Server Admin Авторский блог системного администратора
Приветствую! Собираю в одну тему пошаговый чек-лист и шпаргалку по базовой настройке сетевой инфраструктуры на базе Alt Linux и маршрутизаторов Eltex (настройка vlan, интерфейсов, статической маршрутизации, NAT/SNAT и безопасности SSH). Оставляю здесь, чтобы структура команд всегда была под рукой и не потерялась в локальных файлах. Буду дополнять по мере тестов.
Первая часть:
В линуксе root
в елтексе admin
1) Сначало сделать виланы в hq-rtr vmbr3 (каждом). на hq-cli второй, на hq srv первый
2) сделать vlan и нажать применить конфигурацию
3) поставить время на alt linux: timedatectl set-timezone Asia/Yekaterinburg
поставить время на eltex: config - clock timezone gmt +5 - exit - commit - confirm
при входе на каждую из машин впервые вводить одно из этого
4) дать имя alt linux: vim /etc/hostname/ (написать имя)
дать имя eltex: config - hostname (имя) - exit - commit - confirm
при входе на каждую из машин впервые вводить одно из этого
5) В ISP
скопировать ens19 на ens20, ens21 - cp /etc/net/ifaces/ens19/options /etc/net/ifaces/ens20/options
после надо зайти в ens19/options и заменить на static на dhcp в двух местах
потом зайти в ens20,ens21 и ввести команду vim ipv4address и туда ввести ip адрес (2 задание) и заменить в конце на 1, пример 172.16.2.0/28 - 172.16.2.1/28
потом зайти в vim ссылка удалена , найти строку net_ipv4.ip_forvard 0, изменить 0 на 1 и сохранить и выйти!!!!
Cразу после этого iptables -t nat -A POSTROUTING -o ens19 -j MASQUERADE
iptables-save >> /etc//sysconfig/iptables
systemctl enable --now iptables.service
systemctl restart network
6) зайти в br-rtr создать net_admin: config - username net_admin - privileage 15 - password P@ssw0rd – exit
7) не выходя
interface gigabitethernet 1/0/1
ip firewall disable
ip address (туда ввести ip адрес (2 задание) и заменить в конце на 2, пример 172.16.2.0/28 - 172.16.2.2/28)
exit
ip route 0.0.0.0/0 172.16.2.1 (из вверхнего)
interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.0.1/28
exit
object-group network BR
ip address-range 192.168.0.1-192.168.0.10
exit
nat source
pool WAN
ip address-range 172.16.2.2 (сверху)
exit
ruleset SNAT
to interface gigabitethernet 1/0/1
rule 1
match
match source-address BR
action source-nat pool WAN
enable
exit
exit
exit
exit
commit (ОБЯЗАТЕЛЬНО) потом confirm
8) зайти на br-srv:
cd /etc/net/ifaces/ens19
vim ipv4address
192.168.0.28/28
выйти
vim ipv4route
default via 192.168.0.1
9) создаем пользователя:
adduser sshuser -u 2026
passwd sshuser
P@ssw0rd
usermod -aG wheel sshuser
cd /etc/
chmod 700 sudoers
vim sudoers
в конце найти #WHEEL_USER (ALL:ALL) NOPASSWD: ALL
заменить #WHEEL_USER на sshuser чтобы было: sshuser (ALL:ALL) NOPASSWD: ALL (без #)
выйти
10) cd /etc/openssh
vim banner
Authtorized access only
выходим
vim sshd_config
найти #Port 22, изменить на Port 2026
снизу от него написать AllowUsers sshuser
Banner /etc/openssh/banner
найти #MaxAuthTries 6, изменить на MaxAuthTries 2 (без #)
выйти
reboot
11) зайти в hq-rtr создать net_admin: config - username net_admin - privileage 15 - password P@ssw0rd - exit
interface gigabitethernet 1/0/1
ip firewall disable
ip address 172.16.1.2/28
exit
ip route 0.0.0.0/0 172.16.1.1
interface gigabitethernet 1/0/2
ip firewall disable
ip address 192.168.100.1/27
exit
interface gigabitethernet 1/0/3
ip firewall disable
ip address 192.168.200.1/28
exit
interface gigabitethernet 1/0/4
ip firewall disable
ip address 192.168.99.1/29
exit
object-group network HQ
ip address-range 192.168.99.1-192.168.200.10
exit
nat source
pool WAN
ip address-range 172.16.1.2
exit
ruleset SNAT
to interface gigabitethernet 1/0/1
rule 1
match source-address HQ
action
action source-nat pool WAN
enable
exit
exit
exit
ip dhcp-server
ip dhcp-server pool CLI
network 192.168.200.0/28
default-route 192.168.200.1
dns-server 192.168.100.2
domain-name au-team.irpo
address-range 192.168.200.2-192.168.200.10
exit
exit
commit
confirm
12) зайти в hq-srv
cd /etc/net/ifaces/ens19
vim ipv4address
192.168.100.2/27
выходим
vim ipv4route
default via 192.168.100.1
создаем пользователя:
adduser sshuser -u 2026
passwd sshuser
P@ssw0rd
usermod -aG wheel sshuser
cd /etc/
chmod 700 sudoers
vim sudoers
в конце найти #WHEEL_USER (ALL:ALL) NOPASSWD: ALL
заменить #WHEEL_USER на sshuser чтобы было: sshuser (ALL:ALL) NOPASSWD: ALL (без #)
cd /etc/openssh
vim banner
Authtorized access only
выходим
vim sshd_config
найти #Port 22, изменить на Port 2026
снизу от него написать AllowUsers sshuser
Banner /etc/openssh/banner
найти #MaxAuthTries 6, изменить на MaxAuthTries 2 (без #)
