LINUX Ubuntu Hálózat Beállítások(1)

LINUX UBUNTU 13

LINUX UBUNTU 13.10 server hlzati konfigurlsa

Bellts konfigurcis llomnyok nlklcm ideiglenes belltst az ifconfig utastssal$ sudo ifconfig eth1 192.168.1.254 netmask 255.255.255.0Mivel alaprtelmezett tjrbl csak egy lehet, s a DHCP kiszolgl mr belltott egyet az eth0 interfsz konfigurlsakor, ezrt a parancssori bellts kiprblsnak idejre lelltjuk az eth0 interfszt: $ sudo ifdown eth0 Az alaprtelmezett tjrt a route paranccsal llthatjuk be a kernel routing tbljban: $ sudo route add default gw 192.168.1.253 eth1A fentiekben megadott ideiglenes belltsokat trlhetjk, az albbi paranccsal: $ sudo ip addr flush eth1Bellts konfigurcis llomnyokkal (tarts bellts )

/etc/network/interfaces konfigurcis llomny az albbi paranccsal szerkeszthet:

$ sudo nano /etc/network/interfaces

Az interfaces file jelenlegi tartalma:auto lo

iface lo inet loopback

auto eth0

iface eth0 inet dhcpEzt egsztsk ki a kvetkezekkel:

auto eth1

iface eth1 inet static

address 192.168.1.254

netmask 255.255.255.0

network 192.168.1.0

broadcast 192.168.1.255

gateway 192.168.1.253dns-search proba.petrik.hu

dns-nameservers 10.1.51.23 Mentsk el a konfigurcis llomnyt (Ctrl+O), s zrjuk be a szerkesztt (Ctrl+X). A belltsok nem rvnyeslnek automatikusan, ezrt vagy az rintett interfsz lelltsa/jraengedlyezse (ifdown/ifup) vagy a hlzati alrendszer jraindtsa szksges. A dinamikusan (DHCP) s statikusan megadott alaprtelmezett tjrbelltsok kztti konfliktus elkerlse rdekben a fenti belltsok rvnyestse eltt elszr lltsuk le az eth0 interfszt. $ sudo ifdown eth0A belltsok rvnyestse rdekben az eth1 interfszt ki s bekapcsoljuk: $ sudo ifdown eth1 && sudo ifup eth1A DNS szerver s a keressi tartomny aktulis belltst az /etc/resolv.conf konfigurcis llomnyban tekinthetjk meg. $ nano /etc/resolv.conf Most a DHCP kiszolgltl kapott adatok jelennek itt meg.

nameserver 10.1.51.23

domain proba.petrik.hu

search proba.petrik.huTarts belltst az elzekben megismert interfaces llomny hasznlata biztost. Ebben az eth1 interfszre vonatkoz rszt kiegsztjk a kvetkez kt sorral dns-search proba.petrik.hu

dns-nameservers 10.1.51.23 A belltsok rvnyestse rdekben kapcsoljuk ki s be az eth1 interfszt:$ sudo ifdown eth1 && sudo ifup eth1Gpnv belltsa/etc/hostname

$ sudo nano /etc/hostname

petrik-szerver

Ezt kveten nyissuk meg hasonlkppen az/etc/hosts llomnyt, s lltsuk be az j nevet: $ sudo nano /etc/hosts

127.0.1.1 petrik-szerverIndtsuk jra a gpet.

$ sudo rebootDNS szerver teleptse s belltsa

A szerver esetben az eth0 interfsz:

IPv4 cm: 10.0.2.15

Hlzati maszk: 255.255.255.0

Alaprtelmezett tjr: 10.0.2.2

Hlzat: 10.0.2.0

zenetszrsi cm: 10.0.2.255

DNS kiszolgl: 10.1.51.23

Nvkeressi tartomnyok: proba.petrik.huA szerver eth1 interfsznek belltsa az albbi lesz:

IPv4 cm: 192.168.1.254Hlzati maszk: 255.255.255.0

Hlzat: 192.168.1.0

zenetszrsi cm: 192.168.1.255A munkalloms eth0 interfsznek konfigurcija az albbi lesz:

IPv4 cm: 192.168.1.2


Hlzat: 192.168.1.0



Nvkeressi tartomnyok: proba.petrik.huTelepts s konfigurls$ sudo apt-get update

$ sudo apt-get install bind9 dnsutilsegy elsdleges mestert kell ltrehoznunk, ezrt lelltjuk a kiszolglt

$ sudo service bind9 stopA konfigurcis llomnyok az /etc/bind knyvtrban vannak.

