ការរៀបចំការងារពីចម្ងាយរបស់អង្គការ SMB នៅលើ OpenVPN

ការបង្កើតបញ្ហា

អត្ថបទពិពណ៌នាអំពីការរៀបចំការចូលប្រើពីចម្ងាយសម្រាប់បុគ្គលិកនៅលើផលិតផលប្រភពបើកចំហ ហើយអាចត្រូវបានប្រើទាំងពីរដើម្បីបង្កើតប្រព័ន្ធស្វយ័តទាំងស្រុង ហើយនឹងមានប្រយោជន៍សម្រាប់ការពង្រីកនៅពេលដែលមានការខ្វះខាតអាជ្ញាប័ណ្ណនៅក្នុងប្រព័ន្ធពាណិជ្ជកម្មដែលមានស្រាប់ ឬដំណើរការរបស់វាមិនគ្រប់គ្រាន់។

គោលដៅនៃអត្ថបទគឺដើម្បីអនុវត្តប្រព័ន្ធពេញលេញសម្រាប់ការផ្តល់ការចូលប្រើពីចម្ងាយទៅកាន់ស្ថាប័នមួយ ដែលលើសពី "ការដំឡើង OpenVPN ក្នុងរយៈពេល 10 នាទី" ។

ជាលទ្ធផល យើងនឹងទទួលបានប្រព័ន្ធដែលវិញ្ញាបនបត្រ និង (ជាជម្រើស) ថតសកម្មសាជីវកម្មនឹងត្រូវបានប្រើដើម្បីផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់។ នោះ។ យើងនឹងទទួលបានប្រព័ន្ធមួយដែលមានកត្តាផ្ទៀងផ្ទាត់ពីរ - អ្វីដែលខ្ញុំមាន (វិញ្ញាបនបត្រ) និងអ្វីដែលខ្ញុំដឹង (ពាក្យសម្ងាត់) ។

សញ្ញាដែលអ្នកប្រើប្រាស់ត្រូវបានអនុញ្ញាតឱ្យភ្ជាប់គឺជាសមាជិកភាពរបស់ពួកគេនៅក្នុងក្រុម myVPNUsr ។ អាជ្ញាធរវិញ្ញាបនបត្រនឹងត្រូវបានប្រើដោយគ្មានអ៊ីនធឺណិត។

តម្លៃនៃការអនុវត្តដំណោះស្រាយគឺត្រឹមតែធនធានផ្នែករឹងតូចៗ និងការងារ 1 ម៉ោងរបស់អ្នកគ្រប់គ្រងប្រព័ន្ធ។

យើងនឹងប្រើម៉ាស៊ីននិម្មិតជាមួយ OpenVPN និង Easy-RSA កំណែ 3 នៅលើ CetntOS 7 ដែលត្រូវបានបែងចែក 100 vCPUs និង 4 GiB RAM ក្នុង 4 ការតភ្ជាប់។

ក្នុងឧទាហរណ៍ បណ្តាញរបស់ស្ថាប័នរបស់យើងគឺ 172.16.0.0/16 ដែលក្នុងនោះម៉ាស៊ីនមេ VPN ដែលមានអាសយដ្ឋាន 172.16.19.123 ស្ថិតនៅក្នុងផ្នែក 172.16.19.0/24 ម៉ាស៊ីនមេ DNS 172.16.16.16 និង 172.16.17.17 និងរង 172.16.20.0 ។ .23/XNUMX ត្រូវបានបម្រុងទុកសម្រាប់អតិថិជន VPN ។

ដើម្បីភ្ជាប់ពីខាងក្រៅ ការតភ្ជាប់តាមរយៈច្រក 1194/udp ត្រូវបានប្រើ ហើយ A-record gw.abc.ru ត្រូវបានបង្កើតនៅក្នុង DNS សម្រាប់ម៉ាស៊ីនមេរបស់យើង។

វាមិនត្រូវបានណែនាំយ៉ាងតឹងរ៉ឹងឱ្យបិទ SELinux ទេ! OpenVPN ដំណើរការដោយមិនបិទគោលការណ៍សុវត្ថិភាព។

