Установка CentOS
Материал из База знаний
Установка Centos (мой дополняемый вариант:)
После установки выключаем selinux!!! (ну... как-то так :) в файле /etc/sysconfig/selinux:
SELINUX=disabled
reboot rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm или rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum repolist yum install mc bind-utils man traceroute iptraf tcpdump
echo NOZEROCONF=yes >> /etc/sysconfig/network echo NETWORKING_IPV6=no >> /etc/sysconfig/network echo net.ipv6.conf.all.disable_ipv6 = 1 >> /etc/sysctl.conf service network restart sysctl -p
Отключение по кнопке питания
yum install -y acpid /etc/init.d/acpid start
Пример файла /etc/sysconfig/iptables:
*mangle # --set-mark 0 - маршрутизируем # --set-mark 1 - натим как Интернет 1 # --set-mark 2 - натим как Интернет 2 # Исходящие пакеты натим на Интернет 1 #-A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark 0x1 # Исходящие пакеты натим на Интернет 2 #-A PREROUTING -s 192.168.1.5 -j MARK --set-mark 0x2 # По mac'у #-A PREROUTING -m mac --mac-source 1c:bb:a8:06:77:cb -j MARK --set-mark 0x2 # По другим признакам #-A PREROUTING -s 192.168.1.7 -m udp -p udp --dport 123 -j MARK --set-mark 0x1 # IPTV (добавим к TTL 2) #-A PREROUTING -d 224.0.0.0/4 -p udp -j TTL --ttl-inc 1 #-A PREROUTING -d 224.0.0.0/4 -j MARK --set-mark 0x1 COMMIT #-------------------------------------------- *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] :FW-INPUT - [0:0] :FW-FORWARD - [0:0] :FW-WOT - [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -j FW-INPUT -A INPUT -j FW-FORWARD -A INPUT -j REJECT --reject-with icmp-host-prohibited -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -j FW-FORWARD -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -j REJECT --reject-with icmp-host-prohibited #------------------------------------------------------------- # --- Локальные подключения INPUT -A FW-INPUT -i lo -j ACCEPT -A FW-INPUT -p icmp --icmp-type any -j ACCEPT # DNS -A FW-INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A FW-INPUT -p udp -m udp --dport 53 -j ACCEPT #zabbix #-A FW-INPUT -m tcp -p tcp -s 95.170.158.203 --dport 10050 -j ACCEPT #Samba для внутренней сети #-A FW-INPUT -m tcp -p tcp -m multiport -i eth0 --dports 135,139,445 -j ACCEPT #-A FW-INPUT -m udp -p udp -m multiport -i eth0 --dports 137,138 -j ACCEPT #WWW #-A FW-INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT # mail -A FW-INPUT -p tcp -m tcp --dport 25 -j ACCEPT # ftp #-A FW-INPUT -p tcp -m tcp --dport 21 -j ACCEPT #ntp для внутренней сети -A FW-INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 123 -j ACCEPT -A FW-INPUT -p udp -m udp -s 192.168.1.0/24 --dport 123 -j ACCEPT #openvpn -A FW-INPUT -m udp -p udp --dport 1194 -j ACCEPT # ------------------------------------------------------------------------- # --- Маршрутизация FORWARD - То, что нужно маршрутизировать # в FW-INPUT прописывать НЕ надо! -A FW-FORWARD -i lo -j ACCEPT -A FW-FORWARD -p icmp --icmp-type any -j ACCEPT # Запретим сильно хитрых #-A FW-FORWARD -s 192.168.0.0/16 -i wan1 -j REJECT #-A FW-FORWARD -s 10.0.0.0/8 -i wan1 -j REJECT # Маршрутизация внутри сети -A FW-FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT # IPTV #-A FW-FORWARD -p igmp -i wan2 -j ACCEPT #-A FW-FORWARD -p igmp -i lan1 -j ACCEPT #-A FW-FORWARD -d 224.0.0.0/4 -j ACCEPT #-A FW-FORWARD -s 224.0.0.0/4 -j ACCEPT #-A FW-FORWARD -s 192.168.1.5 -j ACCEPT #-A FW-FORWARD -i lan1 -m udp -p udp --dport 32800:32900 -j FW-WOT # Word of Tanks servers #-A FW-WOT -d 92.223.19.0/24 -j ACCEPT #-A FW-WOT -d 92.223.8.0/24 -j ACCEPT #-A FW-WOT -d 92.223.1.0/24 -j ACCEPT #... # RDP #-A FW-FORWARD -i wan1 -d 192.168.15.30 -p tcp -m tcp --dport 3389 -j ACCEPT COMMIT *nat :PREROUTING ACCEPT [0:0] #Перебросим на прокси #-A PREROUTING -s 192.168.1.128/25 ! -d 192.168.0.0/16 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128 # Открытые внутренние ресурсы # RDP 2 #-A PREROUTING -i wan1 -p tcp -s 82.200.122.192 --dport 3389 -j DNAT --to-destination 192.168.15.30 :POSTROUTING ACCEPT [0:0] # Маркированные как 2 - на Интернет2 и т.д. #-A POSTROUTING -s 192.168.15.0/24 -o wan1 -m mark --mark 1 -j MASQUERADE #-A POSTROUTING -s 192.168.15.0/24 -o wan2 -m mark --mark 2 -j MASQUERADE #-A POSTROUTING -o wan2 -j SNAT --to-source 10.61.110.149 #-A POSTROUTING -o tun0 -j MASQUERADE -A POSTROUTING -s 192.168.1.0/24 -o wan1 -j MASQUERADE # ------------------------------------------------------------------------- COMMIT