Els lpsknt:

/etc/bind/named.conf.options$ sudo nano /etc/bind/named.conf.options

Itt megadtuk, hogy hova tovbbtsa a DNS szerver a nvfeloldsi krseket.A rekurzv nvfelolds engedlyezse rdekben a forwarders blokkot kveten helyezzk el recursion yes;majd szablyozzuk, hogy mely gpek vehetik ignybe a nvszolgltatst s a rekurzv nvfeloldst az albbi sorokkal allow-query { belso; };

allow-recursion { belso; };A belso egy cmke, aminek definilshoz az options blokkot kveten egy kln blokkot hozunk ltre, amiben a helyi gpet s a sajt alhlzatot nevezzk meg.

acl belso {

127.0.0.1;

192.168.1.0/24;

};

Mivel IPv6 hlzatunk nincs ezrt a

listen-on-v6 { any; };

sort tegyk megjegyzsbe (//).A proba.petrik.hu alatt hozzuk ltre sajt znnkat proba.petrik.hu nven. A nvfeloldsi zna mellett cmfeloldsi znt is ksztnk(1.168.192.in-addr.arpa)

Mindkett mester (master) zna lesz. A znk deklarlshoz nyissuk meg szerkesztsre a /etc/bind/named.conf.local llomnyt. $sudo nano /etc/bind/named.conf.local

Az llomny vgre begpeljk a kt zna defincijt:

zone "proba.petrik.hu" {

type master;

file "/etc/bind/proba.petrik.hu";

};

zone "1.168.192.in-addr.arpa" {

type master;

file "/etc/bind/1.168.192";

};Elszr ltrehozzuk a nvfeloldshoz szksges znafjt.db.local llomnyt vagy ltrehozhatunk egy teljesen res llomnyt is a

$ sudo nano /etc/bind/proba.petrik.hu

paranccsal. Begpeljk az albbiakat:

$TTL 604800

@ IN SOA petrik-szerver.proba.petrik.hu. hallgato.petrik-szerver.proba.petrik.hu. (

1 ; Sorszm

604800 ; Frissts

86400 ; jraprblkozs

3600000 ; Lejrat

2419200 ) ; Negatv gyorstrazsi id

;

@ IN NS petrik-szerver.proba.petrik.hu.

petrik-szerver IN A 192.168.1.254

A fentiekben szerepl msodik s harmadik sor az llomnyban egyetlen sorknt kell szerepeljen, s a hallgato eltt szkz vagy tabultor jel kell lljon! Az utols sor utn nyomjuk meg az Enter billentyt, ugyanis az llomny vgn jsor jel kell lljon.TTL (sec): a zna rekordjaira rvnyes alaprtelmezett elavulsi id (Time To Live)

SOA (Start Of Authority) rekord: tartalmazza a nvkiszolgl FQDN-jt (petrik-szerver.proba.petrik.hu.) ponttal lezrva.

Hozzuk ltre az inverz feloldshoz (cmfeloldshoz) szksges /etc/bind/1.168.192 znafjlt. Itt sablonknt hasznlhatjuk a db.127 llomnyt. A jelen gyakorlat sorn az res llomny ltrehozst vlasztjuk

$ sudo nano /etc/bind/1.168.192

majd begpeljk az albbi konfigurcit$TTL 604800

@ IN SOA petrik-szerver.proba.petrik.hu. hallgato.petrik-szerver.proba.petrik.hu. (

1 ; Sorszm

604800 ; Frissts

86400 ; jraprblkozs

2419200 ; Lejrat

604800 ) ; Negatv gyorstrazsi id

;

@ IN NS petrik-szerver.proba.petrik.hu.

254 IN PTR petrik-szerver

A fentiekben szerepl msodik s harmadik sor az llomnyban egyetlen sorknt kell szerepeljen, s a hallgato eltt szkz vagy tabultor jel kell lljon! Az utols sor utn nyomjuk meg az Enter billentyt, ugyanis az llomny vgn jsor jel kell lljon. Mentsk el a 1.168.192 llomnyt.

