เชธเชฎเชธเซเชฏเชพเชจเซ เชฐเชเชจเชพ
เช เชฒเซเช เชเชชเชจ เชธเซเชฐเซเชธ เชชเซเชฐเซเชกเชเซเชเซเชธ เชชเชฐ เชเชฐเซเชฎเชเชพเชฐเซเช เชฎเชพเชเซ เชฐเชฟเชฎเซเช เชเชเซเชธเซเชธเชจเชพ เชธเชเชเช เชจเชจเซเช เชตเชฐเซเชฃเชจ เชเชฐเซ เชเซ เช เชจเซ เชคเซเชจเซ เชเชชเชฏเซเช เชธเชเชชเซเชฐเซเชฃเชชเชฃเซ เชธเซเชตเชพเชฏเชคเซเชค เชธเชฟเชธเซเชเชฎ เชฌเชจเชพเชตเชตเชพ เชฌเชเชจเซ เชฎเชพเชเซ เชฅเช เชถเชเซ เชเซ, เช เชจเซ เชเซเชฏเชพเชฐเซ เชนเชพเชฒเชจเซ เชตเซเชฏเชพเชชเชพเชฐเซ เชธเชฟเชธเซเชเชฎเชฎเชพเช เชฒเชพเชฏเชธเชจเซเชธเชจเซ เช เชเชค เชนเซเชฏ เช เชฅเชตเชพ เชคเซเชจเซ เชเชพเชฎเชเซเชฐเซ เช เชชเซเชฐเชคเซ เชนเซเชฏ เชคเซเชฏเชพเชฐเซ เชตเชฟเชธเซเชคเชฐเชฃ เชฎเชพเชเซ เชเชชเชฏเซเชเซ เชฅเชถเซ.
เชฒเซเชเชจเซ เชงเซเชฏเซเชฏ เชธเชเชธเซเชฅเชพเชจเซ เชฐเชฟเชฎเซเช เชเชเซเชธเซเชธ เชชเซเชฐเชฆเชพเชจ เชเชฐเชตเชพ เชฎเชพเชเซ เชเช เชธเชเชชเซเชฐเซเชฃ เชธเชฟเชธเซเชเชฎเชจเซ เช เชฎเชฒ เชเชฐเชตเชพเชจเซ เชเซ, เชเซ "10 เชฎเชฟเชจเชฟเชเชฎเชพเช OpenVPN เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเชพ" เชเชฐเชคเชพเช เชฅเซเชกเซเช เชตเชงเชพเชฐเซ เชเซ.
เชชเชฐเชฟเชฃเชพเชฎเซ, เช เชฎเชจเซ เชเช เชธเชฟเชธเซเชเชฎ เชฎเชณเชถเซ เชเซเชฎเชพเช เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เช เชจเซ (เชตเซเชเชฒเซเชชเชฟเช เชฐเซเชคเซ) เชเซเชฐเซเชชเซเชฐเซเช เชเชเซเชเชฟเชต เชกเชฟเชฐเซเชเซเชเชฐเซเชจเซ เชเชชเชฏเซเช เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชเชจเซ เชชเซเชฐเชฎเชพเชฃเชฟเชค เชเชฐเชตเชพ เชฎเชพเชเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเชถเซ. เชคเซ. เช เชฎเชจเซ เชฌเซ เชเชเชพเชธเชฃเซ เชชเชฐเชฟเชฌเชณเซ เชธเชพเชฅเซเชจเซ เชธเชฟเชธเซเชเชฎ เชฎเชณเชถเซ - เชฎเชพเชฐเซ เชชเชพเชธเซ เชถเซเช เชเซ (เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ) เช เชจเซ เชนเซเช เชถเซเช เชเชพเชฃเซเช เชเซเช (เชชเชพเชธเชตเชฐเซเชก).
เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชเชจเซเชเซเช เชเชฐเชตเชพเชจเซ เชฎเชเชเซเชฐเซ เชเซ เชคเซ เชธเชเชเซเชค เช myVPNUsr เชเซเชฅเชฎเชพเช เชคเซเชฎเชจเซ เชธเชญเซเชฏเชชเชฆ เชเซ. เชธเชฐเซเชเชฟเชซเชฟเชเซเช เชเชฅเซเชฐเชฟเชเซเชจเซ เชเชชเชฏเซเช เชเชซเชฒเชพเชเชจ เชเชฐเชตเชพเชฎเชพเช เชเชตเชถเซ.
เชธเซเชฒเซเชฏเซเชถเชจเชจเชพ เช เชฎเชฒเซเชเชฐเชฃเชจเซ เชเชฟเชเชฎเชค เชฎเชพเชคเซเชฐ เชจเชพเชจเชพ เชนเชพเชฐเซเชกเชตเซเชฐ เชธเชเชธเชพเชงเชจเซ เช เชจเซ เชธเชฟเชธเซเชเชฎ เชเชกเชฎเชฟเชจเชฟเชธเซเชเซเชฐเซเชเชฐเชจเซเช 1 เชเชฒเชพเช เชเชพเชฎ เชเซ.
เช
เชฎเซ CetntOS 3 เชชเชฐ OpenVPN เช
เชจเซ Easy-RSA เชธเชเชธเซเชเชฐเชฃ 7 เชธเชพเชฅเซ เชตเชฐเซเชเซเชฏเซเช
เชฒ เชฎเชถเซเชจเชจเซ เชเชชเชฏเซเช เชเชฐเซเชถเซเช, เชเซเชจเซ 100 เชเชจเซเชเซเชถเชจ เชฆเซเช 4 vCPUs เช
เชจเซ 4 GiB RAM เชซเชพเชณเชตเชตเชพเชฎเชพเช เชเชตเซ เชเซ.
