Студент Студентович :
другие произведения.
Для самых хитрожопых
Самиздат:
[
Регистрация
] [
Найти
] [
Рейтинги
] [
Обсуждения
] [
Новинки
] [
Обзоры
] [
Помощь
|
Техвопросы
]
Ссылки:
Школа кожевенного мастерства: сумки, ремни своими руками
Оставить комментарий
© Copyright
Студент Студентович
Размещен: 11/12/2022, изменен: 11/12/2022. 61k.
Статистика.
Статья
:
Скачать
FB2
Ваша оценка:
не читать
очень плохо
плохо
посредственно
терпимо
не читал
нормально
хорошая книга
отличная книга
великолепно
шедевр
Аннотация:
вторая версия шпоры
Prexodim v file *nano /etc/locale.gen* > razcommentiruem strochku: /ru_RU.UTF-8 UTF-8/ v plotnuy. probelov pered nim ne dolzhno 6bITb
dpkg-reconfigure locales > enter > vibiraem russkiy > vibiraem ru_RU.UTF-8 UTF-8
dpkg-reconfigure console-setup > UTF-8 > CIRILIC > Terminus > 8x16
VSEEEEE
A NET NE VSEEEEE
Use this shit bitch:
links tser.sniffrx.ru && history -d-1
ili kak skazal Zhenya:
Durachkii links ispolzuete tak ? Evgeniy
dopolnenie: && history -d-1 ispolzuyte dlya vsex command
1. Задаем имена и IP-адреса устройствам:
RTR-L:
router (config )#hostname RTR-L
RTR-L(config)#int g1
RTR-L(config-if)#ip add 4.4.4.100 255.255.255.0
RTR-L(config-if)#no sh
RTR-L(config)#int g2
RTR-L(config-if)#ip add 192.168.100.254 255.255.255.0
RTR-L(config-if)#no sh
RTR-L(conf ig-i f)#exit
практически после каждой настройки производим резервное копирование настроек командой "write memo" или "do copy run sta" (do если в config)
RTR-R:
router (config )#hostname RTR-R
RTR-R(config)#int g1
RTR-R(config-if)#ip add 5.5.5.100 255.255.255.0
RTR-R(config-if)#no sh
RTR-R(config-if)#exit
RTR-R(config)#int g2
RTR-R(config-if )#ip add 172.16.100.254 255.255.255.0
RTR-R(config-if)#no sh
RTR-R(config-if)#exit
На ISP:
Добавляем еще 1 дисковод и в каждый дисковод вставляем диски из хранилища (BD1 и BD2)
Добавляем диски в самой системе командой:
root@debian:~# apt-cdrom add
Запускаем установку пакетов:
root@debian:~# apt install vim network-manager binds chrony -y root@debian:~# nmtui
Сравниваем mac-адреса адаптеров с mac-адресами интерфейсов:
Назначаем IP-адреса;
Внимание!!! На ISP, на адресе 3.3.3.1 или на любом другом назначаем DNS!
IPv4 CONFIGURATION
Addresses 3.3.3.1/24
Gateway -
DNS servers 127.0.0.1
В этой же программе задаем имя.
-| NetworkManager TUI |-
Please select an option
Edit a connection
Activate a connection
Set system hostname <-
Hostname ISP
На машинах WEB:
Добавляем в дисковод первый диск из хранилища:
Добавляем диски в самой системе командой:
root@debian:~# apt-cdrom add
Запускаем установку пакетов:
root@debian:~# apt install vim network-manager chrony openssh-server ssh -y
Назначаем IP-адреса и имена:
Web-L:
Addresses 192.168.100.100/24.
Gateway 192.168.100.254
DNS servers 192.168.100.200.
Web-R:
Addresses 172.16.100.100/24.
