Wiki МИАЦ ВО - Вклад [ru]

Настройка программы no-ip

2013-02-26T13:30:17Z

Liaka:

==Для чего это нужно.==
Очень часто бывают случаи, кагда адрес интернет сервер получает динамически от провайдера, а мы хотим, что бы данный сервер не только раздавал интернет, но и имел свое доменное имя, для поднятия своего HTTP и mail сервера, а так же, что бы администратор мог управлять данным сервером по ssh с любого места интернета.
Для этого и служит программа '''no-ip'''.

'''Source(s):''' [http://www.downloadranking.com Настройка программы]

==Как оно работает==
Вы регистрируете свое доменное имя на сайте [http://www.no-ip.com www.no-ip.com] и устанавливаете демоном к себе на сервер утилиту, которая периодически посылает на серевер no-ip.com данные о своем ip адресе и тот заносит их в свою базу DNS. И теперь если кто-то из инета запросит данный адрес, то DNS сервер ip-com выдаст ему актуальный на данный момент ip адрес.

'''Source(s):''' [http://www.downloadranking.com Настройка программы]

==Регистрация==
#Для регистрации нудно зайти на сайт [http://www.no-ip.com www.no-ip.com]
#Зайти на ссылку [http://www.no-ip.com/newUser.php Sign-up Now!]
#Заполнить предложенную анкету.
#После этого на ваш адрес придет письмо, где надо подтвердить ваш аккаунт.
#После этого заходите на сайт www.no-ip.com и набираете свой mail и пароль и попадаете на страницу настроек.
#В прицципе там все понятно - надо вписать имя вашего сервера и выбрать домен (например: имя - voluzo, домен - sytes.net, и полное имя вашего сервера будет voluzo.sytes.net), а так же вписать ip адрес сервера на данный момент.
#Если хотите настроить почтовый сервер на вашем шлюзе, то надо вписать в MX record имя почтового сервера (mail.voluzo.sytes.net - для нашего случая)
#Нажимаете на Create Host

'''Source(s):''' [http://www.downloadranking.com Настройка программы]

==Установка==
#Выкачиваете последнюю версию программы под [http://www.no-ip.com/client/linux/noip-duc-linux.tar.gz Linux]
#Разархивируете полученный файл в директорию /usr/local/src
<pre># cp noip-duc-linux.tar.gz /usr/local/src
# cd /usr/local/src
# tar -zxf noip-duc-linux.tar.gz
# cd noip-2.1.9-1
# make
# cp redhat.noip.sh /etc/init.d/noip
# chmod 744 /etc/init.d/noip
# make install</pre>
При выполнении make install
#Выбираем какой интерфейс смотрит в инет
#Вводим email адрес, который использовали при регистрации
#Вводим пароль, который использовали при регистрации
Скрипт создает файл /usr/local/etc/no-ip2.conf

Добавляем в /etc/init.d/noip строки. 
Было:
<pre>
# Written by serge@vanginderachter.be and tested on Redhat 8
# ... and debugged by Uwe Dippel
# 29-03-2003
#
# Source function library.
</pre>Стало
<pre>
# Written by serge@vanginderachter.be and tested on Redhat 8
# ... and debugged by Uwe Dippel
# 29-03-2003
#
# Startup script for noip client
#
# chkconfig: 345 85 15
# description: noip client
# processname: noip
# config:
#
### BEGIN INIT INFO
# Provides: noip
# Required-Start: $network
# Required-Stop: $network
# Default-Start: 3 4 5
# Short-Description: noip client
# Description: noip client
### END INIT INFO

# Source function library.
</pre>
Далее запускаем drakxconf и делаем noip - сервисом.

'''Source(s):''' [http://www.downloadranking.com Настройка программы]

==Настройка ADSL модема==
Надо настроить модем так, что бы при обращении к внешнему IP адресу модема, запросы переадресовывались Интернет серверу. 
WAN настраиваем как обычно. 
Данные от провайдера:
Port - 0
VPI - 8
VCI - 35
Connection Type - PPPoE
Encapsulation Mode - LLS/SNAP-BRIDGING
Вводим Login и пароль (szt, szt)