เชเชฆเชพเชนเชฐเชฃเชฎเชพเช, เช
เชฎเชพเชฐเซ เชธเชเชธเซเชฅเชพเชจเซเช เชจเซเชเชตเชฐเซเช 172.16.0.0/16 เชเซ, เชเซเชฎเชพเช 172.16.19.123 เชธเชฐเชจเชพเชฎเชพ เชธเชพเชฅเซเชจเซเช VPN เชธเชฐเซเชตเชฐ 172.16.19.0/24 เชธเซเชเชฎเซเชจเซเชเชฎเชพเช, DNS เชธเชฐเซเชตเชฐเซเชธ 172.16.16.16 เช
เชจเซ 172.16.17.17 เชจเซเช เช
เชจเซ 172.16.20.0 เชจเซเชเชฎเชพเช เชธเซเชฅเชฟเชค เชเซ. .23/XNUMX VPN เชเซเชฒเชพเชฏเชจเซเชเซเชธ เชฎเชพเชเซ เชซเชพเชณเชตเซเชฒ เชเซ.
เชฌเชนเชพเชฐเชฅเซ เชเชจเซเชเซเช เชฅเชตเชพ เชฎเชพเชเซ, เชชเซเชฐเซเช 1194/udp เชฆเซเชตเชพเชฐเชพ เชเชจเซเชเซเชถเชจเชจเซ เชเชชเชฏเซเช เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ, เช เชจเซ เช เชฎเชพเชฐเชพ เชธเชฐเซเชตเชฐ เชฎเชพเชเซ DNS เชฎเชพเช A-record gw.abc.ru เชฌเชจเชพเชตเชตเชพเชฎเชพเช เชเชตเซเชฏเซ เชเซ.
SELinux เชจเซ เชจเชฟเชทเซเชเซเชฐเชฟเชฏ เชเชฐเชตเชพเชจเซ เชธเชเชค เชญเชฒเชพเชฎเชฃ เชเชฐเชตเชพเชฎเชพเช เชเชตเชคเซ เชจเชฅเซ! OpenVPN เชธเซเชฐเชเซเชทเชพ เชจเซเชคเชฟเชเชจเซ เช เชเซเชทเชฎ เชเชฐเซเชฏเชพ เชตเชฟเชจเชพ เชเชพเชฐเซเชฏ เชเชฐเซ เชเซ.
เช เชจเซเชเซเชฐเชฎเชฃเชฟเชเชพ
OS เช เชจเซ เชเชชเซเชฒเชฟเชเซเชถเชจ เชธเซเชซเซเชเชตเซเชฐเชจเซ เชธเซเชฅเชพเชชเชจเชพ เชเซเชฐเชฟเชชเซเชเซเชเซเชฐเชพเชซเซ เชธเซเช เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ OpenVPN เชธเซเช เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ เชเชกเซ เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ เชธเซเชเชพเชฐเซเชเช เชช เช เชจเซ เชกเชพเชฏเชเซเชจเซเชธเซเชเชฟเชเซเชธ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชฎเซเชฆเซเชฆเซ เช เชจเซ เชฐเชฆเชฌเชพเชคเชฒ เชจเซเชเชตเชฐเซเช เชเซเช เชตเชฃเซ เชเชเชณ เชถเซเช เชเซ
OS เช เชจเซ เชเชชเซเชฒเชฟเชเซเชถเชจ เชธเซเชซเซเชเชตเซเชฐเชจเซ เชธเซเชฅเชพเชชเชจเชพ
เช
เชฎเซ CentOS 7.8.2003 เชตเชฟเชคเชฐเชฃเชจเซ เชเชชเชฏเซเช เชเชฐเซเช เชเซเช. เช
เชฎเชพเชฐเซ เชจเซเชฏเซเชจเชคเชฎ เชฐเซเชชเชฐเซเชเชพเชเชเชจเชฎเชพเช OS เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ. เชคเซเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เช เชเชฐเชตเซเช เช
เชจเซเชเซเชณ เชเซ
เชเชจเซเชธเซเชเซเชฒเซเชถเชจ เชชเชเซ, เชจเซเชเชตเชฐเซเช เชเชจเซเชเชฐเชซเซเชธเชจเซ เชธเชฐเชจเชพเชฎเซเช เชธเซเชเชชเชตเซเช (เชเชพเชธเซเชเชจเซ เชถเชฐเชคเซ 172.16.19.123 เช เชจเซเชธเชพเชฐ), เช เชฎเซ OS เชจเซ เช เชชเชกเซเช เชเชฐเซเช เชเซเช:
$ sudo yum update -y && reboot
เช
เชฎเชพเชฐเซ เช เชชเชฃ เชธเซเชจเชฟเชถเซเชเชฟเชค เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ เชเซ เช
เชฎเชพเชฐเชพ เชฎเชถเซเชจ เชชเชฐ เชธเชฎเชฏ เชธเซเชฎเซเชณ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ.
เชเชชเซเชฒเชฟเชเซเชถเชจ เชธเซเชซเซเชเชตเซเชฐ เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเชพ เชฎเชพเชเซ, เชคเชฎเชพเชฐเซ เชฎเซเชเซเชฏ เชธเชเชชเชพเชฆเช เชคเชฐเซเชเซ openvpn, openvpn-auth-ldap, easy-rsa เช
เชจเซ vim เชชเซเชเซเชเซเชจเซ เชเชฐเซเชฐ เชเซ (เชคเชฎเชจเซ EPEL เชฐเซเชชเซเชเซเชเชฐเซเชจเซ เชเชฐเซเชฐ เชชเชกเชถเซ).
