Дано

Виртуальная машина на KVM со свежеустановленной CentOS6 x86_64 minimal.

Задача

1. Установить и настроить в связке pptpd/xl2tpd, freeradius2, radiusclient-ng и mysql.
2. Создать 2-х клиентов для подключения к настроенному VPN-серверу, с выходом в нет четез NAT. Один клиент с динамическим получением адреса, второй с постоянным IP.
3. Перенести pool адресов для раздачи динамическим клиентам из pptpd в radius.

Решение

Первым делом необходимо установить все необходимые пакеты. radiusclient-ng, pptpd и xl2tpd нет в стандартных репозиториях, поэтому для radiusclient-ng и xl2tpd мы подключим EPEL-репозиторий, а pptpd-пакет скачаем напрямую.

# rpm -Uhv http://fedora-epel.mirror.lstn.net/6/x86_64/epel-release-6-5.noarch.rpm
# yum install freeradius freeradius-mysql xl2tpd radiusclient-ng radiusclient-ng-utils freeradius-utils mysql mysql-devel mysql-server
# rpm -Uhv http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-2.el6.x86_64.rpm

далее настроим mysql и зададим пароль:

# mysql_secure_installation

Собственно, перейдем к настройке pptpd. Приводим файлы настройки к следующему виду:

# cat /etc/pptpd.conf
option /etc/ppp/options.pptpd
logwtmp
localip 192.168.80.1
remoteip 192.168.80.5-35

# cat /etc/ppp/options.pptpd
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
ms-dns 8.8.8.8
ms-dns 8.8.4.4
lock
nobsdcomp
novj
novjccomp
nologfd
lcp-echo-failure 30
lcp-echo-interval 5
ipcp-accept-local
ipcp-accept-remote
plugin radius.so
plugin radattr.so

если решили использовать не pptpd , а xl2tpd, то файлы будут иметь следующий вид:

# cat /etc/xl2tpd/xl2tpd.conf
[global]
port = 1701
auth file = /etc/xl2tpd/l2tp-secrets
access control = no
rand source = dev
[lns default]
exclusive = no
ip range = 192.168.80.5-192.168.81.35
local ip = 192.168.80.1
require chap = yes
refuse pap = yes
require authentication = yes
name = VPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.xl2tpd
length bit = yes
flow bit = yes

# cat /etc/ppp/options.xl2tpd
ipcp-accept-local
ipcp-accept-remote
lcp-echo-failure 30
lcp-echo-interval 5
ms-dns 8.8.8.8
ms-dns 8.8.4.4
noccp
nodeflate
auth
crtscts
idle 1800
mtu 1410
mru 1410
defaultroute
debug
proxyarp
connect-delay 5000
lock
plugin radius.so
plugin radattr.so

с pptpd/xl2tpd закончено, переходим к настройке radiusclient-ng:
Первая проблема с которой мы столкнулись, это нежелание pptpd работать с radiusclient-ng из-за путей куда он установлен, поэтому создаем софт-линк следующим образом

# ln -s /etc/radiusclient-ng /etc/radiusclient

и закоментируем в файле /etc/radiusclient-ng/radiusclient.conf строчку

#bindaddr *

иначе ругается на неизвестный параметр.
редактируем /etc/radiusclient-ng/servers , добавляем локальный radius-сервер, к которому будет обращаться клиент

localhost YouRsUpErpAAs

Вторая проблема, с которой нам пришлось столкнуться, это отсутствие в пакете radiusclient-ng атрибутов от mircosoft, после гугления, необходимые артибуты были найдены. Копируем имеющиеся файлы с атрибутами из /usr/share/radiusclient-ng/ в /etc/radiusclient-ng/

cp /usr/share/radiusclient-ng/diction* /etc/radiusclient-ng/

в /etc/radiusclient-ng/ создаем файл dictionary.microsoft со следующим содержимым:

 