មាតិកា

1. ការដំឡើង OS និងកម្មវិធីកម្មវិធី
2. ការដំឡើងការគ្រីប
3. ការដំឡើង OpenVPN
4. ការផ្ទៀងផ្ទាត់ AD
5. ការចាប់ផ្តើម និងការធ្វើរោគវិនិច្ឆ័យ
6. បញ្ហាវិញ្ញាបនបត្រ និងការដកហូត
7. កំណត់រចនាសម្ព័ន្ធបណ្តាញ
8. មាន​អ្វី​បន្ទាប់

ការដំឡើង OS និងកម្មវិធីកម្មវិធី

យើងប្រើការចែកចាយ CentOS 7.8.2003 ។ យើងត្រូវដំឡើងប្រព័ន្ធប្រតិបត្តិការក្នុងការកំណត់រចនាសម្ព័ន្ធតិចតួចបំផុត។ វាងាយស្រួលធ្វើដោយប្រើ បាល់បោះក្លូនរូបភាព OS ដែលបានដំឡើងពីមុន និងមធ្យោបាយផ្សេងទៀត។

បន្ទាប់ពីដំឡើងរួច កំណត់អាសយដ្ឋានទៅចំណុចប្រទាក់បណ្តាញ (យោងតាមលក្ខខណ្ឌនៃកិច្ចការ 172.16.19.123) យើងធ្វើបច្ចុប្បន្នភាពប្រព័ន្ធប្រតិបត្តិការ៖

$ sudo yum update -y && reboot

យើងក៏ត្រូវប្រាកដថាការធ្វើសមកាលកម្មពេលវេលាត្រូវបានអនុវត្តនៅលើម៉ាស៊ីនរបស់យើង។
ដើម្បីដំឡើងកម្មវិធីកម្មវិធី អ្នកត្រូវការកញ្ចប់ openvpn, openvpn-auth-ldap, easy-rsa និង vim ជាកម្មវិធីនិពន្ធមេ (អ្នកនឹងត្រូវការឃ្លាំង EPEL)។

$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim

វាមានប្រយោជន៍ក្នុងការដំឡើងភ្នាក់ងារភ្ញៀវសម្រាប់ម៉ាស៊ីននិម្មិត៖

$ sudo yum install open-vm-tools

សម្រាប់ម៉ាស៊ីន VMware ESXi ឬសម្រាប់ oVirt

$ sudo yum install ovirt-guest-agent

ការដំឡើងការគ្រីប

ចូលទៅកាន់ថត easy-rsa៖

$ cd /usr/share/easy-rsa/3/

បង្កើតឯកសារអថេរ៖

$ sudo vim vars

ខ្លឹមសារខាងក្រោម៖

export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652

ប៉ារ៉ាម៉ែត្រសម្រាប់អង្គការតាមលក្ខខណ្ឌ ABC LLC ត្រូវបានពិពណ៌នានៅទីនេះ អ្នកអាចកែពួកវាទៅធាតុពិត ឬទុកវាចេញពីឧទាហរណ៍។ អ្វីដែលសំខាន់បំផុតនៅក្នុងប៉ារ៉ាម៉ែត្រគឺបន្ទាត់ចុងក្រោយដែលកំណត់រយៈពេលសុពលភាពនៃវិញ្ញាបនបត្រជាថ្ងៃ។ ឧទាហរណ៍ប្រើតម្លៃ 10 ឆ្នាំ (365 * 10 + 2 ឆ្នាំបង្គ្រប់) ។ តម្លៃនេះនឹងត្រូវកែតម្រូវមុនពេលចេញវិញ្ញាបនបត្រអ្នកប្រើប្រាស់។