$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim
เชตเชฐเซเชเซเชฏเซเช เชฒ เชฎเชถเซเชจ เชฎเชพเชเซ เชเซเชธเซเช เชเชเชจเซเช เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเซเช เชเชชเชฏเซเชเซ เชเซ:
$ sudo yum install open-vm-tools
VMware ESXi เชนเซเชธเซเช เชฎเชพเชเซ เช เชฅเชตเชพ oVirt เชฎเชพเชเซ
$ sudo yum install ovirt-guest-agent
เชเซเชฐเชฟเชชเซเชเซเชเซเชฐเชพเชซเซ เชธเซเช เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ
เชธเชฐเชณ-rsa เชกเชฟเชฐเซเชเซเชเชฐเซ เชชเชฐ เชเชพเช:
$ cd /usr/share/easy-rsa/3/
เชเชฒ เชซเชพเชเชฒ เชฌเชจเชพเชตเซ:
$ sudo vim vars
เชจเซเชเซเชจเซ เชธเชพเชฎเชเซเชฐเซ:
export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652
เชถเชฐเชคเซ เชธเชเชธเซเชฅเชพ เชเชฌเซเชธเซ เชเชฒเชเชฒเชธเซ เชฎเชพเชเซเชจเชพ เชชเชฐเชฟเชฎเชพเชฃเซ เช เชนเซเช เชตเชฐเซเชฃเชตเซเชฒ เชเซ; เชคเชฎเซ เชคเซเชฎเชจเซ เชตเชพเชธเซเชคเชตเชฟเชเชฎเชพเช เชธเซเชงเชพเชฐเซ เชถเชเซ เชเซ เช เชฅเชตเชพ เชคเซเชฎเชจเซ เชเชฆเชพเชนเชฐเชฃเชฎเชพเชเชฅเซ เชเซเชกเซ เชถเชเซ เชเซ. เชชเชฐเชฟเชฎเชพเชฃเซเชฎเชพเช เชธเซเชฅเซ เชฎเชนเชคเซเชตเชจเซ เชฌเชพเชฌเชค เช เชเซเชฒเซเชฒเซ เชฒเชพเชเชจ เชเซ, เชเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเชจเซ เชฎเชพเชจเซเชฏเชคเชพ เช เชตเชงเชฟ เชฆเชฟเชตเชธเซเชฎเชพเช เชจเชเซเชเซ เชเชฐเซ เชเซ. เชเชฆเชพเชนเชฐเชฃ เชฎเซเชฒเซเชฏ 10 เชตเชฐเซเชท (365*10+2 เชฒเซเชช เชตเชฐเซเชท) เชตเชพเชชเชฐเซ เชเซ. เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชเชพเชฐเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชคเซ เชชเชนเซเชฒเชพเช เช เชฎเซเชฒเซเชฏเชจเซ เชธเชฎเชพเชฏเซเชเชฟเชค เชเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชชเชกเชถเซ.
เชเชเชณ, เช เชฎเซ เชเชเซเชจเซเชฎเชธ เชธเชฐเซเชเชฟเชซเชฟเชเซเชถเชจ เชเชฅเซเชฐเชฟเชเซเชจเซ เชเซเช เชตเซเช เชเซเช.
เชธเซเชเช เชชเชฎเชพเช เชเชฒเซเชจเซ เชจเชฟเชเชพเชธ เชเชฐเชตเซ, CA เชถเชฐเซ เชเชฐเชตเซ, CA เชฐเซเช เชเซ เช เชจเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชเชพเชฐเซ เชเชฐเชตเซเช, เชกเชฟเชซเซ-เชนเซเชฒเชฎเซเชจ เชเซ, TLS เชเซ เช เชจเซ เชธเชฐเซเชตเชฐ เชเซ เช เชจเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเชจเซ เชธเชฎเชพเชตเซเชถ เชฅเชพเชฏ เชเซ. CA เชเซ เชเชพเชณเชเซเชชเซเชฐเซเชตเช เชธเซเชฐเชเซเชทเชฟเชค เชนเซเชตเซ เชเซเชเช เช เชจเซ เชเซเชชเซเชค เชฐเชพเชเชตเซ เชเซเชเช! เชคเชฎเชพเชฎ เชเซเชตเซเชฐเซ เชชเชฐเชฟเชฎเชพเชฃเซเชจเซ เชกเชฟเชซเซเชฒเซเช เชคเชฐเซเชเซ เชเซเชกเซ เชถเชเชพเชฏ เชเซ.
cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key
เช เชเซเชฐเชฟเชชเซเชเซเชเซเชฐเชพเชซเชฟเช เชฎเชฟเชเซเชจเชฟเชเชฎ เชธเซเช เชเชฐเชตเชพเชจเชพ เชฎเซเชเซเชฏ เชญเชพเชเชจเซ เชชเซเชฐเซเชฃ เชเชฐเซ เชเซ.