VENDOR          Microsoft       311     Microsoft

ATTRIBUTE       MS-CHAP-Response        1       string  Microsoft
ATTRIBUTE       MS-CHAP-Error           2       string  Microsoft
ATTRIBUTE       MS-CHAP-CPW-1           3       string  Microsoft
ATTRIBUTE       MS-CHAP-CPW-2           4       string  Microsoft
ATTRIBUTE       MS-CHAP-LM-Enc-PW       5       string  Microsoft
ATTRIBUTE       MS-CHAP-NT-Enc-PW       6       string  Microsoft
ATTRIBUTE       MS-MPPE-Encryption-Policy 7     string  Microsoft
ATTRIBUTE       MS-MPPE-Encryption-Type 8       string  Microsoft
ATTRIBUTE       MS-MPPE-Encryption-Types  8     string  Microsoft
ATTRIBUTE       MS-RAS-Vendor           9       integer Microsoft
ATTRIBUTE       MS-CHAP-Domain          10      string  Microsoft
ATTRIBUTE       MS-CHAP-Challenge       11      string  Microsoft
ATTRIBUTE       MS-CHAP-MPPE-Keys       12      string  Microsoft
ATTRIBUTE       MS-BAP-Usage            13      integer Microsoft
ATTRIBUTE       MS-Link-Utilization-Threshold 14 integer        Microsoft
ATTRIBUTE       MS-Link-Drop-Time-Limit 15      integer Microsoft
ATTRIBUTE       MS-MPPE-Send-Key        16      string  Microsoft
ATTRIBUTE       MS-MPPE-Recv-Key        17      string  Microsoft
ATTRIBUTE       MS-RAS-Version          18      string  Microsoft
ATTRIBUTE       MS-Old-ARAP-Password    19      string  Microsoft
ATTRIBUTE       MS-New-ARAP-Password    20      string  Microsoft
ATTRIBUTE       MS-ARAP-PW-Change-Reason 21     integer Microsoft
ATTRIBUTE       MS-Filter               22      string  Microsoft
ATTRIBUTE       MS-Acct-Auth-Type       23      integer Microsoft
ATTRIBUTE       MS-Acct-EAP-Type        24      integer Microsoft
ATTRIBUTE       MS-CHAP2-Response       25      string  Microsoft
ATTRIBUTE       MS-CHAP2-Success        26      string  Microsoft
ATTRIBUTE       MS-CHAP2-CPW            27      string  Microsoft
ATTRIBUTE       MS-Primary-DNS-Server   28      ipaddr  Microsoft
ATTRIBUTE       MS-Secondary-DNS-Server 29      ipaddr  Microsoft
ATTRIBUTE       MS-Primary-NBNS-Server  30      ipaddr  Microsoft
ATTRIBUTE       MS-Secondary-NBNS-Server 31     ipaddr  Microsoft
VALUE           MS-BAP-Usage            Not-Allowed     0
VALUE           MS-BAP-Usage            Allowed         1
VALUE           MS-BAP-Usage            Required        2
VALUE   MS-ARAP-PW-Change-Reason        Just-Change-Password            1
VALUE   MS-ARAP-PW-Change-Reason        Expired-Password                2
VALUE   MS-ARAP-PW-Change-Reason        Admin-Requires-Password-Change  3
VALUE   MS-ARAP-PW-Change-Reason        Password-Too-Short              4
VALUE           MS-Acct-Auth-Type       PAP             1
VALUE           MS-Acct-Auth-Type       CHAP            2
VALUE           MS-Acct-Auth-Type       MS-CHAP-1       3
VALUE           MS-Acct-Auth-Type       MS-CHAP-2       4
VALUE           MS-Acct-Auth-Type       EAP             5
VALUE           MS-Acct-EAP-Type        MD5             4
VALUE           MS-Acct-EAP-Type        OTP             5
VALUE           MS-Acct-EAP-Type        Generic-Token-Card      6
VALUE           MS-Acct-EAP-Type        TLS             13

 

редактируем файл /etc/radiusclient-ng/radiusclient.conf на предмет

dictionary /etc/radiusclient-ng/dictionary

редактируем файл /etc/radiusclient-ng/dictionary , добавляя в конец

INCLUDE /etc/radiusclient-ng/dictionary.microsoft
INCLUDE /etc/radiusclient-ng/dictionary.merit

с клиентом тоже закончили, переходим к настройке mysql:
пакет freeradius-mysql содержит необходимые файлы для импорта их в mysql, находятся они в /etc/raddb/sql/mysql/
подредактируем файл admin.sql , что бы задать пароль отличный от стандартного

vim admin.sql
:%s/radpass/radpass235/g
:wq

подключаемся к mysql, создаем DB, импортируем таблицы и создаем пользователей

mysql -p
mysql> create database radius;
mysql> \. admin.sql
mysql> use radius;
mysql> \. schema.sql

далее создаем пользователей и их настройки

mysql> INSERT INTO radusergroup (username,groupname) values ('user1','static-ip-vpn');
mysql> INSERT INTO radusergroup (username,groupname) values ('user2','dinamic-ip-vpn');

должно получится следующее

mysql> select * from radusergroup;

+----------+----------------+----------+
| username |   groupname    | priority |
+----------+----------------+----------+
| user1    | static-ip-vpn  | 1        |
| user2    | dinamic-ip-vpn | 1        |
+----------+----------------+----------+

 

mysql> INSERT INTO radcheck (username,attribute,op,value) values ('user1','User-Password','==','pass1');
mysql> INSERT INTO radcheck (username,attribute,op,value) values ('user2','User-Password','==','pass2');

mysql> select * from radcheck;

+----+----------+---------------+----+-------+
| id | username | attribute     | op | value |
+----+----------+---------------+----+-------+
|  1 | user1    | User-Password | == | pass1 |
|  2 | user2    | User-Password | == | pass2 |
+----+----------+---------------+----+-------+

 

заполняем таблицу radgroupreply

mysql> INSERT INTO radgroupreply (groupname, attribute, op, value) values ('dinamic-ip-vpn','Service-Type',':=','Framed-User');