A znafjlok ltrehozst kveten a helyi gpet (127.0.0.1) kell belltanunk DNS szerverknt. Ennek rdekben az /etc/network/interfaces llomnyban adns-nameservers 10.1.51.23

sort lecserljk az albbi sorra

dns-nameservers 127.0.0.1

majd jraindtjuk a hlzati alrendszert

$ sudo /etc/init.d/networking restart

A DNS kiszolgl alapbl IPv6-on prblkozik a nvfeloldssal. Mivel csak IPv4 hlzatunk van a szerver indtsi opcii kztt ezt jeleznnk kell az /etc/defaults/bind9 llomnyban. Nyissuk meg szerkesztsre az llomnyt: $ sudo /etc/defaults/bind9 s egsztsk ki az OPTIONS sort a -4 kapcsolval az albbiakban megfelelen: OPTIONS=-u bind -4

A szerver gp TCP/IP konfigurcijt gy alaktjuk ki, hogy mindegyik interfsz esetben statikusan lltjuk be az adatokat. Ez az eth0 interfsz esetben az albbi:

IPv4 cm: 10.0.2.15


Alaprtelmezett tjr : 10.0.2.2

Hlzat: 10.0.2.0


DNS kiszolgl: 10.1.51.23, 10.1.51.25

Nvkeressi tartomnyok: proba.petrik.hu A szerver eth1 interfsznek belltsa az albbi lesz: IPv4 cm: 192.168.1.254Hlzati maszk: 255.255.255.0

Hlzat: 192.168.1.0

zenetszrsi cm: 192.168.1.255Az Ubuntu Desktop munkalloms eth0 interfszt gy lltjuk be hogy DHCP-vel fogadja a belltsokat. A Windows 7 munkalloms Helyi kapcsolat interfszt gy lltjuk be hogy DHCP-vel fogadja a belltsokat.

Frisstjk gpnkn a csomag adatbzist, majd teleptjk a kiszolglt.$ sudo apt-get update

$ sudo apt-get install isc-dhcp-server

A DHCP kiszolgl konfigurlshoz nyissuk meg szerkesztsre a /etc/dhcp/dhcpd.conf llomnyt: $ sudo nano /etc/dhcp/dhcpd.conf Az llomny tartalmt trljk, majd rjuk be az albbiakat: authoritative;

ddns-update-style none;

option domain-name "proba.petrik.hu";

option domain-name-servers 10.1.51.23;

option broadcast-address 192.168.1.255;option routers 192.168.1.254;

option subnet-mask 255.255.255.0;

default-lease-time 600; # 10 perc

max-lease-time 7200; # 2 raA rgztett IPv4 cm belltshoz nzzk meg az asztali Ubuntu opercis rendszert futtat virtulis gp bels hlzatra kapcsold interfsznek fizikai cmt VirtualBoxban. Az albbi pldban a 08:00:27:e4:f3:45 fizikai cmet felttelezzk.

host ubuntu-desktop

{ hardware ethernet 08:00:27:e4:f3:45;

fixed-address 192.168.1.5;

option host-name ubuntu-desktop;

}A dinamikus IPv4 cm kiosztshoz egy cmtartomnyt (192.168.1.10 192.168.1.250) definilunk. subnet 192.168.1.0 netmask 255.255.255.0{

range 192.168.1.10 192.168.1.250;

}Kvetkez lpsknt be szeretnnk lltani, hogy melyik interfszen nyjtson DHCP szolgltatst a szerver. Ehhez nyissuk meg szerkesztsre a /etc/default/isc-dhcp-server hcp-server llomnyt, s mdostsuk tartalmt az albbiak szerint: $ sudo nano /etc/default/isc-dhcp-server INTERFACES="eth1"Mentsk el az llomnyt, majd indtsuk el a szolgltatst. $ sudo service isc-dhcp-server startA szerverkonfigurci prbjaknt elszr az asztali gpen lltsuk be, hogy fogadja DHCP-vel a IPv4 konfigurcit, majd parancssorbl ellenrizzk a belltsok megltt. Amennyiben nem jelenik meg a kvnt cm azonnal, akkor futtassuk a DHCP kliens programot: $ sudo dhclientA prba msodik lpseknt lltsuk be VirtualBox-ban, hogy a Windows 7-es gp hlzati krtyja a bels hlzatra (intnet) csatlakozzon, majd indtsuk el a Windows 7-es gpet. Ellenrizzk le, hogy megkapja-e a belltsokat a Linuxos DHCP kiszolgltl. A szerver a