OpenVPN เชธเซเช เชเชฐเซ เชฐเชนเซเชฏเซเช เชเซ
OpenVPN เชกเชฟเชฐเซเชเซเชเชฐเซ เชชเชฐ เชเชพเช, เชธเชฐเซเชตเชฟเชธ เชกเชฟเชฐเซเชเซเชเชฐเซเช เชฌเชจเชพเชตเซ เช เชจเซ easy-rsa เชฎเชพเช เชฒเชฟเชเช เชเชฎเซเชฐเซ:
cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/
เชฎเซเชเซเชฏ OpenVPN เชฐเซเชชเชฐเซเชเชพเชเชเชจ เชซเชพเชเชฒ เชฌเชจเชพเชตเซ:
$ sudo vim server.conf
เชจเซเชเซเชจเซ เชธเชพเชฎเชเซเชฐเซ
port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf
เชชเชฐเชฟเชฎเชพเชฃเซ เชชเชฐ เชเซเชเชฒเซเช เชจเซเชเชงเซ:
- เชเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชเชพเชฐเซ เชเชฐเชคเซ เชตเชเชคเซ เชเซเช เช เชฒเช เชจเชพเชฎเชจเซ เชเชฒเซเชฒเซเช เชเชฐเชตเชพเชฎเชพเช เชเชตเซเชฏเซ เชนเซเชฏ, เชคเซ เชคเซเชจเซ เชธเซเชเชตเซ;
- เชคเชฎเชพเชฐเชพ เชเชพเชฐเซเชฏเซเชจเซ เช เชจเซเชฐเซเชช เชธเชฐเชจเชพเชฎเชพเชเชจเซ เชชเซเชฒ เชธเซเชชเชทเซเช เชเชฐเซ*;
- เชคเซเชฏเชพเช เชเช เช เชฅเชตเชพ เชตเชงเซ เชฐเซเช เช เชจเซ DNS เชธเชฐเซเชตเชฐ เชนเซเช เชถเชเซ เชเซ;
- AD** เชฎเชพเช เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ เช เชฎเชฒเชฎเชพเช เชฎเซเชเชตเชพ เชฎเชพเชเซ เชเซเชฒเซเชฒเซ 2 เชฒเชพเชเชจเชจเซ เชเชฐเซเชฐ เชเซ.
*เชเชฆเชพเชนเชฐเชฃเชฎเชพเช เชชเชธเชเชฆ เชเชฐเซเชฒ เชธเชฐเชจเชพเชฎเชพเชเชเชจเซ เชถเซเชฐเซเชฃเซ 127 เชเซเชเชฒเชพ เชเซเชฒเชพเชฏเชจเซเชเซเชธเชจเซ เชเชเชธเชพเชฅเซ เชเซเชกเชพเชตเชพ เชฎเชพเชเซ เชชเชฐเชตเชพเชจเชเซ เชเชชเชถเซ, เชเชพเชฐเชฃ เชเซ /23 เชจเซเชเชตเชฐเซเช เชชเชธเชเชฆ เชฅเชฏเซเชฒ เชเซ, เช
เชจเซ OpenVPN /30 เชฎเชพเชธเซเชเชจเซ เชเชชเชฏเซเช เชเชฐเซเชจเซ เชฆเชฐเซเช เชเซเชฒเชพเชฏเชเช เชฎเชพเชเซ เชธเชฌเชจเซเช เชฌเชจเชพเชตเซ เชเซ.
เชเซ เชเชพเชธ เชเชฐเซเชจเซ เชเชฐเซเชฐเซ เชนเซเชฏ เชคเซ, เชชเซเชฐเซเช เช
เชจเซ เชชเซเชฐเซเชเซเชเซเชฒ เชฌเชฆเชฒเซ เชถเชเชพเชฏ เชเซ, เชเซ เชเซ, เช เชงเซเชฏเชพเชจเชฎเชพเช เชฐเชพเชเชตเซเช เชเซเชเช เชเซ เชชเซเชฐเซเช เชชเซเชฐเซเช เชจเชเชฌเชฐ เชฌเชฆเชฒเชตเชพเชฅเซ SELinux เชจเซ เชเซเช เชตเชฃเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเชถเซ, เช
เชจเซ tcp เชชเซเชฐเซเชเซเชเซเชฒเชจเซ เชเชชเชฏเซเช เชเชตเชฐเชนเซเชกเชฎเชพเช เชตเชงเชพเชฐเซ เชเชฐเชถเซ, เชเชพเชฐเชฃ เชเซ TCP เชชเซเชเซเช เชกเชฟเชฒเชฟเชตเชฐเซ เชเชเชเซเชฐเซเชฒ เชชเชนเซเชฒเชพเชฅเซ เช เชเชจเชฒเชฎเชพเช เชธเชฎเชพเชตเชฟเชทเซเช เชชเซเชเซเชเซเชจเชพ เชธเซเชคเชฐเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ.
**เชเซ AD เชฎเชพเช เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃเชจเซ เชเชฐเซเชฐ เชจ เชนเซเชฏ, เชคเซ เชคเซเชจเชพ เชชเชฐ เชเชฟเชชเซเชชเชฃเซ เชเชฐเซ, เชเชเชฒเชพ เชตเชฟเชญเชพเชเชจเซ เชเซเชกเซ เชฆเซ, เช
เชจเซ เชจเชฎเซเชจเชพเชฎเชพเช auth-user-pass เชฒเชพเชเชจ เชฆเซเชฐ เชเชฐเซ.
เชเชกเซ เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ
เชฌเซเชเชพ เชชเชฐเชฟเชฌเชณเชจเซ เชธเชฎเชฐเซเชฅเชจ เชเชชเชตเชพ เชฎเชพเชเซ, เช เชฎเซ AD เชฎเชพเช เชเชเชพเชเชจเซเช เชตเซเชฐเชฟเชซเชฟเชเซเชถเชจเชจเซ เชเชชเชฏเซเช เชเชฐเซเชถเซเช.
