Конспект-шпаргалка

Пошаговая настройка устройств стенда

Аннотация

Практический сценарий настройки устройств стенда «по порядку»: адресация BR-CLI, межсетевой экран Ideco (BR-FW), сеть серверов HQ-SRV и BR-SRV, маршруты по умолчанию, SSH, GRE-туннель и OSPF между HQ-RTR и BR-RTR, трансляция адресов (NAT) на ISP/HQ-RTR/BR-RTR и настройка DNS-сервера (bind).

1 BR-CLI — настройка сети

Задаём тип интерфейса, статический адрес и маршрут по умолчанию для клиентской машины филиала.

BR-CLI · bash
vim /etc/net/ifaces/ens3/options
TYPE=eth
BOOTPROTO=static

vim /etc/net/ifaces/ens3/ipv4address
10.20.30.2/30

vim /etc/net/ifaces/ens3/ipv4route
default via 10.20.30.1

2 BR-FW — межсетевой экран Ideco

На BR-CLI в Firefox ввести 10.20.30.1:8443 (далее логинимся в веб-интерфейс Ideco).

  • В боковой панели слева поменять название: br-fw.au-team.irpo.
  • На панели мониторинга пролистать вниз и выключить все тумблеры.
  • Далее в правилах трафика перейти в SNAT и выключить тумблер.

3 HQ-SRV и BR-SRV — настройка сети

3.1. HQ-SRV

HQ-SRV · bash
vim /etc/net/ifaces/ens3/ipv4address
10.10.100.2/27

vim /etc/net/ifaces/ens3/ipv4route
default via 10.10.100.1

system restart network

3.2. BR-SRV

BR-SRV · bash
vim /etc/net/ifaces/ens3/ipv4address
10.20.20.2/28

vim /etc/net/ifaces/ens3/ipv4route
default via 10.20.20.1

system restart network

4 HQ-RTR и BR-RTR — маршруты по умолчанию

4.1. HQ-RTR

EcoRouter CLI — HQ-RTR
ip route 0.0.0.0/0 172.16.1.1

4.2. BR-RTR

EcoRouter CLI — BR-RTR
ip route 0.0.0.0/0 172.16.2.1

5 Настройка SSH (HQ-SRV и BR-SRV)

Ограничиваем число попыток входа, настраиваем баннер и перезапускаем службу. Выполняется одинаково на обоих серверах.

bash
vim /etc/openssh/sshd_config
MaxAuthTries 2
Banner /etc/openssh/banner

vim /etc/openssh/banner
Authorized access only

systemctl restart sshd

6 GRE туннель (HQ-RTR ↔ BR-RTR)

6.1. HQ-RTR

EcoRouter CLI — HQ-RTR
int tunnel.0
description «GRE»
ip address 10.10.10.1/30
ip tunnel 172.16.1.2 172.16.2.2 mode gre

6.2. BR-RTR

EcoRouter CLI — BR-RTR
int tunnel.0
description «GRE»
ip address 10.10.10.2/30
ip tunnel 172.16.2.2 172.16.1.2 mode gre

7 Настройка OSPF

7.1. HQ-RTR

EcoRouter CLI — HQ-RTR
router ospf 1
ospf router-id 10.10.10.1
passive-interface default
no passive-interface tunnel.0
network 10.10.100.0/27 area 0
network 10.10.200.0/28 area 0
network 10.10.30.0/29 area 0
network 10.10.10.0/30 area 0
exit
interface tunnel.0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md 5 P@ssw0rd
exit
write memory

7.2. BR-RTR

EcoRouter CLI — BR-RTR
router ospf 1
ospf router-id 10.10.10.2
passive-interface default
no passive-interface tunnel.0
no passive-interface fw
network 10.10.10.0/30 area 0
network 10.20.10.1/30 area 0
exit
interface tunnel.0
ip ospf authentication message-digest
ip ospf message-digest-key 1 md 5 P@ssw0rd
exit
interface fw
ip ospf authentication message-digest
ip ospf message-digest-key 1 md 5 P@ssw0rd
exit
write memory

8 Настройка NAT

8.1. ISP

ISP · bash
iptables -t nat -A POSTROUTING -s 172.16.1.0/28 -o ens3 -j MASQUERADE
iptables -t nat -A POSTROUTING -s 172.16.2.0/28 -o ens3 -j MASQUERADE
iptables-save >> /etc/sysconfig/iptables
systemctl enable --now iptables
systemctl restart network

8.2. BR-RTR

EcoRouter CLI — BR-RTR
int isp
ip nat outside
exit
int fw
ip nat inside
exit
ip nat pool INTERNET 10.20.10.1-10.20.10.2,10.20.20.1-10.20.20.14,10.20.30.1-10.20.30.6
ip nat sourse dynamic inside-to-outside pool INTERNET overload interface isp
exit
write memory

8.3. HQ-RTR

EcoRouter CLI — HQ-RTR
int isp
ip nat outside
exit
int vl100
ip nat inside
exit
int vl200
ip nat inside
int vl999
ip nat inside
ip nat pool INTERNET 10.10.100.1-10.10.100.30,10.10.200.1-10.10.200.14,10.10.30.1-10.10.30.6
ip nat sourse dynamic inside-to-outside pool INTERNET overload interface isp
exit
write memory

9 Настройка DNS (bind)

9.1. HQ-SRV — прямая зона

HQ-SRV · bash
vim /etc/bind/zone/au-team.irpo.zone
Файл прямой зоны au-team.irpo.zone
Файл прямой зоны au-team.irpo.zone

9.2. HQ-SRV — обратная зона

HQ-SRV · bash
vim /etc/bind/zone/10.10.in-addr.arpa

Там где NSi — «i» нужно стереть, чтобы строчка не была красной.

Файл обратной зоны 10.10.in-addr.arpa
Файл обратной зоны 10.10.in-addr.arpa
HQ-SRV · bash
systemctl restart bind

9.3. HQ-SRV — options.conf

HQ-SRV · bash
vim /etc/bind/options.conf
Файл /etc/bind/options.conf
Файл /etc/bind/options.conf
Файл /etc/bind/options.conf (продолжение)
Файл /etc/bind/options.conf (продолжение)
HQ-SRV · bash
systemctl restart network

9.4. HQ-SRV — resolv.conf

HQ-SRV · bash
vim /etc/net/ifaces/ens3/resolv.conf
Файл /etc/net/ifaces/ens3/resolv.conf на HQ-SRV
Файл /etc/net/ifaces/ens3/resolv.conf на HQ-SRV

9.5. HQ-SRV — rfc1912.conf

HQ-SRV · bash
vim /etc/bind/rfc1912.conf
Файл /etc/bind/rfc1912.conf
Файл /etc/bind/rfc1912.conf
HQ-SRV · bash
systemctl restart bind
systemctl enable --now bind

9.6. BR-SRV — resolv.conf

BR-SRV · bash
vim /etc/net/ifaces/ens3/resolv.conf
Файл /etc/net/ifaces/ens3/resolv.conf на BR-SRV
Файл /etc/net/ifaces/ens3/resolv.conf на BR-SRV
BR-SRV · bash
systemctl restart network
Настройка устройств стенда · конспект