បន្ទាប់មក យើងកំណត់រចនាសម្ព័ន្ធអាជ្ញាធរបញ្ជាក់ស្វ័យភាព។

ការដំឡើងរួមមានការនាំចេញអថេរ ការចាប់ផ្តើម CA ការចេញសោរ និងវិញ្ញាបនបត្រ CA គន្លឹះ Diffie-Hellman គន្លឹះ TLS និងកូនសោម៉ាស៊ីនមេ និងវិញ្ញាបនបត្រ។ សោ CA ត្រូវតែការពារយ៉ាងប្រុងប្រយ័ត្ន និងរក្សាការសម្ងាត់! ប៉ារ៉ាម៉ែត្រសំណួរទាំងអស់អាចត្រូវបានទុកជាលំនាំដើម។

cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key

នេះបញ្ចប់ផ្នែកសំខាន់នៃការដំឡើងយន្តការគ្រីប។

ការដំឡើង OpenVPN

ចូលទៅកាន់ថត OpenVPN បង្កើតបញ្ជីសេវាកម្ម និងបន្ថែមតំណភ្ជាប់ទៅកាន់ easy-rsa៖

cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/

បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ OpenVPN ចម្បង៖

$ sudo vim server.conf

មាតិកាខាងក្រោម

port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append  /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf

កំណត់ចំណាំមួយចំនួនលើប៉ារ៉ាម៉ែត្រ៖

• ប្រសិនបើឈ្មោះផ្សេងត្រូវបានបញ្ជាក់នៅពេលចេញវិញ្ញាបនបត្រ សូមបញ្ជាក់វា;
• បញ្ជាក់អាស័យដ្ឋានដែលត្រូវនឹងកិច្ចការរបស់អ្នក*;
• វាអាចមានផ្លូវមួយ ឬច្រើន និងម៉ាស៊ីនមេ DNS;
• ត្រូវការបន្ទាត់ 2 ចុងក្រោយ ដើម្បីអនុវត្តការផ្ទៀងផ្ទាត់នៅក្នុង AD **។

* ជួរនៃអាសយដ្ឋានដែលបានជ្រើសរើសក្នុងឧទាហរណ៍នឹងអនុញ្ញាតឱ្យអតិថិជនរហូតដល់ទៅ 127 តភ្ជាប់ក្នុងពេលដំណាលគ្នា ពីព្រោះ បណ្តាញ /23 ត្រូវបានជ្រើសរើស ហើយ OpenVPN បង្កើតបណ្តាញរងសម្រាប់អតិថិជននីមួយៗដោយប្រើរបាំង /30 ។
បើចាំបាច់ជាពិសេស ច្រក និងពិធីការអាចត្រូវបានផ្លាស់ប្តូរ ទោះជាយ៉ាងណាក៏ដោយ វាគួរតែត្រូវបានចងចាំក្នុងចិត្តថាការផ្លាស់ប្តូរលេខច្រកច្រកនឹងរួមបញ្ចូលការកំណត់រចនាសម្ព័ន្ធ SELinux ហើយការប្រើពិធីការ tcp នឹងកើនឡើងលើស ពីព្រោះ ការត្រួតពិនិត្យការចែកចាយកញ្ចប់ព័ត៌មាន TCP ត្រូវបានអនុវត្តរួចហើយនៅកម្រិតនៃកញ្ចប់ព័ត៌មានដែលរុំព័ទ្ធក្នុងផ្លូវរូងក្រោមដី។

** ប្រសិនបើការផ្ទៀងផ្ទាត់នៅក្នុង AD មិនចាំបាច់ទេ សូមបញ្ចេញមតិ រំលងផ្នែកបន្ទាប់ និងក្នុងគំរូ យកបន្ទាត់ auth-user-pass ចេញ.

ការផ្ទៀងផ្ទាត់ AD

ដើម្បីគាំទ្រកត្តាទីពីរ យើងនឹងប្រើការផ្ទៀងផ្ទាត់គណនីនៅក្នុង AD ។

យើងត្រូវការគណនីមួយនៅក្នុងដែនដែលមានសិទ្ធិរបស់អ្នកប្រើធម្មតា និងក្រុមមួយ សមាជិកភាពដែលនឹងកំណត់សមត្ថភាពក្នុងការភ្ជាប់។

