Установка CentOS — различия между версиями
Материал из База знаний
Admin (обсуждение | вклад) |
Admin (обсуждение | вклад) |
||
| Строка 22: | Строка 22: | ||
yum install -y acpid | yum install -y acpid | ||
/etc/init.d/acpid start | /etc/init.d/acpid start | ||
| + | |||
| + | Пример файла /etc/sysconfig/iptables: | ||
| + | |||
| + | *mangle | ||
| + | # --set-mark 0 - маршрутизируем | ||
| + | # --set-mark 1 - натим как Интернет 1 | ||
| + | # --set-mark 2 - натим как Интернет 2 | ||
| + | |||
| + | |||
| + | # Исходящие пакеты натим на Интернет 1 | ||
| + | #-A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark 0x1 | ||
| + | # Исходящие пакеты натим на Интернет 2 | ||
| + | #-A PREROUTING -s 192.168.1.5 -j MARK --set-mark 0x2 | ||
| + | # По mac'у | ||
| + | #-A PREROUTING -m mac --mac-source 1c:bb:a8:06:77:cb -j MARK --set-mark 0x2 | ||
| + | # По другим признакам | ||
| + | #-A PREROUTING -s 192.168.1.7 -m udp -p udp --dport 123 -j MARK --set-mark 0x1 | ||
| + | |||
| + | # IPTV (добавим к TTL 2) | ||
| + | #-A PREROUTING -d 224.0.0.0/4 -p udp -j TTL --ttl-inc 1 | ||
| + | #-A PREROUTING -d 224.0.0.0/4 -j MARK --set-mark 0x1 | ||
| + | |||
| + | COMMIT | ||
| + | #-------------------------------------------- | ||
| + | |||
| + | *filter | ||
| + | :INPUT DROP [0:0] | ||
| + | :FORWARD DROP [0:0] | ||
| + | :OUTPUT ACCEPT [0:0] | ||
| + | :FW-INPUT - [0:0] | ||
| + | :FW-FORWARD - [0:0] | ||
| + | :FW-WOT - [0:0] | ||
| + | |||
| + | -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
| + | -A INPUT -j FW-INPUT | ||
| + | -A INPUT -j FW-FORWARD | ||
| + | -A INPUT -j REJECT --reject-with icmp-host-prohibited | ||
| + | |||
| + | -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT | ||
| + | -A FORWARD -j FW-FORWARD | ||
| + | -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu | ||
| + | -A FORWARD -j REJECT --reject-with icmp-host-prohibited | ||
| + | #------------------------------------------------------------- | ||
| + | |||
| + | # --- Локальные подключения INPUT | ||
| + | -A FW-INPUT -i lo -j ACCEPT | ||
| + | -A FW-INPUT -p icmp --icmp-type any -j ACCEPT | ||
| + | |||
| + | # DNS | ||
| + | -A FW-INPUT -p tcp -m tcp --dport 53 -j ACCEPT | ||
| + | -A FW-INPUT -p udp -m udp --dport 53 -j ACCEPT | ||
| + | |||
| + | #zabbix | ||
| + | #-A FW-INPUT -m tcp -p tcp -s 95.170.158.203 --dport 10050 -j ACCEPT | ||
| + | |||
| + | #Samba для внутренней сети | ||
| + | #-A FW-INPUT -m tcp -p tcp -m multiport -i eth0 --dports 135,139,445 -j ACCEPT | ||
| + | #-A FW-INPUT -m udp -p udp -m multiport -i eth0 --dports 137,138 -j ACCEPT | ||
| + | |||
| + | #WWW | ||
| + | #-A FW-INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT | ||
| + | |||
| + | # mail | ||
| + | -A FW-INPUT -p tcp -m tcp --dport 25 -j ACCEPT | ||
| + | |||
| + | # ftp | ||
| + | #-A FW-INPUT -p tcp -m tcp --dport 21 -j ACCEPT | ||
| + | |||
| + | #ntp для внутренней сети | ||
| + | -A FW-INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 123 -j ACCEPT | ||
| + | -A FW-INPUT -p udp -m udp -s 192.168.1.0/24 --dport 123 -j ACCEPT | ||
| + | |||
| + | #openvpn | ||
| + | -A FW-INPUT -m udp -p udp --dport 1194 -j ACCEPT | ||
| + | |||
| + | # ------------------------------------------------------------------------- | ||
| + | |||
| + | |||
| + | # --- Маршрутизация FORWARD - То, что нужно маршрутизировать | ||
