OpenVPN પર SMB સંસ્થાના દૂરસ્થ કાર્યનું સંગઠન

સમસ્યાની રચના

આ લેખ ઓપન સોર્સ પ્રોડક્ટ્સ પર કર્મચારીઓ માટે રિમોટ એક્સેસના સંગઠનનું વર્ણન કરે છે અને તેનો ઉપયોગ સંપૂર્ણપણે સ્વાયત્ત સિસ્ટમ બનાવવા બંને માટે થઈ શકે છે, અને જ્યારે હાલની વ્યાપારી સિસ્ટમમાં લાયસન્સની અછત હોય અથવા તેની કામગીરી અપૂરતી હોય ત્યારે વિસ્તરણ માટે ઉપયોગી થશે.

લેખનો ધ્યેય સંસ્થાને રિમોટ એક્સેસ પ્રદાન કરવા માટે એક સંપૂર્ણ સિસ્ટમનો અમલ કરવાનો છે, જે "10 મિનિટમાં OpenVPN ઇન્સ્ટોલ કરવા" કરતાં થોડું વધારે છે.

પરિણામે, અમને એક સિસ્ટમ મળશે જેમાં પ્રમાણપત્રો અને (વૈકલ્પિક રીતે) કોર્પોરેટ એક્ટિવ ડિરેક્ટરીનો ઉપયોગ વપરાશકર્તાઓને પ્રમાણિત કરવા માટે કરવામાં આવશે. તે. અમને બે ચકાસણી પરિબળો સાથેની સિસ્ટમ મળશે - મારી પાસે શું છે (પ્રમાણપત્ર) અને હું શું જાણું છું (પાસવર્ડ).

વપરાશકર્તાને કનેક્ટ કરવાની મંજૂરી છે તે સંકેત એ myVPNUsr જૂથમાં તેમની સભ્યપદ છે. સર્ટિફિકેટ ઓથોરિટીનો ઉપયોગ ઑફલાઇન કરવામાં આવશે.

સોલ્યુશનના અમલીકરણની કિંમત માત્ર નાના હાર્ડવેર સંસાધનો અને સિસ્ટમ એડમિનિસ્ટ્રેટરનું 1 કલાક કામ છે.

અમે CetntOS 3 પર OpenVPN અને Easy-RSA સંસ્કરણ 7 સાથે વર્ચ્યુઅલ મશીનનો ઉપયોગ કરીશું, જેને 100 કનેક્શન દીઠ 4 vCPUs અને 4 GiB RAM ફાળવવામાં આવી છે.

ઉદાહરણમાં, અમારી સંસ્થાનું નેટવર્ક 172.16.0.0/16 છે, જેમાં 172.16.19.123 સરનામા સાથેનું VPN સર્વર 172.16.19.0/24 સેગમેન્ટમાં, DNS સર્વર્સ 172.16.16.16 અને 172.16.17.17 નેટ અને 172.16.20.0 નેટમાં સ્થિત છે. .23/XNUMX VPN ક્લાયન્ટ્સ માટે ફાળવેલ છે.

બહારથી કનેક્ટ થવા માટે, પોર્ટ 1194/udp દ્વારા કનેક્શનનો ઉપયોગ કરવામાં આવે છે, અને અમારા સર્વર માટે DNS માં A-record gw.abc.ru બનાવવામાં આવ્યો છે.

SELinux ને નિષ્ક્રિય કરવાની સખત ભલામણ કરવામાં આવતી નથી! OpenVPN સુરક્ષા નીતિઓને અક્ષમ કર્યા વિના કાર્ય કરે છે.