/var/lib/dhcp/dhcpd.leases llomnyban tartja nyilvn a brletbe kiadott konfigurcis adatokat. Tekintsk meg az llomny tartalmt$ more /var/lib/dhcp/dhcpd.leases

Megoszts NFS segtsgvelAz NFS (Network File System) segtsgvel knyvtrakat oszthatunk meg Linux/Unix opercis rendszert futtat gpek kztt. A megoszts kliens-szerver modellt kveti, ahol az erforrst megoszt gp a szerver, az erforrst ignybe vev gp a kliens.

A kt gp TCP/IP konfigurcijt gy alaktjuk ki, hogy mindegyik interfsz esetben statikusan lltjuk be az adatokat. A szerver esetben az eth0 interfsz:

IPv4 cm: 10.0.2.15



Hlzat: 10.0.2.0



Nvkeressi tartomny: gyakorlat.proba.petrik.hu

A szerver eth1 interfsznek belltsa az albbi lesz:

IPv4 cm: 192.168.1.254


Hlzat: 192.168.1.0

zenetszrsi cm: 192.168.1.255A munkalloms eth0 interfsznek konfigurcija megegyezik a szerver eth0 interfsznek konfigurcijval. A munkalloms eth1 interfsznek konfigurcija az albbi lesz:

IPv4 cm: 192.168.1.2


Hlzat: 192.168.1.0



Nvkeressi tartomny: gyakorlat.proba.petrik.hu

NFS szerver teleptse s belltsaAz albbi belltsokat a szerver virtulis gpen kell vgrehajtani.$ sudo apt-get update

$ sudo apt-get install nfs-kernel-server nfs-common portmap yTegyk fel, hogy a /home/megosztas knyvtrat szeretnnk megosztani. Elszr hozzuk ltre a knyvtrat, majd lltsuk be, hogy brki olvashassa, rhassa vagy futtathasson benne.

$ sudo mkdir /home/megosztas

$ sudo chmod 777 /home/megosztasA megosztott knyvtrakat az /etc/exports konfigurcis llomnyban kell felsorolnunk. Nyissuk meg szerkesztsre az llomnyt. $ sudo nano /etc/exportsAz llomnyban minden megosztshoz egy sor tartozik. A sor a megosztani kvnt knyvtr teljes elrsi tvonalval kezddik, ez a mi esetnkben /home/megosztas. A knyvtrat teljes hozzfrssel (rhat/olvashat) szeretnnk megosztani a 192.168.1.0 alhlzat sszes gpe szmra. A megosztst ler sor a kvetkez:/home/megosztas 192.168.1.0/24(rw,sync,root_squash,no_subtree_check)A fenti konfigurci valjban egy sor, csak az oldalszlessg korlt miatt jelenik meg fentebb kt sorban. A hlzati IPv4 cm helyett egy csillagot megadva az sszes szmtgp szmra megoszthatjuk knyvtrunkat. A megoszts kedvezmnyezettje lehet egyetlen gp is, ilyenkor az adott gp IP cmt vagy nevt kell itt megadnunk. Figyeljnk oda arra, hogy a nyit zrjel eltt nem llhat szkz s minden knytrmegoszts kln sorban kell lljon. Mintaknt nzznk meg nhny pldt: /home 192.168.1.1/255.255 255 0 rw

/segedlet belzebub(rw) pandora ro ) /ubuntu ro sync no root s ash ))

Indtsuk jra az NFS kiszolgl programot.$ sudo /etc/init.d/nfs-kernel-server restart

$ sudo exportfs a vAz exportfs parancs segtsgvel karbantarthat a kzztett (exportlt) knyvtrak tblzata. A a parancs hatsra a konfigurcis llomnyban megadott sszes llomnyt exportljuk, mg a v kapcsol hatsra rszletes informcit kapunk a parancs eredmnyrl.

NFS kliens teleptse s belltsaAz albbi belltsokat a kliens virtulis gpen kell vgrehajtani.

