Later
Ctrl + ↑
Ubuntu, xL2TP
Конфиги для настройки подключения интернет соединения для провайдера Билайн. В интернете описания подобных настроек достаточно много, но почему то они у меня не работают! Почитав около 20 постов на 5 разных форумах Я составил картину которая как раз и заработала.
———-/etc/xl2tpd/xl2tpd.conf
[global]
access control = yes
debug avp = yes
debug network = yes
debug state = yes
debug tunnel = yes
[lac beeline] ;в место beeline можно написать что угодно
lns = tp.internet.beeline.ru ;вместо tp.internet.beeline.ru написать адрес сервера
redial = yes
redial timeout = 5
require chap = yes
require authentication = no
name = ЛОГИН@internet.beeline.ru ;здесь пишем свой логин для доступа в интернет
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require pap = no
autodial = yes
———-/etc/ppp/options.xl2tpd
unit 0
remotename l2tp
ipparam beeline
connect /bin/true
mru 1460
mtu 1460
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
noauth
defaultroute
replacedefaultroute
name ЛОГИН@internet.beeline.ru ;снова пишем совой логин для доступа в интернет
———-/etc/ppp/chap-secrets
ЛОГИН l2tp ПАРОЛЬ
———прописываем маршруты
sudo route add -host 10.255.255.243 gw ВЫШ_ШЛЮЗ ;узнаём IP tp.internet.beeline.ru (с помощью host tp.internet.beeline.ru)
sudo route add -host 194.186.60.107 gw ВАШ_ШЛЮЗ ;DNS 1
sudo route add -host 194.186.60.108 gw ВАШ_ШЛЮЗ ;DNS 2
Что бы узнать ДНС сервера используйте команду cat /etc/resolv.conf (nameserver это они и есть), а шлюз route | grep eth0 (шлюз ищите во втором столбце)
———лог где можно посмотреть, что происходит во время конекта
/var/log/messages
—что бы соединение устанавливалось при старте системы запишите в /etc/network/interfaces
up xl2tpd restart
———основные команды команды
sudo /etc/init.d/xl2tpd stop
sudo /etc/init.d/xl2tpd start
sudo /etc/init.d/xl2tpd restart
———-/etc/xl2tpd/xl2tpd.conf
[global]
access control = yes
debug avp = yes
debug network = yes
debug state = yes
debug tunnel = yes
[lac beeline] ;в место beeline можно написать что угодно
lns = tp.internet.beeline.ru ;вместо tp.internet.beeline.ru написать адрес сервера
redial = yes
redial timeout = 5
require chap = yes
require authentication = no
name = ЛОГИН@internet.beeline.ru ;здесь пишем свой логин для доступа в интернет
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
require pap = no
autodial = yes
———-/etc/ppp/options.xl2tpd
unit 0
remotename l2tp
ipparam beeline
connect /bin/true
mru 1460
mtu 1460
nodeflate
nobsdcomp
persist
maxfail 0
nopcomp
noaccomp
noauth
defaultroute
replacedefaultroute
name ЛОГИН@internet.beeline.ru ;снова пишем совой логин для доступа в интернет
———-/etc/ppp/chap-secrets
ЛОГИН l2tp ПАРОЛЬ
———прописываем маршруты
sudo route add -host 10.255.255.243 gw ВЫШ_ШЛЮЗ ;узнаём IP tp.internet.beeline.ru (с помощью host tp.internet.beeline.ru)
sudo route add -host 194.186.60.107 gw ВАШ_ШЛЮЗ ;DNS 1
sudo route add -host 194.186.60.108 gw ВАШ_ШЛЮЗ ;DNS 2
Что бы узнать ДНС сервера используйте команду cat /etc/resolv.conf (nameserver это они и есть), а шлюз route | grep eth0 (шлюз ищите во втором столбце)
———лог где можно посмотреть, что происходит во время конекта
/var/log/messages
—что бы соединение устанавливалось при старте системы запишите в /etc/network/interfaces
up xl2tpd restart
———основные команды команды
sudo /etc/init.d/xl2tpd stop
sudo /etc/init.d/xl2tpd start
sudo /etc/init.d/xl2tpd restart
cron
Программа-демон, предназначенная для выполнения заданий в определенное время, или через определенные промежутки времени.
Для редактирования заданий используется утилита crontab.
Листинг
Нельзя изменять файл расписания, просто открыв его в текстовом редакторе. Для его редактирования необходимо использовать команду crontab -e.
Простой пример файла расписания. Создание снимка экрана каждый час:
SHELL=/bin/bash
MAILTO=username
0 0-23 * * * scrot
Основные настройки
Выбор среды для исполняемых задач:
SHELL=/bin/bash
Имя пользователя, которому будет послано сообщение о выполнении задания:
MAILTO=username
Вместо имени, также можно использовать электронный адрес:
[email protected]
Не обязательные настройки
Задаем каталог пользователя:
HOME=
Задаем каталоги исполняемых фалов:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
Прописываем дисплей, если запускаемый по крону скрипт должен выводить сообщение в области уведомлений:
DISPLAY=:0.0
Выбор времени выполнения задания
Время запуска представляется в таком виде:
минута час день_месяца месяц день_недели команда Значение Диапазон Дополнительно
минуты 0-59
часы 0-23
дни месяца 1-31
месяцы 1-12 можно задавать и в 3-х буквенном варианте
дни недели 0-6 можно задавать и в 3-х буквенном варианте (0=воскресенье)
Символ ‘*’ подразумевает – любое значение.
Минимальное время 1-а минута. Это связано с тем что cron каждую минуту просматривает список заданий, и ищет которые нужно выполнить. Дни недели и месяца в трех буквенном варианте:
sun mon tue wed thu fri sat
jan feb mar apr may jun jul aug sep oct nov dec
Дополнительные переменные cronПеременная Описание Эквивалент
@reboot Запуск при загрузке
@yearly Раз в год 0 0 1 1 *
@annually Тоже что и @yearly
@monthly Раз в месяц 0 0 1 * *
@weekly Раз в неделю 0 0 * * 0
@daily Раз в день 0 0 * * *
@midnight В полночь (00:00)
@hourly Каждый час 0 * * * *
Управление при помощи crontab
Добавление файла расписания:
crontab имя_файла_расписания
Вывести содержимое текущего файла расписания:
crontab -l
Удаление текущего файла расписания:
crontab -r
Редактирование текущего файла расписания (при первом запуске будет выведен список поддерживаемых текстовых редакторов):
crontab -e
Этот ключ позволяет выполнять вышеописанные действия для конкретного пользователя:
-u username
Примеры
Каждую минуту:
* * * * *
Каждый час, с использованием переменных cron:
@daily ~/script.sh
Каждый день в 03:15 запускать скрипт:
15 3 * * * ~/script.sh
Каждый понедельник:
0 0 * * 1
Каждый четный час:
* */2 * *
Тоже что и выше, но расписанное полностью:
* 0,2,4,6,8,10,12,14,16,18,20,22 *
Новый год :
59 23 31 dec *
Каждый будний день в 22:00:
0 22 * * 1-5
Запуск программы с графической оболочкой (GUI); каждую минуту будет отображается сообщение с текстом «It work!»:
0-59 * * * * DISPLAY=:0 gdialog --msgbox “It work!” 25 20 > /dev/null
* где DISPLAY=:0 – номер монитора
Для редактирования заданий используется утилита crontab.
Листинг
Нельзя изменять файл расписания, просто открыв его в текстовом редакторе. Для его редактирования необходимо использовать команду crontab -e.
Простой пример файла расписания. Создание снимка экрана каждый час:
SHELL=/bin/bash
MAILTO=username
0 0-23 * * * scrot
Основные настройки
Выбор среды для исполняемых задач:
SHELL=/bin/bash
Имя пользователя, которому будет послано сообщение о выполнении задания:
MAILTO=username
Вместо имени, также можно использовать электронный адрес:
[email protected]
Не обязательные настройки
Задаем каталог пользователя:
HOME=
Задаем каталоги исполняемых фалов:
PATH=/sbin:/bin:/usr/sbin:/usr/bin
Прописываем дисплей, если запускаемый по крону скрипт должен выводить сообщение в области уведомлений:
DISPLAY=:0.0
Выбор времени выполнения задания
Время запуска представляется в таком виде:
минута час день_месяца месяц день_недели команда Значение Диапазон Дополнительно
минуты 0-59
часы 0-23
дни месяца 1-31
месяцы 1-12 можно задавать и в 3-х буквенном варианте
дни недели 0-6 можно задавать и в 3-х буквенном варианте (0=воскресенье)
Символ ‘*’ подразумевает – любое значение.
Минимальное время 1-а минута. Это связано с тем что cron каждую минуту просматривает список заданий, и ищет которые нужно выполнить. Дни недели и месяца в трех буквенном варианте:
sun mon tue wed thu fri sat
jan feb mar apr may jun jul aug sep oct nov dec
Дополнительные переменные cronПеременная Описание Эквивалент
@reboot Запуск при загрузке
@yearly Раз в год 0 0 1 1 *
@annually Тоже что и @yearly
@monthly Раз в месяц 0 0 1 * *
@weekly Раз в неделю 0 0 * * 0
@daily Раз в день 0 0 * * *
@midnight В полночь (00:00)
@hourly Каждый час 0 * * * *
Управление при помощи crontab
Добавление файла расписания:
crontab имя_файла_расписания
Вывести содержимое текущего файла расписания:
crontab -l
Удаление текущего файла расписания:
crontab -r
Редактирование текущего файла расписания (при первом запуске будет выведен список поддерживаемых текстовых редакторов):
crontab -e
Этот ключ позволяет выполнять вышеописанные действия для конкретного пользователя:
-u username
Примеры
Каждую минуту:
* * * * *
Каждый час, с использованием переменных cron:
@daily ~/script.sh
Каждый день в 03:15 запускать скрипт:
15 3 * * * ~/script.sh
Каждый понедельник:
0 0 * * 1
Каждый четный час:
* */2 * *
Тоже что и выше, но расписанное полностью:
* 0,2,4,6,8,10,12,14,16,18,20,22 *
Новый год :
59 23 31 dec *
Каждый будний день в 22:00:
0 22 * * 1-5
Запуск программы с графической оболочкой (GUI); каждую минуту будет отображается сообщение с текстом «It work!»:
0-59 * * * * DISPLAY=:0 gdialog --msgbox “It work!” 25 20 > /dev/null
* где DISPLAY=:0 – номер монитора
Cron в Ubuntu. + bash-cкрипт резервного копирования.
Ubuntu, Системное администрирование
Tagged Under : bash, Ubuntu, Скрипты
Иногда системным администраторам, программистам, web-дизайнерам и много кому ещё нужно запускать одни и те же команды или скрипт с некоторой периодичностью. Для таких целей используется специальная утилита Cron, встроенная во все дистрибутивы Unix. Пользоваться Cron’ом необычайно легко. Сейчас расскажу как.
Для начала создадим какой-нибудь простой bash-скрипт, например скрип резервного копирования и архивирования конфигурационных файлов, в моём случае конфигурационных файлов Apache2 и ftp-сервера.
#!/bin/bash
mkdir /home/user/bash-scripts/backup
cp /etc/apache2/apache2.conf /home/user/bash-scripts/backup/apache2.conf-backup
cp /etc/apache2/sites-available/site /home/user/bash-scripts/backup/site-backup
cp /etc/proftpd/proftpd.conf /home/user/bash-scripts/backup/proftpd.conf-backup
tar cvvzf “/home/user/bash-scripts/backup-`date +%F-%X`.tar.gz” /home/user/bash-scripts/backup/
rm -r /home/user/bash-scripts/backup
Этот скрипт копирует конфигурационные файлы и архивирует их в папку, в названии которой присутствует дата и время сохранения. Назовём его ‘backup-script‘ а лежать он у нас будет в домашнем каталоге (/home/user/). Теперь нам надо чтобы этот скрипт запускался, ну допустим, каждые 10 минут. Для этого введём команду
crontab -e
Этой командой мы открываем для редактирования файл crontab для данного пользователя, в моём случае это user. Если нашему скрипту нужны права супер пользователя, то нужно редактировать crontab суперпользователя. Делается это командой
sudo crontab -u root -e
Ну и если заменить root а логин другого пользователя, мы будем редактировать его crontab.
Сразу напишу, чтобы посмотреть файл crontab введите команду.
crontab -l
Файл crontab имеет следующую структуру:
поле1 поле2 поле3 поле4 поле5 команда
Значения первых пяти полей:
1.минуты— число от 0 до 59
2.часы — число от 0 до 23
3.день месяца — число от 1 до 31
4.номер месяца в году — число от 1 до 12
5.день недели — число от 0 до 7 (0-Вс,1-Пн,2-Вт,3-Ср,4-Чт,5-Пт,6-Сб,7-Вс)
Все поля обязательны для заполнения. Не сложно догадаться что первые 5 отвечают за определения периодичности запуска команды, а последняя собственно команда или полный путь к скрипту. Таким образом, чтобы запустить наш скрипт резервного копирования раз в 10 минут надо вписать следующую строчку.
*/10 * * * * /home/user/backup-script
* – значит все возможные варианты, / служит для определения периодичности выполнения задания. Если нужно будет выполнять скрипт раз в 3 часа впишите в значения часы */3 а в минуты просто *, если раз в сутки — впишите */23, ну почти сутки. Так же в одно поле можно вводить несколько значений через запятую, например если хотите выполнять скрипт 1ого, 5ого, и 25ог числа каждого месяца введите 1,5,25 вместо третей звёздочки. Ещё можно вводить промежуток времени, если ,допустим, в часы ввести 12-17 то скрипт будет выполняться с 12 до 17 включительно раз в час.