અનુક્રમણિકા

1. OS અને એપ્લિકેશન સોફ્ટવેરની સ્થાપના
2. ક્રિપ્ટોગ્રાફી સેટ કરી રહ્યું છે
3. OpenVPN સેટ કરી રહ્યું છે
4. એડી પ્રમાણીકરણ
5. સ્ટાર્ટઅપ અને ડાયગ્નોસ્ટિક્સ
6. પ્રમાણપત્ર મુદ્દો અને રદબાતલ
7. નેટવર્ક ગોઠવણી
8. આગળ શું છે

OS અને એપ્લિકેશન સોફ્ટવેરની સ્થાપના

અમે CentOS 7.8.2003 વિતરણનો ઉપયોગ કરીએ છીએ. અમારે ન્યૂનતમ રૂપરેખાંકનમાં OS ઇન્સ્ટોલ કરવાની જરૂર છે. તેનો ઉપયોગ કરીને આ કરવું અનુકૂળ છે કિકસ્ટાર્ટ, અગાઉ ઇન્સ્ટોલ કરેલ OS ઇમેજ અને અન્ય માધ્યમોનું ક્લોનિંગ.

ઇન્સ્ટોલેશન પછી, નેટવર્ક ઇન્ટરફેસને સરનામું સોંપવું (ટાસ્કની શરતો 172.16.19.123 અનુસાર), અમે OS ને અપડેટ કરીએ છીએ:

$ sudo yum update -y && reboot

અમારે એ પણ સુનિશ્ચિત કરવાની જરૂર છે કે અમારા મશીન પર સમય સુમેળ કરવામાં આવે છે.
એપ્લિકેશન સોફ્ટવેર ઇન્સ્ટોલ કરવા માટે, તમારે મુખ્ય સંપાદક તરીકે openvpn, openvpn-auth-ldap, easy-rsa અને vim પેકેજોની જરૂર છે (તમને EPEL રીપોઝીટરીની જરૂર પડશે).

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

વર્ચ્યુઅલ મશીન માટે ગેસ્ટ એજન્ટ ઇન્સ્ટોલ કરવું ઉપયોગી છે:

$ sudo yum install open-vm-tools

VMware ESXi હોસ્ટ માટે અથવા oVirt માટે

$ sudo yum install ovirt-guest-agent

ક્રિપ્ટોગ્રાફી સેટ કરી રહ્યું છે

સરળ-rsa ડિરેક્ટરી પર જાઓ:

$ cd /usr/share/easy-rsa/3/

ચલ ફાઇલ બનાવો:

$ sudo vim vars

નીચેની સામગ્રી:

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

શરતી સંસ્થા એબીસી એલએલસી માટેના પરિમાણો અહીં વર્ણવેલ છે; તમે તેમને વાસ્તવિકમાં સુધારી શકો છો અથવા તેમને ઉદાહરણમાંથી છોડી શકો છો. પરિમાણોમાં સૌથી મહત્વની બાબત એ છેલ્લી લાઇન છે, જે પ્રમાણપત્રની માન્યતા અવધિ દિવસોમાં નક્કી કરે છે. ઉદાહરણ મૂલ્ય 10 વર્ષ (365*10+2 લીપ વર્ષ) વાપરે છે. વપરાશકર્તા પ્રમાણપત્રો જારી કરવામાં આવે તે પહેલાં આ મૂલ્યને સમાયોજિત કરવાની જરૂર પડશે.

આગળ, અમે ઓટોનોમસ સર્ટિફિકેશન ઓથોરિટીને ગોઠવીએ છીએ.

સેટઅપમાં ચલોની નિકાસ કરવી, CA શરૂ કરવી, CA રૂટ કી અને પ્રમાણપત્ર જારી કરવું, ડિફી-હેલમેન કી, TLS કી અને સર્વર કી અને પ્રમાણપત્રનો સમાવેશ થાય છે. CA કી કાળજીપૂર્વક સુરક્ષિત હોવી જોઈએ અને ગુપ્ત રાખવી જોઈએ! તમામ ક્વેરી પરિમાણોને ડિફોલ્ટ તરીકે છોડી શકાય છે.

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

આ ક્રિપ્ટોગ્રાફિક મિકેનિઝમ સેટ કરવાના મુખ્ય ભાગને પૂર્ણ કરે છે.