Настройка взята [http://allwow.ru/forum/viewthread.php?thread_id=156 тут]
{|
|[[Изображение:Login ADSL modem.png|left|150px|Login modem]]
|Далее заходим на модем через браузер, чтобы открыть на нем порт. Для этого в браузере пишем 192.168.0.1 или 192.168.1.1
|-
|[[Изображение:ADSL NAT.png|150px|left|Вкладка NAT ADSL модема]]
|Далее заходите в NAT и открываете порт своего модема. '''Примечание: У всех модемы разные, и как открывать порты узнавайте на сайте производителя'''
|-
|[[Изображение:Port NAT ADSL.png|150px|left|Открытие портов NAT->Port]]
|Откройте порты 80, 22, 8245. Надо открыть универсальный TCP/UDP порт, или один TCP и одни UDP.
|-
|[[Изображение:DMZ host ADSL.png|150px|left|Настройка DMZ]]
| Пропишите соответствующий DMZ host. Это ip адрес вашего сервера, обычно 192.168.1.2. 
Далее сохраните настройки модема.
|}
Перезапустите NOIP.
<pre>
# service noip stop
# service noip start
</pre>

'''Source(s):''' [http://www.downloadranking.com Настройка программы]

==Если NOIP не правильно определяет адрес==
Если мы прокинули порт на модеме, а noip определяет наш адрес как 192.168.1.2 (адрес интерфейса), то можно поступить так. 
1. Исключаем noip из сервисов, например, с помощью drakxconf (Для Mandriva). 
2. Устанавливаем билиотеку php-cli, если она не установлена
<pre>$sudo urpmi php-cli</pre>
2. Создаем файл '''/etc/scripts/myip.php''', который определяет наш IP адрес через сайт www.myip.ru и отправляет его на сайт NOIP.
<pre>#!/usr/bin/php
<?php
$page = file_get_contents('http://www.myip.ru/get_ip.php?loc=http://www.myip.ru/');
//echo $page;
preg_match_all('|<TR><TD bgcolor=white align=center valign=middle>(.+)</TD></TR>|',$page,$result);
$rez=$result[1][rand(0,0)];
//echo $rez;
exec ('/usr/local/bin/noip2 -i'.$rez);
?>
</pre>
3. Добавляем в crontab задание
<pre># Отправка в noip IP адреса
*/10 * * * * root /etc/scripts/myip.php
</pre>
И теперь каждые 10 минут скрипт будет определять Ваш внешний IP адрес и отправлять его на NOIP.

Настройка фаервола

2013-02-26T10:48:07Z

Liaka:

==Описание скрипта фаервола==
:Вообще, прежде чем пытаться настроить фаервол, очень рекомендую прочитать [http://www.opennet.ru/docs/RUS/iptables/ Руководство по iptables (Iptables Tutorial 1.1.19)]. Также можно почитать [http://help-fr.info/ сайт] посвященный iptables.
:Тут я приведу свой скрипт настройки фаервола, который почти целиком взят из этого описания, и может быть использован как основа для вашей системы. Если Вы найдете какие то замечания, прошу сообщить мне.

'''Source(s):''' [http://www.downloadranking.com Настройка фаервола]

===Немножкко о задаче.===
#Есть сервер с двумя интерфейсами (eth0 и eth1) '''eth0''' смотрит в интернет и его адрес 213.54.25.11 '''eth1''' смотрит в локальную сеть и его адрес 172.16.130.8
# Для доступа в интернет на сервере поднят VPN сервер с с адресом 192.168.5.1 и диаппазоном выдаваемых адресов 192.168.10.0/24
# Необходимо защитить сервер и с наружи и изнутри

'''Source(s):''' [http://www.downloadranking.com Настройка фаервола]

===Сам скрипт.===
<pre>#!/bin/sh
#
#
# Этот скрипт для свободного распостранения. Вы можете его менять по своему
# усмотрению
# Он распостраняетяс под GNU General Public License.
# Никаких ГАРАНТИЙ нет, что он будет правильно работать
# Вы устанавливаете его на свой страх и риск.
#
# Сначала сбросим все правила, которые были до этого
/etc/init.d/iptables stop

###########################################################################
#
# 1. Configuration options.
#

#
# 1.1 Internet Configuration.
#

INET_IP="213.54.25.11" # Арес интерфейса, который смотрит в интернет
INET_IFACE="eth0" # Имя интерфейса
INET_BROADCAST="192.168.10.255"
LAN_VPN_RANGE="192.168.10.0/24" # Диапазон адресов VPN сети, имеющей доступ
# в инет
LAN_VPN="192.168.5.1" # Адрес VPN сервера

#
# 1.1.1 DHCP
#

#
# 1.1.2 PPPoE
#

#
# 1.2 Local Area Network configuration.
#
# your LAN's IP range and localhost IP. /24 means to only use the first 24
# bits of the 32 bit IP address. the same as netmask 255.255.255.0
#