A megoszts ignybevtele, azaz a megosztott knyvtr hasznlata gy lehetsges, hogy a kliens gp knyvtrrendszerben egy knyvtrhoz felcsatoljuk a szerver ltal megosztott knyvtrat. Ezt kveten a felhasznl szmra a tvoli knyvtr ugyangy jelenik meg s ugyangy hasznlhat, mint egy helyi knyvtr.

Hozzuk ltre a knyvtrfban azt a mappt, ahova fel kvnjuk csatolni a kiszolgl ltal megosztott knyvtrat. $mkdir /home/hallgato/megosztas Kvetkez lpsknt felcsatoljuk (importljuk) a kiszolgl ltal megosztott knyvtrat:$ sudo mount t nfs 192.168.1.254:/home/megosztas /home/hallgato/megosztas

A fenti konfigurci valjban egy sor, csak az oldalszlessg korlt miatt jelenik meg fentebb kt sorban.

A kliens gp lelltsakor a felcsatols megsznik. Amennyiben azt szeretnnk, hogy minden indtskor automatikusan csatoldjon fel a knyvtr, akkor az /etc/fstab llomnyba egy j sort kell rnunk. Ehhez nyissuk meg az llomnyt.

$ sudo nano /etc/fstab

Helyezzk:

192.168.1.254:/home/megosztas /home/hallgato/megosztas nfs rw,hard,intr 0 0

Mentsk el az llomnyt, majd prbljuk ki a belltst.

$ sudo mount /home/hallgato/megosztasMegoszts Samba segtsgvelA Samba segtsgvel knyvtrakat, nyomtatkat oszthatunk meg Linux s Windows opercis rendszert futtat gpek kztt. A megoszts kliens-szerver modellt kveti, ahol az erforrst megoszt gp a szerver, az erforrst ignybe vev gp a kliens.

A szerver esetben az eth0 interfsz:IPv4 cm: 10.0.2.15



Hlzat: 10.0.2.0



Nvkeressi tartomnyok: gyakorlat.proba.petrik.hu

A szerver eth1 interfsznek belltsa az albbi lesz:

IPv4 cm: 192.168.1.254


Hlzat: 192.168.1.0

zenetszrsi cm: 192.168.1.255A munkalloms eth0 interfsznek konfigurcija megegyezik a szerver eth0 interfsznek konfigurcijval. A munkalloms eth1 interfsznek konfigurcija az albbi lesz:

IPv4 cm: 192.168.1.2


Hlzat: 192.168.1.0



Nvkeressi tartomnyok: gyakorlat.proba.petrik.huSamba kiszolgl teleptse$ sudo mkdir /home/smbmegosztas

$ sudo chown hallgato /home/smbmegosztas

$ sudo chgrp hallgato /home/smbmegosztasMegj.: A Filesystem Hierarchy Standard ajnlsa szerint a megosztott knyvtrakat a /srv/samba knyvtr al ajnlott elhelyezni.$ sudo apt-get update

$ sudo apt-get install samba smbfs

Nyissuk meg a konfigurcis llomnyt.

$ sudo nano /etc/samba/smb.confElsknt lltsuk be a munkacsoport nevt. Ehhez megkeressk a megfelel sort (workgroup), majd az egyenlsg jel utni rszt megvltoztatjuk. workgroup=GYAKORLATAz albbiakban a legtbb bellts esetben hasonlkppen fogunk eljrni. Amennyiben valamelyik kulcs (pl. netbios name) nem szerepel a kezdeti konfigurcis llomnyban, akkor a teljes sort begpeljk, egybknt csak az egyenlsg jel utni rszt mdostjuk. Nhny esetben a kulcs (pl. security) kezdetben megjegyzsben ll, ilyenkor el kell tvoltani a sor elejn ll pontosvesszt.