и так далее, чтоб получить следующее

mysql> select * from radgroupreply;

+----+----------------+--------------------+----+---------------------+
| id | groupname      | attribute          | op | value               |
+----+----------------+--------------------+----+---------------------+
|  1 | dinamic-ip-vpn | Service-Type       | := | Framed-User         |
|  2 | dinamic-ip-vpn | Framed-Protocol    | := | PPP                 |
|  3 | dinamic-ip-vpn | Framed-Compression | := | Van-Jacobsen-TCP-IP |
|  4 | static-ip-vpn  | Framed-Compression | := | Van-Jacobsen-TCP-IP |
|  5 | static-ip-vpn  | Framed-Protocol    | := | PPP                 |
|  6 | static-ip-vpn  | Service-Type       | := | Framed-User         |
+----+----------------+--------------------+----+---------------------+

 

заполняем таблицу radreply чтобы задать постоянный ip для первого клиента user1

mysql> INSERT INTO radreply (username, attribute, op, value) values ('user1','Framed-IP-Netmask',':=','255.255.255.255');
mysql> INSERT INTO radreply (username, attribute, op, value) values ('user1','Framed-IP-Address',':=','192.168.80.90');
mysql> select * from radreply;

+----+----------+-------------------+----+-----------------+
| id | username |     attribute     | op |     value       |
+----+----------+-------------------+----+-----------------+
| 1  | user1    | Framed-IP-Netmask | := | 255.255.255.255 |
| 2  | user1    | Framed-IP-Address | := | 192.168.80.90   |
+----+----------+-------------------+----+-----------------+

 

В итоге, мы занесли в базу данный 2-х клиентов, user1 с паролем pass1 и статическим ip – 192.168.80.90, и user2 с паролем pass2 и получением динамического ip из пула указанного в настройках pptpd. Здесь намеренно пользователи разнесены по группам, с учетом дальшейшего увеличения клиентов, можно было просто создать все атрибуты для обоих клиентов в таблице radreply, но при большом количестве клиентов, удобнее использовать группы, где указываются одинаковые для клиентов группы атрибуты. Так же, в группах можно указывать разные пулы адресов и еще многое другое, но об этом сейчас не будем.

Переходим к настрокам radius. Здесь я приведу примеры файлов, в которых производились изменения:

/etc/raddb/clients.conf
client 127.0.0.1 {
secret = YouRsUpErpAAs
shortname = localhost
nastype = other
}

Третья проблема, на момент отладки, когда еще radius не был подключен к mysql, столкнулись с тем, что если в файле /etc/raddb/users , если клиенты оказывались прописанными не в начале файла, ничего не работало.

/etc/raddb/users
DEFAULT Simultaneous-Use := 1
Fall-Through = 1

Это необходимо прописать, чтоб не было нескольких подключений с одним и тем же логином одновременно

/etc/raddb/radiusd.conf
в секции modules уберем комментарии с

$INCLUDE sql.conf

/etc/raddb/sql.conf
прописываем данные для подключения к mysql

password = "radpass235"

/etc/raddb/sites-enabled/default
в секциях authorize, session, post-auth и accounting включаем sql
в секции authorize включаем mschap

/etc/raddb/modules/mschap
mschap {
use_mppe = yes
require_encryption = yes
require_strong = yes
}

Пожалуй, задача практически решена, остались некоторые штрихи:

Настроить iptables и разрешить форвард, чтоб выпустить клиентов в мир

iptables -I INPUT -p gre -j ACCEPT
iptables -I INPUT -p tcp -m state --state NEW -m tcp --dport 1723 -j ACCEPT
iptables -I INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -I FORWARD -s 192.168.80.0/24 -o eth0 -j ACCEPT
iptables -I FORWARD -d 192.168.80.0/24 -i eth0 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.80.0/24 -o eth0 -j MASQUERADE

/etc/sysctl.conf
net.ipv4.ip_forward = 1
sysctl -p

Уже на данной стадии, если мы запустим установленные сервисы, мы сможем подключится к нашей машине по vpn, осталось только перенести пул адресов выдаваемых динамическим клиентам из pptpd в radius. Для этого есть несколько вариантов, вплоть до помещения пула в mysql. Мы используем простой вариант.

/etc/raddb/modules/ippool
в секции ippool main_pool , делаем правки для своего пула адресов

range-start = 192.168.80.35
range-stop = 192.168.80.65

в файле /etc/raddb/sites-enabled/default добавляем с соответствующие секции

accounting {
main_pool
}

post-auth {
main_pool
}

далее, создаем файлы, где пул будет храниться

touch /etc/raddb/db.ipindex /etc/raddb/db.ippool
chmod 664 /etc/raddb/db.ipindex /etc/raddb/db.ippool
chown root:radiusd /etc/raddb/db.ipindex /etc/raddb/db.ippool

