เจธเจฎเฉฑเจธเจฟเจ เจฆเจพ เจเจ เจจ
เจฒเฉเจ เจเจชเจจ เจธเฉเจฐเจธ เจเจคเจชเจพเจฆเจพเจ 'เจคเฉ เจเจฐเจฎเจเจพเจฐเฉเจเจ เจฒเจ เจฐเจฟเจฎเฉเจ เจเจเจธเฉเจธ เจฆเฉ เจธเฉฐเจเจ เจจ เจฆเจพ เจตเจฐเจฃเจจ เจเจฐเจฆเจพ เจนเฉ เจ เจคเฉ เจเฉฑเจ เจชเฉเจฐเฉ เจคเจฐเฉเจนเจพเจ เจเฉเจฆเจฎเฉเจเจคเจฟเจเจฐ เจชเฉเจฐเจฃเจพเจฒเฉ เจฌเจฃเจพเจเจฃ เจฒเจ เจฆเฉเจตเจพเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเฉเจคเฉ เจเจพ เจธเจเจฆเฉ เจนเฉ, เจ เจคเฉ เจฎเฉเจเฉเจฆเจพ เจตเจชเจพเจฐเจ เจชเฉเจฐเจฃเจพเจฒเฉ เจตเจฟเฉฑเจ เจฒเจพเจเจธเฉเจเจธเจพเจ เจฆเฉ เจเจพเจ เจนเฉเจฃ เจเจพเจ เจเจธเจฆเฉ เจเจพเจฐเจเฉเจเจผเจพเจฐเฉ เจจเจพเจเจพเจซเจผเฉ เจนเฉเจฃ 'เจคเฉ เจตเจฟเจธเจฅเจพเจฐ เจฒเจ เจเจชเจฏเฉเจเฉ เจนเฉเจตเฉเจเจพเฅค
เจฒเฉเจ เจฆเจพ เจเฉเจเจพ เจเจฟเจธเฉ เจธเฉฐเจเจ เจจ เจจเฉเฉฐ เจฐเจฟเจฎเฉเจ เจเจเจธเฉเจธ เจชเฉเจฐเจฆเจพเจจ เจเจฐเจจ เจฒเจ เจเฉฑเจ เจธเฉฐเจชเฉเจฐเจจ เจชเฉเจฐเจฃเจพเจฒเฉ เจจเฉเฉฐ เจฒเจพเจเฉ เจเจฐเจจเจพ เจนเฉ, เจเฉ เจเจฟ "10 เจฎเจฟเฉฐเจเจพเจ เจตเจฟเฉฑเจ เจเจชเจจเจตเฉเจชเฉเจเจจ เจธเจฅเจพเจชเจค เจเจฐเจจ" เจจเจพเจฒเฉเจ เจฅเฉเฉเฉเจนเจพ เจตเฉฑเจง เจนเฉเฅค
เจจเจคเฉเจเฉ เจตเจเฉเจ, เจธเจพเจจเฉเฉฐ เจเฉฑเจ เจธเจฟเจธเจเจฎ เจฎเจฟเจฒเฉเจเจพ เจเจฟเจธ เจตเจฟเฉฑเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจ เจคเฉ (เจตเจฟเจเจฒเจชเจฟเจ เจคเฉเจฐ 'เจคเฉ) เจเจพเจฐเจชเฉเจฐเฉเจ เจเจเจเจฟเจต เจกเจพเจเจฐเฉเจเจเจฐเฉ เจฆเฉ เจตเจฐเจคเฉเจ เจเจชเจญเฉเจเจคเจพเจตเจพเจ เจจเฉเฉฐ เจชเฉเจฐเจฎเจพเจฃเจฟเจค เจเจฐเจจ เจฒเจ เจเฉเจคเฉ เจเจพเจตเฉเจเฉเฅค เจเจฟ. เจธเจพเจจเฉเฉฐ เจฆเฉ เจคเจธเจฆเฉเจ เจเจพเจฐเจเจพเจ เจตเจพเจฒเจพ เจเฉฑเจ เจธเจฟเจธเจเจฎ เจฎเจฟเจฒเฉเจเจพ - เจฎเฉเจฐเฉ เจเฉเจฒ เจเฉ เจนเฉ (เจธเจฐเจเฉเจซเจฟเจเฉเจ) เจ เจคเฉ เจเฉ เจฎเฉเจ เจเจพเจฃเจฆเจพ เจนเจพเจ (เจชเจพเจธเจตเจฐเจก)เฅค