| + | # в FW-INPUT прописывать НЕ надо! | ||
| + | -A FW-FORWARD -i lo -j ACCEPT | ||
| + | -A FW-FORWARD -p icmp --icmp-type any -j ACCEPT | ||
| + | |||
| + | |||
| + | # Запретим сильно хитрых | ||
| + | #-A FW-FORWARD -s 192.168.0.0/16 -i wan1 -j REJECT | ||
| + | #-A FW-FORWARD -s 10.0.0.0/8 -i wan1 -j REJECT | ||
| + | |||
| + | # Маршрутизация внутри сети | ||
| + | -A FW-FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT | ||
| + | |||
| + | # IPTV | ||
| + | #-A FW-FORWARD -p igmp -i wan2 -j ACCEPT | ||
| + | #-A FW-FORWARD -p igmp -i lan1 -j ACCEPT | ||
| + | #-A FW-FORWARD -d 224.0.0.0/4 -j ACCEPT | ||
| + | #-A FW-FORWARD -s 224.0.0.0/4 -j ACCEPT | ||
| + | #-A FW-FORWARD -s 192.168.1.5 -j ACCEPT | ||
| + | |||
| + | |||
| + | #-A FW-FORWARD -i lan1 -m udp -p udp --dport 32800:32900 -j FW-WOT | ||
| + | # Word of Tanks servers | ||
| + | #-A FW-WOT -d 92.223.19.0/24 -j ACCEPT | ||
| + | #-A FW-WOT -d 92.223.8.0/24 -j ACCEPT | ||
| + | #-A FW-WOT -d 92.223.1.0/24 -j ACCEPT | ||
| + | #... | ||
| + | |||
| + | # RDP | ||
| + | #-A FW-FORWARD -i wan1 -d 192.168.15.30 -p tcp -m tcp --dport 3389 -j ACCEPT | ||
| + | |||
| + | |||
| + | COMMIT | ||
| + | |||
| + | *nat | ||
| + | :PREROUTING ACCEPT [0:0] | ||
| + | |||
| + | #Перебросим на прокси | ||
| + | #-A PREROUTING -s 192.168.1.128/25 ! -d 192.168.0.0/16 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128 | ||
| + | |||
| + | |||
| + | # Открытые внутренние ресурсы | ||
| + | # RDP 2 | ||
| + | #-A PREROUTING -i wan1 -p tcp -s 82.200.122.192 --dport 3389 -j DNAT --to-destination 192.168.15.30 | ||
| + | |||
| + | |||
| + | |||
| + | :POSTROUTING ACCEPT [0:0] | ||
| + | # Маркированные как 2 - на Интернет2 и т.д. | ||
| + | #-A POSTROUTING -s 192.168.15.0/24 -o wan1 -m mark --mark 1 -j MASQUERADE | ||
| + | #-A POSTROUTING -s 192.168.15.0/24 -o wan2 -m mark --mark 2 -j MASQUERADE | ||
| + | #-A POSTROUTING -o wan2 -j SNAT --to-source 10.61.110.149 | ||
| + | #-A POSTROUTING -o tun0 -j MASQUERADE | ||
| + | |||
| + | -A POSTROUTING -s 192.168.1.0/24 -o wan1 -j MASQUERADE | ||
| + | |||
| + | |||
| + | # ------------------------------------------------------------------------- | ||
| + | COMMIT | ||
Версия 04:28, 8 февраля 2016
Установка Centos (мой дополняемый вариант:)
После установки выключаем selinux!!! (ну... как-то так :) в файле /etc/sysconfig/selinux:
SELINUX=disabled
reboot rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm или rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm yum repolist yum install mc bind-utils man traceroute iptraf tcpdump
eсho NOZEROCONF=yes >> /etc/sysconfig/network echo NETWORKING_IPV6=no >> /etc/sysconfig/network echo net.ipv6.conf.all.disable_ipv6 = 1 >> /etc/sysctl.conf service network restart sysctl -p
Отключение по кнопке питания
yum install -y acpid /etc/init.d/acpid start
Пример файла /etc/sysconfig/iptables:
- mangle
- --set-mark 0 - маршрутизируем
- --set-mark 1 - натим как Интернет 1
- --set-mark 2 - натим как Интернет 2
- Исходящие пакеты натим на Интернет 1
- -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark 0x1
- Исходящие пакеты натим на Интернет 2
- -A PREROUTING -s 192.168.1.5 -j MARK --set-mark 0x2
- По mac'у
- -A PREROUTING -m mac --mac-source 1c:bb:a8:06:77:cb -j MARK --set-mark 0x2
- По другим признакам