Msodik belltsunk a gp NetBIOS neve lesz (ezt be kell gpelni): netbios name=petrik-szerverEzt kveten a megosztsok biztonsgi modelljt (szintjt) felhasznlira lltjuk. Ez azt jelenti, hogy egyedi felhasznli nvvel s jelszval frhetnek hozz a megosztott erforrsokhoz, illetve felhasznlnknt szablyozhatjuk a jogosultsgokat. security=user Bekapcsoljuk a Samba szerver WINS szolgltatst, ami azt jelenti, hogy szervernk egy Windows Internet Name Service kiszolgl feladatait is el fogja ltni. A kulcs kezdetben megjegyzsben van. wins support=yes Engedlyezzk, hogy a Samba szerver megksrelje a megvltoztatott Samba jelszavakat a Linux jelsz adatbzisban is rvnyesteni. unix password sync=yes Az ltalnos belltsok utn ltrehozunk egy megosztst. A knyvtrat szeretnnk megosztani a hallgato nev felhasznl szmra. A konfigurcis llomny vgn ltrehozunk egy j szakaszt az j megoszts szmra.

[smbmegosztas]

Adunk hozz egy rvid magyarz szveget.

comment=Ez egy megoszts

Belltjuk az elrsi tvonalt s a hozzfrs szablyozst. Legyen a knyvtr rhat.

writeable=yes

path=/home/smbmegosztas Jelsz nlkl ne lehessen hozzfrni

public=no Ne legyen rejtett, jelenjen meg a megosztsok listjban

browseable=yes A hallgato felhasznl rhatja s olvashatja.

read list=hallgato

write list=hallgato Mentsk el a konfigurcis llomnyt, majd teszteljk azt.

$ sudo testparmA rendszer adatbzisai a /var/lib/samba knyvtrban tallhatak

Vegyk fel a hallgato felhasznlt a Samba adatbzisba. $ sudo smbpasswd -a hallgato A jelsz legyen hallgato.

Indtsuk el/jra a szervert. $ sudo service smbd restartSamba kliens teleptse s konfigurlsaHozzunk ltre egy smbkliens nev knyvtrat, ide fogjuk felcsatolni a szerver ltal megosztott mappt. $ mkdir /home/hallgato/smbmegosztas$ sudo apt-get update

$ sudo apt-get install smbfs smbclient

Krdezzk le a kiszolgl ltal megosztott knyvtrakat.

$ smbclient -L ubuntu-server -N

A Sharename oszlopban meg kell jelenjen az smbmegosztas sor.

Hajtsuk vgre a felcsatolst.

$sudo smbmount //192.168.1.254/smbmegosztas /home/hallgato/smbmegosztas -o username=hallgato

Lpjnk be a knyvtrba, s hozzunk ltre ott egy j szveges llomnyt. Lpjnk ki a knyvtrbl, majd csatoljuk azt le.

$sudo smbumount /home/hallgato/smbmegosztas/

Ha azt szeretnnk, hogy minden indtskor automatikusan csatoldjon fel a knyvtr, akkor az /etc/fstab llomnyba egy j sort kell rnunk. Ehhez nyissuk meg az llomnyt.

$sudo nano /etc/fstab

Helyezzk el a kvetkez sort (egyetlen sorba rva, s a sor vgn az Enter-t lenyomva): //192.168.1.254/smbmegosztas /home/hallgato/smbmegosztas smbfs username=hallgato,password=hallgato,umask=000 0 0$sudo mount /home/hallgato/smbmegosztasA hlzati cmfordts (NAT) megvalstsaCsomagszr tzfalak, illetve a cmfordtsra kpes hlzati eszkzk (pl. router) kiegszt szolgltatsa, mely lehetv teszi a bels hlzatra gpek kzvetlen kommunikcijt tetszleges protokollokon keresztl kls gpekkel anlkl, hogy azoknak sajt nyilvnos IP-cmmel kellene rendelkeznik. A hlzati cmfordt a bels gpekrl rkez csomagokat az internetre tovbbts eltt gy mdostja, hogy azok feladjaknt sajt magt tnteti fel, gy az azokra rkez vlaszcsomagok is hozz kerlnek majd tovbbtsra.A cmfordts tpusai A cmfordts tbbfle sma szerint kerlhet megvalstsra, amelyekben a fordts jellege, illetve a portok s protokollok kezelse tr el egymstl. A cmek s a portok eltt ll vastagbets b- s k- eltagok a bels s kls fogalmakat rvidtik a magyarzatok egyszerbb tlthatsgnak rdekben.Egy az egyben cmfordts (Full cone NAT) Amikor egy bels cm (b-Cm:b-Port) egy kls cmre fordul (k-Cm:k-Port), brmilyen csomag a bels cmrl (b-Cm:b-Port) a kls cmen (k-Cm:k-Port) keresztlkerl kikldsre.