LAN_IP="172.16.130.8" # Ip адрес интерфейса локальной сети
LAN_IP_RANGE="172.16.130.0/24" # Диапазон адресов локальной сети
LAN_IFACE="eth1" # Имя интерфейса локальной сети

#
# 1.3 DMZ Configuration.
#

#
# 1.4 Localhost Configuration.
#

LO_IFACE="lo"
LO_IP="127.0.0.1"

#
# 1.5 IPTables Configuration.
#
# Путь, где находится iptables.
IPTABLES="/usr/local/sbin/iptables"

#
# 1.6 Other Configuration.
#

###########################################################################
#
# 2. Module loading.
#

#
# Needed to initially load modules
#

/sbin/depmod -a

#
# 2.1 Загружаем необходимые модули
#

/sbin/modprobe ip_tables
/sbin/modprobe ip_conntrack
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ipt_limit
/sbin/modprobe ipt_state
/sbin/modprobe ipt_owner
/sbin/modprobe ipt_REJECT
/sbin/modprobe ipt_MASQUERADE
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
/sbin/modprobe ip_nat_ftp
/sbin/modprobe ip_nat_irc
# Модули для работы pptp
/sbin/modprobe ip_conntrack_pptp
/sbin/modprobe ip_nat_pptp
/sbin/modprobe ip_gre

#
# 2.2 Non-Required modules
#

###########################################################################
#
# 3. /proc set up.
#

#
# 3.1 Required proc configuration
#

# активация TCP SYN Cookie Protection
echo "1" > /proc/sys/net/ipv4/tcp_syncookies

# отключение IP Source Routing
echo "0" > /proc/sys/net/ipv4/conf/all/accept_source_route

# отключение ICMP Redirect
#echo 0 > /proc/sys/net/ipv4/conf/all/accept_redirects

# активация IP Spoofing Protection
echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter

# игнорирование Broadcast Request
echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts

# сообщения о Bad Error Message
echo "1" > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses

echo "1" > /proc/sys/net/ipv4/ip_forward

# Если сильно достают неправильные пакеты (martian source)в логах
# отключаем лог martian source на всех интерфейсах
#echo "0" > /proc/sys/net/ipv4/conf/all/log_martians

#
# 3.2 Non-Required proc configuration
#

#echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter
#echo "1" > /proc/sys/net/ipv4/conf/all/proxy_arp
#echo "1" > /proc/sys/net/ipv4/ip_dynaddr

###########################################################################
#
# 4. rules set up.
#

######
# 4.1 Filter table
#

#
# 4.1.1 Установка политики по умолчанию
#
#set -x
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
#$IPTABLES -P INPUT ACCEPT
#$IPTABLES -P OUTPUT ACCEPT
#$IPTABLES -P FORWARD ACCEPT
# По умолчанию все запретить
#
# 4.1.2 Создание пользовательских цепочек, которые будут использоваться
# позже.

#
# Цепочка для bad tcp packets
#

$IPTABLES -N bad_tcp_packets

#
# Создание раздельных цепочек для прохождения ICMP, TCP and UDP пакетов
#

$IPTABLES -N allowed
$IPTABLES -N tcp_packets
$IPTABLES -N udp_packets
$IPTABLES -N icmp_packets

#
# 4.1.3 Create content in userspecified chains
#

#
# bad_tcp_packets chain
#

$IPTABLES -A bad_tcp_packets -p tcp --tcp-flags SYN,ACK SYN,ACK \
-m state --state NEW -j REJECT --reject-with tcp-reset
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP

#
# allowed chain
#

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP

#
# TCP rules
#
# Создаем правила для TCP пакетов ( ту мы открываем общие порты для внутренней
# и внешней сети)
for i in 21 22 25 53 80 110 113 123 443 465 1723 5190 10000
do
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport $i -j allowed
done
# 21 - ftp порт
# 22 - ssh порт
# 25 - smtp
# 53 - DNS
# 80 - http
# 110 - pop3
# 113 - INETTD
# 123 - NTP служба точного времени
# 445 - SMB
# 443 - HTTPS
# 465 - SMTPS
# 24537 - Torrent agent
# 6667- Интернет reley chat
# 1194 - openVPN
# 1723 - VPN
# 5190 - ICQ
# 10000 - WEBMIN
# 16384-16394- Голосовая почта