Ну вот и всё, в заключение пару примеров:
0 */3 * * 2,5 /home/user/backup-script
#Каждые три часа только по вторникам и пятницам
15 */3 * * * /home/user/backup-script
#Каждые три часа в 15 минут
45 15 * * 1 /home/user/backup-script
#По понедельникам в 15:45
13 13 13 * 5 /home/user/backup-script
#в пяnницу 13 числа в 13 часов 13 минут
30 00 * * 0 /home/user/backup-script
#Раз в н
Tagged Under : bash, Ubuntu, Скрипты
Иногда системным администраторам, программистам, web-дизайнерам и много кому ещё нужно запускать одни и те же команды или скрипт с некоторой периодичностью. Для таких целей используется специальная утилита Cron, встроенная во все дистрибутивы Unix. Пользоваться Cron’ом необычайно легко. Сейчас расскажу как.
Для начала создадим какой-нибудь простой bash-скрипт, например скрип резервного копирования и архивирования конфигурационных файлов, в моём случае конфигурационных файлов Apache2 и ftp-сервера.
#!/bin/bash
mkdir /home/user/bash-scripts/backup
cp /etc/apache2/apache2.conf /home/user/bash-scripts/backup/apache2.conf-backup
cp /etc/apache2/sites-available/site /home/user/bash-scripts/backup/site-backup
cp /etc/proftpd/proftpd.conf /home/user/bash-scripts/backup/proftpd.conf-backup
tar cvvzf “/home/user/bash-scripts/backup-`date +%F-%X`.tar.gz” /home/user/bash-scripts/backup/
rm -r /home/user/bash-scripts/backup
Этот скрипт копирует конфигурационные файлы и архивирует их в папку, в названии которой присутствует дата и время сохранения. Назовём его ‘backup-script‘ а лежать он у нас будет в домашнем каталоге (/home/user/). Теперь нам надо чтобы этот скрипт запускался, ну допустим, каждые 10 минут. Для этого введём команду
crontab -e
Этой командой мы открываем для редактирования файл crontab для данного пользователя, в моём случае это user. Если нашему скрипту нужны права супер пользователя, то нужно редактировать crontab суперпользователя. Делается это командой
sudo crontab -u root -e
Ну и если заменить root а логин другого пользователя, мы будем редактировать его crontab.
Сразу напишу, чтобы посмотреть файл crontab введите команду.
crontab -l
Файл crontab имеет следующую структуру:
поле1 поле2 поле3 поле4 поле5 команда
Значения первых пяти полей:
1.минуты— число от 0 до 59
2.часы — число от 0 до 23
3.день месяца — число от 1 до 31
4.номер месяца в году — число от 1 до 12
5.день недели — число от 0 до 7 (0-Вс,1-Пн,2-Вт,3-Ср,4-Чт,5-Пт,6-Сб,7-Вс)
Все поля обязательны для заполнения. Не сложно догадаться что первые 5 отвечают за определения периодичности запуска команды, а последняя собственно команда или полный путь к скрипту. Таким образом, чтобы запустить наш скрипт резервного копирования раз в 10 минут надо вписать следующую строчку.
*/10 * * * * /home/user/backup-script
* – значит все возможные варианты, / служит для определения периодичности выполнения задания. Если нужно будет выполнять скрипт раз в 3 часа впишите в значения часы */3 а в минуты просто *, если раз в сутки — впишите */23, ну почти сутки. Так же в одно поле можно вводить несколько значений через запятую, например если хотите выполнять скрипт 1ого, 5ого, и 25ог числа каждого месяца введите 1,5,25 вместо третей звёздочки. Ещё можно вводить промежуток времени, если ,допустим, в часы ввести 12-17 то скрипт будет выполняться с 12 до 17 включительно раз в час.
Ну вот и всё, в заключение пару примеров:
0 */3 * * 2,5 /home/user/backup-script
#Каждые три часа только по вторникам и пятницам
15 */3 * * * /home/user/backup-script
#Каждые три часа в 15 минут
45 15 * * 1 /home/user/backup-script
#По понедельникам в 15:45
13 13 13 * 5 /home/user/backup-script
#в пяnницу 13 числа в 13 часов 13 минут
30 00 * * 0 /home/user/backup-script
#Раз в н
Удаленный рабочий стол (VNC, x11vnc). Настройка
9.10 Karmic Koala
Voyageur – 24 Июнь, 2009 – 13:30
С линуксом жизнь становится интересней, я бы даже сказал экспериментальней!
Меня потянуло на эксперименты с ssh, и то, что я получил в итоге – доступ с работы к домашнему компу – мне очень понравилось! Еще бы – классно управлять домашним компом, обновлять его и т.п. С девушкой даже с помощью festival разговаривал)))
Однако, захотелось пойти дальше, интересно, можно ли настроить удаленный доступ к рабочему столу, как позволяет это RAdmin в Windows? Можно конечно! Надо только настроить))
Покопался в интернете, нашел несколько статей про VNC – Virtual Network Computing, решил такое счастье сделать и у себя!
Для этого сначала необходимо было поставить несколько утилит:
sudo aptitude install vnc4-common vnc4server xvnc4viewer
Эти утилиты необходимы непосредственно для того, чтобы запускать удаленный сервер (vnc4server) и подключаться к нему с удаленного клиента (xvnc4viewer).
Установили! Теперь дело остается за малым: сначала нужно запустить vnc-сервер, а потом подключиться к нему.
Для запуска удаленного сервера, нужно в консоли набрать
vncserver
Если это первый запуск vncserver в системе с этой учётной записью пользователя, тогда вы должны ввести пароль, который клиенты будут использовать при подключении, после чего запустится сервер, который будет доступен на порту 5901. Кстати, при запуске сервера в консоль выведется номер дисплея (виртуального), на котором он будет доступен, отсчет ведется с 1 (так как 0 – текущий дисплей). Пример запуска:
igor@Voyageur:~$ vncserver
New ‘Voyageur:1 (igor)’ desktop is Voyageur:1
Starting applications specified in /home/igor/.vnc/xstartup
Log file is /home/igor/.vnc/Voyageur:1.log
Здесь строчка New ‘Voyageur:1 (igor)’ desktop is Voyageur:1 как раз говорит о том, что у меня компе запустился сервер на дисплее 1, доступен он на порту 5901.
Если vncserver запустить еще раз, то загрузится новый терминальный сервер :2 на порту 5902 и т.д.
Теперь попробуем зайти на этот сервер с удаленной машины. Для этого необходимо в консоли удаленного клиента ввести команду:
vncviewer __hostname__:1
В этой команде __hostname__ – это имя или ip машины, на которой запущен удаленный сервер. Далее необходимо будет ввести пароль и в результате появится приблизительно вот такое окно:
Немного не то я ожидал увидеть если честно)) Начал разбираться, и оказалось, что vncserver запускает лишь новую сессию, а не подключается к текущей, именно для этого и нужны виртуальные дисплеи. А в этой сессии запущены twm (Tab Window Manager for the X Window System) и xterm.
Между прочим это все добро запускается из скрипта ~/.vnc/xtartup, который можно редактировать, удаляя ненужные и добавляя свои строчки запуска необходимых приложений. В самом верху скрипта есть небольшой комментарий:
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
То есть, чтобы получить нормальный рабочий стол, нужно раскомментировать 2 строчки. Я их раскомментировал, но ничего хорошего из этого у меня не вышло.
Посмотрел я на этот twm, и решил, что с этим убожеством работать нельзя. Я установил fluxbox (занимает всего 6 Мб) и в скрипте xstartup заменил строчку
twm &
на
fluxbox &
В итоге у меня получилось вот так:
Нормально для работы. Но не айс! Оперу можно запустить, еще некоторые приложения, но далеко не все (приложения kde выламываются)! Пробовал я вместо fluxbox’a запустить kde, но не пошло...Играет приветствие входа в систему, но вылетает окно с крахом плазмы и все, черный экран, занавес...
В итоге я получил удаленный доступ, но не такой как хотел! Мне-то хотелось иметь доступ к текущему рабочему столу, а не к мифическому дисплею 1, на котором загружается fluxbox, но не kde.
Что делать? Надо копать еще!!!
Я поискал в репозиториях пакеты, в названии которых присутствует “vnc”, список оказался не очень большой, я начал читать комментарии к утилитам и библиотекам...В самом конце списка я увидел такую строчку:
p xvnc4viewer – Virtual network computing client software for X
Очень похоже на то, что мне нужно!
Я установил x11vnc...man у этой утилиты знатный, несколько тысяч строк)) После небольшого его изучения я более менее разобрался с процедурой запуска и назначением утилиты.
Итак, x11vnc является фактически удаленным сервером (как и vncserver), но позволяет получать доступ к уже существующей X-сессии!
На машине, к которой необходимо подключиться:
x11vnc -storepasswd
Эта команда позволит позаимствовать пароль для подключения к серверу из файла ~/.vnc/passwd (тут лежит пароль, который был задан при первом запуске vncserver). Далее непосредственно запустим x11vnc:
x11vnc -usepw -display :0
Опция -usepw задействует использования пароля при подключении к серверу, -display :0 – запускает сервер на нулевом дисплее (так, где открыта текущая X-сессия).
Теперь мы с удаленной машины можем подключиться к текущей X-сессии, выполнив
vncviewer __hostaname__:0
и введя пароль.
При закрытии окна удаленного рабочего стола, завершается и работа x11vnc (на сервере)
Таким образом, я получил то, что хотел))))
Напоследок приведу несколько опций для утилит vncserver, x11vnc и vncviewer, облегчающих траффик и жизнь))
vncserver
-kill :n – завершает работу терминального сервера на дисплее n (порту 590n), если он раньше был запущен
-geometry 800x600 – устанавливает размер создаваемого рабочего стола (по умолчанию 1024x768)
-depth depth – устанавливает глубину цвета в битах, по умолчанию 16 бит, можно изменить на 8, 15, 24
Для запуска VNC-сервера с определенным номером (дисплеем) используется команда vncserver :n
x11vnc
-q – уменьшает вывод отладочной информации в stderr
-forever – данная опция не завершает работу x11vnc-сервера, когда первый клиент отключается, а ждет следующих подключений
vncviewer
-geometry 800x600 – устанавливает размер окна, в котором будет отображаться удаленный рабочий стол. Если указанный размер меньше размера удаленного стола, то появятся полосы прокрутки
-compresslevel n – устанавливает уровень сжатия данных. Значение n варьируется от 0 до 9, 9 – наилучшее сжатие (качество, соответственно, хуже)
-quality m – влияет на качество картинки. m варьируется от 0 до 9, 0 – наихудшее качество изображения (меньше траффик)
-depth depth – если X-сервер поддерживает различные значения глубины цвета, то можно попытаться подобратьоптимальное значение (в битах)
-viewonly – опция, позволяющая подключившемуся пользователю только наблюдать за тем, что происходит на удаленной машине, средства управления (мышь, клавиатура) недоступны
P.S. Кстати, если нужно, чтобы x11vnc запускался автоматически, то для этого его нужно добавить в автозагрузку: в Настройках системы выбрать пункт Автозагрузка (на второй вкладке), там добавить скрипт
x11vnc -usepw -display :0 -q -forever &
и указать, что он должен запускаться до старта KDE!
Voyageur – 24 Июнь, 2009 – 13:30
С линуксом жизнь становится интересней, я бы даже сказал экспериментальней!
Меня потянуло на эксперименты с ssh, и то, что я получил в итоге – доступ с работы к домашнему компу – мне очень понравилось! Еще бы – классно управлять домашним компом, обновлять его и т.п. С девушкой даже с помощью festival разговаривал)))
Однако, захотелось пойти дальше, интересно, можно ли настроить удаленный доступ к рабочему столу, как позволяет это RAdmin в Windows? Можно конечно! Надо только настроить))
Покопался в интернете, нашел несколько статей про VNC – Virtual Network Computing, решил такое счастье сделать и у себя!
Для этого сначала необходимо было поставить несколько утилит:
sudo aptitude install vnc4-common vnc4server xvnc4viewer
Эти утилиты необходимы непосредственно для того, чтобы запускать удаленный сервер (vnc4server) и подключаться к нему с удаленного клиента (xvnc4viewer).
Установили! Теперь дело остается за малым: сначала нужно запустить vnc-сервер, а потом подключиться к нему.
Для запуска удаленного сервера, нужно в консоли набрать
vncserver
Если это первый запуск vncserver в системе с этой учётной записью пользователя, тогда вы должны ввести пароль, который клиенты будут использовать при подключении, после чего запустится сервер, который будет доступен на порту 5901. Кстати, при запуске сервера в консоль выведется номер дисплея (виртуального), на котором он будет доступен, отсчет ведется с 1 (так как 0 – текущий дисплей). Пример запуска:
igor@Voyageur:~$ vncserver
New ‘Voyageur:1 (igor)’ desktop is Voyageur:1
Starting applications specified in /home/igor/.vnc/xstartup
Log file is /home/igor/.vnc/Voyageur:1.log
Здесь строчка New ‘Voyageur:1 (igor)’ desktop is Voyageur:1 как раз говорит о том, что у меня компе запустился сервер на дисплее 1, доступен он на порту 5901.
Если vncserver запустить еще раз, то загрузится новый терминальный сервер :2 на порту 5902 и т.д.
Теперь попробуем зайти на этот сервер с удаленной машины. Для этого необходимо в консоли удаленного клиента ввести команду:
vncviewer __hostname__:1
В этой команде __hostname__ – это имя или ip машины, на которой запущен удаленный сервер. Далее необходимо будет ввести пароль и в результате появится приблизительно вот такое окно:
Немного не то я ожидал увидеть если честно)) Начал разбираться, и оказалось, что vncserver запускает лишь новую сессию, а не подключается к текущей, именно для этого и нужны виртуальные дисплеи. А в этой сессии запущены twm (Tab Window Manager for the X Window System) и xterm.
Между прочим это все добро запускается из скрипта ~/.vnc/xtartup, который можно редактировать, удаляя ненужные и добавляя свои строчки запуска необходимых приложений. В самом верху скрипта есть небольшой комментарий:
# Uncomment the following two lines for normal desktop:
# unset SESSION_MANAGER
# exec /etc/X11/xinit/xinitrc
То есть, чтобы получить нормальный рабочий стол, нужно раскомментировать 2 строчки. Я их раскомментировал, но ничего хорошего из этого у меня не вышло.