เจเฉฑเจ เจจเจฟเจธเจผเจพเจจเฉ เจเจฟเจธ เจตเจฟเฉฑเจ เจเจชเจญเฉเจเจคเจพ เจจเฉเฉฐ เจเฉเฉเจจ เจฆเฉ เจเจเจพเจเจผเจค เจฆเจฟเฉฑเจคเฉ เจเจพเจเจฆเฉ เจนเฉ เจเจน เจนเฉ myVPNUsr เจธเจฎเฉเจน เจตเจฟเฉฑเจ เจเจนเจจเจพเจ เจฆเฉ เจธเจฆเฉฑเจธเจคเจพเฅค เจธเจฐเจเฉเจซเจฟเจเฉเจ เจ เจฅเจพเจฐเจเฉ เจจเฉเฉฐ เจเจซเจฒเจพเจเจจ เจตเจฐเจคเจฟเจ เจเจพเจตเฉเจเจพเฅค
เจนเฉฑเจฒ เจจเฉเฉฐ เจฒเจพเจเฉ เจเจฐเจจ เจฆเฉ เจฒเจพเจเจค เจธเจฟเจฐเจซ เจเฉเจเฉ เจนเจพเจฐเจกเจตเฉเจ เจฐ เจธเจฐเฉเจค เจ เจคเฉ เจธเจฟเจธเจเจฎ เจชเฉเจฐเจธเจผเจพเจธเจ เจฆเจพ 1 เจเฉฐเจเฉ เจฆเจพ เจเฉฐเจฎ เจนเฉเฅค
เจ
เจธเฉเจ CetntOS 3 'เจคเฉ OpenVPN เจ
เจคเฉ Easy-RSA เจธเฉฐเจธเจเจฐเจฃ 7 เจฆเฉ เจจเจพเจฒ เจเฉฑเจ เจตเจฐเจเฉเจ
เจฒ เจฎเจธเจผเฉเจจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจพเจเจเฉ, เจเจฟเจธ เจจเฉเฉฐ 100 vCPUs เจ
เจคเฉ 4 GiB RAM เจชเฉเจฐเจคเฉ 4 เจเฉเจจเฉเจเจธเจผเจจ เจฆเจฟเฉฑเจคเฉ เจเจ เจนเจจเฅค
เจเจฆเจพเจนเจฐเจจ เจตเจฟเฉฑเจ, เจธเจพเจกเฉ เจธเฉฐเจเจ เจจ เจฆเจพ เจจเฉเฉฑเจเจตเจฐเจ 172.16.0.0/16 เจนเฉ, เจเจฟเจธ เจตเจฟเฉฑเจ 172.16.19.123 เจชเจคเฉ เจตเจพเจฒเจพ VPN เจธเจฐเจตเจฐ 172.16.19.0/24, DNS เจธเจฐเจตเจฐ 172.16.16.16 เจ
เจคเฉ 172.16.17.17 เจ
เจคเฉ เจเจช, 172.16.20.0 เจ
เจคเฉ เจเจช 23 เจตเจฟเฉฑเจ เจธเจฅเจฟเจค เจนเฉเฅค .XNUMX/XNUMX VPN เจเจฒเจพเจเฉฐเจเจธ เจฒเจ เจจเจฟเจฐเจงเจพเจฐเจค เจเฉเจคเจพ เจเจฟเจ เจนเฉเฅค
เจฌเจพเจนเจฐเฉเจ เจเฉเฉเจจ เจฒเจ, เจชเฉเจฐเจ 1194/udp เจฐเจพเจนเฉเจ เจเฉฑเจ เจเฉเจจเฉเจเจธเจผเจจ เจตเจฐเจคเจฟเจ เจเจพเจเจฆเจพ เจนเฉ, เจ เจคเฉ เจธเจพเจกเฉ เจธเจฐเจตเจฐ เจฒเจ DNS เจตเจฟเฉฑเจ เจเฉฑเจ A-เจฐเจฟเจเจพเจฐเจก gw.abc.ru เจฌเจฃเจพเจเจ เจเจฟเจ เจนเฉเฅค
SELinux เจจเฉเฉฐ เจ เจฏเฉเจ เจเจฐเจจ เจฆเฉ เจธเจเจคเฉ เจจเจพเจฒ เจธเจฟเจซเจพเจฐเจธเจผ เจจเจนเฉเจ เจเฉเจคเฉ เจเจพเจเจฆเฉ! OpenVPN เจธเฉเจฐเฉฑเจเจฟเจ เจจเฉเจคเฉเจเจ เจจเฉเฉฐ เจ เจฏเฉเจ เจเฉเจคเฉ เจฌเจฟเจจเจพเจ เจเฉฐเจฎ เจเจฐเจฆเจพ เจนเฉเฅค
เจธเจฎเฉฑเจเจฐเฉ