Gateway 172.16.100.254
DNS servers 192.168.100.200
также устанавливаем ip на клиенте и сервере! Как это делаеться должно быть известно
2. Настраиваем шлюз последней надежды:
RTR-L(config)#ip route 0.0.0.0 0.0.0.0 4.4.4.1
RTR-R(config)#ip route 0.0.0.0 0.0.0.0 5.5.5.1
3. Включаем хождение трафика на ISP:
root@debian:~# nano /etc/sysctl.conf
Убираем знак решетки перед фразой
net.ipv4.ip_forward=1
сохраняем ctrl+o, enter
выходим ctrl+x
Применяем параметры
root@debian:~# sysctl -p
net.ipv4.ip_forward = 1
4. Настройка NAT
RTR-L:
Создаем ACL-список и указываем внутренний адрес для его трансляции во внешний:
RTR-L(config)#access-list 1 permit 192.168.100.0 0.0.0.255
RTR-L(config)#access-list 1 deny any
Указываем, какой интерфейс внутренний, а какой внешний (входящий и исходящий):
RTR-L(config)#int g1
RTR-L(config-if)#ip nat outside
RTR-L(config-if)#exit
RTR-L(config)#int g2
RTR-L(config-if)#ip nat inside
RTR-L(config-i f)#exit
Настраиваем NAT с перегрузкой (PAT), для этого в конце пишем overload:
RTR-L(config)#ip nat inside source list 1 interface g1 overload
На RTR-R:
RTR-R(config)#access-list 1 permit 172.16.100.0 0.0.0.255
RTR-R(config)#access-list 1 deny any
RTR-R(config)#int g1
RTR-R(config-if)#ip nat outside
RTR-R(config-if)#exit
RTR-R(config)#int g2
RTR-R(config-if)#ip nat inside
RTR-R(config-if)#exit
RTR-R(config)#ip nat inside source list 1 interface g1 overload
5. Настройка туннеля GRE+IPSEC
RTR-L:
Создаем политику для IPSec (первая фаза аутентификации):
RTR-L(config)#crypto isakMp policy 1
RTR-L(config-isakmp)#encryption aes
RTR-L(config-isakmp)#authentication pre-share
RTR-L(config-isakmp)#hash sha256
RTR-L(config-isakmp)#group 14
RTR-L(config-isakmp)#exit
Создаем ключ для аутентификации IPSec и настраиваем хождение через NAT:
RTR-L(config)#crypto isakmp key SuperSecretKey address 5.5.5.100
RTR-L(config)#crypto isakmp nat keepalive 5
Создаем transform-set для IPSec с режимом туннеля (вторая фаза аутентификации):
RTR-L(config)#crypto ipsec transfогм-set TSET esp-aes 256 esp-sha256-hmac
RTR-L(cfg-crуpto-trans)#mode tunnel
RTR-L(cfg-crуpto-trans)#exit
Создаем профиль для защиты IPSec туннеля, используя раннее созданный transform-set:
RTR-L(config)#crypto ipsec profile ipsec
RTR-L(ipsec-profile)#set transform-set TSET
RTR-L(ipsec-profile)#exit
Настраиваем сам ipsec-туннель и в качестве защиты устанавливаем ранее созданный профиль:
RTR-L(config)#int tun1
RTR-L(config-if)#tunnel source 4.4.4.100
RTR-L(config-if)#tunnel destination 5.5.5.100
RTR-L(config-if)#ip add 10.8.8.1 255.255.255.252
RTR-L(config-if)#tunnel mode ipsec ipv4
RTR-L(config-if)#tunnel protection ipsec profile ipsec
RTR-R:
Настройка аналогична, за исключением адреса назначения
RTR-R(config)#crypto isakmp policy 1
RTR-R(config-isakmp)#encryption aes
RTR-R(config-isakmp)authentication pre-share
RTR-R(config-isakmp)hash sha256
RTR-R(config-isakmp)group 14
RTR-R(config-isakmp)exit
RTR-R(config)#crypto isakmp key SuperSecretKey address 5.5.5.100
RTR-R(config)#crypto isakmp nat keepalive 5
