Hálózat
Az hálózati csatolók (a továbbiakban: interface-ek) konfigurálása érdekes történet.
Rálátást és odafigyelést igényel. Telepítés közben ugyanaz az interface lát a netre, amely telepítés után, de - mivel én ssh-n keresztül telepítek - az ssh más interface-en hallgatózik.
Logikusan végiggondolva, az első lehetséges probléma az internetkapcsolatunk.
eth1 interface jelenleg DHCP kliensként üzemel. Ha az internet szolgáltatónk is így ad nekünk IP-t ( pl.: "kábelnet" ), akkor rendben lesz. Ha viszont pppoe ( pl.: ADSL ) kliens a gépünk, akkor ezen majd változtatni kell.
Második probléma a gép. Headless rendszerként fog üzemelni. Minek várni vele, amikor már telepítés alatt is beállítható (biosban Halt on Error --> none).
Szóval jelen esetben telepíteni fogom az open-ssh-server-t, majd beállítom, hogy hallgatózzon az eth1 interface-en. Beállítom a többi interface-em is. Majd a leírás végén, mielőtt kicserélném a routerem, átállítom az ssh server-t, hogy a belső interface-en hallgatózzon tovább.
Az interface-ek beállításait debian alatt a /etc/network/interfaces fájlban végezhetjük el.
Hirdetés
auto lo
iface lo inet loopback
auto eth0
iface eth0 inet static
address 192.168.1.1
netmask 255.255.255.0
auto eth0:1
iface eth0:1 inet static
address 192.168.11.1
netmask 255.255.255.0
auto eth1
iface eth1 inet DHCP
eth0-t lesz a belső interface-em. Statikus, IP, netmask, egyértelmű.
ezh0:1 plumb-olt interface. Ez az interface lesz a guset network - dmz.
eth1 az internet felé néző interface (az én szolgáltatóm DHCP-vel szolgál ki).
Ezután állítsuk be a gép nevét, ha a telepítés közben kimaradt.
echo firewall > /etc/hostname
Ezután a "router funkciót" a kernelben.
vi /etc/sysctl.conf
net.ipv4.ip_forward=1
A sor benn lesz a file-ban, csak a # jelet kell törölni a sor elejéről.
Open SSH server
Maga az ssh egy protokol. Jelenleg az open ssh server funkconalitásának igencsak kevés részét használjuk. Egyszerű remote shell lesz a majdani tűzfalunkra. Ha lesz rá érdeklődés ( és időm leírni ), X11 forwarddal lehet wiresharkot futtatni a serveren és valamely kliensünket használni megjelenítőnek.
apt-get install openssh-server
Telepítem dependenciákkal együtt.
A konfigurációs állomány a /etc/ssh/sshd.conf.
Mivel az ssh server befelé fog hallgatózni, nem szántam sok időt a konfigurálására.
vi /etc/ssh/sshd.conf
A konfiguráció lényeges része :
ListenAddress 192.168.1.12
Protocol 2
PermitRootLogin yes
ListenAddress - nálam ezt az IP-t kapta a router-től.
Ha valakinek olyan kedve van, nyugodtan készíthet egy admin csoportos felhasználót és akkor megtilthatja a root belépést ssh-n keresztül. Hangzatos áttenni máshova a portot, de egy portscan viszonylag hamar lefut... ( részemről felesleges nagyon szétkonfigurálni, az ssh befelé hallgatózik )
Ha ez a lépés megvan, akkor be lehet lépni ssh-val. Én itt csináltam egy rebootot és úgy állítottam be, hogy ne álljon meg a POST semmilyen hibára.
Jöhet a tűzfal.
A cikk még nem ért véget, kérlek, lapozz!