OS เจ เจคเฉ เจเจชเจฒเฉเจเฉเจธเจผเจจ เจธเฉเจซเจเจตเฉเจ เจฐ เจฆเฉ เจธเจฅเจพเจชเจจเจพ เจเฉเจฐเจฟเจชเจเฉเจเฉเจฐเจพเจซเจผเฉ เจธเจฅเจพเจชเจค เจเฉเจคเฉ เจเจพ เจฐเจนเฉ เจนเฉ OpenVPN เจธเฉเฉฑเจเจ เฉฑเจช AD เจชเฉเจฐเจฎเจพเจฃเจฟเจเจคเจพ เจธเจเจพเจฐเจเจ เจช เจ เจคเฉ เจกเจพเจเจเจจเฉเจธเจเจฟเจเจธ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเจฐเจจเจพ เจ เจคเฉ เจฐเฉฑเจฆ เจเจฐเจจเจพ เจจเฉเฉฑเจเจตเจฐเจ เจธเฉฐเจฐเจเจจเจพ เจ เฉฑเจเฉ เจเฉ เจนเฉ
OS เจ เจคเฉ เจเจชเจฒเฉเจเฉเจธเจผเจจ เจธเฉเจซเจเจตเฉเจ เจฐ เจฆเฉ เจธเจฅเจพเจชเจจเจพ
เจ
เจธเฉเจ CentOS 7.8.2003 เจตเฉฐเจก เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเฉ เจนเจพเจเฅค เจธเจพเจจเฉเฉฐ เจเฉฑเจ เจเฉฑเจเฉ-เจเฉฑเจ เจธเฉฐเจฐเจเจจเจพ เจตเจฟเฉฑเจ OS เจจเฉเฉฐ เจเฉฐเจธเจเจพเจฒ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉ. เจเจน เจตเจฐเจค เจเฉ เจ
เจเจฟเจนเจพ เจเจฐเจจ เจฒเจ เจธเฉเจตเจฟเจงเจพเจเจจเจ เจนเฉ
เจเฉฐเจธเจเจพเจฒเฉเจธเจผเจจ เจคเฉเจ เจฌเจพเจ เจฆ, เจจเฉเฉฑเจเจตเจฐเจ เจเฉฐเจเจฐเจซเฉเจธ เจจเฉเฉฐ เจเฉฑเจ เจชเจคเจพ เจจเจฟเจฐเจงเจพเจฐเจค เจเจฐเจจเจพ (เจเจพเจธเจ เจฆเฉเจเจ เจธเจผเจฐเจคเจพเจ 172.16.19.123 เจฆเฉ เจ เจจเฉเจธเจพเจฐ), เจ เจธเฉเจ OS เจจเฉเฉฐ เจ เจชเจกเฉเจ เจเจฐเจฆเฉ เจนเจพเจ:
$ sudo yum update -y && reboot
เจธเจพเจจเฉเฉฐ เจเจน เจตเฉ เจฏเจเฉเจจเฉ เจฌเจฃเจพเจเจฃ เจฆเฉ เจฒเฉเฉ เจนเฉ เจเจฟ เจธเจพเจกเฉ เจฎเจธเจผเฉเจจ 'เจคเฉ เจธเจฎเฉเจ เจฆเจพ เจธเจฎเจเจพเจฒเฉเจเจฐเจจ เจเฉเจคเจพ เจเจฟเจ เจนเฉเฅค
เจเจชเจฒเฉเจเฉเจธเจผเจจ เจธเฉเจซเจเจตเฉเจ
เจฐ เจธเจฅเจพเจชเจค เจเจฐเจจ เจฒเจ, เจคเฉเจนเจพเจจเฉเฉฐ เจฎเฉเฉฑเจ เจธเฉฐเจชเจพเจฆเจ เจตเจเฉเจ openvpn, openvpn-auth-ldap, easy-rsa เจ
เจคเฉ vim เจชเฉเจเฉเจเจพเจ เจฆเฉ เจฒเฉเฉ เจนเฉ (เจคเฉเจนเจพเจจเฉเฉฐ EPEL เจฐเจฟเจชเฉเจเจผเจเจฐเฉ เจฆเฉ เจฒเฉเฉ เจนเฉเจตเฉเจเฉ)เฅค
$ sudo yum install epel-release
$ sudo yum install openvpn openvpn-auth-ldap easy-rsa vim
เจตเจฐเจเฉเจ เจฒ เจฎเจธเจผเฉเจจ เจฒเจ เจเฉเจธเจ เจเจเฉฐเจ เจจเฉเฉฐ เจธเจฅเจพเจชเจฟเจค เจเจฐเจจเจพ เจฒเจพเจญเจฆเจพเจเจ เจนเฉ:
$ sudo yum install open-vm-tools