Посмотрел я на этот twm, и решил, что с этим убожеством работать нельзя. Я установил fluxbox (занимает всего 6 Мб) и в скрипте xstartup заменил строчку
twm &
на
fluxbox &
В итоге у меня получилось вот так:
Нормально для работы. Но не айс! Оперу можно запустить, еще некоторые приложения, но далеко не все (приложения kde выламываются)! Пробовал я вместо fluxbox’a запустить kde, но не пошло...Играет приветствие входа в систему, но вылетает окно с крахом плазмы и все, черный экран, занавес...
В итоге я получил удаленный доступ, но не такой как хотел! Мне-то хотелось иметь доступ к текущему рабочему столу, а не к мифическому дисплею 1, на котором загружается fluxbox, но не kde.
Что делать? Надо копать еще!!!
Я поискал в репозиториях пакеты, в названии которых присутствует “vnc”, список оказался не очень большой, я начал читать комментарии к утилитам и библиотекам...В самом конце списка я увидел такую строчку:
p xvnc4viewer – Virtual network computing client software for X
Очень похоже на то, что мне нужно!
Я установил x11vnc...man у этой утилиты знатный, несколько тысяч строк)) После небольшого его изучения я более менее разобрался с процедурой запуска и назначением утилиты.
Итак, x11vnc является фактически удаленным сервером (как и vncserver), но позволяет получать доступ к уже существующей X-сессии!
На машине, к которой необходимо подключиться:
x11vnc -storepasswd
Эта команда позволит позаимствовать пароль для подключения к серверу из файла ~/.vnc/passwd (тут лежит пароль, который был задан при первом запуске vncserver). Далее непосредственно запустим x11vnc:
x11vnc -usepw -display :0
Опция -usepw задействует использования пароля при подключении к серверу, -display :0 – запускает сервер на нулевом дисплее (так, где открыта текущая X-сессия).
Теперь мы с удаленной машины можем подключиться к текущей X-сессии, выполнив
vncviewer __hostaname__:0
и введя пароль.
При закрытии окна удаленного рабочего стола, завершается и работа x11vnc (на сервере)
Таким образом, я получил то, что хотел))))
Напоследок приведу несколько опций для утилит vncserver, x11vnc и vncviewer, облегчающих траффик и жизнь))
vncserver
-kill :n – завершает работу терминального сервера на дисплее n (порту 590n), если он раньше был запущен
-geometry 800x600 – устанавливает размер создаваемого рабочего стола (по умолчанию 1024x768)
-depth depth – устанавливает глубину цвета в битах, по умолчанию 16 бит, можно изменить на 8, 15, 24
Для запуска VNC-сервера с определенным номером (дисплеем) используется команда vncserver :n
x11vnc
-q – уменьшает вывод отладочной информации в stderr
-forever – данная опция не завершает работу x11vnc-сервера, когда первый клиент отключается, а ждет следующих подключений
vncviewer
-geometry 800x600 – устанавливает размер окна, в котором будет отображаться удаленный рабочий стол. Если указанный размер меньше размера удаленного стола, то появятся полосы прокрутки
-compresslevel n – устанавливает уровень сжатия данных. Значение n варьируется от 0 до 9, 9 – наилучшее сжатие (качество, соответственно, хуже)
-quality m – влияет на качество картинки. m варьируется от 0 до 9, 0 – наихудшее качество изображения (меньше траффик)
-depth depth – если X-сервер поддерживает различные значения глубины цвета, то можно попытаться подобратьоптимальное значение (в битах)
-viewonly – опция, позволяющая подключившемуся пользователю только наблюдать за тем, что происходит на удаленной машине, средства управления (мышь, клавиатура) недоступны
P.S. Кстати, если нужно, чтобы x11vnc запускался автоматически, то для этого его нужно добавить в автозагрузку: в Настройках системы выбрать пункт Автозагрузка (на второй вкладке), там добавить скрипт
x11vnc -usepw -display :0 -q -forever &
и указать, что он должен запускаться до старта KDE!
Управление виртуальными машинами с помощью virsh
Текстовая утилита virsh предназначена для управления гостевыми системами и гипервизором.
virsh использует libvirt API и служит альтернативой xm и графическому менеджеру виртуальных машин (virt-manager). Непривилегированные пользователи могут выполнять доступ в только в режиме чтения. С помощью virsh можно исполнять сценарии для виртуальных машин.
Обзор команд virsh
Приведенные ниже таблицы содержат перечень основных параметров командной строки virsh. Команда Description
help Краткая справка.
list Просмотр всех виртуальных машин.
dumpxml Вывести файл конфигурации XML для заданной виртуальной машины.
create Создать виртуальную машину из файла конфигурации XML и ее запуск.
start Запустить неактивную виртуальную машину.
destroy Принудительно остановить работу виртуальной машины.
define Определяет файл конфигурации XML для заданной виртуальной машины.
domid Просмотр идентификатора виртуальной машины.
domuuid Просмотр UUID виртуальной машины.
dominfo Просмотр сведений о виртуальной машине.
domname Просмотр имени виртуальной машины.
domstate Просмотр состояния виртуальной машины.
quit Закрыть интерактивный терминал.
reboot Перезагрузить виртуальную машину.
restore Восстановить сохраненную в файле виртуальную машину.
resume Возобновить работу приостановленной виртуальной машины.
save Сохранить состояние виртуальной машины в файл.
shutdown Корректно завершить работу виртуальной машины.
suspend Приостановить работу виртуальной машины.
undefine Удалить все файлы виртуальной машины.
migrate Перенести виртуальную машину на другой узел.
Таблица 15.1. Команды управления виртуальными машинами
Для управления ресурсами виртуальной машины и гипервизора используются следующие команды virsh: Команда Description
setmem Определяет размер выделенной виртуальной машине памяти.
setmaxmem Ограничивает максимально доступный гипервизору объем памяти.
setvcpus Изменяет число предоставленных гостю виртуальных процессоров.
vcpuinfo Просмотр информации о виртуальных процессорах.
vcpupin Настройка соответствий виртуальных процессоров.
domblkstat Просмотр статистики блочных устройств для работающей виртуальной машины.
domifstat Просмотр статистики сетевых интерфейсов для работающей виртуальной машины.
attach-device Подключить определенное в XML-файле устройство к гостю.
attach-disk Подключить новое дисковое устройство к гостю
attach-interface Подключить новый сетевой интерфейс к гостю
detach-device Отключить устройство от гостя (принимает те же определения XML, что и attach-device).
detach-disk Отключить дисковое устройство от гостя.
detach-interface Отключить сетевой интерфейс от гостя.
Таблица 15.2. Параметры управления ресурсами
Другие команды virsh: Команда Description
version Просмотр версии virsh.
nodeinfo Просмотр информации о гипервизоре.
Таблица 15.3. Другие команды
Подключение к гипервизору
Подключение к сессии гипервизора с помощью virsh :
# virsh connect {hostname OR URL}
Where <name> is the machine name of the hypervisor. To initiate a read-only connection, append the above command with -readonly.
Создание XML-файла конфигурации виртуальной машины
Выведите файл конфигурации виртуальной машины:
# virsh dumpxml {domain-id, domain-name or domain-uuid}
This command outputs the guest’s XML configuration file to standard out (stdout). You can save the data by piping the output to a file. An example of piping the output to a file called guest.xml:
# virsh dumpxml GuestID > guest.xml
This file guest.xml can recreate the guest (refer to Редактирование файла конфигурации виртуальной машины. You can edit this XML configuration file to configure additional devices or to deploy additional guests. Refer to Раздел 18.1, «Использование файлов конфигурации с помощью virsh» for more information on modifying files created with virsh dumpxml.
Пример вывода virsh dumpxml:
# virsh dumpxml r5b2-mySQL01
<domain type=’xen’ id=’13’>
<name>r5b2-mySQL01</name>
<uuid>4a4c59a7ee3fc78196e4288f2862f011</uuid>
<bootloader>/usr/bin/pygrub</bootloader>
<os>
<type>linux</type>
<kernel>/var/lib/libvirt/vmlinuz.2dgnU_</kernel>
<initrd>/var/lib/libvirt/initrd.UQafMw</initrd>
<cmdline>ro root=/dev/VolGroup00/LogVol00 rhgb quiet</cmdline>
</os>
<memory>512000</memory>
<vcpu>1</vcpu>
<on_poweroff>destroy</on_poweroff>
<on_reboot>restart</on_reboot>
<on_crash>restart</on_crash>
<devices>
<interface type=’bridge’>
<source bridge=’xenbr0’/>
<mac address=’00:16:3e:49:1d:11’/>
<script path=’vif-bridge’/>
</interface>
<graphics type=’vnc’ port=’5900’/>
<console tty=’/dev/pts/4’/>
</devices>
</domain>
Создание виртуальной машины на основе файла конфигурации
Guests can be created from XML configuration files. You can copy existing XML from previously created guests or use the dumpxml option (refer to Создание XML-файла конфигурации виртуальной машины). To create a guest with virsh from an XML file:
# virsh create configuration_file.xml
Редактирование файла конфигурации виртуальной машины
Instead of using the dumpxml option (refer to Создание XML-файла конфигурации виртуальной машины) guests can be edited either while they run or while they are offline. The virsh edit command provides this functionality. For example, to edit the guest named softwaretesting:
# virsh edit softwaretesting
Откроется окно текстового редактора, заданного переменной оболочки $EDITOR (по умолчанию используется vi).
Приостановка виртуальной машины
Команда приостановки виртуальной машины с помощью virsh:
# virsh suspend {domain-id, domain-name or domain-uuid}
When a guest is in a suspended state, it consumes system RAM but not processor resources. Disk and network I/O does not occur while the guest is suspended. This operation is immediate and the guest can be restarted with the resume (Возобновление работы виртуальной машины) option.
Возобновление работы виртуальной машины
Возобновить работу приостановленной виртуальной машины можно с помощью параметра resume команды virsh:
# virsh resume {domain-id, domain-name or domain-uuid}
Работа машины будет возобновлена немедленно. Параметры будут сохраняться между циклами suspend и resume.
Сохранение виртуальной машины
Команда сохранения текущего состояния виртуальной машины:
# virsh save {domain-name, domain-id or domain-uuid} filename
This stops the guest you specify and saves the data to a file, which may take some time given the amount of memory in use by your guest. You can restore the state of the guest with the restore (Восстановление виртуальной машины) option. Save is similar to pause, instead of just pausing a guest the present state of the guest is saved.
Восстановление виртуальной машины
Restore a guest previously saved with the virsh save command (Сохранение виртуальной машины) using virsh:
# virsh restore filename
Сохраненная машина будет восстановлена из файла и перезапущена, что может занять некоторое время. Имя и идентификатор UUID виртуальной машины останутся неизменными, но будет предоставлен новый идентификатор домена.
Завершение работы виртуальной машины
Команда завершения работы:
# virsh shutdown {domain-id, domain-name or domain-uuid}
Поведение выключаемого гостя можно контролировать с помощью параметра on_shutdown в его файле конфигурации.
Перезагрузка виртуальной машины
Команда перезагрузки:
#virsh reboot {domain-id, domain-name or domain-uuid}
Поведение перезагружаемого гостя можно контролировать с помощью параметра on_reboot в его файле конфигурации.
Принудительная остановка виртуальной машины
Команда принудительной остановки:
# virsh destroy {domain-id, domain-name or domain-uuid}
This command does an immediate ungraceful shutdown and stops the specified guest. Using virsh destroy can corrupt guest file systems . Use the destroy option only when the guest is unresponsive. For para-virtualized guests, use the shutdown option(Завершение работы виртуальной машины) instead.
Определение идентификатора домена
Команда определения идентификатора домена виртуальной машины:
# virsh domid {domain-name or domain-uuid}
Определение имени домена
Команда определения имени домена виртуальной машины:
# virsh domname {domain-id or domain-uuid}
Определение UUID
Команда определения универсального идентификатора UUID виртуальной машины:
# virsh domuuid {domain-id or domain-name}
Пример вывода virsh domuuid:
# virsh domuuid r5b2-mySQL01
4a4c59a7-ee3f-c781-96e4-288f2862f011
Получение информации о виртуальной машине
Команда для получения информации:
# virsh dominfo {domain-id, domain-name or domain-uuid}
Пример вывода virsh dominfo:
# virsh dominfo r5b2-mySQL01
id: 13
name: r5b2-mysql01
uuid: 4a4c59a7-ee3f-c781-96e4-288f2862f011
os type: linux
state: blocked
cpu(s): 1
cpu time: 11.0s
max memory: 512000 kb
used memory: 512000 kb
Получение информации об узле
Команда получения информации об узле:
# virsh nodeinfo
Пример вывода virsh nodeinfo:
# virsh nodeinfo
CPU model x86_64
CPU (s) 8
CPU frequency 2895 Mhz
CPU socket(s) 2
Core(s) per socket 2
Threads per core: 2
Numa cell(s) 1
Memory size: 1046528 kb
Вывод содержит информацию об узле и машинах, поддерживающих виртуализацию.
Просмотр списка виртуальных машин
Команда для просмотра списка виртуальных машин и их состояния:
# virsh list
Можно добавить аргументы:
inactive покажет список неактивных доменов (неактивным считается тот домен, который был определен, но в настоящий момент не является активным).
--all покажет все виртуальные машины независимо от их состояния. Пример:
# virsh list --all
Id Name State
--------------------------------
0 Domain-0 running
1 Domain202 paused
2 Domain010 inactive
3 Domain9600 crashed
Столбец «Status» может содержать следующие значения:
running — работающие виртуальные машины, то есть те машины, которые используют ресурсы процессора в момент выполнения команды.
blocked — заблокированные, неработающие машины. Такой статус может быть вызван ожиданием ввода/вывода или пребыванием машины в спящем режиме.
paused — приостановленные домены. В это состояние они переходят, если администратор нажал кнопку паузы в окне менеджера виртуальных машин или выполнил команду xm pause или virsh suspend. В приостановленном состоянии гость продолжает потреблять ресурсы, но не может занимать больше процессорных ресурсов.
shutdown — виртуальные машины, завершающие свою работу. При получении виртуальной машиной сигнала завершения работы, она начнет завершать все процессы. Стоит отметить, что некоторые операционные системы не отвечают на такие сигналы.
dying — сбойные домены и домены, которые не смогли корректно завершить свою работу.
crashed — сбойные домены, работа которых была прервана. В этом состоянии домены находятся, если не была настроена их перезагрузка в случае сбоя.