เช เชฎเชจเซ เชธเชพเชฎเชพเชจเซเชฏ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เช เชจเซ เชเซเชฅเชจเชพ เช เชงเชฟเชเชพเชฐเซ เชธเชพเชฅเซเชจเชพ เชกเซเชฎเซเชจเชฎเชพเช เชเช เชเชเชพเชเชจเซเชเชจเซ เชเชฐเซเชฐ เชเซ, เชธเชญเซเชฏเชชเชฆ เชเซเชฎเชพเช เชเชจเซเชเซเช เชเชฐเชตเชพเชจเซ เชเซเชทเชฎเชคเชพ เชจเชเซเชเซ เชเชฐเชตเชพเชฎเชพเช เชเชตเชถเซ.
เชฐเซเชชเชฐเซเชเชพเชเชเชจ เชซเชพเชเชฒ เชฌเชจเชพเชตเซ:
/etc/openvpn/ldap.conf
เชจเซเชเซเชจเซ เชธเชพเชฎเชเซเชฐเซ
<LDAP>
URL "ldap://ldap.abc.ru"
BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru"
Password b1ndP@SS
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "OU=allUsr,DC=abc,DC=ru"
SearchFilter "(sAMAccountName=%u)"
RequireGroup true
<Group>
BaseDN "OU=myGrp,DC=abc,DC=ru"
SearchFilter "(cn=myVPNUsr)"
MemberAttribute "member"
</Group>
</Authorization>
เชเซ เชชเชฐเชฟเชฎเชพเชฃเซ:
- URL โldap://ldap.abc.ruโ - เชกเซเชฎเซเชจ เชจเชฟเชฏเชเชคเซเชฐเช เชธเชฐเชจเชพเชฎเซเช;
- BindDN โCN=bindUsr,CN=Users,DC=abc,DC=ruโ - LDAP เชธเชพเชฅเซ เชฌเชเชงเชจเชเชฐเซเชคเชพ เชฎเชพเชเซ เชชเซเชฐเชฎเชพเชฃเชญเซเชค เชจเชพเชฎ (UZ - abc.ru/Users เชเชจเซเชเซเชจเชฐเชฎเชพเช bindUsr);
- เชชเชพเชธเชตเชฐเซเชก b1ndP@SS โ เชฌเชเชงเชจเชเชฐเซเชคเชพ เชฎเชพเชเซ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชชเชพเชธเชตเชฐเซเชก;
- BaseDN โOU=allUsr,DC=abc,DC=ruโ โ เชชเชพเชฅ เชเซ เชเซเชฏเชพเชเชฅเซ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชถเซเชงเชตเชพเชจเซเช เชถเชฐเซ เชเชฐเชตเซเช;
- BaseDN โOU=myGrp,DC=abc,DC=ruโ โ เชฎเชเชเซเชฐเซ เชเชชเชคเชพ เชเซเชฅเชจเซเช เชเชจเซเชเซเชจเชฐ (abc.rumyGrp เชเชจเซเชเซเชจเชฐเชฎเชพเช myVPNUsr เชเซเชฅ);
- เชธเชฐเซเชเชซเชฟเชฒเซเชเชฐ "(cn=myVPNUsr)" เช เชฎเชเชเซเชฐเซ เชเชชเชคเชพ เชเซเชฅเชจเซเช เชจเชพเชฎ เชเซ.
เชธเซเชเชพเชฐเซเชเช เชช เช เชจเซ เชกเชพเชฏเชเซเชจเซเชธเซเชเชฟเชเซเชธ
เชนเชตเซ เช เชฎเซ เช เชฎเชพเชฐเชพ เชธเชฐเซเชตเชฐเชจเซ เชธเชเซเชทเชฎ เช เชจเซ เชถเชฐเซ เชเชฐเชตเชพเชจเซ เชชเซเชฐเชฏเชพเชธ เชเชฐเซ เชถเชเซเช เชเซเช:
$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]
เชธเซเชเชพเชฐเซเชเช เชช เชคเชชเชพเชธ:
systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log
เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชฎเซเชฆเซเชฆเซ เช เชจเซ เชฐเชฆเชฌเชพเชคเชฒ
เชเชพเชฐเชฃ เชเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชเชชเชฐเชพเชเชค, เชคเชฎเชพเชฐเซ เชเซเช เช เชจเซ เช เชจเซเชฏ เชธเซเชเชฟเชเชเซเชธเชจเซ เชเชฐเซเชฐ เชเซ; เช เชฌเชงเซเช เชเช เชชเซเชฐเซเชซเชพเชเชฒ เชซเชพเชเชฒเชฎเชพเช เชฒเชชเซเชเชตเซเช เชเซเชฌ เช เชจเซเชเซเชณ เชเซ. เช เชซเชพเชเชฒ เชชเชเซ เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพเชจเซ เชเซเชฐเชพเชจเซเชธเชซเชฐ เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ เช เชจเซ เชชเซเชฐเซเชซเชพเชเชฒ OpenVPN เชเซเชฒเชพเชฏเชเช เชชเชฐ เชเชฏเชพเชค เชเชฐเชตเชพเชฎเชพเช เชเชตเซ เชเซ. เช เชเชฐเชตเชพ เชฎเชพเชเซ, เช เชฎเซ เชธเซเชเชฟเชเชเซเชธ เชเซเชฎเซเชชเชฒเซเช เช เชจเซ เชเช เชธเซเชเซเชฐเชฟเชชเซเช เชฌเชจเชพเชตเซเชถเซเช เชเซ เชชเซเชฐเซเชซเชพเชเชฒ เชเชจเชฐเซเช เชเชฐเซ เชเซ.
