Як налаштувати gateway сервер (шлюз) на Linux для VMware vSphere датацентру

  1. Як налаштувати gateway сервер (шлюз) на Linux. SSH сервер
  2. Як заборонити запуск непотрібних для шлюзу на Linux сервісів
  3. Як налаштувати gateway сервер (шлюз) на Linux. інтерфейси

Описується як налаштувати gateway сервер (шлюз) на Linux для центру обробки даних на VMware vSphere. Дається інструкція з поясненнями і малюнками з налаштування сервера SSH і інтерфейсів. Друга частина статті " Як зробити gateway сервер (шлюз) на Linux для центру обробки даних ".

Ми тільки що додали віртуальну машину з невеликими рессурсов і безліччю мережевих інтерфейсів в центр обробки даних на VMware vSphere, на якій ми будемо намагатися налаштувати gateway сервер (шлюз) на Linux. Після чого ми встановили операційну систему Cent OS Linux і організували безпечне з'єднання ssh до сервера з керуючого комп'ютера (див. " Що таке ssh / sftp і для чого він потрібен? "Для OS Linux (OSX) або" SSH клієнт для Windows PuTTY "І" Клієнт SSH для Windows Bitvise Tunnelier "Для Windows). Будемо й надалі розвивати шлюзу.

Зараз я поміняю керуючий комп'ютер на ОС Windows на комп'ютер з Linux або MAC OSX, оскільки подальшу настройку будемо вести з терміналу через безпечне з'єднання ssh. І вам того ж раджу.

Як налаштувати gateway сервер (шлюз) на Linux. SSH сервер

Насамперед налаштуємо SSH сервер, як це описано в " Як налаштувати сервер SSH ". Виберемо для прикладу ім'я користувача admin. Виберіть що-небудь інше. Після завершення налаштування вхід на сервер повинен здійснюватися командою у вигляді

ssh admin @ ip сервера

І в той же час вхід під суперкористувачем root повинен бути заборонений.

Тепер нам треба зробити ще одну настройку, пов'язану в сервером SSH, який працює на нашому шлюзі. Захиститися від DDOS-атак. Атака DDOS здійснюється безліччю одночасних підключень до сервісу сервера, що викликає труднощі для користувачів при роботі з цим сервісом. Тому, обмежимо кількість можливих одночасних підключень до сервера через захищений канал ssh.

  1. Відкриваємо безпечне з'єднання з сервером. Як це зробити см. " Що таке ssh / sftp і для чого він потрібен? "Для OS Linux (OSX) або" SSH клієнт для Windows PuTTY "І" Клієнт SSH для Windows Bitvise Tunnelier "Для Windows.
  2. Стаємо суперкористувачем root (див. « Команди Linux. Короткий опис. «)
    $ su
  3. За допомогою текстового редактора vi вносимо зміни в файл брандмауера (firewall) (докладніше див. " Редактор vi. Коротка інструкція "):
    # Vi / etc / sysconfig / iptables
    Знаходимо рядок, яка дозволяє підключення до порту 22 (ssh) і вставляємо в неї обмеження у вигляді
    -m limit --limit 3 / m
    це завантажить модуль обмеження підключень до порту і встановить ліміт 3 в хвилину. Можна задати будь-який розумний обмеження. Я зазвичай ставлю обмеження 3 або 5 підключень в хвилину. Повинно бути як на рис. 1. Зберігаємо змінений файл і виходимо з редактора. Описується як налаштувати gateway сервер (шлюз) на Linux для центру обробки даних на VMware vSphere

    Мал. 1. Додавання ліміту підключень через ssh

  4. Перевантажуємо брандмауер:
    # /Etc/init.d/iptables restart
    Якщо при введенні помилок не було, то повинно бути як на рис. 2.

    Мал. 2. Рестарт брандмауера

Як заборонити запуск непотрібних для шлюзу на Linux сервісів

Не дивлячись на те, що ми тільки що встановили мінімальну версію операційної системи, вона все рано універсальна і призначена для вирішення безлічі різних завдань і має надмірністю для gateway сервер (шлюз) на Linux. Причому, за моїми підрахунками, необхідно тільки 54 пакета замість 203 встановлених. Решта ми використовувати не будемо.

Якщо бути зовсім параноїком, або наш центор обробки даних буде мати справу з дуже цінною або конфіденційною інформацією, то треба зробити свою підверсій Cent OS Linux, яка б складалася тільки з використовуваних пакетів. Така версія буде істотно надійніше і безпечніше, ніж те, що ми встановили. Чим менше пакетів - тим менше потенційних дірок і можливостей для злому. Але це зараз виходить за рамки даної статті. Ми просто не будемо запускати при старті системи ті сервіси, які нам не потрібні для gateway сервер (шлюз) на Linux. Ну і кілька все ж видалимо.

  1. Відкриваємо безпечне з'єднання з сервером.
  2. Стаємо суперкористувачем root:
    $ su
  3. Дивимося, які сервіси запускаються при старті системи:
    # / Sbin / chkconfig
    Результат виконання команди показаний на рис. 1.