Получение информации о виртуальных процессорах
Команда получения информации о виртуальных процессорах:
# virsh vcpuinfo {domain-id, domain-name or domain-uuid}
Пример вывода:
# virsh vcpuinfo r5b2-mySQL01
VCPU: 0
CPU: 0
State: blocked
CPU time: 0.0s
CPU Affinity: yy
Настройка соответствий виртуальных процессоров
Команда сопоставления виртуальных процессоров физическим:
# virsh vcpupin {domain-id, domain-name or domain-uuid} vcpu, cpulist
Здесь vcpu — номер виртуального процессора, а список_cpu — сопоставляемые ему физические процессоры.
Изменение числа виртуальных процессоров
Команда изменения числа процессоров для домена:
# virsh setvcpus {domain-name, domain-id or domain-uuid} count
Обратите внимание, что заданное число не может превышать значение, определенное при создании гостя.
Изменение выделенного объема памяти
Команда изменения выделенного виртуальной машине объема памяти:
# virsh setmem {domain-id or domain-name} count
Объем памяти, определяемый заданным числом, должен быть указан в килобайтах. Обратите внимание, что объем не может превышать значение, определенное при создании виртуальной машины, но в то же время не должен быть меньше 64 мегабайт. Изменение максимального объема памяти может оказать влияние на функциональность гостя только в том случае, если указанный размер меньше исходного. В таком случае использование памяти будет ограничено.
Получение информации о блочных устройствах
Команда для получения информации о блочных устройствах работающей виртуальной машины:
# virsh domblkstat GuestName block-device
Получение информации о сетевых устройствах
Команда для получения информации о сетевых интерфейсах работающей виртуальной машины:
# virsh domifstat GuestName interface-device
Миграция виртуальных машин
virsh позволяет переносить виртуальные машины с одного узла на другой. Для выполнения живой миграции просто нужно указать параметрlive. Команда переноса выглядит так:
# virsh migrate --live GuestName DestinationURL
Параметр --live не является обязательным.
The GuestName parameter represents the name of the guest which you want to migrate.
The DestinationURL parameter is the URL or hostname of the destination system. The destination system must run the same version of Fedora, be using the same hypervisor and have libvirt running.
Once the command is entered you will be prompted for the root password of the destination system.
Управление виртуальными сетями
В этой секции будет рассмотрены управляющие команды virsh. Например, команда просмотра списка виртуальных сетей выглядит так:
# virsh net-list
Пример вывода этой команды:
# virsh net-list
Name State Autostart
---------------------------------------
default active yes
vnet1 active yes
vnet2 active yes
Просмотр информации для заданной виртуальной сети:
# virsh net-dumpxml NetworkName
Пример вывода этой команды (в формате XML):
# virsh net-dumpxml vnet1
<network>
<name>vnet1</name>
<uuid>98361b46-1581-acb7-1643-85a412626e70</uuid>
<forward dev=’eth0’/>
<bridge name=’vnet0’ stp=’on’ forwardDelay=’0’ />
<ip address=’192.168.100.1’ netmask=’255.255.255.0’>
<dhcp>
<range start=’192.168.100.128’ end=’192.168.100.254’ />
</dhcp>
</ip>
</network>
Другие команды управления виртуальными сетями:
virsh net-autostart имя_сети — автоматический запуск заданной сети.
virsh net-create файл_XML — создание и запуск новой сети на основе существующего XML-файла.
virsh net-define файл_XML — создание нового сетевого устройства на основе существующего XML-файла. Устройство не будет запущено.
virsh net-destroy имя_сети — удаление заданной сети.
virsh net-name UUID_сети — преобразование заданного идентификатора в имя сети.
virsh net-uuid имя_сети — преобразование заданного имени в идентификатор UUID.
virsh net-start имя_неактивной_сети — запуск неактивной сети.
virsh net-undefine имя_неактивной_сети — удаление определения неактивной сети.
virsh использует libvirt API и служит альтернативой xm и графическому менеджеру виртуальных машин (virt-manager). Непривилегированные пользователи могут выполнять доступ в только в режиме чтения. С помощью virsh можно исполнять сценарии для виртуальных машин.
Обзор команд virsh
Приведенные ниже таблицы содержат перечень основных параметров командной строки virsh. Команда Description
help Краткая справка.
list Просмотр всех виртуальных машин.
dumpxml Вывести файл конфигурации XML для заданной виртуальной машины.
create Создать виртуальную машину из файла конфигурации XML и ее запуск.
start Запустить неактивную виртуальную машину.
destroy Принудительно остановить работу виртуальной машины.
define Определяет файл конфигурации XML для заданной виртуальной машины.
domid Просмотр идентификатора виртуальной машины.
domuuid Просмотр UUID виртуальной машины.
dominfo Просмотр сведений о виртуальной машине.
domname Просмотр имени виртуальной машины.
domstate Просмотр состояния виртуальной машины.
quit Закрыть интерактивный терминал.
reboot Перезагрузить виртуальную машину.
restore Восстановить сохраненную в файле виртуальную машину.
resume Возобновить работу приостановленной виртуальной машины.
save Сохранить состояние виртуальной машины в файл.
shutdown Корректно завершить работу виртуальной машины.
suspend Приостановить работу виртуальной машины.
undefine Удалить все файлы виртуальной машины.
migrate Перенести виртуальную машину на другой узел.
Таблица 15.1. Команды управления виртуальными машинами
Для управления ресурсами виртуальной машины и гипервизора используются следующие команды virsh: Команда Description
setmem Определяет размер выделенной виртуальной машине памяти.
setmaxmem Ограничивает максимально доступный гипервизору объем памяти.
setvcpus Изменяет число предоставленных гостю виртуальных процессоров.
vcpuinfo Просмотр информации о виртуальных процессорах.
vcpupin Настройка соответствий виртуальных процессоров.
domblkstat Просмотр статистики блочных устройств для работающей виртуальной машины.
domifstat Просмотр статистики сетевых интерфейсов для работающей виртуальной машины.
attach-device Подключить определенное в XML-файле устройство к гостю.
attach-disk Подключить новое дисковое устройство к гостю
attach-interface Подключить новый сетевой интерфейс к гостю
detach-device Отключить устройство от гостя (принимает те же определения XML, что и attach-device).
detach-disk Отключить дисковое устройство от гостя.
detach-interface Отключить сетевой интерфейс от гостя.
Таблица 15.2. Параметры управления ресурсами
Другие команды virsh: Команда Description
version Просмотр версии virsh.
nodeinfo Просмотр информации о гипервизоре.
Таблица 15.3. Другие команды
Подключение к гипервизору
Подключение к сессии гипервизора с помощью virsh :
# virsh connect {hostname OR URL}
Where <name> is the machine name of the hypervisor. To initiate a read-only connection, append the above command with -readonly.
Создание XML-файла конфигурации виртуальной машины
Выведите файл конфигурации виртуальной машины:
# virsh dumpxml {domain-id, domain-name or domain-uuid}
This command outputs the guest’s XML configuration file to standard out (stdout). You can save the data by piping the output to a file. An example of piping the output to a file called guest.xml:
# virsh dumpxml GuestID > guest.xml
This file guest.xml can recreate the guest (refer to Редактирование файла конфигурации виртуальной машины. You can edit this XML configuration file to configure additional devices or to deploy additional guests. Refer to Раздел 18.1, «Использование файлов конфигурации с помощью virsh» for more information on modifying files created with virsh dumpxml.
Пример вывода virsh dumpxml:
# virsh dumpxml r5b2-mySQL01
<domain type=’xen’ id=’13’>
<name>r5b2-mySQL01</name>
<uuid>4a4c59a7ee3fc78196e4288f2862f011</uuid>
<bootloader>/usr/bin/pygrub</bootloader>
<os>
<type>linux</type>
<kernel>/var/lib/libvirt/vmlinuz.2dgnU_</kernel>
<initrd>/var/lib/libvirt/initrd.UQafMw</initrd>
<cmdline>ro root=/dev/VolGroup00/LogVol00 rhgb quiet</cmdline>
</os>
<memory>512000</memory>
<vcpu>1</vcpu>
<on_poweroff>destroy</on_poweroff>
<on_reboot>restart</on_reboot>
<on_crash>restart</on_crash>
<devices>
<interface type=’bridge’>
<source bridge=’xenbr0’/>
<mac address=’00:16:3e:49:1d:11’/>
<script path=’vif-bridge’/>
</interface>
<graphics type=’vnc’ port=’5900’/>
<console tty=’/dev/pts/4’/>
</devices>
</domain>
Создание виртуальной машины на основе файла конфигурации
Guests can be created from XML configuration files. You can copy existing XML from previously created guests or use the dumpxml option (refer to Создание XML-файла конфигурации виртуальной машины). To create a guest with virsh from an XML file:
# virsh create configuration_file.xml
Редактирование файла конфигурации виртуальной машины
Instead of using the dumpxml option (refer to Создание XML-файла конфигурации виртуальной машины) guests can be edited either while they run or while they are offline. The virsh edit command provides this functionality. For example, to edit the guest named softwaretesting:
# virsh edit softwaretesting
Откроется окно текстового редактора, заданного переменной оболочки $EDITOR (по умолчанию используется vi).
Приостановка виртуальной машины
Команда приостановки виртуальной машины с помощью virsh:
# virsh suspend {domain-id, domain-name or domain-uuid}
When a guest is in a suspended state, it consumes system RAM but not processor resources. Disk and network I/O does not occur while the guest is suspended. This operation is immediate and the guest can be restarted with the resume (Возобновление работы виртуальной машины) option.
Возобновление работы виртуальной машины
Возобновить работу приостановленной виртуальной машины можно с помощью параметра resume команды virsh:
# virsh resume {domain-id, domain-name or domain-uuid}
Работа машины будет возобновлена немедленно. Параметры будут сохраняться между циклами suspend и resume.
Сохранение виртуальной машины
Команда сохранения текущего состояния виртуальной машины:
# virsh save {domain-name, domain-id or domain-uuid} filename
This stops the guest you specify and saves the data to a file, which may take some time given the amount of memory in use by your guest. You can restore the state of the guest with the restore (Восстановление виртуальной машины) option. Save is similar to pause, instead of just pausing a guest the present state of the guest is saved.
Восстановление виртуальной машины
Restore a guest previously saved with the virsh save command (Сохранение виртуальной машины) using virsh:
# virsh restore filename
Сохраненная машина будет восстановлена из файла и перезапущена, что может занять некоторое время. Имя и идентификатор UUID виртуальной машины останутся неизменными, но будет предоставлен новый идентификатор домена.
Завершение работы виртуальной машины
Команда завершения работы:
# virsh shutdown {domain-id, domain-name or domain-uuid}
Поведение выключаемого гостя можно контролировать с помощью параметра on_shutdown в его файле конфигурации.
Перезагрузка виртуальной машины
Команда перезагрузки:
#virsh reboot {domain-id, domain-name or domain-uuid}
Поведение перезагружаемого гостя можно контролировать с помощью параметра on_reboot в его файле конфигурации.
Принудительная остановка виртуальной машины
Команда принудительной остановки:
# virsh destroy {domain-id, domain-name or domain-uuid}
This command does an immediate ungraceful shutdown and stops the specified guest. Using virsh destroy can corrupt guest file systems . Use the destroy option only when the guest is unresponsive. For para-virtualized guests, use the shutdown option(Завершение работы виртуальной машины) instead.
Определение идентификатора домена
Команда определения идентификатора домена виртуальной машины:
# virsh domid {domain-name or domain-uuid}
Определение имени домена
Команда определения имени домена виртуальной машины:
# virsh domname {domain-id or domain-uuid}
Определение UUID
Команда определения универсального идентификатора UUID виртуальной машины:
# virsh domuuid {domain-id or domain-name}
Пример вывода virsh domuuid:
# virsh domuuid r5b2-mySQL01
4a4c59a7-ee3f-c781-96e4-288f2862f011
Получение информации о виртуальной машине
Команда для получения информации:
# virsh dominfo {domain-id, domain-name or domain-uuid}
Пример вывода virsh dominfo:
# virsh dominfo r5b2-mySQL01
id: 13
name: r5b2-mysql01
uuid: 4a4c59a7-ee3f-c781-96e4-288f2862f011
os type: linux
state: blocked
cpu(s): 1
cpu time: 11.0s
max memory: 512000 kb
used memory: 512000 kb
Получение информации об узле
Команда получения информации об узле:
# virsh nodeinfo
Пример вывода virsh nodeinfo:
# virsh nodeinfo
CPU model x86_64
CPU (s) 8
CPU frequency 2895 Mhz
CPU socket(s) 2
Core(s) per socket 2
Threads per core: 2
Numa cell(s) 1
Memory size: 1046528 kb
Вывод содержит информацию об узле и машинах, поддерживающих виртуализацию.
Просмотр списка виртуальных машин
Команда для просмотра списка виртуальных машин и их состояния:
# virsh list
Можно добавить аргументы:
--all покажет все виртуальные машины независимо от их состояния. Пример:
# virsh list --all
Id Name State
--------------------------------
0 Domain-0 running
1 Domain202 paused
2 Domain010 inactive
3 Domain9600 crashed
Столбец «Status» может содержать следующие значения:
running — работающие виртуальные машины, то есть те машины, которые используют ресурсы процессора в момент выполнения команды.
blocked — заблокированные, неработающие машины. Такой статус может быть вызван ожиданием ввода/вывода или пребыванием машины в спящем режиме.
paused — приостановленные домены. В это состояние они переходят, если администратор нажал кнопку паузы в окне менеджера виртуальных машин или выполнил команду xm pause или virsh suspend. В приостановленном состоянии гость продолжает потреблять ресурсы, но не может занимать больше процессорных ресурсов.
shutdown — виртуальные машины, завершающие свою работу. При получении виртуальной машиной сигнала завершения работы, она начнет завершать все процессы. Стоит отметить, что некоторые операционные системы не отвечают на такие сигналы.
dying — сбойные домены и домены, которые не смогли корректно завершить свою работу.
crashed — сбойные домены, работа которых была прервана. В этом состоянии домены находятся, если не была настроена их перезагрузка в случае сбоя.
