Ayo mblokir akses menyang GUI saka controller jaringan saka njaba
Pengontrol Jaringan
Kaya sing wis kasebut sadurunge, kanggo nggawe jaringan virtual, ngatur, uga nyambungake simpul, pangguna butuh pengontrol jaringan, antarmuka grafis (GUI) sing ana ing rong bentuk:
ZeroTier GUI Pilihan
Siji saka pangembang ZeroTier, kasedhiya minangka solusi SaaS maya umum kanthi papat rencana langganan, kalebu gratis, nanging winates ing jumlah piranti sing dikelola lan tingkat dhukungan.
Kapindho yaiku saka pangembang independen, fungsionalitas sing rada disederhanakake, nanging kasedhiya minangka solusi open source pribadi kanggo digunakake ing lokasi utawa sumber daya awan.
Ing praktikku, aku nggunakake loro lan minangka asil, aku pungkasane mapan ing sing nomer loro. Alesan kanggo iki yaiku bebaya saka pangembang.
"Pengontrol jaringan dadi panguwasa sertifikasi kanggo jaringan virtual ZeroTier. File sing ngemot kunci rahasia pengontrol kudu dijaga kanthi ati-ati lan diarsipake kanthi aman. Kompromi kasebut ngidini panyerang sing ora sah nggawe konfigurasi jaringan sing curang, lan kerugian kasebut nyebabake kelangan kemampuan kanggo ngontrol lan ngatur jaringan, kanthi efektif ora bisa digunakake.
Lan uga, pratandha paranoia cybersecurity sampeyan dhewe :)
Malah yen Cheburnet teka, Aku isih kudu akses kanggo controller jaringan;
Mung aku kudu nggunakake controller jaringan. Yen perlu, menehi akses menyang wakil sah;
Sampeyan kudu bisa matesi akses menyang controller jaringan saka njaba.
Ing artikel iki, aku ora weruh akeh titik ing manggon kanthi kapisah babagan carane masang controller jaringan lan GUI kanggo sumber daya fisik utawa virtual ing panggonan. Lan ana uga 3 alasan kanggo iki:
bakal ana layang luwih akeh tinimbang sing direncanakake
Mulane, milih path paling resistance, aku bakal nggunakake ing crita iki controller jaringan karo GUI adhedhasar VDS, digawe dening saka cithakan, dikembangake kanthi apik dening kolega saka RuVDS.
Persiyapan wiwitan
Sawise nggawe server saka cithakan sing ditemtokake, pangguna entuk akses menyang pengontrol Web-GUI liwat browser kanthi ngakses https: // :3443
Kanthi gawan, server wis ngemot sertifikat TLS/SSL sing wis ditandatangani dhewe. Iki cukup kanggo aku, amarga aku mblokir akses menyang njaba. Kanggo sing pengin nggunakake jinis sertifikat liyane, ana pandhuan instalasi ing pangembang GUI GitHab.
Nalika pangguna mlebu kanggo pisanan Mlebu kanthi login lan sandhi standar - admin и sandi:
Iku nyaranake ngganti tembung sandhi standar dadi sing khusus
Aku nindakake rada beda - aku ora ngganti tembung sandhi pangguna sing wis ana, nanging nggawe sing anyar - Gawe Panganggo.
Aku nyetel jeneng pangguna anyar - Jeneng:
Aku nyetel sandi anyar - Ketik sandhi anyar:
Aku konfirmasi sandi anyar - Ketik maneh sandhi:
Karakter sing sampeyan lebokake sensitif huruf cilik - ati-ati!
Centhang kothak kanggo konfirmasi pangowahan tembung sandhi ing login sabanjure - Ganti tembung sandhi ing login sabanjure: Aku ora ngrayakake.
Kanggo konfirmasi data sing dilebokake, penet Setel tembung sandhi:
Banjur: Aku mlebu maneh - Metu / Mlebu, wis miturut kredensial pangguna anyar:
Sabanjure, aku menyang tab pangguna - pangguna lan mbusak pangguna adminkanthi ngeklik lambang tong sampah sing ana ing sisih kiwa jenenge.
Ing mangsa ngarep, sampeyan bisa ngganti sandhi pangguna kanthi ngeklik jeneng utawa sandhi sing wis disetel.