បង្កើតឯកសារកំណត់រចនាសម្ព័ន្ធ៖

/etc/openvpn/ldap.conf

មាតិកាខាងក្រោម

<LDAP>
        URL             "ldap://ldap.abc.ru"
        BindDN          "CN=bindUsr,CN=Users,DC=abc,DC=ru"
        Password        b1ndP@SS
        Timeout         15
        TLSEnable       no
        FollowReferrals yes
</LDAP>
<Authorization>
        BaseDN          "OU=allUsr,DC=abc,DC=ru"
        SearchFilter    "(sAMAccountName=%u)"
        RequireGroup    true
        <Group>
                BaseDN          "OU=myGrp,DC=abc,DC=ru"
                SearchFilter    "(cn=myVPNUsr)"
                MemberAttribute "member"
        </Group>
</Authorization>

ប៉ារ៉ាម៉ែត្រសំខាន់ៗ៖

• URL “ldap://ldap.abc.ru” - អាសយដ្ឋានឧបករណ៍បញ្ជាដែន;
• BindDN “CN=bindUsr,CN=Users,DC=abc,DC=ru” - ឈ្មោះ canonical សម្រាប់ចងភ្ជាប់ទៅ LDAP (UZ - bindUsr នៅក្នុង abc.ru/Users container);
• ពាក្យ​សម្ងាត់ b1ndP@SS — ពាក្យ​សម្ងាត់​អ្នក​ប្រើ​សម្រាប់​ការ​ចង;
• BaseDN “OU=allUsr,DC=abc,DC=ru” — ផ្លូវដែលត្រូវចាប់ផ្តើមស្វែងរកអ្នកប្រើប្រាស់។
• BaseDN “OU=myGrp,DC=abc,DC=ru” – ធុងនៃក្រុមអនុញ្ញាត (ក្រុម myVPNUsr ក្នុងកុងតឺន័រ abc.rumyGrp);
• SearchFilter "(cn=myVPNUsr)" គឺជាឈ្មោះក្រុមដែលអនុញ្ញាត។

ការចាប់ផ្តើម និងការធ្វើរោគវិនិច្ឆ័យ

ឥឡូវនេះយើងអាចព្យាយាមបើក និងចាប់ផ្តើមម៉ាស៊ីនមេរបស់យើង៖

$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]

ការត្រួតពិនិត្យការចាប់ផ្តើម៖

systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log

បញ្ហាវិញ្ញាបនបត្រ និងការដកហូត

ដោយសារតែ បន្ថែមពីលើវិញ្ញាបនបត្រដោយខ្លួនឯង អ្នកត្រូវការសោ និងការកំណត់ផ្សេងទៀត វាងាយស្រួលណាស់ក្នុងការរុំទាំងអស់នេះក្នុងឯកសារទម្រង់តែមួយ។ បន្ទាប់មកឯកសារនេះត្រូវបានផ្ទេរទៅអ្នកប្រើប្រាស់ ហើយទម្រង់ត្រូវបាននាំចូលនៅលើម៉ាស៊ីនភ្ញៀវ OpenVPN ។ ដើម្បីធ្វើដូច្នេះ យើងនឹងបង្កើតគំរូការកំណត់ និងស្គ្រីបដែលបង្កើតទម្រង់។

អ្នកត្រូវបន្ថែមខ្លឹមសារនៃវិញ្ញាបនបត្រឫសគល់ (ca.crt) និងឯកសារ TLS key (ta.key) ទៅទម្រង់។

មុនពេលចេញវិញ្ញាបនបត្រអ្នកប្រើប្រាស់ កុំភ្លេចកំណត់រយៈពេលសុពលភាពដែលត្រូវការសម្រាប់វិញ្ញាបនបត្រ នៅក្នុងឯកសារប៉ារ៉ាម៉ែត្រ។ អ្នក​មិន​គួរ​ធ្វើ​វា​យូរ​ពេក​ទេ ខ្ញុំ​សូម​ណែនាំ​ឱ្យ​កំណត់​ខ្លួន​អ្នក​ឱ្យ​អតិបរមា​ត្រឹម 180 ថ្ងៃ។

vim /usr/share/easy-rsa/3/vars

...
export EASYRSA_CERT_EXPIRE=180

vim /usr/share/easy-rsa/3/client/template.ovpn

client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass

<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>

key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>

ចំណាំ:

• ខ្សែអក្សរ ដាក់របស់អ្នក... ផ្លាស់ប្តូរទៅមាតិកា របស់ពួកគេ។ វិញ្ញាបនបត្រ;
• នៅក្នុងការណែនាំពីចម្ងាយ បញ្ជាក់ឈ្មោះ/អាសយដ្ឋាននៃច្រកផ្លូវរបស់អ្នក;
• auth-user-pass directive ត្រូវបានប្រើសម្រាប់ការផ្ទៀងផ្ទាត់ខាងក្រៅបន្ថែម។

នៅក្នុងថតផ្ទះ (ឬកន្លែងងាយស្រួលផ្សេងទៀត) យើងបង្កើតស្គ្រីបសម្រាប់ស្នើសុំវិញ្ញាបនបត្រ និងបង្កើតទម្រង់៖

vim ~/make.profile.sh

#!/bin/bash

if [ -z "$1" ] ; then
 echo Missing mandatory client name. Usage: $0 vpn-username
 exit 1
fi

#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn

#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client

cd $basepath

if [  -f client/$client* ]; then
    echo "*** ERROR! ***"
    echo "Certificate $client already issued!"
    echo "*** ERROR! ***"
    exit 1
fi

. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client

#Make profile
cp $clntpath/template.ovpn $profile

echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile

echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt

echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile

#remove tmp file
rm -f $basepath/$1.crt

echo Complete. See $profile file.

cd ~

ធ្វើឱ្យឯកសារអាចប្រតិបត្តិបាន៖

chmod a+x ~/make.profile.sh

ហើយយើងអាចចេញវិញ្ញាបនបត្រដំបូងរបស់យើង។

~/make.profile.sh my-first-user

មតិប្រតិកម្ម

ក្នុងករណីមានការសម្របសម្រួលនៃវិញ្ញាបនបត្រ (ការបាត់បង់ ចោរកម្ម) ចាំបាច់ត្រូវដកហូតវិញ្ញាបនបត្រនេះ៖

cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl

មើលវិញ្ញាបនបត្រដែលបានចេញ និងដកហូត

ដើម្បីមើលវិញ្ញាបនបត្រដែលបានចេញ និងដកហូតវិញ គ្រាន់តែមើលឯកសារលិបិក្រម៖

cd /usr/share/easy-rsa/3/
cat pki/index.txt

ការពន្យល់ៈ

• បន្ទាត់ទីមួយគឺវិញ្ញាបនបត្រម៉ាស៊ីនមេ។
• តួអក្សរដំបូង
  • V (សុពលភាព) - valid;
  • R (ដកហូត) - ប្រមូលមកវិញ។

កំណត់រចនាសម្ព័ន្ធបណ្តាញ

ជំហានចុងក្រោយគឺត្រូវកំណត់រចនាសម្ព័ន្ធបណ្តាញបញ្ជូន - កំណត់ផ្លូវ និងជញ្ជាំងភ្លើង។

អនុញ្ញាតឱ្យមានការតភ្ជាប់នៅក្នុងជញ្ជាំងភ្លើងមូលដ្ឋាន៖

$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent

បន្ទាប់មកបើកដំណើរការផ្លូវ IP ចរាចរ៖

$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf

នៅក្នុងបរិយាកាសសាជីវកម្ម ទំនងជាមានបណ្តាញរង ហើយយើងត្រូវប្រាប់រ៉ោតទ័រពីរបៀបផ្ញើកញ្ចប់ព័ត៌មានដែលកំណត់សម្រាប់អតិថិជន VPN របស់យើង។ នៅលើបន្ទាត់ពាក្យបញ្ជាយើងប្រតិបត្តិពាក្យបញ្ជាតាមរបៀប (អាស្រ័យលើឧបករណ៍ដែលបានប្រើ)៖

# ip route 172.16.20.0 255.255.254.0 172.16.19.123

និងរក្សាទុកការកំណត់។

លើសពីនេះទៀតនៅលើចំណុចប្រទាក់រ៉ោតទ័រព្រំដែនដែលអាសយដ្ឋានខាងក្រៅ gw.abc.ru ត្រូវបានបម្រើវាចាំបាច់ដើម្បីអនុញ្ញាតឱ្យឆ្លងកាត់កញ្ចប់ព័ត៌មាន udp/1194 ។