VMware ESXi เจนเฉเจธเจเจพเจ เจฒเจ, เจเจพเจ oVirt เจฒเจ
$ sudo yum install ovirt-guest-agent
เจเฉเจฐเจฟเจชเจเฉเจเฉเจฐเจพเจซเจผเฉ เจธเจฅเจพเจชเจค เจเฉเจคเฉ เจเจพ เจฐเจนเฉ เจนเฉ
เจเจธเจพเจจ-rsa เจกเจพเจเจฐเฉเจเจเจฐเฉ 'เจคเฉ เจเจพเจ:
$ cd /usr/share/easy-rsa/3/
เจเฉฑเจ เจตเฉเจฐเฉเจเจฌเจฒ เจซเจพเจเจฒ เจฌเจฃเจพเจ:
$ sudo vim vars
เจนเฉเจ เจฆเจฟเฉฑเจคเฉ เจธเจฎเฉฑเจเจฐเฉ:
export KEY_COUNTRY="RU"
export KEY_PROVINCE="MyRegion"
export KEY_CITY="MyCity"
export KEY_ORG="ABC LLC"
export KEY_EMAIL="[email protected]"
export KEY_CN="allUsers"
export KEY_OU="allUsers"
export KEY_NAME="gw.abc.ru"
export KEY_ALTNAMES="abc-openvpn-server"
export EASYRSA_CERT_EXPIRE=3652
เจธเจผเจฐเจคเฉเจ เจธเฉฐเจธเจฅเจพ ABC LLC เจฒเจ เจฎเจพเจชเจฆเฉฐเจก เจเฉฑเจฅเฉ เจตเจฐเจฃเจฟเจค เจนเจจ; เจคเฉเจธเฉเจ เจเจนเจจเจพเจ เจจเฉเฉฐ เจ เจธเจฒ เจตเจฟเฉฑเจ เจ เฉเจ เจเจฐ เจธเจเจฆเฉ เจนเฉ เจเจพเจ เจเจนเจจเจพเจ เจจเฉเฉฐ เจเจฆเจพเจนเจฐเจจ เจคเฉเจ เจเฉฑเจก เจธเจเจฆเฉ เจนเฉเฅค เจชเฉเจฐเจพเจฎเฉเจเจฐเจพเจ เจตเจฟเฉฑเจ เจธเจญ เจคเฉเจ เจฎเจนเฉฑเจคเจตเจชเฉเจฐเจจ เจเฉเจเจผ เจเจเจฐเฉ เจฒเจพเจเจจ เจนเฉ, เจเฉ เจฆเจฟเจจเจพเจ เจตเจฟเฉฑเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจฆเฉ เจตเฉเจงเจคเจพ เจฆเฉ เจฎเจฟเจเจฆ เจจเจฟเจฐเจงเจพเจฐเจค เจเจฐเจฆเฉ เจนเฉ. เจเจฆเจพเจนเจฐเจจ 10 เจธเจพเจฒ (365*10+2 เจฒเฉเจช เจธเจพเจฒ) เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเฉ เจนเฉเฅค เจเจชเจญเฉเจเจคเจพ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเฉเจคเฉ เจเจพเจฃ เจคเฉเจ เจชเจนเจฟเจฒเจพเจ เจเจธ เจฎเฉเฉฑเจฒ เจจเฉเฉฐ เจเจกเจเจธเจ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเจตเฉเจเฉเฅค
เจ เฉฑเจเฉ, เจ เจธเฉเจ เจเฉฑเจ เจเฉเจฆเจฎเฉเจเจคเจฟเจเจฐเฉ เจชเฉเจฐเจฎเจพเจฃเฉเจเจฐเจฃ เจ เจฅเจพเจฐเจเฉ เจจเฉเฉฐ เจเฉเจเจซเจฟเจเจฐ เจเจฐเจฆเฉ เจนเจพเจเฅค