и добавляем в /etc/raddb/users

DEFAULT Pool-Name := main_pool
Fall-Through = Yes

перезапускаем radius, и пробуем подключится к машине по vpn, все должно работать. Подробную статистику подключений мы можем увидеть в таблице radius.radacct
выделенные адреса из пула, можно посмотреть командой

rlm_ippool_tool -av /etc/raddbdb/db.ippool /etc/raddbdb/db.ipindex

Можно также одновременно использовать и pptpd и xl2tp. И если мы хотим разделить клиентов, мы можем добавить атрибуты, и в MySQL сделать соответствие группам, на основании этих атрибутов, например:
в /etc/ppp/options.pptpd

avpair Connect-Info=pptp

а в /etc/ppp/options.xl2tpd

avpair Connect-Info=l2tp

Соответственно, при запросе к радиусу эти атрибуты будут посланы. Останется только сделать проверку в radcheck таблице, если для конкретного клиента, или в radgroupcheck, если для группы.

Вот и все.

Удачи в настройках.
© shadow_alone

Оригинал: http://andrey.org/pptpd-mysql-radius/

Для начала пропишем на основной машине (добавляем записи, если их нет):

/etc/sysconfig/network
NETWORKING_IPV6=yes

/etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=yes
IPV6ADDR=2a01:4f8:110:4121::1

/etc/sysconfig/network-scripts/route6-eth0
2a01:4f8:110:4116::1 dev eth0
::/0 via 2a01:4f8:110:4116::1

и выполняем
# /etc/init.d/network restart
Проверяем:
# ping6 ipv6.google.com
С основной машиной почти закончили, осталось включить forwarding, чтобы виртуальные машины могли использовать IPv6 адреса. В данном случае, адрес Вашей основной машины – [2a01:4f8:110:4121::1].

/etc/sysctl.conf
net.ipv6.conf.all.forwarding=1

выполняем:
# sysctl -p
Теперь к настройке виртуальных машин, там все просто, достаточно дать адрес и шлюз.

/etc/sysconfig/network
NETWORKING_IPV6=yes

/etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=yes
IPV6ADDR=2a01:4f8:110:4121::2
IPV6_DEFAULTGW=2a01:4f8:110:4121::1

выполняем:
# /etc/init.d/network restart
Машина получила адрес [2a01:4f8:110:4121::2]. Для других виртуальных машин проделайте тоже самое, меняя адрес.

Ну и приведу пример простейшей настройки ip6tables – файлвол для IPv6.
создайте файл примерно следующего содержания, каждому своё, кто-то что-то добавит или уберет:

/etc/sysconfig/ip6tables
#
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
# Разрешаем все подключения из своей подсети
-A INPUT -s 2a01:4f8:110:4121::/64 -d ::/0 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -i lo -j ACCEPT
# Разрешаем соединения для уже установленных соединений
-A INPUT -s ::/0 -d ::/0 -m state –state RELATED,ESTABLISHED -j ACCEPT
# Разрешаем icmp
-A INPUT -s ::/0 -d ::/0 -p ipv6-icmp -j ACCEPT
# Разрешаем необходимые нам порты
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp –dport 22 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp –dport 80 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp –dport 53 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p udp -m udp –dport 53 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp –dport 443 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp –dport 25 -j ACCEPT
-A INPUT -s ::/0 -d ::/0 -p tcp -m tcp –dport 110 -j ACCEPT
# Все остальное отклоняем
-A INPUT -s ::/0 -d ::/0 -j REJECT –reject-with icmp6-adm-prohibited
COMMIT
#

Перезапускаем файрвол:
# /etc/init.d/ip6tables restart

Вот и все готово. Теперь Ваши машины имеют IPv6 адреса и защищены файрволом.

Удачи в настройках.
© shadow_alone

Для начала нам понадобиться создать юзера в mysql на сервере с Plesk-панелью, и дать ему права на чтение из нужных таблиц.

grant select on psa.domains to dsnuser@'%' identified by 'You_paSSword';
grant select on psa.domainaliases to dsnuser@'%' identified by 'You_paSSword';

Можете вместо % использовать конкретный хост, так безопаснее, и так же не забудьте открыть для этого хоста mysql-порт(3306) на файрволе.
Все остальные действия проводятся уже на сервере где должны быть slave-зоны.
Далее создадим следующий скрипт, назовем его dnssync:


#!/bin/bash

if [ -f /tmp/plesk-domains.txt ];then
/bin/mv -f /tmp/plesk-domains.txt /tmp/plesk-domains.txt.old
fi

/usr/bin/mysql -h plesk.server.name -u dssuser --password="You_paSSword" -Bse "SELECT name from domains where status=0 UNION SELECT name from domainaliases where status=0 " psa >/tmp/plesk-domains.txt
OUT1=$?