OpenVPN સેટ કરી રહ્યું છે

OpenVPN ડિરેક્ટરી પર જાઓ, સર્વિસ ડિરેક્ટરીઓ બનાવો અને easy-rsa માં લિંક ઉમેરો:

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

મુખ્ય OpenVPN રૂપરેખાંકન ફાઇલ બનાવો:

$ sudo vim server.conf

નીચેની સામગ્રી

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

પરિમાણો પર કેટલીક નોંધો:

• જો પ્રમાણપત્ર જારી કરતી વખતે કોઈ અલગ નામનો ઉલ્લેખ કરવામાં આવ્યો હોય, તો તેને સૂચવો;
• તમારા કાર્યોને અનુરૂપ સરનામાંનો પૂલ સ્પષ્ટ કરો*;
• ત્યાં એક અથવા વધુ રૂટ અને DNS સર્વર હોઈ શકે છે;
• AD** માં પ્રમાણીકરણ અમલમાં મૂકવા માટે છેલ્લી 2 લાઇનની જરૂર છે.

*ઉદાહરણમાં પસંદ કરેલ સરનામાંઓની શ્રેણી 127 જેટલા ક્લાયન્ટ્સને એકસાથે જોડાવા માટે પરવાનગી આપશે, કારણ કે /23 નેટવર્ક પસંદ થયેલ છે, અને OpenVPN /30 માસ્કનો ઉપયોગ કરીને દરેક ક્લાયંટ માટે સબનેટ બનાવે છે.
જો ખાસ કરીને જરૂરી હોય તો, પોર્ટ અને પ્રોટોકોલ બદલી શકાય છે, જો કે, એ ધ્યાનમાં રાખવું જોઈએ કે પોર્ટ પોર્ટ નંબર બદલવાથી SELinux ની ગોઠવણી કરવામાં આવશે, અને tcp પ્રોટોકોલનો ઉપયોગ ઓવરહેડમાં વધારો કરશે, કારણ કે TCP પેકેટ ડિલિવરી કંટ્રોલ પહેલાથી જ ટનલમાં સમાવિષ્ટ પેકેટોના સ્તરે કરવામાં આવે છે.

**જો AD માં પ્રમાણીકરણની જરૂર ન હોય, તો તેના પર ટિપ્પણી કરો, આગલા વિભાગને છોડી દો, અને નમૂનામાં auth-user-pass લાઇન દૂર કરો.

એડી પ્રમાણીકરણ

બીજા પરિબળને સમર્થન આપવા માટે, અમે AD માં એકાઉન્ટ વેરિફિકેશનનો ઉપયોગ કરીશું.

અમને સામાન્ય વપરાશકર્તા અને જૂથના અધિકારો સાથેના ડોમેનમાં એક એકાઉન્ટની જરૂર છે, સભ્યપદ જેમાં કનેક્ટ કરવાની ક્ષમતા નક્કી કરવામાં આવશે.

રૂપરેખાંકન ફાઇલ બનાવો:

/etc/openvpn/ldap.conf

નીચેની સામગ્રી

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

કી પરિમાણો:

• URL “ldap://ldap.abc.ru” - ડોમેન નિયંત્રક સરનામું;
• BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - LDAP સાથે બંધનકર્તા માટે પ્રમાણભૂત નામ (UZ - abc.ru/Users કન્ટેનરમાં bindUsr);
• પાસવર્ડ b1ndP@SS — બંધનકર્તા માટે વપરાશકર્તા પાસવર્ડ;
• BaseDN “OU=allUsr,DC=abc,DC=ru” — પાથ કે જ્યાંથી વપરાશકર્તાને શોધવાનું શરૂ કરવું;
• BaseDN “OU=myGrp,DC=abc,DC=ru” – મંજૂરી આપતા જૂથનું કન્ટેનર (abc.rumyGrp કન્ટેનરમાં myVPNUsr જૂથ);
• સર્ચફિલ્ટર "(cn=myVPNUsr)" એ મંજૂરી આપતા જૂથનું નામ છે.