เชคเชฎเชพเชฐเซ เชชเซเชฐเซเชซเชพเชเชฒเชฎเชพเช เชฐเซเช เชธเชฐเซเชเชฟเชซเชฟเชเซเช (ca.crt) เช เชจเซ TLS เชเซ (ta.key) เชซเชพเชเชฒเซเชจเซ เชธเชพเชฎเชเซเชฐเซ เชเชฎเซเชฐเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ.
เชตเชชเชฐเชพเชถเชเชฐเซเชคเชพ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชเชพเชฐเซ เชเชฐเชคเชพ เชชเชนเซเชฒเชพ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชฎเชพเชเซ เชเชฐเซเชฐเซ เชฎเชพเชจเซเชฏเชคเชพ เช เชตเชงเชฟ เชธเซเช เชเชฐเชตเชพเชจเซเช เชญเซเชฒเชถเซ เชจเชนเซเช เชชเชฐเชฟเชฎเชพเชฃเซ เชซเชพเชเชฒเชฎเชพเช. เชคเชฎเชพเชฐเซ เชคเซเชจเซ เชเซเชฌ เชฒเชพเชเชฌเซ เชจ เชฌเชจเชพเชตเชตเซเช เชเซเชเช; เชนเซเช เชคเชฎเชพเชฐเซ เชเชพเชคเชจเซ เชฎเชนเชคเซเชคเชฎ 180 เชฆเชฟเชตเชธ เชธเซเชงเซ เชฎเชฐเซเชฏเชพเชฆเชฟเชค เชฐเชพเชเชตเชพเชจเซ เชญเชฒเชพเชฎเชฃ เชเชฐเซเช เชเซเช.
vim /usr/share/easy-rsa/3/vars
...
export EASYRSA_CERT_EXPIRE=180
vim /usr/share/easy-rsa/3/client/template.ovpn
client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>
เชจเซเชเชง:
- เชฐเซเชเชพเช เชคเชฎเชพเชฐเชพ เชฎเซเชเซ... เชธเชพเชฎเชเซเชฐเซเชฎเชพเช เชฌเชฆเชฒเซ เชชเซเชคเชพเชจเชพ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ;
- เชฐเชฟเชฎเซเช เชกเชพเชฏเชฐเซเชเซเชเชฟเชตเชฎเชพเช, เชคเชฎเชพเชฐเชพ เชเซเชเชตเซเชจเซเช เชจเชพเชฎ/เชธเชฐเชจเชพเชฎเซเช เชธเซเชชเชทเซเช เชเชฐเซ;
- auth-user-pass เชกเชพเชฏเชฐเซเชเซเชเชฟเชตเชจเซ เชเชชเชฏเซเช เชตเชงเชพเชฐเชพเชจเชพ เชฌเชพเชนเซเชฏ เชชเซเชฐเชฎเชพเชฃเซเชเชฐเชฃ เชฎเชพเชเซ เชฅเชพเชฏ เชเซ.
เชนเซเชฎ เชกเชฟเชฐเซเชเซเชเชฐเซเชฎเชพเช (เช เชฅเชตเชพ เช เชจเซเชฏ เช เชจเซเชเซเชณ เชธเซเชฅเชพเชจ) เช เชฎเซ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเชจเซ เชตเชฟเชจเชเชคเซ เชเชฐเชตเชพ เช เชจเซ เชชเซเชฐเซเชซเชพเชเชฒ เชฌเชจเชพเชตเชตเชพ เชฎเชพเชเซ เชเช เชธเซเชเซเชฐเชฟเชชเซเช เชฌเชจเชพเชตเซเช เชเซเช:
vim ~/make.profile.sh
#!/bin/bash
if [ -z "$1" ] ; then
echo Missing mandatory client name. Usage: $0 vpn-username
exit 1
fi
#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn
#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client
cd $basepath
if [ -f client/$client* ]; then
echo "*** ERROR! ***"
echo "Certificate $client already issued!"
echo "*** ERROR! ***"
exit 1
fi
. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client
#Make profile
cp $clntpath/template.ovpn $profile
echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile
echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt
echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile
#remove tmp file
rm -f $basepath/$1.crt
echo Complete. See $profile file.
cd ~
เชซเชพเชเชฒเชจเซ เชเชเซเชเซเชเซเชฏเซเชเซเชฌเชฒ เชฌเชจเชพเชตเชตเซ:
chmod a+x ~/make.profile.sh
เช เชจเซ เช เชฎเซ เช เชฎเชพเชฐเซเช เชชเซเชฐเชฅเชฎ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชเชพเชฐเซ เชเชฐเซ เชถเชเซเช เชเซเช.
~/make.profile.sh my-first-user
เชชเซเชฐเชคเชฟเชธเชพเชฆ
เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ (เชจเซเชเชธเชพเชจ, เชเซเชฐเซ) เชธเชพเชฅเซ เชธเชฎเชพเชงเชพเชจเชจเชพ เชเชฟเชธเซเชธเชพเชฎเชพเช, เช เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเชจเซ เชฐเชฆ เชเชฐเชตเซเช เชเชฐเซเชฐเซ เชเซ:
cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl
เชเชพเชฐเซ เชเชฐเซเชฒ เช เชจเซ เชฐเชฆ เชเชฐเซเชฒ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชเซเช
เชเชพเชฐเซ เชเชฐเซเชฒ เช เชจเซ เชฐเชฆ เชเชฐเซเชฒ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐเซ เชเซเชตเชพ เชฎเชพเชเซ, เชซเชเซเชค เชเชจเซเชกเซเชเซเชธ เชซเชพเชเชฒ เชเซเช:
cd /usr/share/easy-rsa/3/
cat pki/index.txt
เชธเซเชชเชทเซเชเชคเชพเช:
- เชชเซเชฐเชฅเชฎ เชฒเชพเชเชจ เชธเชฐเซเชตเชฐ เชชเซเชฐเชฎเชพเชฃเชชเชคเซเชฐ เชเซ;
- เชชเซเชฐเชฅเชฎ เชชเชพเชคเซเชฐ
- เชตเซ (เชฎเชพเชจเซเชฏ) - เชฎเชพเชจเซเชฏ;
- เชเชฐ (เชฐเชฆ) - เชฏเชพเชฆ.