выйти
reboot
13) заходим на hq-cli
находим и заходим в терминал
пишем su и пароль от него
cd /etc/net/ifaces/ens19
vim options
меняем static на dhcp
выходим
reboot
14) заходим на hq-rtr
config
tunnel gre 1
ip firewall disable
ip address 10.10.10.1/30
local address 172.16.1.2
remote address 172.16.2.2
ttl 16
enable
exit
exit
commit
confirm
config
tunnel gre 1
ip address 10.10.10.2/30
ip firewall disable
local address 172.16.2.2
remote address 172.16.1.2
ttl 16
enable
exit
exit
commit
confirm
config
key-chain auth
key 1
key-string ascii-text P@ssw0rd
exit
exit
router ospf 1
router-id 10.10.10.2
area 0.0.0.0
network 192.168.0.0/28
enable
exit
enable
exit
tunnel gre 1
ip ospf instance 1
ip ospf
ip ospf authentication key-chain auth
ip ospf authentication algorithm md5
exit
commit
confirm
config
key-chain auth
key-string ascii-text P@ssw0rd
exit
exit
router ospf 1
router-id 10.10.10.1
area 0.0.0.0
network 192.168.100.0/27
network 192.168.200.0/28
network 192.168.99.0/29
enable
exit
tunnel gre 1
ip ospf instance 1
ip ospf
ip ospf authentication key-chain auth
ip ospf authentication algorithm md5
exit
exit
commit
confirm
Вторая часть:
1) Заходим на hq-rtr
Config
no ntp broadcast-client enable
ntp server 46.146.231.187
minpoll 1
maxpoll 4
end
commit
confirm
2) Заходим в hq-srv
vim ссылка удалена
в начале перед pool поставить #
ниже под ним написать
server (зайти на hq-rtrt, написать команду show ip interfaces и выбрать похожий на ip c задания пример – 172.16.4.2) iburst
сохранить и выйти
systemctl restart chronyd
3) Заходим на br-rtr
config
no ntp broadcast-client enable
ntp server (зайти на hq-rtr, написать команду show ip interfaces и выбрать похожий на ip c задания пример – 172.16.4.2)
minpoll 1
maxpoll 4
end
commit
confirm
config
object-group service SSH
port-range 2026
exit
написать команду show ip interfaces и выбрать похожий на ip c задания пример – 172.16.5.2
object-group network UPLINK
ip address-range 172.16.5.2
exit
nat descination
pool BR_SRV_SSH
ip address 192.168.20.2
ip port 2026
exit
ruleset DNAT
from default
rule 1
match protocol tcp
match destination-address UPLICK
match destination-port SSH
action destination-nat pool BR_SRV_SSH
enable
end
commit
confirm
config
object-group service HTTP
port range 8080
exit
nat destination
pool BR_SRV_HTTP
ip address 192.168.20.2
ip port 8080
exit
ruleset DNAT
rule 1
exit
rule 2
match protocol tcp
match destination-address UPLINK
match destination-port HTTP
action destination-nat pool BR_SRV_HTTP enable
end
commit
confirm
4) заходим на hq-rtr
config
object-group service SSH
port-range 2026
exit
object-group service HTTP
port-range 8080
exit
object-group network UPLINK
ip address-range 172.16.4.2
exit
nat destination
pool HQ_SRV_HTTP
ip address (зайти на hq-srv, написать команду ip a и выбрать похожий на ip c задания пример – 192.168.10.2) 192.168.10.2
ip port 8080
exit
pool HQ_SRV_SHH
ip address 192.168.10.2
ip port 2026
exit
exit
ruleset DNAT
from default
rule 1
match
protocol tcp
match destination-port HTTP
match destination-address UPLINK
action destination-nat pool HQ_SRV_HTTP
enable
exit
enable
rule 2
match destination-address UPLINK
match protocol tcp
match destination-port SSH
action destination-nat pool HQ_SRV_SSH
enable
end
commit
confirm
5) Заходим в hq-cli
ping google.com
если нет интернета перейти в
vim ссылка удалена
поменять ip на 8.8.8.8
если есть
su - пароль
rm -rf /var/lib/apt/lists/lock
apt-get update
Зайти на hq-srv – оборудование – добавить - жеский диск –
Выбрать хранилище – поставить 1 гб добавить
Выбрать хранилище – поставить 1 гб добавить
Зайти в консоль
mdadm --create --verbose /dev/md0 -l 0 -m 2 /dev/sd{b,c}
echo “DEVICE partitions” > ссылка удалена
mdadm --detail --snan --verbose | awk ‘/ARRAY/ {print}’ >> ссылка удалена
fdisk /dev/md0
g
n
enter enter enter
w
mkfs.exte4 /dev/md0p1
mkdir /raid
vim /etc/fstab
на нижней новой строчке пишем :
/dev/md0p1 /raid ext4 defaults 0 0
Выходим
mount -a
apt-get install nfs-server -y
systemctl enable --now_nfs-server.service
mkdir /raid/nfs
chmod 777 /raid/nfs/
vim /etc/exports
добавляем перед всеми строчками #
пишем
/raid/nfs (чтобы узнать ip зайти на hq-cli, в терминале написать ip r – и самый нижний первый будет нужный) 192.168.10.64/28(rw,no_root_squash,no_subtree_check)
сохраняем и выходим
systemctl restart nfs server.service
6) Зайти на hq-cli
vim /etc/fstab
снизу добавляюем строчку
192.168.10.2:/raid/nfs /mnt/nfs nfs auto 0 0
Выходим
systemctl enable --now rpc-statd
apt-get install nfs-clients
mkdir /mnt/nfs
mount -a
mount | grep nfs4