સ્ટાર્ટઅપ અને ડાયગ્નોસ્ટિક્સ

હવે અમે અમારા સર્વરને સક્ષમ અને શરૂ કરવાનો પ્રયાસ કરી શકીએ છીએ:

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

સ્ટાર્ટઅપ તપાસ:

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

પ્રમાણપત્ર મુદ્દો અને રદબાતલ

કારણ કે પ્રમાણપત્રો ઉપરાંત, તમારે કીઓ અને અન્ય સેટિંગ્સની જરૂર છે; આ બધું એક પ્રોફાઇલ ફાઇલમાં લપેટવું ખૂબ અનુકૂળ છે. આ ફાઇલ પછી વપરાશકર્તાને ટ્રાન્સફર કરવામાં આવે છે અને પ્રોફાઇલ OpenVPN ક્લાયંટ પર આયાત કરવામાં આવે છે. આ કરવા માટે, અમે સેટિંગ્સ ટેમ્પલેટ અને એક સ્ક્રિપ્ટ બનાવીશું જે પ્રોફાઇલ જનરેટ કરે છે.

તમારે પ્રોફાઇલમાં રૂટ સર્ટિફિકેટ (ca.crt) અને TLS કી (ta.key) ફાઈલોની સામગ્રી ઉમેરવાની જરૂર છે.

વપરાશકર્તા પ્રમાણપત્રો જારી કરતા પહેલા પ્રમાણપત્રો માટે જરૂરી માન્યતા અવધિ સેટ કરવાનું ભૂલશો નહીં પરિમાણો ફાઇલમાં. તમારે તેને ખૂબ લાંબુ ન બનાવવું જોઈએ; હું તમારી જાતને મહત્તમ 180 દિવસ સુધી મર્યાદિત રાખવાની ભલામણ કરું છું.

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

નોંધ:

• રેખાઓ તમારા મૂકો... સામગ્રીમાં બદલો પોતાના પ્રમાણપત્રો;
• રિમોટ ડાયરેક્ટિવમાં, તમારા ગેટવેનું નામ/સરનામું સ્પષ્ટ કરો;
• auth-user-pass ડાયરેક્ટિવનો ઉપયોગ વધારાના બાહ્ય પ્રમાણીકરણ માટે થાય છે.

હોમ ડિરેક્ટરીમાં (અથવા અન્ય અનુકૂળ સ્થાન) અમે પ્રમાણપત્રની વિનંતી કરવા અને પ્રોફાઇલ બનાવવા માટે એક સ્ક્રિપ્ટ બનાવીએ છીએ:

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

ફાઇલને એક્ઝેક્યુટેબલ બનાવવી:

chmod a+x ~/make.profile.sh

અને અમે અમારું પ્રથમ પ્રમાણપત્ર જારી કરી શકીએ છીએ.

~/make.profile.sh my-first-user

પ્રતિસાદ

પ્રમાણપત્ર (નુકસાન, ચોરી) સાથે સમાધાનના કિસ્સામાં, આ પ્રમાણપત્રને રદ કરવું જરૂરી છે:

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

જારી કરેલ અને રદ કરેલ પ્રમાણપત્રો જુઓ

જારી કરેલ અને રદ કરેલ પ્રમાણપત્રો જોવા માટે, ફક્ત ઇન્ડેક્સ ફાઇલ જુઓ:

cd /usr/share/easy-rsa/3/
cat pki/index.txt

સ્પષ્ટતાઓ:

• પ્રથમ લાઇન સર્વર પ્રમાણપત્ર છે;
• પ્રથમ પાત્ર
  • વી (માન્ય) - માન્ય;
  • આર (રદ) - યાદ.

નેટવર્ક ગોઠવણી

છેલ્લા પગલાઓ ટ્રાન્સમિશન નેટવર્ક - રૂટીંગ અને ફાયરવોલને ગોઠવવાનું છે.