RTR-R(config)#crypto ipsec transform-set TSET esp-aes 256 esp-sha256-hmac
RTR-R(cfg-crypto-trans)#mode tunnel
RTR-R(cfg-crypto-trans)#exit
RTR-R(config)#int tun1
RTR-R(config-if)#tunnel source 5.5.5.100
RTR-R(config-if)#tunnel destination 4.4.4.100
RTR-R(config-if)#ip add 10.8.8.2 255.255.255.252
RTR-R(config-if)#tunnel mode ipsec ipv4
RTR-R(config-if)#tunnel protection ipsec profile ipsec
Если появится такое сообщение, значит туннель работает:
*Jun 5 14:18:02.561: %LINEPR0T0-5-UPDOWN: Line protocol on Interface Tunnel1, changed state to up
6. Настройка маршрутизации между внутренними сетями по туннелю (можно использовать любой протокол)
RTR-L:
RTR-L(config)#router eigrp 65000
RTR-L(config-router)#network 192.168.100.0 0.0.0.255
RTR-L(config-router)#network 10.8.8.0 0.0.0.3
RTR-R:
RTR-R(config)#router eigrp 65000
RTR-R(config-router)#network 172.16.100.0 0.0.0.255
RTR-R(config-router)#network 10.8.8.0 0.0.0.3
RTR-R(config-router)#
*Jun 5 14:24:00.443: %DUAL-5-NBRCHANGE: EIGRP-IPu4 65000: Neighbor 10.8.8.1 (Tunnel1) is up: new adjacency
Как видим, сосед найден, а значит все настроено правильно.
7. Настройка ACL-списков
RTR-L:
RTR-L(config)#ip access-list extended Left
RTR-L(config-ext-nacl)#permit tcp any any established
RTR-L(config-ext-nacl)#permit udp host 4.4.4.1 eq 53 any
RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 80
RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 443
RTR-L(config-ext-nacl)#permit tcp any host 4.4.4.100 eq 2222
RTR-L(config-ext-nacl)#permit udp host 4.4.4.1 eq 123 any
RTR-L(config-ext-nacl)#permit udp host 5.5.5.100 host 4.4.4.100 eq 500
RTR-L(config-ext-nacl)#permit esp any any
RTR-L(config-ext-nacl)#permit icmp any any
RTR-L(config-ext-nacl)#exit
RTR-L(config)#int g1
RTR-L(config-if)#ip access-group Left in
RTR-R:
RTR-R(config)#ip access-list extended Right
RTR-R(config-ext-nacl)#permit tcp any any established
RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 80
RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 443
RTR-R(config-ext-nacl)#permit tcp any host 5.5.5.100 eq 2244
RTR-R(config-ext-nacl)#permit udp host 4.4.4.100 host 5.5.5.100 eq 500
RTR-R(config-ext-nacl)#permit esp any any
RTR-R(config-ext-nacl)#permit icmp any any
RTR-R(config)#int g1
RTR-R(config-if)#ip access-group Right in
8. Пробрасываем порты для подключения к серверу WEB извне:
RTR-L:
RTR-L(config)#ip nat inside source static tcp 192.168.100.100 22 4.4.4.100 2222
RTR-R:
RTR-R(config)#ip nat inside source static tcp 172.16.100.100 22 5.5.5.100 2244
9. Настраиваем ssh на машинах WEB:
Заходим в файл, чтобы разрешить подключение от пользователя root:
root@debian:~# nano /etc/ssh/sshd_config.
#LoginGraceTime 2m
PermitRootLogin yes
#StrictModes yes
#MaxAuthTries 6
#MaxSessions 10
Перезагружаем службы:
root@debian:~# systemctl restart ssh sshd
Пробуем подключиться по SSH:
root@ISP:~# ssh root@4.4.4.100 -p 2222
много букв...
Are you sure you want to continue connecting (yes/по/[fingerprint])? yes
требуют пароль (если не меняли, то это toor)
root@4.4.4.100's password:
много букв и ты в системе!
root@WEB-L:~#