Nggawe jaringan virtual
Kanggo nggawe jaringan virtual, pangguna kudu pindhah menyang tab Tambah jaringan. Saka titik Pengguna iki bisa ditindakake liwat kaca Home - kaca utama Web-GUI, kang nuduhake alamat ZeroTier saka controller jaringan lan ngandhut link menyang kaca kanggo dhaptar jaringan digawe liwat.
Ing kaca Tambah jaringan pangguna menehi jeneng menyang jaringan sing mentas digawe.
Nalika nglamar data input − Nggawe Jaringan pangguna digawa menyang kaca kanthi dhaptar jaringan, sing ngemot:
Jeneng jaringan — jeneng jaringan ing wangun link, nalika sampeyan klik ing sampeyan bisa ngganti ID jaringan - pengenal jaringan detail — pranala menyang kaca karo paramèter jaringan rinci persiyapan gampang - link menyang kaca kanggo persiyapan gampang anggota - pranala menyang kaca manajemen simpul
Kanggo persiyapan luwih lanjut tindakake link persiyapan gampang. Ing kaca sing mbukak, pangguna nemtokake sawetara alamat IPv4 kanggo jaringan sing digawe. Iki bisa ditindakake kanthi otomatis kanthi mencet tombol Nggawe alamat jaringan utawa kanthi manual kanthi ngetik topeng jaringan jaringan ing lapangan sing cocog CIDR.
Nalika ngonfirmasi sukses entri data, sampeyan kudu bali menyang kaca kanthi dhaptar jaringan nggunakake tombol Mbalik. Ing titik iki, persiyapan jaringan dhasar bisa dianggep lengkap.
Nyambungake node jaringan
Kaping pisanan, layanan ZeroTier One kudu diinstal ing simpul sing pengin disambungake pangguna menyang jaringan.
Apa ZeroTier One?ZeroTier Siji minangka layanan sing mlaku ing laptop, desktop, server, mesin virtual lan wadhah sing nyedhiyakake sambungan menyang jaringan virtual liwat port jaringan virtual, padha karo klien VPN.
Sawise layanan diinstal lan diwiwiti, sampeyan bisa nyambung menyang jaringan virtual nggunakake alamat 16 digit. Saben jaringan katon minangka port jaringan virtual ing sistem, sing tumindak kaya port Ethernet biasa.
Link menyang distribusi, uga printah instalasi, bisa ditemokake ing kaca pabrikan.
Sampeyan bisa ngatur layanan sing diinstal liwat terminal baris perintah (CLI) kanthi hak admin / root. Ing Windows / MacOS uga nggunakake antarmuka grafis. Ing Android / iOS mung nggunakake GUI.
Priksa sukses instalasi layanan:
CLI:
zerotier-cli status
Asil:
200 info ebf416fac1 1.4.6 ONLINE
GUI:
Kasunyatan yen aplikasi kasebut mlaku lan ana ing baris karo Node ID kanthi alamat simpul.
Nyambungake simpul menyang jaringan:
CLI:
zerotier-cli join <Network ID>
Asil:
200 join OK
GUI:
Windows: klik-tengen ing lambang ZeroTier Siji ing tray sistem banjur pilih item - Gabung Jaringan.
macOS: Bukak aplikasi kasebut ZeroTier Siji ing menu bar, yen durung dibukak. Klik ing lambang ⏁ banjur pilih Gabung Jaringan.
Android/iOS: + (plus gambar) ing app
Ing lapangan sing katon, ketik pengontrol jaringan sing ditemtokake ing GUI ID jaringan, lan pencet Gabung / Tambah Jaringan.
Nemtokake alamat IP menyang host
Saiki bali menyang pengontrol jaringan lan ing kaca kanthi dhaptar jaringan tindakake link kasebut anggota. Yen sampeyan ndeleng gambar sing padha karo iki ing layar, tegese pengontrol jaringan sampeyan wis nampa panjaluk kanggo konfirmasi sambungan menyang jaringan saka simpul sing disambungake.
Ing kaca iki kita ninggalake kabeh kaya saiki lan tindakake link tugas IP pindhah menyang kaca kanggo nemtokake alamat IP menyang simpul:
Sawise nemtokake alamat, klik tombol kasebut Bali bali menyang kaca dhaptar simpul sing disambungake lan setel jeneng - Jeneng anggota lan centhang kothak kanggo menehi wewenang simpul ing jaringan - Diwenehi wewenang. Miturut cara, kothak iki minangka trep banget kanggo medhot / nyambungake saka jaringan host ing mangsa ngarep.
Simpen owah-owahan nggunakake tombol Refresh.