Получение информации о виртуальных процессорах
Команда получения информации о виртуальных процессорах:
# virsh vcpuinfo {domain-id, domain-name or domain-uuid}
Пример вывода:
# virsh vcpuinfo r5b2-mySQL01
VCPU: 0
CPU: 0
State: blocked
CPU time: 0.0s
CPU Affinity: yy
Настройка соответствий виртуальных процессоров
Команда сопоставления виртуальных процессоров физическим:
# virsh vcpupin {domain-id, domain-name or domain-uuid} vcpu, cpulist
Здесь vcpu — номер виртуального процессора, а список_cpu — сопоставляемые ему физические процессоры.
Изменение числа виртуальных процессоров
Команда изменения числа процессоров для домена:
# virsh setvcpus {domain-name, domain-id or domain-uuid} count
Обратите внимание, что заданное число не может превышать значение, определенное при создании гостя.
Изменение выделенного объема памяти
Команда изменения выделенного виртуальной машине объема памяти:
# virsh setmem {domain-id or domain-name} count
Объем памяти, определяемый заданным числом, должен быть указан в килобайтах. Обратите внимание, что объем не может превышать значение, определенное при создании виртуальной машины, но в то же время не должен быть меньше 64 мегабайт. Изменение максимального объема памяти может оказать влияние на функциональность гостя только в том случае, если указанный размер меньше исходного. В таком случае использование памяти будет ограничено.
Получение информации о блочных устройствах
Команда для получения информации о блочных устройствах работающей виртуальной машины:
# virsh domblkstat GuestName block-device
Получение информации о сетевых устройствах
Команда для получения информации о сетевых интерфейсах работающей виртуальной машины:
# virsh domifstat GuestName interface-device
Миграция виртуальных машин
virsh позволяет переносить виртуальные машины с одного узла на другой. Для выполнения живой миграции просто нужно указать параметр
# virsh migrate --live GuestName DestinationURL
Параметр --live не является обязательным.
The GuestName parameter represents the name of the guest which you want to migrate.
The DestinationURL parameter is the URL or hostname of the destination system. The destination system must run the same version of Fedora, be using the same hypervisor and have libvirt running.
Once the command is entered you will be prompted for the root password of the destination system.
Управление виртуальными сетями
В этой секции будет рассмотрены управляющие команды virsh. Например, команда просмотра списка виртуальных сетей выглядит так:
# virsh net-list
Пример вывода этой команды:
# virsh net-list
Name State Autostart
---------------------------------------
default active yes
vnet1 active yes
vnet2 active yes
Просмотр информации для заданной виртуальной сети:
# virsh net-dumpxml NetworkName
Пример вывода этой команды (в формате XML):
# virsh net-dumpxml vnet1
<network>
<name>vnet1</name>
<uuid>98361b46-1581-acb7-1643-85a412626e70</uuid>
<forward dev=’eth0’/>
<bridge name=’vnet0’ stp=’on’ forwardDelay=’0’ />
<ip address=’192.168.100.1’ netmask=’255.255.255.0’>
<dhcp>
<range start=’192.168.100.128’ end=’192.168.100.254’ />
</dhcp>
</ip>
</network>
Другие команды управления виртуальными сетями:
virsh net-autostart имя_сети — автоматический запуск заданной сети.
virsh net-create файл_XML — создание и запуск новой сети на основе существующего XML-файла.
virsh net-define файл_XML — создание нового сетевого устройства на основе существующего XML-файла. Устройство не будет запущено.
virsh net-destroy имя_сети — удаление заданной сети.
virsh net-name UUID_сети — преобразование заданного идентификатора в имя сети.
virsh net-uuid имя_сети — преобразование заданного имени в идентификатор UUID.
virsh net-start имя_неактивной_сети — запуск неактивной сети.
virsh net-undefine имя_неактивной_сети — удаление определения неактивной сети.
Обновление Ubuntu server 11.04 до 11.10
Только что была выпущена новая Ubuntu 11.10 (Natty Narwhal). Это руководство показывает, как можно обновить Ubuntu 11.04 серверных установок до Ubuntu 11.10.
Убедитесь, что Вы вошли в систему с правами root:sudo su
Затем запустите:apt-get update
и установить пакет update-manager-core (менеджер-обновления-ядра):apt-get install update-manager-core
Откройте файл /etc/update-manager/release-upgrades ...nano /etc/update-manager/release-upgrades
... и убедитесь, что в нем имеется Prompt=normal:
[...]
Prompt=normal
Затем запустите:do-release-upgrade
... чтобы началось обновление:
root@server1:~# do-release-upgrade
Checking for a new ubuntu release
Get:1 Upgrade tool signature [198 B]
Get:2 Upgrade tool [1164 kB]
Fetched 1164 kB in 0s (0 B/s)
extracting ‘oneiric.tar.gz’
authenticate ‘oneiric.tar.gz’ against ‘oneiric.tar.gz.gpg’
Reading cache
Checking package manager
Continue running under SSH?
This session appears to be running under ssh. It is not recommended
to perform a upgrade over ssh currently because in case of failure it
is harder to recover.
If you continue, an additional ssh daemon will be started at port
‘1022’.
Do you want to continue?
Continue [yN] – y
Starting additional sshd
To make recovery in case of failure easier, an additional sshd will
be started on port ‘1022’. If anything goes wrong with the running
ssh you can still connect to the additional one.
To continue please press [ENTER] – ENTER
Confirm that you want to do the upgrade:
Third party sources disabled
Some third party entries in your sources.list were disabled. You can
re-enable them after the upgrade with the ‘software-properties’ tool
or your package manager.
To continue please press [ENTER] – ENTER
[...]
Do you want to start the upgrade?
6 installed packages are no longer supported by Canonical. You can
still get support from the community.
5 packages are going to be removed. 88 new packages are going to be
installed. 611 packages are going to be upgraded.
You have to download a total of 392 M. This download will take about
2 minutes with your connection.
Fetching and installing the upgrade can take several hours. Once the
download has finished, the process cannot be cancelled.
Continue [yN] Details [d] – y
Во время обновления некоторых службы, возможно, потребуется перезагрузка. Если менеджер обновлений указывает Вам, какие услуги должен быть перезапущен (она отображается список услуг), оставите их по умолчанию, нажав кнопку ENTER.
В конце процесса обновления, вы должны удалить устаревшие пакеты:
Remove obsolete packages?
45 packages are going to be removed.
Continue [yN] Details [d] – y
Сервер должен быть перезагружен для завершения обновления:
System upgrade is complete.
Restart required
To finish the upgrade, a restart is required.
If you select ‘y’ the system will be restarted.
Continue [yN] – y
После перезагрузки, Ваш сервер работает под управлением Ubuntu 11.10. Надо можно увидеть взглянуть на /etc/issue:cat /etc/issue
root@server1:~# cat /etc/issue
Ubuntu 11.10 \n \l
root@server1:~#
Убедитесь, что Вы вошли в систему с правами root:sudo su
Затем запустите:apt-get update
и установить пакет update-manager-core (менеджер-обновления-ядра):apt-get install update-manager-core
Откройте файл /etc/update-manager/release-upgrades ...nano /etc/update-manager/release-upgrades
... и убедитесь, что в нем имеется Prompt=normal:
[...]
Prompt=normal
Затем запустите:do-release-upgrade
... чтобы началось обновление:
root@server1:~# do-release-upgrade
Checking for a new ubuntu release
Get:1 Upgrade tool signature [198 B]
Get:2 Upgrade tool [1164 kB]
Fetched 1164 kB in 0s (0 B/s)
extracting ‘oneiric.tar.gz’
authenticate ‘oneiric.tar.gz’ against ‘oneiric.tar.gz.gpg’
Reading cache
Checking package manager
Continue running under SSH?
This session appears to be running under ssh. It is not recommended
to perform a upgrade over ssh currently because in case of failure it
is harder to recover.
If you continue, an additional ssh daemon will be started at port
‘1022’.
Do you want to continue?
Continue [yN] – y
Starting additional sshd
To make recovery in case of failure easier, an additional sshd will
be started on port ‘1022’. If anything goes wrong with the running
ssh you can still connect to the additional one.
To continue please press [ENTER] – ENTER
Confirm that you want to do the upgrade:
Third party sources disabled
Some third party entries in your sources.list were disabled. You can
re-enable them after the upgrade with the ‘software-properties’ tool
or your package manager.
To continue please press [ENTER] – ENTER
[...]
Do you want to start the upgrade?
6 installed packages are no longer supported by Canonical. You can
still get support from the community.
5 packages are going to be removed. 88 new packages are going to be
installed. 611 packages are going to be upgraded.
You have to download a total of 392 M. This download will take about
2 minutes with your connection.
Fetching and installing the upgrade can take several hours. Once the
download has finished, the process cannot be cancelled.
Continue [yN] Details [d] – y
Во время обновления некоторых службы, возможно, потребуется перезагрузка. Если менеджер обновлений указывает Вам, какие услуги должен быть перезапущен (она отображается список услуг), оставите их по умолчанию, нажав кнопку ENTER.
В конце процесса обновления, вы должны удалить устаревшие пакеты:
Remove obsolete packages?
45 packages are going to be removed.
Continue [yN] Details [d] – y
Сервер должен быть перезагружен для завершения обновления:
System upgrade is complete.
Restart required
To finish the upgrade, a restart is required.
If you select ‘y’ the system will be restarted.
Continue [yN] – y
После перезагрузки, Ваш сервер работает под управлением Ubuntu 11.10. Надо можно увидеть взглянуть на /etc/issue:cat /etc/issue
root@server1:~# cat /etc/issue
Ubuntu 11.10 \n \l
root@server1:~#
Типичные фильтры iptables
http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-firewall-ipt-basic.html
Не пустить удалённых злоумышленников в локальную сеть — одна из самых важных задач сетевой безопасности, если не самая важная. Целостность сети должна быть защищена от удалённых злоумышленников с помощью точных правил брандмауэра. Однако, так как политика по умолчанию блокирует все входящие, исходящие и пересылаемые пакеты, брандмауэр/шлюз и пользователи локальной сети не способны установить соединение друг с другом или с внешними ресурсами. Чтобы пользователи выполняли связанные с сетью функции и использовали сетевые приложения, администраторы должны открыть определённые порты.
Например, чтобы разрешить доступ к 80 порту брандмауэра, добавьте следующее правило:iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
Это позволит просматривать веб-содержимое сайтов, работающих на порту 80. Чтобы открыть доступ к защищённым веб-сайтам (например, https://www.example.com/), вы также должны открыть порт 443.iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
Важно
При добавлении правил iptables важно помнить о том, что их порядок имеет значение. Например, если одно правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.13 (расположенного в запрещённой локальной подсети), добавленное правило не будет работать. Сначала вы должны добавить правило, пропускающее 192.168.100.13, а затем правило, блокирующее подсеть.
Чтобы вставить правило в произвольное место существующей цепочки, укажите -I, затем название этой цепочки и позицию (1,2,3,...,n), в которой должно располагаться правило. Например:iptables -I INPUT 1 -i lo -p all -j ACCEPT
Это правило, пропускающее трафик устройства замыкания на себя, оказывается в цепочке INPUT первым правилом.
Иногда вам нужно организовывать удалённый доступ к локальной сети снаружи. Для шифрования соединения с удалённой сетью могут использоваться защищённые службы, например, SSH. Администраторы сетей с PPP-ресурами (например, с модемным пулом) могут безопасно организовать модемные подключения в обход барьеров брандмауэра, так как это прямые соединения. Однако для пользователей, подключающихся из открытой внешней сети, следует принять специальные меры. Вы можете разрешить в iptables подключения удалённых клиентов SSH. Например, чтобы разрешить удалённый доступ SSH, можно использовать следующие правила:iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Вам может понадобиться определять правила и для других служб. За исчерпывающей информацией о службе iptables и её различных параметрах обратитесь к Справочному руководству по Red Hat Enterprise Linux.
Эти правила разрешают входящий и исходящий доступ отдельному компьютеру, например, компьютеру, подключённому к Интернету или шлюзу/брандмауэру. Однако они не позволяют узлам по другую сторону шлюза/брандмауэру обращаться к его службам. Чтобы открыть доступ к этим службам из внутренней сети, вы можете использовать NAT в сочетании с правилами iptables.
Не пустить удалённых злоумышленников в локальную сеть — одна из самых важных задач сетевой безопасности, если не самая важная. Целостность сети должна быть защищена от удалённых злоумышленников с помощью точных правил брандмауэра. Однако, так как политика по умолчанию блокирует все входящие, исходящие и пересылаемые пакеты, брандмауэр/шлюз и пользователи локальной сети не способны установить соединение друг с другом или с внешними ресурсами. Чтобы пользователи выполняли связанные с сетью функции и использовали сетевые приложения, администраторы должны открыть определённые порты.
Например, чтобы разрешить доступ к 80 порту брандмауэра, добавьте следующее правило:iptables -A INPUT -p tcp -m tcp --sport 80 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT
Это позволит просматривать веб-содержимое сайтов, работающих на порту 80. Чтобы открыть доступ к защищённым веб-сайтам (например, https://www.example.com/), вы также должны открыть порт 443.iptables -A INPUT -p tcp -m tcp --sport 443 -j ACCEPT
iptables -A OUTPUT -p tcp -m tcp --dport 443 -j ACCEPT
Важно
При добавлении правил iptables важно помнить о том, что их порядок имеет значение. Например, если одно правило отбрасывает все пакеты из локальной подсети 192.168.100.0/24, и добавляется (-A) ещё одно правило, пропускающее пакеты от узла 192.168.100.13 (расположенного в запрещённой локальной подсети), добавленное правило не будет работать. Сначала вы должны добавить правило, пропускающее 192.168.100.13, а затем правило, блокирующее подсеть.