- -A PREROUTING -s 192.168.1.7 -m udp -p udp --dport 123 -j MARK --set-mark 0x1
- IPTV (добавим к TTL 2)
- -A PREROUTING -d 224.0.0.0/4 -p udp -j TTL --ttl-inc 1
- -A PREROUTING -d 224.0.0.0/4 -j MARK --set-mark 0x1
COMMIT
- --------------------------------------------
- filter
- INPUT DROP [0:0]
- FORWARD DROP [0:0]
- OUTPUT ACCEPT [0:0]
- FW-INPUT - [0:0]
- FW-FORWARD - [0:0]
- FW-WOT - [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -j FW-INPUT -A INPUT -j FW-FORWARD -A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -j FW-FORWARD -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -j REJECT --reject-with icmp-host-prohibited
- -------------------------------------------------------------
- --- Локальные подключения INPUT
-A FW-INPUT -i lo -j ACCEPT -A FW-INPUT -p icmp --icmp-type any -j ACCEPT
- DNS
-A FW-INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A FW-INPUT -p udp -m udp --dport 53 -j ACCEPT
- zabbix
- -A FW-INPUT -m tcp -p tcp -s 95.170.158.203 --dport 10050 -j ACCEPT
- Samba для внутренней сети
- -A FW-INPUT -m tcp -p tcp -m multiport -i eth0 --dports 135,139,445 -j ACCEPT
- -A FW-INPUT -m udp -p udp -m multiport -i eth0 --dports 137,138 -j ACCEPT
- WWW
- -A FW-INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
-A FW-INPUT -p tcp -m tcp --dport 25 -j ACCEPT
- ftp
- -A FW-INPUT -p tcp -m tcp --dport 21 -j ACCEPT
- ntp для внутренней сети
-A FW-INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 123 -j ACCEPT -A FW-INPUT -p udp -m udp -s 192.168.1.0/24 --dport 123 -j ACCEPT
- openvpn
-A FW-INPUT -m udp -p udp --dport 1194 -j ACCEPT
- -------------------------------------------------------------------------
- --- Маршрутизация FORWARD - То, что нужно маршрутизировать
- в FW-INPUT прописывать НЕ надо!
-A FW-FORWARD -i lo -j ACCEPT -A FW-FORWARD -p icmp --icmp-type any -j ACCEPT
- Запретим сильно хитрых
- -A FW-FORWARD -s 192.168.0.0/16 -i wan1 -j REJECT
- -A FW-FORWARD -s 10.0.0.0/8 -i wan1 -j REJECT
- Маршрутизация внутри сети
-A FW-FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT
- IPTV
- -A FW-FORWARD -p igmp -i wan2 -j ACCEPT
- -A FW-FORWARD -p igmp -i lan1 -j ACCEPT
- -A FW-FORWARD -d 224.0.0.0/4 -j ACCEPT
- -A FW-FORWARD -s 224.0.0.0/4 -j ACCEPT
- -A FW-FORWARD -s 192.168.1.5 -j ACCEPT
- -A FW-FORWARD -i lan1 -m udp -p udp --dport 32800:32900 -j FW-WOT
- Word of Tanks servers
- -A FW-WOT -d 92.223.19.0/24 -j ACCEPT
- -A FW-WOT -d 92.223.8.0/24 -j ACCEPT
- -A FW-WOT -d 92.223.1.0/24 -j ACCEPT
- ...
- RDP
- -A FW-FORWARD -i wan1 -d 192.168.15.30 -p tcp -m tcp --dport 3389 -j ACCEPT
COMMIT
- nat
- PREROUTING ACCEPT [0:0]
- Перебросим на прокси
- -A PREROUTING -s 192.168.1.128/25 ! -d 192.168.0.0/16 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128
- Открытые внутренние ресурсы
- RDP 2
- -A PREROUTING -i wan1 -p tcp -s 82.200.122.192 --dport 3389 -j DNAT --to-destination 192.168.15.30
- POSTROUTING ACCEPT [0:0]
- Маркированные как 2 - на Интернет2 и т.д.
- -A POSTROUTING -s 192.168.15.0/24 -o wan1 -m mark --mark 1 -j MASQUERADE
- -A POSTROUTING -s 192.168.15.0/24 -o wan2 -m mark --mark 2 -j MASQUERADE
- -A POSTROUTING -o wan2 -j SNAT --to-source 10.61.110.149
- -A POSTROUTING -o tun0 -j MASQUERADE
-A POSTROUTING -s 192.168.1.0/24 -o wan1 -j MASQUERADE
- -------------------------------------------------------------------------
COMMIT