Cmhez kttt cmfordts (Address Restricted cone NAT)Amikor egy bels cm (b-Cm:b-Port) egy kls cmre fordul (k-Cm:k-Port), brmilyen csomag a bels cmrl (b-Cm:b-Port) a kls cmen (k-Cm:k-Port) keresztl kerl kikldsre.

Porthoz s cmhez kttt cmfordts (Port-Restricted cone NAT) Hasonl mint az elz (Address) Restricted cone NAT, de a megkts a portszmra is vonatkozik.

Amikor egy bels cm (b-Cm:b-Port) egy kls cmre fordul (k-Cm:k-Port), brmilyen csomag a bels cmrl (b-Cm:b-Port) a kls cmen (k-Cm:k-Port) keresztl kerl kikldsre.

Szimmetrikus cmfordts (Symmetric NAT) Brmilyen krs egy adott bels (b-Cm:b-Port) gprl, amely egy kls (k-Cm:k-Port)-ra irnyul egy egyedi kls cmre s portra fordul, amit a kls gp forrsnak tekint (ahov majd vlaszolnia kell, ha el akarja rni a bels gpet).

A legtbb cmfordtsi megolds kombinlja egymssal az egyes tpusokat.

A szerver esetben az eth0 interfsz:IPv4 cm: 10.0.2.15


Alaprtelmezett tjr : 10.0.2.2

Hlzat: 10.0.2.0


DNS kiszolgl: 10.1.51.23, 10.1.51.25

Nvkeressi tartomnyok: proba.petrik.hu A szerver eth1 interfsznek belltsa az albbi lesz: IPv4 cm: 192.168.1.254


Hlzat: 192.168.1.0

zenetszrsi cm: 192.168.1.255 A munkalloms eth0 interfsznek konfigurcija az albbi lesz:IPv4 cm: 192.168.1.2


Hlzat: 192.168.1.0

zenetszrsi cm: 192.168.1.255Tzfal belltsaNetfilter alrendszert, amely a kiszolglra irnyul vagy azon tmen hlzati forgalom sorsnak befolysolsra vagy eldntsre hasznlhat. A kernel csomagszr rendszere kevss lenne hasznlhat a kezelsre szolgl, felhasznli trbl hasznlhat fellet nlkl. Amikor egy csomag elri a kiszolgljt, tkerl a Netfilter alrendszerhez elfogadsra, mdostsra vagy elutastsra, a felhasznli trbl az iptables segtsgvel megadott szablyok alapjn. gy ha jl ismeri, akkor egyedl az iptablesre van szksg a tzfal kezelsre, de szmos elttprogram rhet el a feladat egyszerstsre.Az Ubuntu alaprtelmezett tzfalbellt eszkze az ufw. Az iptables belltsnak megknnytsre tervezett ufw felhasznlbart mdon teszi lehetv IPv4 vagy IPv6 kiszolgl alap tzfal ltrehozst.A tzfal engedlyezse: $ sudo ufw enable

A klnbz portok megnyitshoz, engedlyezshez az allow utasts szksges: $ sudo ufw allow 80 a http port engedlyezse A deny parancsal lehet a nyitott portot bezrni:

$ sudo ufw deny 80 a http port tiltsa

A tzfal szablyokat szmozott rendben is fl tudjuk venni: $sudo ufw insert 1 allow 631/tcp nyomtat megoszts A tzfal szably eltvoltshoz a delete parancs szksges: $ sudo ufw delete deny 80 Engedlyezni lehet egy adott hlzatrl vagy kiszolglrl a hozzfrst egy porthoz. Az albbi pldval megadjuk az SSH hozzfrst a 192.168.1.10 IP-cm gp szmra brmely IP-cmhez ezen a kiszolgln: $ sudo ufw allow proto tcp from 192.168.1.10 to any port 22 Engedlyezhet az SSH hozzfrs egy teljes alhlzatbl is: $ sudo ufw allow proto tcp from 192.168.1.0/24 to any port 22A NAT teleptse s konfigurlsaAz IP lczs clja, hogy a privt, nem kzvetthet IP cmekkel rendelkez gpek elrjk az internetet az lczst vgz gpen keresztl.Az IP lczst ufw szablyok segtsgvel valstjuk meg. Ezek aszerint vannak kt llomnyra klnvlasztva, hogy a parancssori ufw szablyok eltt (before.rules) vagy utn (after.rules) kerlnek-e vgrehajtsra.