เจธเฉเฉฑเจเจ เฉฑเจช เจตเจฟเฉฑเจ เจตเฉเจฐเฉเจเจฌเจฒ เจจเจฟเจฐเจฏเจพเจค เจเจฐเจจเจพ, CA เจจเฉเฉฐ เจธเจผเฉเจฐเฉ เจเจฐเจจเจพ, CA เจฐเฉเจ เจเฉเฉฐเจเฉ เจ เจคเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเจฐเจจเจพ, Diffie-Hellman เจเฉเฉฐเจเฉ, TLS เจเฉเฉฐเจเฉ, เจ เจคเฉ เจธเจฐเจตเจฐ เจเฉเฉฐเจเฉ เจ เจคเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจธเจผเจพเจฎเจฒ เจนเจจเฅค CA เจเฉเฉฐเจเฉ เจจเฉเฉฐ เจงเจฟเจเจจ เจจเจพเจฒ เจธเฉเจฐเฉฑเจเจฟเจ เจค เจเฉเจคเจพ เจเจพเจฃเจพ เจเจพเจนเฉเจฆเจพ เจนเฉ เจ เจคเฉ เจเฉเจชเจค เจฐเฉฑเจเจฟเจ เจเจพเจฃเจพ เจเจพเจนเฉเจฆเจพ เจนเฉ! เจธเจพเจฐเฉ เจชเฉเฉฑเจเจเจฟเฉฑเจ เจชเฉเจฐเจพเจฎเฉเจเจฐเจพเจ เจจเฉเฉฐ เจกเจฟเจซเฉเจฒเจ เจตเจเฉเจ เจเฉฑเจกเจฟเจ เจเจพ เจธเจเจฆเจพ เจนเฉเฅค
cd /usr/share/easy-rsa/3/
. ./vars
./easyrsa init-pki
./easyrsa build-ca nopass
./easyrsa gen-dh
./easyrsa gen-req myvpngw nopass
./easyrsa sign-req server myvpngw
./easyrsa gen-crl
openvpn --genkey --secret pki/ta.key
เจเจน เจเฉเจฐเจฟเจชเจเฉเจเฉเจฐเจพเจซเจฟเจ เจตเจฟเจงเฉ เจธเจฅเจพเจชเจค เจเจฐเจจ เจฆเฉ เจฎเฉเฉฑเจ เจนเจฟเฉฑเจธเฉ เจจเฉเฉฐ เจชเฉเจฐเจพ เจเจฐเจฆเจพ เจนเฉ.
OpenVPN เจธเฉเฉฑเจเจ เฉฑเจช
OpenVPN เจกเจพเจเจฐเฉเจเจเจฐเฉ 'เจคเฉ เจเจพเจ, เจธเฉเจตเจพ เจกเจพเจเจฐเฉเจเจเจฐเฉเจเจ เจฌเจฃเจพเจ เจ เจคเฉ เจเจธเจพเจจ-rsa เจฒเจ เจฒเจฟเฉฐเจ เจเฉเฉเฉ:
cd /etc/openvpn/
mkdir /var/log/openvpn/ /etc/openvpn/ccd /usr/share/easy-rsa/3/client
ln -s /usr/share/easy-rsa/3/pki/ /etc/openvpn/
เจฎเฉเฉฑเจ เจเจชเจจเจตเฉเจชเฉเจเจจ เจธเฉฐเจฐเจเจจเจพ เจซเจพเจเจฒ เจฌเจฃเจพเจ:
$ sudo vim server.conf
เจนเฉเจ เจฆเจฟเฉฑเจคเฉ เจธเจฎเฉฑเจเจฐเฉ
port 1194
proto udp
dev tun
ca /etc/openvpn/pki/ca.crt
cert /etc/openvpn/pki/issued/myvpngw.crt
key /etc/openvpn/pki/private/myvpngw.key
crl-verify /etc/openvpn/pki/crl.pem
dh /etc/openvpn/pki/dh.pem
server 172.16.20.0 255.255.254.0
ifconfig-pool-persist ipp.txt
push "route 172.16.0.0 255.255.255.0"