Priksa status sambungan simpul menyang jaringan:
Kanggo mriksa status sambungan ing simpul kasebut, bukak:
CLI:
Kanggo nyambungake simpul sing isih ana, baleni operasi 1-5 kanggo saben.
Priksa konektivitas jaringan node
Aku nindakake iki kanthi mbukak printah ping ing piranti sing disambungake menyang jaringan sing saiki aku ngatur.
Ing gambar saka pengontrol Web-GUI sampeyan bisa ndeleng telung simpul sing disambungake menyang jaringan:
ZTNCUI - 10.10.10.1 - controller jaringan sandi karo GUI - VDS ing salah siji saka RuVDS DC. Kanggo karya normal ora perlu ditambahake menyang jaringan, nanging aku nindakake iki amarga aku pengin mblokir akses menyang antarmuka web saka njaba. Liyane babagan iki mengko.
MyComp - 10.10.10.2 - komputer kerjaku yaiku PC fisik
Gawe serep - 10.10.10.3 - VDS ing DC liyane.
Mulane, saka komputer kerja, aku mriksa kasedhiyan simpul liyane kanthi prentah:
ping 10.10.10.1
Pinging 10.10.10.1 with 32 bytes of data:
Reply from 10.10.10.1: bytes=32 time=14ms TTL=64
Reply from 10.10.10.1: bytes=32 time=4ms TTL=64
Reply from 10.10.10.1: bytes=32 time=7ms TTL=64
Reply from 10.10.10.1: bytes=32 time=2ms TTL=64
Ping statistics for 10.10.10.1:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 2ms, Maximum = 14ms, Average = 6ms
ping 10.10.10.3
Pinging 10.10.10.3 with 32 bytes of data:
Reply from 10.10.10.3: bytes=32 time=15ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Reply from 10.10.10.3: bytes=32 time=8ms TTL=64
Reply from 10.10.10.3: bytes=32 time=4ms TTL=64
Ping statistics for 10.10.10.3:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 4ms, Maximum = 15ms, Average = 7ms
Pangguna nduweni hak kanggo nggunakake alat liyane kanggo mriksa kasedhiyan simpul ing jaringan, loro dibangun ing OS lan kayata NMAP, Advanced IP Scanner, etc.
Kita ndhelikake akses menyang GUI controller jaringan saka njaba.
Umumé, aku bisa nyuda kamungkinan saka akses ora sah kanggo VDS kang controller jaringan dumunung nggunakake firewall ing akun pribadi RuVDS. Topik iki luwih cenderung kanggo artikel sing kapisah. Mulane, ing kene aku bakal nuduhake carane nyedhiyakake akses menyang pengontrol GUI mung saka jaringan sing digawe ing artikel iki.
Kanggo nindakake iki, sampeyan kudu nyambungake liwat SSH menyang VDS sing ana controller lan mbukak file konfigurasi nggunakake printah:
nano /opt/key-networks/ztncui/.env
Ing file sing dibukak, sawise baris "HTTPS_PORT = 3443" ngemot alamat port ing ngendi GUI mbukak, sampeyan kudu nambah baris tambahan karo alamat ing ngendi GUI bakal mbukak - ing kasusku yaiku HTTPS_HOST = 10.10.10.1 .XNUMX.
Sabanjure aku bakal nyimpen file kasebut
Сtrl+C
Y
Enter
lan mbukak printah:
systemctl restart ztncui
Lan iku, saiki GUI saka controller jaringan mung kasedhiya kanggo jaringan simpul 10.10.10.0.24.
Tinimbang kesimpulan
Ing kene aku pengin ngrampungake bagean pisanan saka pandhuan praktis kanggo nggawe jaringan virtual adhedhasar ZeroTier. Aku ngenteni komentar sampeyan.
Ing sawetoro wektu, kanggo nglampahi wektu nganti nerbitake bagean sabanjure, ing ngendi aku bakal pitutur marang kowe carane gabungke jaringan virtual karo fisik, carane ngatur mode "prajurit dalan" lan liya-liyane, aku saranake sampeyan nyoba. ngatur jaringan virtual dhewe nggunakake controller jaringan pribadi karo GUI adhedhasar VDS saka pasar ing situs RUVDS. Kajaba iku, kabeh klien anyar duwe wektu uji coba gratis 3 dina!
PS ya wis! Aku meh lali! Sampeyan bisa mbusak simpul saka jaringan nggunakake printah ing CLI saka simpul iki.