if [ $OUT1 -eq 0 ];then

/usr/bin/diff -q /tmp/plesk-domains.txt /tmp/plesk-domains.txt.old > /dev/null
OUT2=$?
if [ $OUT2 -ne 0 ];then
echo "" >/var/named/chroot/etc/plesk-zones.conf
while read line
do
domain=$line
echo "zone \"$domain\" { type slave; masters {ip_of_plesk_server;}; file \"/var/named/slaves/$domain.hosts\"; };" >>/var/named/chroot/etc/plesk-zones.conf
done < "/tmp/plesk-domains.txt"

echo "" >>/var/named/chroot/etc/plesk-zones.conf
/etc/init.d/named restart > /dev/null

fi
else
if [ -f /tmp/plesk-domains.txt.old ];then
/bin/mv -f /tmp/plesk-domains.txt.old /tmp/plesk-domains.txt
fi
fi

Обратите внимание на пути, в данном примере bind запущен в chroot окружении, на CentOS 5.5. У Вас пути могут отличатся, и Вам необходимо исправить их на свои. Также замените ip_of_plesk_server и plesk.server.name на IP сервера с Plesk-панелью.

Осталось добавить в named.conf

include "/etc/plesk-zones.conf";

дать права на выполнение файлу dnssync,и поставить задание в cron, например, делать проверку каждый час:

0 * * * * /path_to_script/dnssync

запускаем один раз /path_to_script/dnssync
рестартуем bind
И все работает на ура.
Больше лишних телодвижений не потребуется.
Я всегда задумываюсь: все-таки именно лень заставляет нас что-то сделать, чтоб потом ничего не делать.

Удачи в настройках.
© shadow_alone

Первым делом ставим репозитарий epel:

# rpm -Uvh http://download.fedora.redhat.com/pub/epel/5/$(uname -m)/epel-release-5-3.noarch.rpm

Устанавливаем nginx:

# yum install nginx

Ставим PHP и необходимые модули:

# yum install php-pear-Net-Socket php-pear php-common php-gd php-devel php php-mbstring php-pear-Mail php-cli php-imap php-snmp php-pdo php-xml php-pear-Auth-SASL php-ldap php-pear-Net-SMTP php-mysql

Ставим spawn-fcgi:

# yum install spawn-fcgi

Скачиваем и настраиваем скрипт для init.d:

# wget http://andrey.org/nginx-daemon.sh.gz

# gunzip nginx-daemon.sh.gz

# mv nginx-daemon.sh /etc/init.d/php_cgi

# chmod +x /etc/init.d/php_cgi

Запускаем php app :

# /etc/init.d/php_cgi start

Проверяем:

# netstat -tulpn | grep :9000

Получаем:

tcp     0      0 127.0.0.1:9000       0.0.0.0:*      LISTEN    15196/php-cgi

Вносим изменения в /etc/nginx/nginx.conf :

location ~ \.php$ {

root           html;

fastcgi_pass   127.0.0.1:9000;

fastcgi_index  index.php;

fastcgi_param  SCRIPT_FILENAME  /usr/share/nginx/html$fastcgi_script_name;

include        fastcgi_params;

}

Рестартуем Nginx:

# service nginx restart

Создаем тестовый файл для проверки работы php – /usr/share/nginx/html/info.php:

<?php

phpinfo();

?>

Проверяем в браузере. Все должно работать.

Удачи в настройках.

© shadow_alone

# vim ~/.inputrc

“\e[A”:history-search-backward

“\e[B”:history-search-forward

# yum update

#меняем на понравившийся Вам порт. например 3522

Port 3522

#отключаем возможность захода по ssh из под root

PermitRootLogin no

#Разрешаем вход по ssh только user (если нужно несколько пользователей пускать по ssh, то лучше для этого создать отдельную группу, добавить этих пользователей в нее и сделать AllowGroups)

AllowUsers user

#Проверяем что не разрешен вход с пустым паролем (по умолчанию отключено)

PermitEmptyPasswords no

# /etc/init.d/sshd restart

# iptables -L -n -v –line-numbers (так нагляднее)

iptables -A INPUT -s ваш_IP -j ACCEPT # разрешаем полный доступ себе, если конечно ip постоянный

iptables -A INPUT -m state –state ESTABLISHED -j ACCEPT # разрешаем уже имеющиеся соединения

iptables -A INPUT -m state –state RELATED -j ACCEPT

iptables -A -i lo -j ACCEPT # разрешаем соединения с локально интерфейса

# далее небольшая махинация с входом по ssh, защищает от попытки перебора паролей

# разрешаем попытки входа по ssh не более 3-х, если привысило, IP заблокируется на 60 сек, заодно логируем и метим,удобно видеть в логах

iptables -A INPUT -p tcp –dport 3522 -m recent –set –name SEC –syn -m state –state NEW -j ACCEPT

iptables -A INPUT -p tcp –dport 3522 -m recent –update –seconds 60 –hitcount 3 –rttl –name SEC -j LOG –log-prefix “BRUTE FORCE “

iptables -A INPUT -p tcp –dport 3522 -m recent –update –seconds 60 –hitcount 3 –rttl –name SEC -j DROP