Чтобы вставить правило в произвольное место существующей цепочки, укажите -I, затем название этой цепочки и позицию (1,2,3,...,n), в которой должно располагаться правило. Например:iptables -I INPUT 1 -i lo -p all -j ACCEPT
Это правило, пропускающее трафик устройства замыкания на себя, оказывается в цепочке INPUT первым правилом.
Иногда вам нужно организовывать удалённый доступ к локальной сети снаружи. Для шифрования соединения с удалённой сетью могут использоваться защищённые службы, например, SSH. Администраторы сетей с PPP-ресурами (например, с модемным пулом) могут безопасно организовать модемные подключения в обход барьеров брандмауэра, так как это прямые соединения. Однако для пользователей, подключающихся из открытой внешней сети, следует принять специальные меры. Вы можете разрешить в iptables подключения удалённых клиентов SSH. Например, чтобы разрешить удалённый доступ SSH, можно использовать следующие правила:iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
Вам может понадобиться определять правила и для других служб. За исчерпывающей информацией о службе iptables и её различных параметрах обратитесь к Справочному руководству по Red Hat Enterprise Linux.
Эти правила разрешают входящий и исходящий доступ отдельному компьютеру, например, компьютеру, подключённому к Интернету или шлюзу/брандмауэру. Однако они не позволяют узлам по другую сторону шлюза/брандмауэру обращаться к его службам. Чтобы открыть доступ к этим службам из внутренней сети, вы можете использовать NAT в сочетании с правилами iptables.
SSH туннель через PUTTY
Веб-серфинг
“C:\Program Files\PuTTY\plink.exe” -v -ssh -2 -P 22 -C -l USER -pw PASSWORD -L 8080:192.168.80.3:3128 192.168.80.3
где
-v : отображать подсказки
-ssh -2 : протокол и версия протокола
-P 22 : порт сервера
-l USER : имя пользователя на сервере (вместо USER)
-pw PASSWORD : пароль пользователя (вместо PASSWORD)
-L 3328:192.168.80.3:3128 – это параметры тунеля 3328 -локальный порт;192.168.80.3 – ip сервера;3128 – порт прокси на сервере.
-C : использовать сжатие
Настройка VPN через SSH с использованием Putty
Итак, имеем:
компьютер на базе Windows (удаленная рабочая станция, условно КЛИЕНТ);
почтовый сервер (не важно, какой именно, будь то Kerio MailServer, MDaemon или другой, условно СЕРВЕР_ПОЧТЫ в локальной сети – ну предположим, что вам надо с ним работать, а просто так локальный почтовый сервер в мир не подключен);
шлюз (прокси-сервер) в интернет с запущенным сервером SSH (например, FreeBSD или Linux, которые во многих организациях стоят как брандмауэры, условно БРАНДМАУЭР).
Задача: осуществить безопасное (шифрованное) соединение от КЛИЕНТА к СЕРВЕРУ_ПОЧТЫ по протоколу POP3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный VPN-сервер).
Решение
Т.к. по умолчанию трафик по протоколу POP3 передается открытым текстом, а мы передаем очень секретный пароль от почтового ящика, то почтовый трафик надо шифровать :) Чем мы будем его шифровать? Поднимать специальный VPN-сервер, редирект портов, настраивать сертификаты и прочее – часто не выход, т.к. это сложно даже для большинства системных администраторов, к тому же, как сказано чуть выше, нам все это надо для периодических сеансов работы, возможно, только для нас и нужных ;)
Мы будем делать соединение между КЛИЕНТОМ и СЕРВЕРОМ_ПОЧТЫ внутри шифрованного содинения по протоколу ssh.
Шаг 1.
Возьмем бесплатный клиент ssh для Windows – Putty – и установим его на КЛИЕНТА (по умолчанию, в папку “C:\Program Files\Putty”).
Шаг 2.
Далее установим зашифрованное соединение между КЛИЕНТОМ и БРАНДМАУЭРОМ так, чтобы для КЛИЕНТА работа с почтой внутри локальной сети была бы точно такой, как если бы он (клиент) был бы у себя в офисе.
У КЛИЕНТА запускаем консоль: Пуск -> выполнить -> cmd
В консоли набираем команды:
cd C:\Program Files\Putty
putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10
где “-v” – т.н. verbose режим, с расширенными комментариями, “-ssh -2” – использовать протокол ssh версии 2, “-P 22” – порт, открытый на БРАНДМАУЭРЕ для подключения по ssh, “-C” – использовать сжатие, “-l user” – имя пользователя, который имеет право входить на сервер ssh на БРАНДМАУЭРЕ, “-pw password” – пароль этого пользователя,
далее (я специально сделал отступ от предыдущего текста):
”-L 8110:192.168.1.10:110” – локальный порт, который будет доступен на компьютере КЛИЕНТА, а 192.168.1.10 – локальный ip-адрес почтового сервера внутри организации, 110 – соответственно, порт POP3 на этом сервере;
“81.222.111.10” – внешний ip-адрес БРАНДМАУЭРА, к которому и будет соединяться КЛИЕНТ по ssh с помощью putty.
После набора последней команды (putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10) откроется окно сеанса связи по протоколу ssh. Все, окно сворачиваем (не закрываем!), и настраиваем нашу почтовую программу на получение почты с адреса localhost и портом 8110, а не 110, который стоит по умолчанию.
Вроде бы все. Во время получения почты почтовая программа будет соединяться с портом 8110, который будет переадресован на удаленный почтовый сервер в офисе, при этом весь трафик соединения будет зашифрован. Завершить сеанс связи можно просто закрыв окно сеанса putty. После этого локальный порт 8110 уже не будет доступен.
Можно добавить, что похожим образом можно соединяться не только к почтовому серверу, но и к другим сервисам, например, я таким образом соединялся с RAdmin, установленным на компьютере в локальной сети, при этом никаких port-мапперов на самом шлюзе делать не надо. Вот что самое хорошее! Достаточно иметь актуальную версию сервера ssh на шлюзе и, желательно, фильтровать на брандмауэре подключения к порту 22 (ssh), например по ip-адресу, если у вас дома или где там еще подключение к интернет постоянное. Но это уже мелочи жизни и тема другой статьи.
Вообще у ssh и putty, есть ооочень много всяких разных приятностей, которые здесь не упомянуты. Надеюсь, эта статья подтолкнет вас к небольшому исседованию, начать которое очень просто: http://www.google.ru/search?complete=1&hl=ru&newwindow=1&q=ssh&lr=&aq=f.
Кроме того, упомянутые в статье программы (за исключением почтовых серверов и ОС самого клиента ;)) являются бесплатными и свободно распространяемыми, а стремление быть легальным и бесплатным – хороший стимул приглядеться к реализации подобного безопасного соединения через ssh.
И еще, конечно же, при написании этой заметки я использовал другие ресурсы для “освежения” памяти. Вот самая полезная ссылка, которая и стала финальной в моих тестовых экспериментах перед опубликованием статьи: http://wiki.kaytaz.ru/doku.php/ssh-tunnel_cherez_putty.
Примечания (составлены по итогам комментариев на 27.03.2008)
1. (isx) Если туннель простаивает некоторое время, то соединение рвется, потому стоит поменять параметры сервера: TCPKeepAlive. Увеличить LoginGraceTime, выставить ClientAliveInterval и ClientAliveCountMax. Убрать UseDns, иначе длительные ожидания при установке соединений.
2. (isx) А отчего не сделаешь все через ssl? Если не хочется возиться с почтовиком, то можно воспользоваться программой stunnel, поднимая ее на шлюзе(брандмауэре). // Stunnel (http://stunnel.mirt.net/) использует OpenSSl или SSLeavy для шифрования трафика. Используется для установления шифрованных тонелей связи между клиентом и сервером. Работает в Linux, Windows, OS/2 и прочих осях.
3. (Serg) Если человек не админ брендмауэра – могут быть проблемы. Кто-то может гарантировать, что в настройках sshd не выключен форвардинг и/или туннелирование? // Действительно, к данному решению надо подходить взвешенно и понимать, что указанный способ туннелирования действительно больше всего подходить только для админа.
Создание туннеля через Putty и ssh.
В unix системе:
ssh -L666:адрес_прокси_или_сервера:порт -n имяпользователя@адрес_ssh_сервера
В windows:
Для конфигурации туннеля с помощью PuTTY нужно в окне конфигурации подключения в категории Session указать Host Name: ваш_ssh_сервер, Port: 22, Protocol: SSH и в категории Connection/SSH/Tunnels в секции Add new forwarded port указать Source port: локальный_порт (например, 666), Destination: адрес_прокси_или_сервера:3306, выбрать пункт Local и нажать кнопку добавить. После установления соединения можно запускать интернет браузер например, указав в качестве прокси 127.0.0.1 и порт, указанный в качестве Source Port (например, 666). Вот так.
“C:\Program Files\PuTTY\plink.exe” -v -ssh -2 -P 22 -C -l USER -pw PASSWORD -L 8080:192.168.80.3:3128 192.168.80.3
где
-v : отображать подсказки
-ssh -2 : протокол и версия протокола
-P 22 : порт сервера
-l USER : имя пользователя на сервере (вместо USER)
-pw PASSWORD : пароль пользователя (вместо PASSWORD)
-L 3328:192.168.80.3:3128 – это параметры тунеля 3328 -локальный порт;192.168.80.3 – ip сервера;3128 – порт прокси на сервере.
-C : использовать сжатие
Настройка VPN через SSH с использованием Putty
Итак, имеем:
компьютер на базе Windows (удаленная рабочая станция, условно КЛИЕНТ);
почтовый сервер (не важно, какой именно, будь то Kerio MailServer, MDaemon или другой, условно СЕРВЕР_ПОЧТЫ в локальной сети – ну предположим, что вам надо с ним работать, а просто так локальный почтовый сервер в мир не подключен);
шлюз (прокси-сервер) в интернет с запущенным сервером SSH (например, FreeBSD или Linux, которые во многих организациях стоят как брандмауэры, условно БРАНДМАУЭР).
Задача: осуществить безопасное (шифрованное) соединение от КЛИЕНТА к СЕРВЕРУ_ПОЧТЫ по протоколу POP3 (получение почты, обычно порт 110). Ну и пусть нам это надо не постоянно, а иногда (иначе надо все-таки настраивать нормальный VPN-сервер).
Решение
Т.к. по умолчанию трафик по протоколу POP3 передается открытым текстом, а мы передаем очень секретный пароль от почтового ящика, то почтовый трафик надо шифровать :) Чем мы будем его шифровать? Поднимать специальный VPN-сервер, редирект портов, настраивать сертификаты и прочее – часто не выход, т.к. это сложно даже для большинства системных администраторов, к тому же, как сказано чуть выше, нам все это надо для периодических сеансов работы, возможно, только для нас и нужных ;)
Мы будем делать соединение между КЛИЕНТОМ и СЕРВЕРОМ_ПОЧТЫ внутри шифрованного содинения по протоколу ssh.
Шаг 1.
Возьмем бесплатный клиент ssh для Windows – Putty – и установим его на КЛИЕНТА (по умолчанию, в папку “C:\Program Files\Putty”).
Шаг 2.
Далее установим зашифрованное соединение между КЛИЕНТОМ и БРАНДМАУЭРОМ так, чтобы для КЛИЕНТА работа с почтой внутри локальной сети была бы точно такой, как если бы он (клиент) был бы у себя в офисе.
У КЛИЕНТА запускаем консоль: Пуск -> выполнить -> cmd
В консоли набираем команды:
cd C:\Program Files\Putty
putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10
где “-v” – т.н. verbose режим, с расширенными комментариями, “-ssh -2” – использовать протокол ssh версии 2, “-P 22” – порт, открытый на БРАНДМАУЭРЕ для подключения по ssh, “-C” – использовать сжатие, “-l user” – имя пользователя, который имеет право входить на сервер ssh на БРАНДМАУЭРЕ, “-pw password” – пароль этого пользователя,
далее (я специально сделал отступ от предыдущего текста):
”-L 8110:192.168.1.10:110” – локальный порт, который будет доступен на компьютере КЛИЕНТА, а 192.168.1.10 – локальный ip-адрес почтового сервера внутри организации, 110 – соответственно, порт POP3 на этом сервере;
“81.222.111.10” – внешний ip-адрес БРАНДМАУЭРА, к которому и будет соединяться КЛИЕНТ по ssh с помощью putty.
После набора последней команды (putty.exe -v -ssh -2 -P 22 -C -l user -pw password -L 8110:192.168.1.10:110 81.222.111.10) откроется окно сеанса связи по протоколу ssh. Все, окно сворачиваем (не закрываем!), и настраиваем нашу почтовую программу на получение почты с адреса localhost и портом 8110, а не 110, который стоит по умолчанию.
Вроде бы все. Во время получения почты почтовая программа будет соединяться с портом 8110, который будет переадресован на удаленный почтовый сервер в офисе, при этом весь трафик соединения будет зашифрован. Завершить сеанс связи можно просто закрыв окно сеанса putty. После этого локальный порт 8110 уже не будет доступен.
Можно добавить, что похожим образом можно соединяться не только к почтовому серверу, но и к другим сервисам, например, я таким образом соединялся с RAdmin, установленным на компьютере в локальной сети, при этом никаких port-мапперов на самом шлюзе делать не надо. Вот что самое хорошее! Достаточно иметь актуальную версию сервера ssh на шлюзе и, желательно, фильтровать на брандмауэре подключения к порту 22 (ssh), например по ip-адресу, если у вас дома или где там еще подключение к интернет постоянное. Но это уже мелочи жизни и тема другой статьи.
Вообще у ssh и putty, есть ооочень много всяких разных приятностей, которые здесь не упомянуты. Надеюсь, эта статья подтолкнет вас к небольшому исседованию, начать которое очень просто: http://www.google.ru/search?complete=1&hl=ru&newwindow=1&q=ssh&lr=&aq=f.
Кроме того, упомянутые в статье программы (за исключением почтовых серверов и ОС самого клиента ;)) являются бесплатными и свободно распространяемыми, а стремление быть легальным и бесплатным – хороший стимул приглядеться к реализации подобного безопасного соединения через ssh.