เชจเซเชเชตเชฐเซเช เชเซเช เชตเชฃเซ
เชเซเชฒเซเชฒเชพ เชชเชเชฒเชพเช เชเซเชฐเชพเชจเซเชธเชฎเชฟเชถเชจ เชจเซเชเชตเชฐเซเช - เชฐเซเชเซเชเช เช เชจเซ เชซเชพเชฏเชฐเชตเซเชฒเชจเซ เชเซเช เชตเชตเชพเชจเซเช เชเซ.
เชธเซเชฅเชพเชจเชฟเช เชซเชพเชฏเชฐเชตเซเชฒเชฎเชพเช เชเชจเซเชเซเชถเชจเซเชธเชจเซ เชฎเชเชเซเชฐเซ เชเชชเชตเซ:
$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent
เชเชเชณ, IP เชเซเชฐเชพเชซเชฟเช เชฐเซเชเซเชเช เชธเชเซเชทเชฎ เชเชฐเซ:
$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf
เชเซเชฐเซเชชเซเชฐเซเช เชตเชพเชคเชพเชตเชฐเชฃเชฎเชพเช, เชธเชฌเชจเซเชเชฟเชเช เชฅเชตเชพเชจเซ เชธเชเชญเชพเชตเชจเชพ เชเซ เช เชจเซ เช เชฎเชพเชฐเซ เช เชฎเชพเชฐเชพ VPN เชเซเชฒเชพเชฏเชจเซเชเซเชธ เชฎเชพเชเซ เชจเชฟเชฐเซเชงเชพเชฐเชฟเชค เชชเซเชเซเชเซ เชเซเชตเซ เชฐเซเชคเซ เชฎเซเชเชฒเชตเชพ เชคเซ เชฐเชพเชเชเชฐ(เช)เชจเซ เชเชฃเชพเชตเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ. เชเชฎเชพเชจเซเชก เชฒเชพเชเชจ เชชเชฐ เชเชชเชฃเซ เชเชฆเซเชถเชจเซ เช เชฐเซเชคเซ เชเชฒเชพเชตเซเช เชเซเช (เชตเชชเชฐเชพเชคเชพ เชธเชพเชงเชจเซเชจเชพ เชเชงเชพเชฐเซ):
# ip route 172.16.20.0 255.255.254.0 172.16.19.123
เช เชจเซ เชฐเซเชชเชฐเซเชเชพเชเชเชจ เชธเชพเชเชตเซ.
เชตเชงเซเชฎเชพเช, เชฌเซเชฐเซเชกเชฐ เชฐเชพเชเชเชฐ เชเชจเซเชเชฐเชซเซเชธ เชชเชฐ เชเซเชฏเชพเช เชฌเชพเชนเซเชฏ เชธเชฐเชจเชพเชฎเซเช gw.abc.ru เชเชชเชตเชพเชฎเชพเช เชเชตเซ เชเซ, เชคเซเชฏเชพเช udp/1194 เชชเซเชเซเชเซเชจเซ เชชเชธเชพเชฐ เชฅเชตเชพ เชฆเซเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ.
เชเซ เชธเชเชธเซเชฅเชพ เชชเชพเชธเซ เชเชกเช เชธเซเชฐเชเซเชทเชพ เชจเชฟเชฏเชฎเซ เชนเซเชฏ, เชคเซ เช เชฎเชพเชฐเชพ VPN เชธเชฐเซเชตเชฐ เชชเชฐ เชซเชพเชฏเชฐเชตเซเชฒ เชชเชฃ เชเซเช เชตเซเชฒเซ เชนเซเชตเซ เชเซเชเช. เชฎเชพเชฐเชพ เชฎเชคเซ, เชธเซเชฅเซ เชตเชงเซ เชฒเชตเชเซเชเชคเชพ iptables FORWARD เชธเชพเชเชเชณเซ เชธเซเช เชเชฐเซเชจเซ เชชเซเชฐเซ เชชเชพเชกเชตเชพเชฎเชพเช เชเชตเซ เชเซ, เชเซ เชเซ เชคเซเชฎเชจเซ เชธเซเช เชเชฐเชตเซเช เชเชเซเช เช เชจเซเชเซเชณ เชเซ. เชคเซเชฎเชจเซ เชธเซเช เชเชฐเชตเชพ เชตเชฟเชถเซ เชฅเซเชกเซเช เชตเชงเซ. เช เชเชฐเชตเชพ เชฎเชพเชเซ, "เชธเซเชงเชพ เชจเชฟเชฏเชฎเซ" เชจเซ เชเชชเชฏเซเช เชเชฐเชตเซ เชธเซเชฅเซ เช เชจเซเชเซเชณ เชเซ - เชธเซเชงเชพ เชจเชฟเชฏเชฎเซ, เชซเชพเชเชฒเชฎเชพเช เชธเชเชเซเชฐเชนเชฟเชค /etc/firewalld/direct.xml. เชจเชฟเชฏเชฎเซเชจเซเช เชตเชฐเซเชคเชฎเชพเชจ เชฐเซเชชเชฐเซเชเชพเชเชเชจ เชจเซเชเซ เชฎเซเชเชฌ เชฎเชณเซ เชถเชเซ เชเซ:
$ sudo firewall-cmd --direct --get-all-rule
เชซเชพเชเชฒ เชฌเชฆเชฒเชคเชพ เชชเชนเซเชฒเชพ, เชคเซเชจเซ เชฌเซเชเช เชช เชเซเชชเซ เชฌเชจเชพเชตเซ:
cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak
เชซเชพเชเชฒเชจเซ เช เชเชฆเชพเชเชฟเชค เชธเชพเชฎเชเซเชฐเซเช เชเซ:
<?xml version="1.0" encoding="utf-8"?>
<direct>
<!--Common Remote Services-->
<!--DNS-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
<!--web-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<!--Some Other Systems-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<!--just logging-->
<rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>
เชธเชฎเชเซเชคเซเช
เช เช เชจเชฟเชตเชพเชฐเซเชฏเชชเชฃเซ เชจเชฟเชฏเชฎเชฟเชค iptables เชจเชฟเชฏเชฎเซ เชเซ, เช เชจเซเชฏเชฅเชพ เชซเชพเชฏเชฐเชตเซเชฒเซเชกเชจเชพ เชเชเชฎเชจ เชชเชเซ เชชเซเชเซเช เชฅเชฏเซเชฒ เชเซ.