# далее, надо открыть порты которые будут у нас доступны из-вне

iptables -A INPUT -p tcp -m tcp –dport 80 -j ACCEPT # http-сервер

iptables -A INPUT -p tcp -m tcp –dport 110 -j ACCEPT # pop3-сервер

iptables -A INPUT -p tcp -m tcp –dport 25 -j ACCEPT # smtp-сервер

# короче открываем кому что надо.

# ну и в конце, поставим на цепочки DROP по умолчинию

iptables -P INPUT DROP

iptables -P FORWARD DROP

# цепочку OUTPUT я оставляю в ACCEPT

# iptables-save >/etc/sysconfig/iptables

# /etc/init.d/iptables restart

# ssh-keygen

# ssh-copy-id “-p 3522 ip_вашего сервера”

# yum install logwatch

# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/

# vim /etc/logwatch/conf/logwatch.conf

MailTo = ваш_email

MailFrom = Logwatch_server_name #(чтоб нагляднее было по приходу писем)

Detail = High #(чтоб подробнее было)

/etc/cron.daily/0logwatch

PassivePorts  60000 60235

pasv_min_port=60000

pasv_max_port=60235

iptables -A INPUT -p tcp -m tcp –dport 21 -j ACCEPT # ftp-сервер

iptables -A INPUT -p tcp -m tcp –dport 20 -j ACCEPT # ftp-data для активного режима

iptables -A INPUT -p tcp -m tcp –dport 60000:60235 -j ACCEPT

# iptables-save >/etc/sysconfig/iptables

Вот и все. Далее уже можно ставить необходимое программное обеспечение. Удачи в настройках.

© shadow_alone

Для тех, кто в танке: на cisco можно посмотреть соседей с включенным CDP коммандой sh cdp nei. Комманда выведет оборудование которое подключено, на каком порту и т.д., более подробно sh cdp ent Device_ID, уже по конкретному девайсу.

Так вот, мы сейчас попробуем включить это и в Linux, в данном, конкретном случае, настраивать будем на CentOS 5.4, на Debian-подобных дистрах почти тож самое, за исключением процесса сборки и расположения файлов.

# rpm -Uhv lldpd-0.4.0-1.fc10.src.rpm

# rpmbuild -bb /usr/src/redhat/SPECS/lldpd.spec

# rpm -Uhv /usr/src/redhat/RPMS/i386/lldpd-0.4.0-1.i386.rpm

настраиваем опции запуска демона, открываем файл:

# vim /etc/sysconfig/lldpd

и правим

OPTIONS=”-v -c”

-v – включаем поддержку vlan если они у Вас есть на машине с Linux

-c – включаем протокол CDP

более подробную информацию можно посмотреть по man lldpd

запускаем демон:

# /etc/init.d/lldpd start

после запуска, в файле /var/log/messages мы увидим приблизительно такие строки:

lldpd[30206]: lldpd_decode: switching to CDPv2 on port eth1
lldpd[30206]: lldpd_decode: switching to CDPv2 on port eth0

всё в порядке, демон стартанул.

Чтоб все работало, на оборудовании с другой стороны, на порту, должен быть включен CDP, то есть не должно стоять no cdp enable на интерфейсе.

Собственно, осталось только проверить как все работает и получить информацию.

# lldpctl

получаем:
-------------------------------------------------------------------------------
    LLDP neighbors
-------------------------------------------------------------------------------
Interface: eth0
 ChassisID: sw-b-48 (local)
 SysName:   sw-b-48
 SysDescr:
   cisco WS-C2960-48TT-L running on
   Cisco IOS Software, C2960 Software (C2960-LANBASE-M)
   Copyright (c) 1986-2007 by Cisco Systems, Inc.
   Compiled Thu 19-Jul-07 20:06 by nachen
 MgmtIP:    172.16.25.48
 Caps:      Bridge(E)
 PortID:    FastEthernet0/4 (ifName)
 PortDescr: FastEthernet0/4
-------------------------------------------------------------------------------

видим , что на другой стороне у нас свитч C2960, версию IOS, порт свитча, к которуму подключена машина с Linux.

Для остроты ощущений, посмотрим вывод на cisco, у нас там появилось:

my.linux.machine
Fas 0/4           92             R       Linux     eth0

то есть, опять таки , видим, что у нас на порту fa0/4 подключена машина с Linux, сетевое имя машины, и её сетевушка eth0.

Добавлю: можно собрать пакет из сорсов tar.gz и самому, но в моем случае это не true-way, все должно быть упорядочено. В Debian-подобных дистрах, файл настройки демона расположен в /etc/default/

стоит отметить еще утилиту cdpr, но с её помощью можно только получать информацию по CDP, а не обмениваться ей, для RH-дистров она есть в репозитарии rpmforge.

Вот и все. Удачи в настройках.

© shadow_alone
это мой крос-пост с qwerty и habr.ru

ну и наконец, на предмет HVM, уже после того как загрузились с ядром XEN
# grep -i hvm /sys/hypervisor/properties/capabilities

Если поддержка есть, то можно использовать полноценную виртуализацию, если нет, не отчаивайтесь, можно использовать паравиртуализацию.

И так, приступим.