# 3128- squid только для внутренней VPN сети
#
$IPTABLES -A tcp_packets -p TCP -s $LAN_VPN_RANGE --dport 3128 -j allowed
# Открываем порты для Samba только для внутренней сети
#$IPTABLES -A INPUT -p TCP -s $LAN_IP_RANGE --dport 137:139 -j ACCEPT
#$IPTABLES -A INPUT -p UDP -s $LAN_IP_RANGE --destination-port 137:139 -j ACCEPT

#
# UDP ports
#
for i in 53 123 1000:1060 4000
do
$IPTABLES -A udp_packets -p UDP -s 0/0 --dport $i -j ACCEPT
done
# 53 DNS
# 123 NTP служба точного времени
# 2074 передача голоса
#
# 1000:1060 - при проблемах с DNS
# На клиенте (в винде) запускаем ipconfig /all и видим dns, скажем, 1.2.3.4
# С клиента же делаем пинг 1.2.3.4 - он есть
# С клиента же делаем пинг ya.ru - пинга нет
#
# 4000 ICQ
# 1194 - openVPN

#
# In Microsoft Networks you will be swamped by broadcasts. These lines
# will prevent them from showing up in the logs.
#

#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d $INET_BROADCAST \
#--destination-port 135:139 -j DROP

#
# If we get DHCP requests from the Outside of our network, our logs will
# be swamped as well. This rule will block them from getting logged.
#

#$IPTABLES -A udp_packets -p UDP -i $INET_IFACE -d 255.255.255.255 \
#--destination-port 67:68 -j DROP

#
# ICMP rules
#

$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT

# разрешаем gre траффик
$IPTABLES -A INPUT -s 0/0 -d 0/0 -p gre -j ACCEPT

#
# 4.1.4 INPUT chain
#

#
# Bad TCP packets we don't want.
#

$IPTABLES -A INPUT -p tcp -j bad_tcp_packets

#
# Тут мы разрешаем пакеты со спец сети not part of the Internet
#

$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT

# Данным IP адресам полностью доверяем
#$IPTABLES -A INPUT -p ALL -s 172.16.130.1 -j ACCEPT
#$IPTABLES -A INPUT -p ALL -s 172.16.130.101 -j ACCEPT
#$IPTABLES -A INPUT -p ALL -s 172.16.130.102 -j ACCEPT

#
# Правила для входящих пакетов с любой сети.
#

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $LAN_IP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $LAN_VPN -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -j tcp_packets
$IPTABLES -A INPUT -p UDP -j udp_packets
$IPTABLES -A INPUT -p ICMP -j icmp_packets

#Anti-ssh-bruteforce
# После 3 попыток подключиться в течение 60 секунд, робот блокируется и отваливает :)
# и прочти нет мусора в логах, а главное - лишнего траффика, в отличие от pam_abl.
# По желанию можно увеличить параметры --hitcount и --seconds.
$IPTABLES -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --set
$IPTABLES -A INPUT -p tcp --syn --dport 22 -m recent --name radiator --update --seconds 60 --hitcount 3 -j DROP

#
# If you have a Microsoft Network on the outside of your firewall, you may
# also get flooded by Multicasts. We drop them so we do not get flooded by
# logs
#

#$IPTABLES -A INPUT -i $INET_IFACE -d 224.0.0.0/8 -j DROP

#
# Log weird packets that don't match the above.
#

$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "

#
# 4.1.5 Правила для проходящих пакетов
#

#
# Bad TCP packets we don't want
#

$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets

#
# Accept the packets we actually want to forward
#

$IPTABLES -A FORWARD -p TCP -j tcp_packets
$IPTABLES -A FORWARD -p UDP -j udp_packets
$IPTABLES -A FORWARD -p ICMP -j icmp_packets

$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

#
# Log weird packets that don't match the above.
#

$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "

#
# 4.1.6 Правила для исходящих пакетов
#

#
# Bad TCP packets we don't want.
#

$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets

#
# Special OUTPUT rules to decide which IP's to allow.
#

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_VPN -j ACCEPT
#
# Log weird packets that don't match the above.
#

$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "

######
# 4.2 nat table
#

#
# 4.2.1 Set policies
#

#
# 4.2.2 Create user specified chains
#

#
# 4.2.3 Create content in user specified chains
#

#
# 4.2.4 PREROUTING chain
#
# Организуем празрачный прокси

$IPTABLES -t nat -A PREROUTING -s $LAN_VPN_RANGE -p tcp -m tcp --dport 80 -j REDIRECT --to-ports 3128