И еще, конечно же, при написании этой заметки я использовал другие ресурсы для “освежения” памяти. Вот самая полезная ссылка, которая и стала финальной в моих тестовых экспериментах перед опубликованием статьи: http://wiki.kaytaz.ru/doku.php/ssh-tunnel_cherez_putty.
Примечания (составлены по итогам комментариев на 27.03.2008)
1. (isx) Если туннель простаивает некоторое время, то соединение рвется, потому стоит поменять параметры сервера: TCPKeepAlive. Увеличить LoginGraceTime, выставить ClientAliveInterval и ClientAliveCountMax. Убрать UseDns, иначе длительные ожидания при установке соединений.
2. (isx) А отчего не сделаешь все через ssl? Если не хочется возиться с почтовиком, то можно воспользоваться программой stunnel, поднимая ее на шлюзе(брандмауэре). // Stunnel (http://stunnel.mirt.net/) использует OpenSSl или SSLeavy для шифрования трафика. Используется для установления шифрованных тонелей связи между клиентом и сервером. Работает в Linux, Windows, OS/2 и прочих осях.
3. (Serg) Если человек не админ брендмауэра – могут быть проблемы. Кто-то может гарантировать, что в настройках sshd не выключен форвардинг и/или туннелирование? // Действительно, к данному решению надо подходить взвешенно и понимать, что указанный способ туннелирования действительно больше всего подходить только для админа.
Создание туннеля через Putty и ssh.
В unix системе:
ssh -L666:адрес_прокси_или_сервера:порт -n имяпользователя@адрес_ssh_сервера
В windows:
Для конфигурации туннеля с помощью PuTTY нужно в окне конфигурации подключения в категории Session указать Host Name: ваш_ssh_сервер, Port: 22, Protocol: SSH и в категории Connection/SSH/Tunnels в секции Add new forwarded port указать Source port: локальный_порт (например, 666), Destination: адрес_прокси_или_сервера:3306, выбрать пункт Local и нажать кнопку добавить. После установления соединения можно запускать интернет браузер например, указав в качестве прокси 127.0.0.1 и порт, указанный в качестве Source Port (например, 666). Вот так.
Linux: 20 Iptables Examples For New SysAdmins
http://www.cyberciti.biz/tips/linux-iptables-examples.html
by Vivek Gite on December 13, 2011 · 29 comments
Linux comes with a host based firewall called Netfilter. According to the official project site:
netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.
This Linux based firewall is controlled by the program called iptables to handles filtering for IPv4, and ip6tables handles filtering for IPv6. I strongly recommend that you first read our quick tutorial that explains how to configure a host-based firewall called Netfilter (iptables) under CentOS / RHEL / Fedora / Redhat Enterprise Linux. This post list most common iptables solutions required by a new Linux user to secure his or her Linux operating system from intruders.
IPTABLES Rules Example
Most of the actions listed in this post are written with the assumption that they will be executed by the root user running the bash or any other modern shell. Do not type commands on remote system as it will disconnect your access.
For demonstration purpose I’ve used RHEL 6.x, but the following command should work with any modern Linux distro.
This is NOT a tutorial on how to set iptables. See tutorial here. It is a quick cheat sheet to common iptables commands.
#1: Displaying the Status of Your Firewall
Type the following command as root:
# iptables -L -n -v
Sample outputs:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Above output indicates that the firewall is not active. The following sample shows an active firewall:
# iptables -L -n -v
Sample outputs:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
pkts bytes target prot opt in out source destination
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
Where,
-L : List rules.
-v : Display detailed information. This option makes the list command show the interface name, the rule options, and the TOS masks. The packet and byte counters are also listed, with the suffix ‘K’, ‘M’ or ‘G’ for 1000, 1,000,000 and 1,000,000,000 multipliers respectively.
-n : Display IP address and port in numeric format. Do not use DNS to resolve names. This will speed up listing.
#1.1: To inspect firewall with line numbers, enter:
# iptables -n -L -v --line-numbers
Sample outputs:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain wanin (1 references)
num target prot opt source destination
Chain wanout (1 references)
num target prot opt source destination
You can use line numbers to delete or insert new rules into the firewall.
#1.2: To display INPUT or OUTPUT chain rules, enter:
# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
#2: Stop / Start / Restart the Firewall
If you are using CentOS / RHEL / Fedora Linux, enter:
# service iptables stop
# service iptables start
# service iptables restart
You can use the iptables command itself to stop the firewall and delete all rules:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
Where,
-F : Deleting (flushing) all the rules.
-X : Delete chain.
-t table_name : Select table (called nat or mangle) and delete/flush rules.
-P : Set the default policy (such as DROP, REJECT, or ACCEPT).
#3: Delete Firewall Rules
To display line number along with other information for existing rules, enter:
# iptables -L INPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | less
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
You will get the list of IP. Look at the number on the left, then use number to delete it. For example delete line number 4, enter:
# iptables -D INPUT 4
OR find source IP 202.54.1.1 and delete from rule:
# iptables -D INPUT -s 202.54.1.1 -j DROP
Where,
-D : Delete one or more rules from the selected chain
#4: Insert Firewall Rules
To insert one or more rules in the selected chain as the given rule number use the following syntax. First find out line numbers, enter:
# iptables -L INPUT -n --line-numbers
Sample outputs:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
To insert rule between 1 and 2, enter:
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP
To view updated rules, enter:
# iptables -L INPUT -n --line-numbers
Sample outputs:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 DROP all -- 202.54.1.2 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
#5: Save Firewall Rules
To save firewall rules under CentOS / RHEL / Fedora Linux, enter:
# service iptables save
In this example, drop an IP and save firewall rules:
# iptables -A INPUT -s 202.5.4.1 -j DROP
# service iptables save
For all other distros use the iptables-save command:
# iptables-save > /root/my.active.firewall.rules
# cat /root/my.active.firewall.rules
#6: Restore Firewall Rules
To restore firewall rules form a file called /root/my.active.firewall.rules, enter:
# iptables-restore < /root/my.active.firewall.rules
To restore firewall rules under CentOS / RHEL / Fedora Linux, enter:
# service iptables restart
#7: Set the Default Firewall Policies
To drop all traffic:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n
## you will not able to connect anywhere as all traffic is dropped #
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#7.1: Only Block Incoming Traffic
To drop all incoming / forwarded packets, but allow outgoing traffic, enter:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n
# * now ping and wget should work * #
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#8:Drop Private Network Address On Public Interface
IP spoofing is nothing but to stop the following IPv4 address ranges for private networks on your public interfaces. Packets with non-routable source addresses should be rejected using the following syntax:
# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#8.1: IPv4 Address Ranges For Private Networks (make sure you block them on public interface)
10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)
#9: Blocking an IP Address (BLOCK IP)
To block an attackers ip address called 1.2.3.4, enter:
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP
#10: Block Incoming Port Requests (BLOCK PORT)
To block all service requests on port 80, enter:
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
To block port 80 only for an ip address 1.2.3.4, enter:
# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
#11: Block Outgoing IP Address
To block outgoing traffic to a particular host or domain such as cyberciti.biz, enter:
# host -t a cyberciti.biz
Sample outputs:
cyberciti.biz has address 75.126.153.206
Note down its ip address and type the following to block all outgoing traffic to 75.126.153.206:
# iptables -A OUTPUT -d 75.126.153.206 -j DROP
You can use a subnet as follows:
# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
#11.1: Example – Block Facebook.com Domain
First, find out all ip address of facebook.com, enter:
# host -t a www.facebook.com
Sample outputs:
www.facebook.com has address 69.171.228.40
Find CIDR for 69.171.228.40, enter:
# whois 69.171.228.40 | grep CIDR
Sample outputs:
CIDR: 69.171.224.0/19
To prevent outgoing access to www.facebook.com, enter:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
You can also use domain name, enter:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP
From the iptables man page:
... specifying any name to be resolved with a remote query such as DNS (e. g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address ...
#12: Log and Drop Packets
Type the following to log and block IP spoofing on public interface called eth1
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix “IP_SPOOF A: ‘
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
By default everything is logged to /var/log/messages file.
# tail -f /var/log/messages
# grep --color ‘IP SPOOF’ /var/log/messages
#13: Log and Drop Packets with Limited Number of Log Entries
The -m limit module can limit the number of log entries created per time. This is used to prevent flooding your log file. To log and drop spoofing per 5 minutes, in bursts of at most 7 entries .
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix ‘IP_SPOOF A: ‘
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#14: Drop or Accept Traffic From Mac Address
Use the following syntax:
# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ##
# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
#15: Block or Allow ICMP Ping Request
Type the following command to block ICMP ping requests:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Ping responses can also be limited to certain networks or hosts:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
The following only accepts limited type of ICMP requests:
# ** assumed that default INPUT policy set to DROP ** ###########
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ##
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#16: Open Range of Ports
Use the following syntax to open a range of ports:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
#17: Open Range of IP Addresses
Use the following syntax to open a range of IP address:
## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ##
iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
## nat example ##
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25
#18: Established Connections and Restaring The Firewall
When you restart the iptables service it will drop established connections as it unload modules from the system under RHEL / Fedora / CentOS Linux. Edit, /etc/sysconfig/iptables-config and set IPTABLES_MODULES_UNLOAD as follows:
IPTABLES_MODULES_UNLOAD = no
#19: Help Iptables Flooding My Server Screen
Use the crit log level to send messages to a log file instead of console:
iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit
#20: Block or Open Common Ports
The following shows syntax for opening and closing common TCP and UDP ports:
Replace ACCEPT with DROP to block port:
## open port ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
## open cups (printing service) udp/tcp port 631 for LAN users ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
## allow time sync via NTP for lan users (open udp port 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT
## open tcp port 25 (smtp) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
# open dns server ports for all ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
## open http/https (Apache) server port to all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
## open tcp port 110 (pop3) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
## open tcp port 143 (imap) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
## open access to Samba file server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
## open access to proxy server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
## open access to mysql server for lan users only ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
#21: Restrict the Number of Parallel Connections To a Server Per Client IP
You can use connlimit module to put such restrictions. To allow 3 ssh connections per client host, enter:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
Set HTTP requests to 20:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Where,
--connlimit-above 3 : Match if the number of existing connections is above 3.
--connlimit-mask 24 : Group hosts using the prefix length. For IPv4, this must be a number between (including) 0 and 32.
#22: HowTO: Use iptables Like a Pro
For more information about iptables, please see the manual page by typing man iptables from the command line:
$ man iptables
You can see the help using the following syntax too:
# iptables -h
To see help with specific commands and targets, enter:
# iptables -j DROP -h
#22.1: Testing Your Firewall
Find out if ports are open or not, enter:
# netstat -tulpn
Find out if tcp port 80 open or not, enter:
# netstat -tulpn | grep :80
If port 80 is not open, start the Apache, enter:
# service httpd start
Make sure iptables allowing access to the port 80:
# iptables -L INPUT -v -n | grep 80
Otherwise open port 80 using the iptables for all users:
# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# service iptables save
Use the telnet command to see if firewall allows to connect to port 80:
$ telnet www.cyberciti.biz 80
Sample outputs:
Trying 75.126.153.206...
Connected to www.cyberciti.biz.
Escape character is ‘^]’.
^]
telnet> quit
Connection closed.
You can use nmap to probe your own server using the following syntax:
$ nmap -sS -p 80 www.cyberciti.biz
Sample outputs:
Starting Nmap 5.00 ( http://nmap.org ) at 2011-12-13 13:19 IST
Interesting ports on www.cyberciti.biz (75.126.153.206):
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds
I also recommend you install and use sniffer such as tcpdupm and ngrep to test your firewall settings.
Conclusion:
This post only list basic rules for new Linux users. You can create and build more complex rules. This requires good understanding of TCP/IP, Linux kernel tuning via sysctl.conf, and good knowledge of your own setup. Stay tuned for next topics:
Stateful packet inspection.
Using connection tracking helpers.
Network address translation.
Layer 2 filtering.
Firewall testing tools.
Dealing with VPNs, DNS, Web, Proxy, and other protocols.
by Vivek Gite on December 13, 2011 · 29 comments
Linux comes with a host based firewall called Netfilter. According to the official project site:
netfilter is a set of hooks inside the Linux kernel that allows kernel modules to register callback functions with the network stack. A registered callback function is then called back for every packet that traverses the respective hook within the network stack.
This Linux based firewall is controlled by the program called iptables to handles filtering for IPv4, and ip6tables handles filtering for IPv6. I strongly recommend that you first read our quick tutorial that explains how to configure a host-based firewall called Netfilter (iptables) under CentOS / RHEL / Fedora / Redhat Enterprise Linux. This post list most common iptables solutions required by a new Linux user to secure his or her Linux operating system from intruders.
IPTABLES Rules Example
Most of the actions listed in this post are written with the assumption that they will be executed by the root user running the bash or any other modern shell. Do not type commands on remote system as it will disconnect your access.
For demonstration purpose I’ve used RHEL 6.x, but the following command should work with any modern Linux distro.
This is NOT a tutorial on how to set iptables. See tutorial here. It is a quick cheat sheet to common iptables commands.
#1: Displaying the Status of Your Firewall
Type the following command as root:
# iptables -L -n -v
Sample outputs:
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
Above output indicates that the firewall is not active. The following sample shows an active firewall:
# iptables -L -n -v
Sample outputs:
Chain INPUT (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
394 43586 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
93 17292 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
1 142 ACCEPT all -- lo * 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT all -- br0 br0 0.0.0.0/0 0.0.0.0/0
0 0 DROP all -- * * 0.0.0.0/0 0.0.0.0/0 state INVALID
0 0 TCPMSS tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
0 0 ACCEPT all -- * * 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
0 0 wanin all -- vlan2 * 0.0.0.0/0 0.0.0.0/0
0 0 wanout all -- * vlan2 0.0.0.0/0 0.0.0.0/0
0 0 ACCEPT all -- br0 * 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT 425 packets, 113K bytes)
pkts bytes target prot opt in out source destination
Chain wanin (1 references)
pkts bytes target prot opt in out source destination
Chain wanout (1 references)
pkts bytes target prot opt in out source destination
Where,
-L : List rules.
