

[Finch]

Судя по этому http://en.wikipedia.org/wiki/Plymouth_%28software%29 plymouth не важен. А вот yum довольно важная деталь. Попробуй сделать yum update yum. Если версии не совпадают, может быть он подхватит более новую версию.

[RXL]

А ты обновляешься до 6.1? Тогда обнови и yum - в sl 6.1 он версии 3.2.29, а в centos 6.0 - 3.2.27.

[Kivals]

Обновил, но пришлось отлючить проверку pgp (yum update --nogpgcheck yum), потому ка выдавало ошибку:

Downloading Packages:
warning: rpmts_HdrFromFdno: Header V4 DSA/SHA1 Signature, key ID 192a7d7d: NOKEY


GPG key retrieval failed: [Errno 14] Could not open/read file:///etc/pki/rpm-gpg/RPM-GPG-KEY-sl

[Kivals]

plymouth удалил.

[RXL]

Т.е. переход на другой дистр с апгрейдом прошел удачно?

[Kivals]

Да, спасибо
Осталось порт-форвардинг настроить...

[RXL]

См. мануал на iptables. Перенаправлять порты довольно просто. Для транзита используются две встроенные цепочки PREROUTING и POSTROUTING. В первой можно изменить адрес и порт назначения, во второй - адрес и порт источника. Соотв., для перенаправления входящих соединений из инета используются помещают правила в первую таблицу. Для исходящих соединений из локалки в инет - во вторую.

Простой пример: перенаправление входящего 80/tcp в локалку на 192.168.0.123 и разрешение исходящих соединений для всех хостов в локальной сети. Условно принимаю, что внешний интерфейс - eth0.

Код: (Bash)

INET_ADDR=1.2.3.4
HTTP_LOCAL_IP=192.168.0.123
LOCAL_NET=192.168.0.0/24

iptables -t nat -A PREROUTING -i eth0 -d $INET_ADDR -p tcp --dport 80 -j DNAT --to-destination $HTTP_LOCAL_IP
iptables -t nat -A POSTOUTING -o eth0 -s $LOCAL_NET -j MASQUERADE

Если внешний адрес только один, то указывать его не нужно.

[RXL]

Повторил эксперимент с апгрейдом с CentOS 6.0 на Scientific Linux 6.1. Весь апгрейд занял примерно 5 минут.
* Установил пакет sl-release-6.1-2.i686.rpm.
* Запретил репозитории CentOS.
* yum update и на все вопросы - "y".

[Kivals]

Т.е. переход на другой дистр с апгрейдом прошел удачно?

Сегодня оказалось что переход прошел не очень удачно
Удаленно подсоединиться к системе не удалось. В консоли она работала, но после перезагрузки не поднялась.
Поскольку особой ценности в ней не было - завтра подниму SL с нуля, пользуясь данными в этой теме

[Finch]

А на чем она падает? Случайно не error 15?

[RXL]

У меня тестовая система была в контейнере OpenVZ. Два ребута пережила и поднималась без проблем. Но ssh я не проверял.

Как выглядела проблема удаленного подключения?

[Kivals]

А на чем она падает? Случайно не error 15?

Не знаю Я ничего не вижу в консоли vSphere при загрузке.

Как выглядела проблема удаленного подключения?

Просто отказ от соединения. Суды по скорости отказа - как будто закрыт порт (точного сообщения putty не помню).
С консоли подробности не проверял - она не удобная, понадеялся что может все проблемы решаться после перезагрузки (Виндовое прошлое и настоящее дает о себе знать)...

[RXL]

Думаю, сперва, пока была консоль, следовало проверить, запущен ли и настроен ли ssh, какие настройки у файрвола. Это как вероятное.

Т.е. у vSphere нет консоли во время ребута? Хреново - мы ее тоже покупаем.

[Kivals]

Думаю, сперва, пока была консоль, следовало проверить, запущен ли и настроен ли ssh, какие настройки у файрвола. Это как вероятное.

Надо конечно, но не с моими знаниями о Линуксе

Т.е. у vSphere нет консоли во время ребута? Хреново - мы ее тоже покупаем.

Нет - все есть. Просто сама система уходит в какой-то угол - только текстовый курсор и все.