Els lpsknt engedlyezzk a csomagtovbbtst. Ehhez nyissuk meg szerkesztsre a /etc/default/ufw llomnyt:$ sudo nano /etc/default/ufwDEFAULT FORWARD POLICY=DROP

belltst cserljk

DEFAULT FORWARD POLICY=ACCEPT

-ra, s mentsk az llomnyt. Ezt kveten nyissuk meg szerkesztsre a /etc/ufw/sysctl.conf llomnyt,

$ sudo mcedit /etc/ufw/sysctl.confvegyk ki a megjegyzsbl a net/ipv4/ip_forward=1 sort. Amennyiben az IPv6 csomagtovbbtst is engedlyezni kvnjuk, akkor a net/ipv6/conf/default/forwarding=1 sort is vegyk ki megjegyzsbl. Mentsk az llomnyt.

Msodik lpsknt konfigurlnunk kell a nat tblt, mivel alaprtelmezs szerint csak a filter tbla konfigurlt. Ehhez nyissuk meg szerkesztsre a /etc/ufw/before.rules llomnyt

$ sudo mcedit /etc/ufw/before.rules

A bevezet megjegyzs (#) sorokat kveten helyezzk el az albbiakat# nat tbla szablyai *nat:POSTROUTING ACCEPT [0:0]

# Tovbbtsa az eth1-rl rkez forgalmat az eth0-n keresztl -A POSTROUTING -s 192.168.1.0/24 -o eth0 -j MASQUERADE

COMMIT

Utols lpsknt letiltjuk, s jra engedlyezzk az ufw szoftver mkdst

$ sudo ufw disable

$ sudo ufw enableOpenSSH kiszolglHlzatba kapcsolt szmtgpek tvoli felgyeletre, s az ezek kzti adattvitelre hasznlhat hatkony eszkzk.

Secure Shell (SSH) protokollcsaldjnak szabadon elrhet verzija.Atelnetvagy azrcp, nem biztonsgosak, mert a felhasznl jelszavt egyszer szvegknt viszik t. Az OpenSSH egy kiszolgldmont s klienseszkzket biztost a biztonsgos, titkostott tvoli felgyelet s fjltviteli mveletek megknnytsre, hatkonyan helyettestve a hagyomnyos eszkzket.Az OpenSSH kiszolglkomponense, azsshdfolyamatosan figyeli a klienskapcsolatokat a klienseszkzktl. Kapcsoldsi krs rkezsekor azsshda kapcsold klienseszkztl fggen ltrehozza a megfelel kapcsolatot. Ha pldul a tvoli szmtgp azsshkliensalkalmazssal kapcsoldik, akkor az OpenSSH kiszolgl hitelests utn ltrehoz egy tvoli felgyeleti munkamenetet. Ha a tvoli felhasznl az OpenSSH kiszolglhoz azscphasznlatval csatlakozik, akkor az OpenSSH kiszolgldmon a hitelests utn fjlok biztonsgos msolst kezdemnyezi a kiszolgl s a kliens kztt. Az OpenSSH szmos hitelestsi mdszert hasznlhat, tbbek kzt egyszer szveges jelszt, nyilvnos kulcsot sKerberosjegyeket.

sudo apt-get install openssh-client

sudo apt-get install openssh-server/etc/ssh/sshd_config$ sudo nano /etc/ssh/sshd_config

A konfigurcis fjl szerkesztse eltt ksztsen msolatot az eredeti fjlrl, s tegye rsvdett, gy referenciaknt megmaradnak az eredeti belltsok, s szksg esetn jra felhasznlhatja azokat.

A kvetkez parancsok kiadsval msolja le az/etc/ssh/sshd_configfjlt, s tegye rsvdett:

sudo cp /etc/ssh/sshd_config /etc/ssh/sshd_config.originalsudo chmod a-w /etc/ssh/sshd_config.originalMdostsa a Port direktvtPort 2222Engedlyezze a nyilvnos kulcs alap bejelentkezst

PubkeyAuthentication yessudo /etc/init.d/ssh restart1

Documents

LINUX Ubuntu Hálózat Beállítások(1)