網站伺服器建置與管理上課補充教材
- 最新消息:
- 每週都有可能會有上機實作,要等老師檢查完畢才能夠下課!否則就不算有來上課!
- 回首頁
- 舊版進度介紹
第一次綜合練習
請分別使用 Server/Client 的帳號啟動 CentOS 7 系統,然後分別進行底下的任務:
- 針對 Server 的設定行為
- Server 的網路有兩段,一段對外一段對內。
- 針對外部的網域設定是這樣的:
- IP 設定為 172.28.100.XX/24,其中 XX 為你上課的學號尾數。
- Gateway 設定為 172.28.100.254
- DNS Server 設定為 120.114.100.1 及 168.95.1.1
- hostname 設定為 stationXX.dic.ksu
- 針對內部網域的設定是這樣的:
- 這一段網域有個 IP 是這樣的 192.168.XX.98/26,你的對內網域設定需要是這段網域的最後一個可用 IP
- 防火牆設定 (請使用 iptables 服務,不要使用 firewalld)
- 務必要啟動核心封包轉遞的功能(ip forward)
- 預設情況下,所有對本機的連線要求都是被丟棄的。
- 針對本機的設定要求是這樣的:(請盡量使用 iptables 不要使用 firewalld)
- 三條基本規則 (established, icmp, lo) 務必要放行;
- 內部網路來源 (192.168 開頭那一段) 的連線全部放行
- 針對網卡 51:52:a1:b1:c1:d1 這個網卡進行全部放行
- 只對外部網路 (172.28.100 開頭的那一段) 放行你的 sshd 服務
- 針對 http, https, ftp 全部都放行
- 針對後端主機的設定行為
- 讓 192.168 那一段內網可以透過你這部系統作為 NAT (SNAT) 伺服器
- 當用戶輸入 http://172.28.100.*:543 時,該封包會轉到伺服器本機的 port 80 (redirection)
- 當用戶端不從 192.168.*.0/24 這段來源,且連線到 789 號埠口時,會將封包轉向後端主機的 port 80
- 系統基礎保護設定
- 指定崑山計中的 CentOS 7 裡面的 os 以及 updates 作為 yum 伺服器端來源
- 設定好之後立刻全系統更新一次,之後每天深夜 2 點進行一次全系統升級的行為
- 在核心參數上面定義出使用 deadline 這一個磁碟讀寫的機制 (google 關於 grub, linux kernel, elevator, deadline 參數)
- 除了 port 22, 25 之外,先暫時關閉所有的監聽的埠口
- 讓你的 SELinux 預設保持在 Enforcing 的階段
- 簡易 FTP 服務與 SELinux 問題克服
- 請安裝 vsftpd 這個 FTP 軟體
- 這個軟體開機時會自動啟動
- 這個軟體提供的服務會給整個 Internet 的來源可以使用
- 這個服務可以讓一般用戶也能登入 FTP 取得自己家目錄的資源 (意思是,請克服 SELinux 的問題)
- 其他應用題型
- 查詢目前網路環境中,那一個 172.27.0.0/24 這一段網域的那幾個 IP (一定多於一個),
將該 IP 與主機名稱對應 (使用 pc*.live.ok 對應到正確的 172.27.0.* 這樣) 寫入主機名稱與 IP 的對應檔 (/etc/hosts) 當中
- 有一部 Linux 主機的網路狀態是這樣的:
[root@localhost ~]# ifconfig eth0
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 172.16.6.11 netmask 255.255.255.192 broadcast 172.16.6.63
inet6 fe80::5054:ff:fe85:b154 prefixlen 64 scopeid 0x20
ether 52:54:00:85:b1:54 txqueuelen 1000 (Ethernet)
RX packets 87 bytes 9991 (9.7 KiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 79 bytes 11236 (10.9 KiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0
[root@localhost ~]# route -n
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
0.0.0.0 172.16.6.254 0.0.0.0 UG 100 0 0 eth0
172.16.0.0 0.0.0.0 255.255.0.0 U 100 0 0 eth0
現在這部主機無法進行網路連線,而我們確信 gateway 伺服器是正確在運作的,該伺服器提供一個 class C 的網路服務運作範圍。
而且也沒有其他的用戶端電腦 (沒有任何 IP 衝突)。請問你該如何處理克服這個問題?
請將你的處理步驟寫入 /root/exam5b.txt 檔案中
- 承上,假設你的網路環境處理妥當了,而你使用 iptables-save 會出現如下的畫面
# Generated by iptables-save v1.4.21 on Tue Oct 18 06:42:28 2016
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [140:16861]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A INPUT -s 172.16.6.128/25 -j REJECT
-A INPUT -s 172.16.6.0/24 -j ACCEPT
-A INPUT -s 192.168.0.0/16 -p tcp --dport 22 -j ACCEPT
-A INPUT ! -s 192.168.0.0/16 -p tcp --dport 222 -j ACCEPT
COMMIT
請嘗試回答下列問題:(請將答案寫入 /root/exam5c.txt 中)
- 這部主機能不能連線到 google?若能是依據那一條規則?若不能請寫下放行的規則設定語法
- 針對 172.16.6.60 這部主機,該主機能不能連上你系統的 port 22 ?請寫下是那一條規則的影響?
- 針對 172.16.6.254 這部主機,這部主機能不能連上你系統的 port 80?請寫下是那一條規則的影響?
- 針對 192.168.5.10 這部主機,該主機能不能連上你系統的 port 22 ?請寫下是那一條規則的影響?
- 針對 192.168.5.10 這部主機,該主機能不能連上你系統的 port 222 ?請寫下是那一條規則的影響?
- 針對 Client 的設定行為
- 這部系統的網路參數應該要是這樣的:
- IP 設定為 192.168..XX.98/26 這個網域的第一個可用 IP,其中 XX 為你上課的學號尾數。
- Gateway 設定為你 server 的內部 IP
- DNS Server 設定為 120.114.100.1 及 168.95.1.1
- hostname 設定為 pcXX.dic.ksu
- 防火牆設定 (請使用 iptables 服務,不要使用 firewalld)
- 預設情況下,所有對本機的連線要求都是被丟棄的。
- 針對本機的設定要求是這樣的:(請盡量使用 iptables 不要使用 firewalld)
- 三條基本規則 (established, icmp, lo) 務必要放行;
- 內部網路來源 (192.168 開頭那一段) 的連線全部放行
- 只對外部網路 (172.28.100 開頭的那一段) 放行你的 sshd 服務
- 系統基礎保護設定
- 指定崑山計中的 CentOS 7 裡面的 os 以及 updates 作為 yum 伺服器端來源
- 設定好之後立刻全系統更新一次,之後每天深夜 2 點進行一次全系統升級的行為
- 讓你的 SELinux 預設保持在 Enforcing 的階段