Установка CentOS

Материал из База знаний
Перейти к: навигация, поиск

Установка Centos (мой дополняемый вариант:)

После установки выключаем selinux!!! (ну... как-то так :) в файле /etc/sysconfig/selinux: 

SELINUX=disabled

reboot

rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/i386/epel-release-6-8.noarch.rpm
или rpm -Uvh http://dl.fedoraproject.org/pub/epel/6/x86_64/epel-release-6-8.noarch.rpm
yum repolist 
yum install mc bind-utils man traceroute iptraf tcpdump

eсho NOZEROCONF=yes >> /etc/sysconfig/network
echo NETWORKING_IPV6=no >> /etc/sysconfig/network
echo net.ipv6.conf.all.disable_ipv6 = 1 >> /etc/sysctl.conf
service network restart
sysctl -p

Отключение по кнопке питания 

yum install -y acpid
/etc/init.d/acpid start

Пример файла /etc/sysconfig/iptables:

  • mangle
  1. --set-mark 0 - маршрутизируем
  2. --set-mark 1 - натим как Интернет 1
  3. --set-mark 2 - натим как Интернет 2


  1. Исходящие пакеты натим на Интернет 1
  2. -A PREROUTING -s 192.168.1.0/24 -j MARK --set-mark 0x1
  3. Исходящие пакеты натим на Интернет 2
  4. -A PREROUTING -s 192.168.1.5 -j MARK --set-mark 0x2
  5. По mac'у
  6. -A PREROUTING -m mac --mac-source 1c:bb:a8:06:77:cb -j MARK --set-mark 0x2
  7. По другим признакам
  8. -A PREROUTING -s 192.168.1.7 -m udp -p udp --dport 123 -j MARK --set-mark 0x1
  1. IPTV (добавим к TTL 2)
  2. -A PREROUTING -d 224.0.0.0/4 -p udp -j TTL --ttl-inc 1
  3. -A PREROUTING -d 224.0.0.0/4 -j MARK --set-mark 0x1

COMMIT

  1. --------------------------------------------
  • filter
INPUT DROP [0:0]
FORWARD DROP [0:0]
OUTPUT ACCEPT [0:0]
FW-INPUT - [0:0]
FW-FORWARD - [0:0]
FW-WOT - [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT -A INPUT -j FW-INPUT -A INPUT -j FW-FORWARD -A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT -A FORWARD -j FW-FORWARD -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu -A FORWARD -j REJECT --reject-with icmp-host-prohibited

  1. -------------------------------------------------------------
  1. --- Локальные подключения INPUT

-A FW-INPUT -i lo -j ACCEPT -A FW-INPUT -p icmp --icmp-type any -j ACCEPT

  1. DNS

-A FW-INPUT -p tcp -m tcp --dport 53 -j ACCEPT -A FW-INPUT -p udp -m udp --dport 53 -j ACCEPT

  1. zabbix
  2. -A FW-INPUT -m tcp -p tcp -s 95.170.158.203 --dport 10050 -j ACCEPT
  1. Samba для внутренней сети
  2. -A FW-INPUT -m tcp -p tcp -m multiport -i eth0 --dports 135,139,445 -j ACCEPT
  3. -A FW-INPUT -m udp -p udp -m multiport -i eth0 --dports 137,138 -j ACCEPT
  1. WWW
  2. -A FW-INPUT -p tcp -m tcp -m multiport --dports 80,443 -j ACCEPT
  1. mail

-A FW-INPUT -p tcp -m tcp --dport 25 -j ACCEPT

  1. ftp
  2. -A FW-INPUT -p tcp -m tcp --dport 21 -j ACCEPT
  1. ntp для внутренней сети

-A FW-INPUT -p tcp -m tcp -s 192.168.1.0/24 --dport 123 -j ACCEPT -A FW-INPUT -p udp -m udp -s 192.168.1.0/24 --dport 123 -j ACCEPT

  1. openvpn

-A FW-INPUT -m udp -p udp --dport 1194 -j ACCEPT

  1. -------------------------------------------------------------------------


  1. --- Маршрутизация FORWARD - То, что нужно маршрутизировать
  2. в FW-INPUT прописывать НЕ надо!

-A FW-FORWARD -i lo -j ACCEPT -A FW-FORWARD -p icmp --icmp-type any -j ACCEPT


  1. Запретим сильно хитрых
  2. -A FW-FORWARD -s 192.168.0.0/16 -i wan1 -j REJECT
  3. -A FW-FORWARD -s 10.0.0.0/8 -i wan1 -j REJECT
  1. Маршрутизация внутри сети

-A FW-FORWARD -s 192.168.0.0/16 -d 192.168.0.0/16 -j ACCEPT

  1. IPTV
  2. -A FW-FORWARD -p igmp -i wan2 -j ACCEPT
  3. -A FW-FORWARD -p igmp -i lan1 -j ACCEPT
  4. -A FW-FORWARD -d 224.0.0.0/4 -j ACCEPT
  5. -A FW-FORWARD -s 224.0.0.0/4 -j ACCEPT
  6. -A FW-FORWARD -s 192.168.1.5 -j ACCEPT


  1. -A FW-FORWARD -i lan1 -m udp -p udp --dport 32800:32900 -j FW-WOT
  2. Word of Tanks servers
  3. -A FW-WOT -d 92.223.19.0/24 -j ACCEPT
  4. -A FW-WOT -d 92.223.8.0/24 -j ACCEPT
  5. -A FW-WOT -d 92.223.1.0/24 -j ACCEPT
  6. ...
  1. RDP
  2. -A FW-FORWARD -i wan1 -d 192.168.15.30 -p tcp -m tcp --dport 3389 -j ACCEPT


COMMIT

  • nat
PREROUTING ACCEPT [0:0]
  1. Перебросим на прокси
  2. -A PREROUTING -s 192.168.1.128/25 ! -d 192.168.0.0/16 -p tcp -m multiport --dports 80 -j REDIRECT --to-ports 3128


  1. Открытые внутренние ресурсы
  2. RDP 2
  3. -A PREROUTING -i wan1 -p tcp -s 82.200.122.192 --dport 3389 -j DNAT --to-destination 192.168.15.30


POSTROUTING ACCEPT [0:0]
  1. Маркированные как 2 - на Интернет2 и т.д.
  2. -A POSTROUTING -s 192.168.15.0/24 -o wan1 -m mark --mark 1 -j MASQUERADE
  3. -A POSTROUTING -s 192.168.15.0/24 -o wan2 -m mark --mark 2 -j MASQUERADE
  4. -A POSTROUTING -o wan2 -j SNAT --to-source 10.61.110.149
  5. -A POSTROUTING -o tun0 -j MASQUERADE

-A POSTROUTING -s 192.168.1.0/24 -o wan1 -j MASQUERADE


  1. -------------------------------------------------------------------------

COMMIT

Источник — «https://wiki.mna.tom.ru/index.php?title=Установка_CentOS&oldid=126»