#
# 4.2.5 POSTROUTING chain
#

#
# Enable simple IP Forwarding and Network Address Translation
#
# Делаем NAT
$IPTABLES -t nat -A POSTROUTING -s $LAN_VPN_RANGE -j SNAT --to-source $INET_IP
#
# 4.2.6 OUTPUT chain
#

######
# 4.3 mangle table
#

#
# 4.3.1 Set policies
#

#
# 4.3.2 Create user specified chains
#
# 4.3.3 Create content in user specified chains
#

#
# 4.3.4 PREROUTING chain
#

#
# 4.3.5 INPUT chain
#

#
# 4.3.6 FORWARD chain
#

#
# 4.3.7 OUTPUT chain
#

#
# 4.3.8 POSTROUTING chain
#</pre>

===Ошибки при работе DNS===
Вобщем столкнулся с такой проблемой. 
На клиенте (в винде) запускаем ipconfig /all и видим dns, скажем, 1.2.3.4 
С клиента же делаем пинг 1.2.3.4 - он есть 
С клиента же делаем пинг ya.ru - пинга нет 
Решилось откритием портов UDP c 1000 по 1060. 
В скрипте это отражено.

==При использовании VPN подключения к провайдеру==
Тут оказалось не все так просто.
# VPN соединение к провайдеру может подняться не сразу, а через некоторое время, поэтому могут быть проблемы с '''default route'''.
: Вот одно из решений данной проблемы.
===Подключение к провайдеру через VPN канал===
# Сначала установим пакет pptp-command*.rpm
# Настроим [[Настройка pptp-command клиента для подключения к VPN серверу | соединение]]
# Далее в /etc/rc.d/rc.local добавляем строки
<pre># Поднимаем VPN соединение до провайдера с именем navb
pptp-command start navb
# Удаляем default route
route del default
# Поднимаем defaut route
route add default ppp0
# Запускаем фаервол
/etc/sysconfig/iptables.sh
</pre>

===Скрипт по проверке и поднятию default route===
Тк соединение может установиться не сразу, то команда
<pre>route add default ppp0</pre>может не сработать. 
Для последующего поднятия default route делаем следующий скрипт ('''/etc/scripts/route_exist.sh'''). 
В этом же скрипте запускаем службу VPN сервера (pptpd), что бы не было захвата интерфейса ppp0, запускаем фаервол - после определения внешнего ip VPN соединения и запуск службы динамического [[Настройка программы no-ip | DNS]].
<pre>#!/bin/bash
# set -x
# Если соединение есть, но нет default route, то
if [ -z "`ip route| grep ppp0 | grep default`" ]; then
route del default
route add default ppp0
# Запускаем фаервол
/etc/sysconfig/iptables.sh
echo "$date1 $IP_BL" >> file.int
fi
# Если пинг не проходит - потеря 100%, то перезапускаем соединение
if [ -n "`ping -w5 -W2 -q www.ru | grep 100%`" ]; then
pptp-command stop
fi
# Проверяем поднят ли интерфейс ppp0
if [ -z "`ip route | grep ppp0`" ]; then
# Если нет, то поднять
pptp-command start navb
# Находим ip адрес нового соединения
IP_BL=`ifconfig ppp0 | grep -A 1 ppp0| grep inet |cut -d ":" -f2 |cut -d " " -f1`
#echo 2
date1=`date`
#set -x
route del default
route add default ppp0
# Если сервис pptpd не запущен, то запускаем
service pptpd start
# Запускаем фаервол
/etc/sysconfig/iptables.sh
# Send new ip address to no-ip.com
/usr/local/bin/noip2 -i $IP_BL
# Запускаем програму динамического имени
/etc/init.d/noip2 start
echo "$date1 $IP_BL" >> file.int
fi
</pre>
И запускаем его из cron каждые 5 минут. Для этого добавляем следующие строки в '''/etc/crontab'''
<pre># Проверка и поднятие default route
*/5 * * * * root /etc/scripts/route_exist.sh</pre>

===Изменения в файле фаервола /etc/sysconfig/iptables.sh===
:Оперделения интерфейса VPN подключения к провайдеру (при динамическом ip).
<pre># Арес интерфейса, который смотрит в интернет
INET_IP=`ifconfig | grep -A 1 ppp0| grep inet |cut -d ":" -f2 |cut -d " " -f1`</pre>
:И все строчки, где есть переменная $INET_IP проверяем на наличие этого ip адреса 
:Например:
<pre>if [ -n "$INET_IP" ]; then
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
fi</pre>