ក្នុងករណីដែលស្ថាប័នមានច្បាប់សុវត្ថិភាពតឹងរឹង ជញ្ជាំងភ្លើងក៏ត្រូវតែកំណត់រចនាសម្ព័ន្ធនៅលើម៉ាស៊ីនមេ VPN របស់យើងផងដែរ។ តាមគំនិតរបស់ខ្ញុំ ភាពបត់បែនដ៏អស្ចារ្យបំផុតគឺត្រូវបានផ្តល់ដោយការដំឡើង iptables FORWARD chains ទោះបីជាការដំឡើងវាមិនសូវងាយស្រួលក៏ដោយ។ បន្តិចទៀតអំពីការរៀបចំពួកគេ។ ដើម្បីធ្វើដូចនេះវាងាយស្រួលបំផុតក្នុងការប្រើ "ច្បាប់ផ្ទាល់" - ច្បាប់ផ្ទាល់ដែលរក្សាទុកក្នុងឯកសារ /etc/firewalld/direct.xml. ការកំណត់រចនាសម្ព័ន្ធបច្ចុប្បន្ននៃច្បាប់អាចរកបានដូចខាងក្រោម:

$ sudo firewall-cmd --direct --get-all-rule

មុននឹងផ្លាស់ប្តូរឯកសារ ធ្វើច្បាប់ចម្លងបម្រុងទុករបស់វា៖

cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak

ខ្លឹមសារប្រហាក់ប្រហែលនៃឯកសារគឺ៖

<?xml version="1.0" encoding="utf-8"?>
<direct>
 <!--Common Remote Services-->
  <!--DNS-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
  <!--web-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--Some Other Systems-->
    <rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
  <!--just logging-->
    <rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>

ការពន្យល់

សំខាន់ទាំងនេះគឺជាច្បាប់ iptables ធម្មតា ដែលខ្ចប់ខុសគ្នាបន្ទាប់ពីការមកដល់នៃជញ្ជាំងភ្លើង។

ចំណុចប្រទាក់ទិសដៅដែលមានការកំណត់លំនាំដើមគឺ tun0 ហើយចំណុចប្រទាក់ខាងក្រៅសម្រាប់ផ្លូវរូងក្រោមដីអាចខុសគ្នា ឧទាហរណ៍ ens192 អាស្រ័យលើវេទិកាដែលបានប្រើ។

បន្ទាត់ចុងក្រោយគឺសម្រាប់ការកត់ត្រាកញ្ចប់ដែលបានទម្លាក់។ ដើម្បីឱ្យការចូលដំណើរការ អ្នកត្រូវផ្លាស់ប្តូរកម្រិតបំបាត់កំហុសក្នុងការកំណត់រចនាសម្ព័ន្ធជញ្ជាំងភ្លើង៖

vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2

ការអនុវត្តការកំណត់គឺជាពាក្យបញ្ជា firewalld ធម្មតាដើម្បីអានការកំណត់ឡើងវិញ៖

$ sudo firewall-cmd --reload

អ្នកអាចមើលកញ្ចប់ដែលបានទម្លាក់ដូចនេះ៖

grep forward_fw /var/log/messages

មាន​អ្វី​បន្ទាប់

នេះបញ្ចប់ការដំឡើង!

អ្វី​ដែល​នៅ​សល់​គឺ​ត្រូវ​ដំឡើង​កម្មវិធី​អតិថិជន​នៅ​ខាង​អតិថិជន នាំចូល​ទម្រង់ និង​តភ្ជាប់។ សម្រាប់ប្រព័ន្ធប្រតិបត្តិការ Windows ឧបករណ៍ចែកចាយមានទីតាំងនៅលើ គេហទំព័រអ្នកអភិវឌ្ឍន៍.

ជាចុងក្រោយ យើងភ្ជាប់ម៉ាស៊ីនមេថ្មីរបស់យើងទៅប្រព័ន្ធត្រួតពិនិត្យ និងរក្សាទុកឯកសារ ហើយកុំភ្លេចដំឡើងបច្ចុប្បន្នភាពជាប្រចាំ។

ការតភ្ជាប់មានស្ថេរភាព!

ប្រភព: www.habr.com