    Мал. 3. Сервіси

  4. На рис. 1. показані всі сервіси, які зареєстровані і запускаються при старті системи. Нас цікавить колонка з префіксом "3:" - мультизадачність режим (нормальний) роботи сервера. "On" означає, що сервіс буде запущений при переході в мультизадачність режим. "Off" - не буде. Я підкреслив червоним ті сервіси, які нам не потрібні в для роботи gateway сервер (шлюз) на Linux.
  5. Для початку, просто видалимо деякі пакети з непотрібними сервісами. Для цього треба визначити, який пакет містить той чи інший сервіс. Наприклад, iscsi:
    # Rpm -qf /etc/init.d/iscsi
    Пакет, який містить iscsi сервіс називається iscsi-initiator-utils. Видалимо його:
    # Rpm -e iscsi-initiator-utils
    Результат показаний на рис. 2.

    Мал. 4. Видалення пакета iscsi

  6. Якщо ми не використовуємо ipv6, то видалимо бранмауер (firewall) і заборонимо використання ipv6 на сервері (Рис. 3.)

    Мал. 5. Видалення брандмауера для ipv6

    Як ми бачимо, видалити трохи складніше, оскільки є ще один пакет, який від нього залежить. Це system-config-firewall-base. Ми його використовувати не так же будемо. Видаляємо обидва:
    # Rpm -e iptables-ipv6 system-config-firewall-base
    Тепер необхідно зовсім заборонити ipv6 на сервері. За допомогою редактора vi відкриваємо файл /etc/sysctl.conf (докладніше див. " Редактор vi. Коротка інструкція "):
    # Vi /etc/sysctl.conf
    і додаємо в кінець рядка:
    # Disable IPv6 jn the server
    net.ipv6.conf.all.disable_ipv6 = 1

    І перенавантажуємо змінні, які задані в /etc/sysctl.conf
    # / Sbin / sysctl -p
    Повинні отримати, як на рис. 4.

    Мал. 6. Перевантажуємо змінні /etc/sysctl.conf

    Якщо ми ввели все правильно, то повинна з'явитися строчка, яка підкреслена.

  7. Аналогічно видаляємо сервіси mdmonitor
  8. Деякі сервіси видалити складно, оскільки в пакети входять необхідні для роботи шлюзу модулі. Тоді ми просто забороняємо з запуск. наприклад:
    # / Sbin / chkconfig netfs off
  9. Зрештою повинна вийти мінімізована конфігурація сервісів, як на рис. 5.

    Мал. 7. Мінімізована конфігурація сервісів

Як налаштувати gateway сервер (шлюз) на Linux. інтерфейси

Тепер будемо послідовно включати всі інтерфейси. Почнемо з eth2, який ми вже зараз використовуємо. Треба суттєво змінити його параметри, оскільки автоматична генерація параметрів зробила це не дуже добре. Багато зайвої інформації та інформації, яка дублює параметри, задані в інших місцях.

  1. Відкриваємо безпечне з'єднання з сервером.
  2. Стаємо суперкористувачем root:
    $ su
  3. За допомогою текстового редактора vi відкриваємо файл параметрів eth2:
    # Vi / etc / sysconfig / network-scripts / ifcfg-eth2
  4. Він повинен бути як ра рис. 8 .:

    Мал. 8. Параметри eth2 задані автоматично

  5. Тепер зробимо його як на рис. 9 .:

    Мал. 9. Параметри eth2 після редагування

  6. Перевіряємо, чи немає помилок, зберігаємо файл і завершуємо редагування.
  7. Перевантажуємо мережу:
    # /Etc/init.d/network restart
    Повинно бути, як на рис. 10.

    Мал. 10. Перевантаження мережі

  8. Усе. Тепер вийшло правильно.

Наступний інтерфейс буде eth1, який повинен бути підключений до віртуальної мережі "DB Net" (див. " Як створити віртуальний комутатор vSphere "). Ми так само відредагуємо файл параметрів інтерфейсу / etc / sysconfig / network-scripts / ifcfg-eth1, щоб він виглядав так само, як на рис. 9., тільки DEVICE = "eth1" і адреса IP повинен бути з табл. 3 статті " Як зробити gateway сервер (шлюз) на Linux для центру обробки даних ". Параметр "HWADDR" не чіпаємо.

Піднімаємо eth1:
# / Sbin / ifup eth1

Повторюємо процес для всіх інших інтерфейсів.

Як тільки встановили параметри для всіх інтерфейсів, треба перевірити, що все вийшло. Почнемо з того, що зробимо ping якогось відомого сайту. наприклад,
# Ping -c 4 www.corel.com
Якщо отримали результат, як на рис. 11, то все прекрасно.

Мал. 11. Ping

Що ми маємо. Відразу два в одному флаконі. Ми переконалися, що:

  • працює дозвіл доменних імен в IP адреси. Ми отримали IP адреса 23.78.32.205 для www.corel.com
  • проходять сигнали до зовнішнього світу і повертаються назад.

Тобто, підключення до інтернету працює!

Якщо результат інший, то треба спробувати зробити ping для якихось інших сайтів. Деякі сайти на ping не відповідають і взагалі роблять вигляд, що їх немає. Якщо відповіді не буде для багатьох сайтів, то треба визначити, що не працює: дозвіл доменних імен або не проходять сигнали. Для цього треба зробити ping по IP адресою відомого сайту, на який проходить ping з іншого комп'ютера. І далі діяти по результату.

Тепер наш gateway сервер (шлюз) на Linux підключений до інтернету. Продовжимо настройку. Наступний крок - установка VMware Tools.

Описано як налаштувати gateway сервер (шлюз) на Linux. Дана інструкція з поясненнями і малюнками з налаштування сервера SSH і інтерфейсів.

Що таке ssh / sftp і для чого він потрібен?
Що таке ssh / sftp і для чого він потрібен?

Дополнительная информация

rss
Карта