સ્થાનિક ફાયરવોલમાં કનેક્શન્સને મંજૂરી આપવી:

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

આગળ, IP ટ્રાફિક રૂટીંગ સક્ષમ કરો:

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

કોર્પોરેટ વાતાવરણમાં, સબનેટિંગ થવાની સંભાવના છે અને અમારે અમારા VPN ક્લાયન્ટ્સ માટે નિર્ધારિત પેકેટો કેવી રીતે મોકલવા તે રાઉટર(ઓ)ને જણાવવાની જરૂર છે. કમાન્ડ લાઇન પર આપણે આદેશને આ રીતે ચલાવીએ છીએ (વપરાતા સાધનોના આધારે):

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

અને રૂપરેખાંકન સાચવો.

વધુમાં, બોર્ડર રાઉટર ઈન્ટરફેસ પર જ્યાં બાહ્ય સરનામું gw.abc.ru આપવામાં આવે છે, ત્યાં udp/1194 પેકેટોને પસાર થવા દેવાની જરૂર છે.

જો સંસ્થા પાસે કડક સુરક્ષા નિયમો હોય, તો અમારા VPN સર્વર પર ફાયરવોલ પણ ગોઠવેલી હોવી જોઈએ. મારા મતે, સૌથી વધુ લવચીકતા iptables FORWARD સાંકળો સેટ કરીને પૂરી પાડવામાં આવે છે, જો કે તેમને સેટ કરવું ઓછું અનુકૂળ છે. તેમને સેટ કરવા વિશે થોડું વધુ. આ કરવા માટે, "સીધા નિયમો" નો ઉપયોગ કરવો સૌથી અનુકૂળ છે - સીધા નિયમો, ફાઇલમાં સંગ્રહિત /etc/firewalld/direct.xml. નિયમોનું વર્તમાન રૂપરેખાંકન નીચે મુજબ મળી શકે છે:

$ sudo firewall-cmd --direct --get-all-rule

ફાઇલ બદલતા પહેલા, તેની બેકઅપ કોપી બનાવો:

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

ફાઇલની અંદાજિત સામગ્રીઓ છે:

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

સમજૂતીઓ

આ અનિવાર્યપણે નિયમિત iptables નિયમો છે, અન્યથા ફાયરવૉલ્ડના આગમન પછી પેકેજ થયેલ છે.

ડિફૉલ્ટ સેટિંગ્સ સાથેનું ગંતવ્ય ઇન્ટરફેસ tun0 છે, અને ટનલ માટેનું બાહ્ય ઇન્ટરફેસ અલગ હોઈ શકે છે, ઉદાહરણ તરીકે, ens192, વપરાયેલ પ્લેટફોર્મના આધારે.

છેલ્લી લાઇન ડ્રોપ થયેલા પેકેટો લોગીંગ માટે છે. કામ પર લોગીંગ કરવા માટે, તમારે ફાયરવોલ્ડ રૂપરેખાંકનમાં ડીબગ સ્તર બદલવાની જરૂર છે:

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

સેટિંગ્સને ફરીથી વાંચવા માટે સેટિંગ્સ લાગુ કરવી એ સામાન્ય ફાયરવોલ્ડ આદેશ છે:

$ sudo firewall-cmd --reload

તમે આ રીતે છોડેલા પેકેટો જોઈ શકો છો:

grep forward_fw /var/log/messages

આગળ શું છે

આ સેટઅપ પૂર્ણ કરે છે!

જે બાકી છે તે ક્લાયંટ બાજુ પર ક્લાયંટ સોફ્ટવેર ઇન્સ્ટોલ કરવાનું છે, પ્રોફાઇલ આયાત કરો અને કનેક્ટ કરો. વિન્ડોઝ ઑપરેટિંગ સિસ્ટમ્સ માટે, વિતરણ કીટ પર સ્થિત છે વિકાસકર્તા સાઇટ.

અંતે, અમે અમારા નવા સર્વરને મોનિટરિંગ અને આર્કાઇવિંગ સિસ્ટમ્સ સાથે જોડીએ છીએ, અને નિયમિતપણે અપડેટ્સ ઇન્સ્ટોલ કરવાનું ભૂલશો નહીં.

સ્થિર જોડાણ!

સોર્સ: www.habr.com