Устанавливаем XEN-новское ядро и сам XEN
# yum install kernel-xen xen

правим /boot/grub/menu.lst на предмет того, чтоб грузилось именно XEN-новское ядро (можно и руками конечно выбрать при загрузке).

ставим всю группу виртуализации (необязательно)
# yum groupinstall “Virtualization”

ставим QEMU
# yum install qemu

перезагружаемся с новым ядром. при выводе uname -r, должны получить примерно такое 2.6.18-164.el5xen.

теперь посмотрим xm list , получим следующее:
Name                                      ID Mem(MiB) VCPUs State   Time(s)
Domain-0                                   0     1398     2 r-----   1048.5

Создадим папку для имеджей виртуальных машин
# mkdir /vm
Можно использовать не файлы имиджей , а LVM тома.

Теперь можно переходить к установке виртуальной машины. Сначала будем устанавливать машину с CentOS в режиме паравиртуализации. Установка будет по сети.

# virt-install
и отвечаем на вопросы, примерно так

Would you like a fully virtualized guest (yes or no)? This will allow you to run unmodified operating systems. <– no (отказываемся от полной виртуализации)

What is the name of your virtual machine? <– v1 (имя виртуальной машины) How much RAM should be allocated (in megabytes)? <– 384 (количество памяти)

What would you like to use as the disk (file path)? <– /vm/v1.img (файл имиджа на диске или LVM-том)

How large would you like the disk (/vm/v1.img) to be (in gigabytes)? <– 10 (размер диска в Гб)

Would you like to enable graphics support? (yes or no) <– no (поддержка графического режима) What is the virtual CD image, CD device or install location? <– http://mirror.centos.org/centos/5.3/os/i386 (откуда собственно будем ставить)

Если нет у вас хороший, то ждать придеться не очень долго, в противном случае запаситесь терпением, заминка на stage2 (чуть больше 100 Мб)

Далее вы попадете в консоль устанавливаемой машины, где начнется установка в текстовом режиме, в псевдографике. Само-собой ставим только минимальный набор, все равно потом обновляться из сети.

Выйти из консоли данной машины можно по Ctrl-], а попасть обратно

# xm console v1

Следует заметить, что при такой установке, сетевая карта в создаваемой машине садиться бриджем на ваш первый интерфейс, можно поменять настройки в файле /etc/xen/xend-config.sxp
например , мне нужно было, что б виртуальные машины были бриджом не с eth0, а с eth1, правим параметр
(network-script ‘network-bridge netdev=eth1′)

Вообще в этом файле много интересных настроек, так что, внимательно читаем примеры.

После того как машина установилась, перезагружаемся (имею ввиду виртуальную машину), и если вы при установке правильно настроили сеть, можем зайти на нее уже по ssh. В противном случае, заходим в консоль
# xm console v1
заходим рутом, настраиваем сеть.

# xm list
Name                                      ID Mem(MiB) VCPUs State   Time(s)
Domain-0                                   0     1398     2 r-----   1052.3
v1                                        42      384     2 r-----      2.3

Наша машина запущена и работает. Советую посмотреть вывод команды xm -h, тогда вы будете знать как запустить и остановить виртуальную машину :)

В принципе, ничего сложного, все должно получиться без проблем.
Мы установили гостевую машину в режиме паравиртуализации. Теперь приступим к установке машины в режиме полной виртуализации, а это значит, что можно установить даже винду :), но это только в том случае, если ваш процессор поддерживает это (см. начало статьи).

Подготовим iso-образ инсталяционного диска w2k3, положим его в /root/w2k3.iso
Нам понадобиться так же vncviewer (у каждого на свой вкус и цвет). Я настраивал все это на удаленной машине, а на локальной для подключение во vnc использовал Vinagre.
Правим файл /etc/xen/xend-config.sxp на предмет:
(vnc-listen ’0.0.0.0′) – чтоб слушало на всех интерфейсах, по дефолту 127.0.0.1
(vncpasswd ‘pipec_parol’) – пароль
запускаем установку:
# virt-install –noautoconsole –cdrom /root/w2k3.iso
отвечаем на вопросы:

Would you like a fully virtualized guest (yes or no)? 
This will allow you to run unmodified operating systems. <-- yes 

What is the name of your virtual machine? <-- w2k (имя виртуальной машины)
How much RAM should be allocated (in megabytes)? <-- 768 (количество памяти)
What would you like to use as the disk (file path)? <-- /vm/w2k.img
How large would you like the disk (/vm/v1.img) to be (in gigabytes)? <-- 10
Would you like to enable graphics support? (yes or no) <-- yes (графический режим)

Начнеться установка. Теперь надо подключиться к этому процесу по vnc. порты назначаються на первый свободный начиная с 5900, можно посмотреть, какой порт слушает родительсткая машина по netstat.