เชกเชฟเชซเซเชฒเซเช เชธเซเชเชฟเชเชเซเชธ เชธเชพเชฅเซเชจเซเช เชเชเชคเชตเซเชฏ เชเชจเซเชเชฐเชซเซเชธ tun0 เชเซ, เช เชจเซ เชเชจเชฒ เชฎเชพเชเซเชจเซเช เชฌเชพเชนเซเชฏ เชเชจเซเชเชฐเชซเซเชธ เช เชฒเช เชนเซเช เชถเชเซ เชเซ, เชเชฆเชพเชนเชฐเชฃ เชคเชฐเซเชเซ, ens192, เชตเชชเชฐเชพเชฏเซเชฒ เชชเซเชฒเซเชเชซเซเชฐเซเชฎเชจเชพ เชเชงเชพเชฐเซ.
เชเซเชฒเซเชฒเซ เชฒเชพเชเชจ เชกเซเชฐเซเชช เชฅเชฏเซเชฒเชพ เชชเซเชเซเชเซ เชฒเซเชเซเชเช เชฎเชพเชเซ เชเซ. เชเชพเชฎ เชชเชฐ เชฒเซเชเซเชเช เชเชฐเชตเชพ เชฎเชพเชเซ, เชคเชฎเชพเชฐเซ เชซเชพเชฏเชฐเชตเซเชฒเซเชก เชฐเซเชชเชฐเซเชเชพเชเชเชจเชฎเชพเช เชกเซเชฌเช เชธเซเชคเชฐ เชฌเชฆเชฒเชตเชพเชจเซ เชเชฐเซเชฐ เชเซ:
vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2
เชธเซเชเชฟเชเชเซเชธเชจเซ เชซเชฐเซเชฅเซ เชตเชพเชเชเชตเชพ เชฎเชพเชเซ เชธเซเชเชฟเชเชเซเชธ เชฒเชพเชเซ เชเชฐเชตเซ เช เชธเชพเชฎเชพเชจเซเชฏ เชซเชพเชฏเชฐเชตเซเชฒเซเชก เชเชฆเซเชถ เชเซ:
$ sudo firewall-cmd --reload
เชคเชฎเซ เช เชฐเซเชคเซ เชเซเชกเซเชฒเชพ เชชเซเชเซเชเซ เชเซเช เชถเชเซ เชเซ:
grep forward_fw /var/log/messages
เชเชเชณ เชถเซเช เชเซ
เช เชธเซเชเช เชช เชชเซเชฐเซเชฃ เชเชฐเซ เชเซ!
เชเซ เชฌเชพเชเซ เชเซ เชคเซ เชเซเชฒเชพเชฏเชเช เชฌเชพเชเซ เชชเชฐ เชเซเชฒเชพเชฏเชเช เชธเซเชซเซเชเชตเซเชฐ เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเชพเชจเซเช เชเซ, เชชเซเชฐเซเชซเชพเชเชฒ เชเชฏเชพเชค เชเชฐเซ เช
เชจเซ เชเชจเซเชเซเช เชเชฐเซ. เชตเชฟเชจเซเชกเซเช เชเชชเชฐเซเชเชฟเชเช เชธเชฟเชธเซเชเชฎเซเชธ เชฎเชพเชเซ, เชตเชฟเชคเชฐเชฃ เชเซเช เชชเชฐ เชธเซเชฅเชฟเชค เชเซ
เช เชเชคเซ, เช เชฎเซ เช เชฎเชพเชฐเชพ เชจเชตเชพ เชธเชฐเซเชตเชฐเชจเซ เชฎเซเชจเชฟเชเชฐเชฟเชเช เช เชจเซ เชเชฐเซเชเชพเชเชตเชฟเชเช เชธเชฟเชธเซเชเชฎเซเชธ เชธเชพเชฅเซ เชเซเชกเซเช เชเซเช, เช เชจเซ เชจเชฟเชฏเชฎเชฟเชคเชชเชฃเซ เช เชชเชกเซเชเซเชธ เชเชจเซเชธเซเชเซเชฒ เชเชฐเชตเชพเชจเซเช เชญเซเชฒเชถเซ เชจเชนเซเช.
เชธเซเชฅเชฟเชฐ เชเซเชกเชพเชฃ!
เชธเซเชฐเซเชธ: www.habr.com