-v : Display detailed information. This option makes the list command show the interface name, the rule options, and the TOS masks. The packet and byte counters are also listed, with the suffix ‘K’, ‘M’ or ‘G’ for 1000, 1,000,000 and 1,000,000,000 multipliers respectively.
-n : Display IP address and port in numeric format. Do not use DNS to resolve names. This will speed up listing.
#1.1: To inspect firewall with line numbers, enter:
# iptables -n -L -v --line-numbers
Sample outputs:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain FORWARD (policy DROP)
num target prot opt source destination
1 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
2 DROP all -- 0.0.0.0/0 0.0.0.0/0 state INVALID
3 TCPMSS tcp -- 0.0.0.0/0 0.0.0.0/0 tcp flags:0x06/0x02 TCPMSS clamp to PMTU
4 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state RELATED,ESTABLISHED
5 wanin all -- 0.0.0.0/0 0.0.0.0/0
6 wanout all -- 0.0.0.0/0 0.0.0.0/0
7 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain wanin (1 references)
num target prot opt source destination
Chain wanout (1 references)
num target prot opt source destination
You can use line numbers to delete or insert new rules into the firewall.
#1.2: To display INPUT or OUTPUT chain rules, enter:
# iptables -L INPUT -n -v
# iptables -L OUTPUT -n -v --line-numbers
#2: Stop / Start / Restart the Firewall
If you are using CentOS / RHEL / Fedora Linux, enter:
# service iptables stop
# service iptables start
# service iptables restart
You can use the iptables command itself to stop the firewall and delete all rules:
# iptables -F
# iptables -X
# iptables -t nat -F
# iptables -t nat -X
# iptables -t mangle -F
# iptables -t mangle -X
# iptables -P INPUT ACCEPT
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
Where,
-F : Deleting (flushing) all the rules.
-X : Delete chain.
-t table_name : Select table (called nat or mangle) and delete/flush rules.
-P : Set the default policy (such as DROP, REJECT, or ACCEPT).
#3: Delete Firewall Rules
To display line number along with other information for existing rules, enter:
# iptables -L INPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers
# iptables -L OUTPUT -n --line-numbers | less
# iptables -L OUTPUT -n --line-numbers | grep 202.54.1.1
You will get the list of IP. Look at the number on the left, then use number to delete it. For example delete line number 4, enter:
# iptables -D INPUT 4
OR find source IP 202.54.1.1 and delete from rule:
# iptables -D INPUT -s 202.54.1.1 -j DROP
Where,
-D : Delete one or more rules from the selected chain
#4: Insert Firewall Rules
To insert one or more rules in the selected chain as the given rule number use the following syntax. First find out line numbers, enter:
# iptables -L INPUT -n --line-numbers
Sample outputs:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
To insert rule between 1 and 2, enter:
# iptables -I INPUT 2 -s 202.54.1.2 -j DROP
To view updated rules, enter:
# iptables -L INPUT -n --line-numbers
Sample outputs:
Chain INPUT (policy DROP)
num target prot opt source destination
1 DROP all -- 202.54.1.1 0.0.0.0/0
2 DROP all -- 202.54.1.2 0.0.0.0/0
3 ACCEPT all -- 0.0.0.0/0 0.0.0.0/0 state NEW,ESTABLISHED
#5: Save Firewall Rules
To save firewall rules under CentOS / RHEL / Fedora Linux, enter:
# service iptables save
In this example, drop an IP and save firewall rules:
# iptables -A INPUT -s 202.5.4.1 -j DROP
# service iptables save
For all other distros use the iptables-save command:
# iptables-save > /root/my.active.firewall.rules
# cat /root/my.active.firewall.rules
#6: Restore Firewall Rules
To restore firewall rules form a file called /root/my.active.firewall.rules, enter:
# iptables-restore < /root/my.active.firewall.rules
To restore firewall rules under CentOS / RHEL / Fedora Linux, enter:
# service iptables restart
#7: Set the Default Firewall Policies
To drop all traffic:
# iptables -P INPUT DROP
# iptables -P OUTPUT DROP
# iptables -P FORWARD DROP
# iptables -L -v -n
## you will not able to connect anywhere as all traffic is dropped #
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#7.1: Only Block Incoming Traffic
To drop all incoming / forwarded packets, but allow outgoing traffic, enter:
# iptables -P INPUT DROP
# iptables -P FORWARD DROP
# iptables -P OUTPUT ACCEPT
# iptables -A INPUT -m state --state NEW,ESTABLISHED -j ACCEPT
# iptables -L -v -n
# * now ping and wget should work * #
# ping cyberciti.biz
# wget http://www.kernel.org/pub/linux/kernel/v3.0/testing/linux-3.2-rc5.tar.bz2
#8:Drop Private Network Address On Public Interface
IP spoofing is nothing but to stop the following IPv4 address ranges for private networks on your public interfaces. Packets with non-routable source addresses should be rejected using the following syntax:
# iptables -A INPUT -i eth1 -s 192.168.0.0/24 -j DROP
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#8.1: IPv4 Address Ranges For Private Networks (make sure you block them on public interface)
10.0.0.0/8 -j (A)
172.16.0.0/12 (B)
192.168.0.0/16 (C)
224.0.0.0/4 (MULTICAST D)
240.0.0.0/5 (E)
127.0.0.0/8 (LOOPBACK)
#9: Blocking an IP Address (BLOCK IP)
To block an attackers ip address called 1.2.3.4, enter:
# iptables -A INPUT -s 1.2.3.4 -j DROP
# iptables -A INPUT -s 192.168.0.0/24 -j DROP
#10: Block Incoming Port Requests (BLOCK PORT)
To block all service requests on port 80, enter:
# iptables -A INPUT -p tcp --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp --dport 80 -j DROP
To block port 80 only for an ip address 1.2.3.4, enter:
# iptables -A INPUT -p tcp -s 1.2.3.4 --dport 80 -j DROP
# iptables -A INPUT -i eth1 -p tcp -s 192.168.1.0/24 --dport 80 -j DROP
#11: Block Outgoing IP Address
To block outgoing traffic to a particular host or domain such as cyberciti.biz, enter:
# host -t a cyberciti.biz
Sample outputs:
cyberciti.biz has address 75.126.153.206
Note down its ip address and type the following to block all outgoing traffic to 75.126.153.206:
# iptables -A OUTPUT -d 75.126.153.206 -j DROP
You can use a subnet as follows:
# iptables -A OUTPUT -d 192.168.1.0/24 -j DROP
# iptables -A OUTPUT -o eth1 -d 192.168.1.0/24 -j DROP
#11.1: Example – Block Facebook.com Domain
First, find out all ip address of facebook.com, enter:
# host -t a www.facebook.com
Sample outputs:
www.facebook.com has address 69.171.228.40
Find CIDR for 69.171.228.40, enter:
# whois 69.171.228.40 | grep CIDR
Sample outputs:
CIDR: 69.171.224.0/19
To prevent outgoing access to www.facebook.com, enter:
# iptables -A OUTPUT -p tcp -d 69.171.224.0/19 -j DROP
You can also use domain name, enter:
# iptables -A OUTPUT -p tcp -d www.facebook.com -j DROP
# iptables -A OUTPUT -p tcp -d facebook.com -j DROP
From the iptables man page:
... specifying any name to be resolved with a remote query such as DNS (e. g., facebook.com is a really bad idea), a network IP address (with /mask), or a plain IP address ...
#12: Log and Drop Packets
Type the following to log and block IP spoofing on public interface called eth1
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j LOG --log-prefix “IP_SPOOF A: ‘
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
By default everything is logged to /var/log/messages file.
# tail -f /var/log/messages
# grep --color ‘IP SPOOF’ /var/log/messages
#13: Log and Drop Packets with Limited Number of Log Entries
The -m limit module can limit the number of log entries created per time. This is used to prevent flooding your log file. To log and drop spoofing per 5 minutes, in bursts of at most 7 entries .
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -m limit --limit 5/m --limit-burst 7 -j LOG --log-prefix ‘IP_SPOOF A: ‘
# iptables -A INPUT -i eth1 -s 10.0.0.0/8 -j DROP
#14: Drop or Accept Traffic From Mac Address
Use the following syntax:
# iptables -A INPUT -m mac --mac-source 00:0F:EA:91:04:08 -j DROP
## *only accept traffic for TCP port # 8080 from mac 00:0F:EA:91:04:07 * ##
# iptables -A INPUT -p tcp --destination-port 22 -m mac --mac-source 00:0F:EA:91:04:07 -j ACCEPT
#15: Block or Allow ICMP Ping Request
Type the following command to block ICMP ping requests:
# iptables -A INPUT -p icmp --icmp-type echo-request -j DROP
# iptables -A INPUT -i eth1 -p icmp --icmp-type echo-request -j DROP
Ping responses can also be limited to certain networks or hosts:
# iptables -A INPUT -s 192.168.1.0/24 -p icmp --icmp-type echo-request -j ACCEPT
The following only accepts limited type of ICMP requests:
# ** assumed that default INPUT policy set to DROP ** ###########
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT
iptables -A INPUT -p icmp --icmp-type destination-unreachable -j ACCEPT
iptables -A INPUT -p icmp --icmp-type time-exceeded -j ACCEPT
## ** all our server to respond to pings ** ##
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
#16: Open Range of Ports
Use the following syntax to open a range of ports:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 7000:7010 -j ACCEPT
#17: Open Range of IP Addresses
Use the following syntax to open a range of IP address:
## only accept connection to tcp port 80 (Apache) if ip is between 192.168.1.100 and 192.168.1.200 ##
iptables -A INPUT -p tcp --destination-port 80 -m iprange --src-range 192.168.1.100-192.168.1.200 -j ACCEPT
## nat example ##
iptables -t nat -A POSTROUTING -j SNAT --to-source 192.168.1.20-192.168.1.25
#18: Established Connections and Restaring The Firewall
When you restart the iptables service it will drop established connections as it unload modules from the system under RHEL / Fedora / CentOS Linux. Edit, /etc/sysconfig/iptables-config and set IPTABLES_MODULES_UNLOAD as follows:
IPTABLES_MODULES_UNLOAD = no
#19: Help Iptables Flooding My Server Screen
Use the crit log level to send messages to a log file instead of console:
iptables -A INPUT -s 1.2.3.4 -p tcp --destination-port 80 -j LOG --log-level crit
#20: Block or Open Common Ports
The following shows syntax for opening and closing common TCP and UDP ports:
Replace ACCEPT with DROP to block port:
## open port ssh tcp port 22 ##
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 22 -j ACCEPT
## open cups (printing service) udp/tcp port 631 for LAN users ##
iptables -A INPUT -s 192.168.1.0/24 -p udp -m udp --dport 631 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -p tcp -m tcp --dport 631 -j ACCEPT
## allow time sync via NTP for lan users (open udp port 123) ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p udp --dport 123 -j ACCEPT
## open tcp port 25 (smtp) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 25 -j ACCEPT
# open dns server ports for all ##
iptables -A INPUT -m state --state NEW -p udp --dport 53 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 53 -j ACCEPT
## open http/https (Apache) server port to all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state NEW -p tcp --dport 443 -j ACCEPT
## open tcp port 110 (pop3) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 110 -j ACCEPT
## open tcp port 143 (imap) for all ##
iptables -A INPUT -m state --state NEW -p tcp --dport 143 -j ACCEPT
## open access to Samba file server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 137 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 138 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 445 -j ACCEPT
## open access to proxy server for lan users only ##
iptables -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 3128 -j ACCEPT
## open access to mysql server for lan users only ##
iptables -I INPUT -p tcp --dport 3306 -j ACCEPT
#21: Restrict the Number of Parallel Connections To a Server Per Client IP
You can use connlimit module to put such restrictions. To allow 3 ssh connections per client host, enter:
# iptables -A INPUT -p tcp --syn --dport 22 -m connlimit --connlimit-above 3 -j REJECT
Set HTTP requests to 20:
# iptables -p tcp --syn --dport 80 -m connlimit --connlimit-above 20 --connlimit-mask 24 -j DROP
Where,
--connlimit-above 3 : Match if the number of existing connections is above 3.
--connlimit-mask 24 : Group hosts using the prefix length. For IPv4, this must be a number between (including) 0 and 32.
#22: HowTO: Use iptables Like a Pro
For more information about iptables, please see the manual page by typing man iptables from the command line:
$ man iptables
You can see the help using the following syntax too:
# iptables -h
To see help with specific commands and targets, enter:
# iptables -j DROP -h
#22.1: Testing Your Firewall
Find out if ports are open or not, enter:
# netstat -tulpn
Find out if tcp port 80 open or not, enter:
# netstat -tulpn | grep :80
If port 80 is not open, start the Apache, enter:
# service httpd start
Make sure iptables allowing access to the port 80:
# iptables -L INPUT -v -n | grep 80
Otherwise open port 80 using the iptables for all users:
# iptables -A INPUT -m state --state NEW -p tcp --dport 80 -j ACCEPT
# service iptables save
Use the telnet command to see if firewall allows to connect to port 80:
$ telnet www.cyberciti.biz 80
Sample outputs:
Trying 75.126.153.206...
Connected to www.cyberciti.biz.
Escape character is ‘^]’.
^]
telnet> quit
Connection closed.
You can use nmap to probe your own server using the following syntax:
$ nmap -sS -p 80 www.cyberciti.biz
Sample outputs:
Starting Nmap 5.00 ( http://nmap.org ) at 2011-12-13 13:19 IST
Interesting ports on www.cyberciti.biz (75.126.153.206):
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 1.00 seconds
I also recommend you install and use sniffer such as tcpdupm and ngrep to test your firewall settings.
Conclusion:
This post only list basic rules for new Linux users. You can create and build more complex rules. This requires good understanding of TCP/IP, Linux kernel tuning via sysctl.conf, and good knowledge of your own setup. Stay tuned for next topics:
Stateful packet inspection.
Using connection tracking helpers.
Network address translation.
Layer 2 filtering.
Firewall testing tools.
Dealing with VPNs, DNS, Web, Proxy, and other protocols.
Earlier
Ctrl + ↓