Подключаемся, видем процесс установки, отвечаем на вопросы, разбиваем диск и т.д. Начнеться копирование файлов, после которого будет перезагрузка и ….. не стоит отчаиваться все ни так уже и плохо, во первых просто поменялся порт vnc на +1 (опять таки посмотреть можно по netstat), во вторых винда сказала, что мля нет диска в cdrom и она не может продолжить установку. Не беда. Останавливаем машину
# xm shutdown w2k
правим файл /etc/xen/w2k

было: disk = [ "file:/vm/w2k.img,hda,w", ",hdc:cdrom,r" ]
стало: disk = [ "file:/vm/w2k.img,hda,w", "file:/root/w2k3.iso,hdc:cdrom,r" ]

и запускам машину опять
# xm create w2k
подключаемся по vnc и продолжаем установку.
После удачной установки, настраиваем сеть, ставим на винду радмин или разрешаем терминальный доступ, кому как удобно. Выключаем машину. Возвращаем на место:

было: disk = [ "file:/vm/w2k.img,hda,w", "file:/root/w2k3.iso,hdc:cdrom,r" ] – вы теперь занете как подключить к винде iso-образ
стало: disk = [ "file:/vm/w2k.img,hda,w", ",hdc:cdrom,r" ]

комментируем
# vnc = 1
# vncunused = 1
нам не понадобиться больше vnc
Запускаем машину
# xm create w2k
Подключаемся к ней терминалкой или радмином.
Чтоб виртуальные машины автоматически загружались, при загрузке родительской, создаем символические ссылки:

# ln -s /etc/xen/w2k /etc/xen/auto/
# ln -s /etc/xen/v1 /etc/xen/auto/

Вот и все. Удачи в настройках.
© shadow_alone

Сейчас очень многие девайсы поддерживают работу через радиус, например точки доступа Wi-Fi.

Устанавливаем MySQL, если он конечно у Вас уже не стоит

#yum install mysql mysql-devel mysql-server

#chkconfig –levels 235 mysqld on
#/etc/init.d/mysqld start

#netstat -tap | grep mysql
получаем:
[root@nx ~]# netstat -tap | grep mysql
tcp        0      0 *:mysql                     *:*                         LISTEN      2793/mysqld

установим пароль для пользователя root для MySQL:
mysqladmin -u root password 123456

Устанавливаем FreeRadius
yum install freeradius freeradius-mysql

Правим файл /etc/raddb/users, добавляем:

shad  Auth-Type := Local, User-Password == “test”
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 192.168.0.7,
Framed-IP-Netmask = 255.255.255.0,

правим /etc/raddb/clients.conf
раздел client 127.0.0.1 должен выглядеть вот так:

client 127.0.0.1 {
secret          = 123
shortname       = localhost
nastype     = other
}

проверяем:
#radiusd -X
на другой консоли
#radtest shad test localhost 1812 123
получаем:
Sending Access-Request of id 35 to 127.0.0.1 port 1812
User-Name = “shad”
User-Password = “test”
NAS-IP-Address = 255.255.255.255
NAS-Port = 1812
rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=35, length=44
Service-Type = Framed-User
Framed-Protocol = PPP
Framed-IP-Address = 192.168.0.7
Framed-IP-Netmask = 255.255.255.0
Радиус работает и отвечает

перейдем к настройкам MySQL
#mysql -u root -p
mysql>CREATE DATABASE radius;
mysql>GRANT ALL ON radius.* TO radius@localhost IDENTIFIED BY “123″;
mysql>\q

#mysql -u root -p radius </usr/share/doc/freeradius-1.1.3/examples/mysql.sql

проверяем:

mysql -u root -p
mysql>use database radius;
mysql>show tables;
mysql>\q

правим /etc/raddb/sql.conf, раскомментируем
readclients = yes

правим /etc/raddb/radiusd.conf
в секциях authorize{},accounting{}, session{}, post-auth{} раскомментируем
sql
получиться примерно так:
authorize {
preprocess
chap
mschap
suffix
eap
sql
pap
}

Заполним базу в MySQL:
#mysql -u root -p
mysql> use database radius;
mysql> INSERT INTO radcheck (UserName, Attribute, Value) VALUES (‘testsql’, ‘Password’, ‘test123′);
проверяем:
mysql> select * from radcheck where UserName=’testsql’;
mysql>\q

правим /etc/raddb/sql.conf
выставляем правильные значения:
server = “localhost”
login = “radius”
password = “123″
radius_db = “radius”

в файле /etc/raddb/users комментируем строки
#DEFAULT        Auth-Type = System
#       Fall-Through = 1

запускаем radiusd -X
на другой консоли
#radtest testsql test123 localhost 1812 123

если получили Access-Accept, то всё в порядке, связка FreeRadius+MySQL работает, теперь можете заполнять таблицы DB нужными значениями и использовать в своих устройствах авторизыции через Ваш радиус, для этого IP устройства надо добавить в /etc/raddb/clients.conf, примерно так:

client 192.168.0.55 {
secret          = MysUp3rseCr3t
shortname       = my_device_name
nastype     = other
}

Удачной работы!!!

© shadow_alone

]]> http://wiki.dodex.org/2009/07/21/freeradiusmysql/feed/ 0