push "route 172.17.0.0 255.255.255.0"
client-config-dir ccd
push "dhcp-option DNS 172.16.16.16"
push "dhcp-option DNS 172.16.17.17"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nobody
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 3
explicit-exit-notify 1
username-as-common-name
plugin /usr/lib64/openvpn/plugin/lib/openvpn-auth-ldap.so /etc/openvpn/ldap.conf
เจชเฉเจฐเจพเจฎเฉเจเจฐเจพเจ 'เจคเฉ เจเฉเจ เจจเฉเจ:
- เจเฉเจเจฐ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเจฐเจจ เจตเฉเจฒเฉ เจเฉเจ เจตเฉฑเจเจฐเจพ เจจเจพเจฎ เจฆเจฟเฉฑเจคเจพ เจเจฟเจ เจธเฉ, เจคเจพเจ เจเจธ เจจเฉเฉฐ เจฆเจฐเจธเจพเจ;
- เจคเฉเจนเจพเจกเฉ เจเฉฐเจฎเจพเจ เจฆเฉ เจ เจจเฉเจเฉเจฒ เจชเจคเจฟเจเจ เจฆเจพ เจชเฉเจฒ เจฆเจฟเจ*;
- เจเฉฑเจ เจเจพเจ เจเฉฑเจ เจคเฉเจ เจตเฉฑเจง เจฐเฉเจ เจ เจคเฉ DNS เจธเจฐเจตเจฐ เจนเฉ เจธเจเจฆเฉ เจนเจจ;
- AD** เจตเจฟเฉฑเจ เจชเฉเจฐเจฎเจพเจฃเฉเจเจฐเจจ เจฒเจพเจเฉ เจเจฐเจจ เจฒเจ เจเจเจฐเฉ 2 เจฒเจพเจเจจเจพเจ เจฆเฉ เจฒเฉเฉ เจนเฉเฅค
*เจเจฆเจพเจนเจฐเจฃ เจตเจฟเฉฑเจ เจเฉเจฃเฉ เจเจ เจชเจคเจฟเจเจ เจฆเฉ เจฐเฉเจเจ 127 เจเจพเจนเจเจพเจ เจจเฉเฉฐ เจเฉฑเจเฉ เจธเจฎเฉเจ เจจเจพเจฒ เจเฉเฉเจจ เจฆเฉ เจเจเจฟเจ เจฆเฉเจตเฉเจเฉ, เจเจฟเจเจเจเจฟ /23 เจจเฉเฉฑเจเจตเจฐเจ เจเฉเจฃเจฟเจ เจเจฟเจ เจนเฉ, เจ
เจคเฉ OpenVPN /30 เจฎเจพเจธเจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจฆเฉ เจนเฉเจ เจนเจฐเฉเจ เจเจฒเจพเจเฉฐเจ เจฒเจ เจเฉฑเจ เจธเจฌเจจเฉเฉฑเจ เจฌเจฃเจพเจเจเจฆเจพ เจนเฉเฅค
เจเฉเจเจฐ เจเจพเจธ เจคเฉเจฐ 'เจคเฉ เจฒเฉเฉ เจนเฉเจตเฉ, เจชเฉเจฐเจ เจ
เจคเฉ เจชเฉเจฐเฉเจเฉเจเฉเจฒ เจจเฉเฉฐ เจฌเจฆเจฒเจฟเจ เจเจพ เจธเจเจฆเจพ เจนเฉ, เจนเจพเจฒเจพเจเจเจฟ, เจเจน เจงเจฟเจเจจ เจตเจฟเฉฑเจ เจฐเฉฑเจเจฃเจพ เจเจพเจนเฉเจฆเจพ เจนเฉ เจเจฟ เจชเฉเจฐเจ เจชเฉเจฐเจ เจจเฉฐเจฌเจฐ เจจเฉเฉฐ เจฌเจฆเจฒเจฃ เจจเจพเจฒ SELinux เจฆเฉ เจธเฉฐเจฐเจเจจเจพ เจนเฉเจตเฉเจเฉ, เจ
เจคเฉ tcp เจชเฉเจฐเฉเจเฉเจเฉเจฒ เจฆเฉ เจตเจฐเจคเฉเจ เจจเจพเจฒ เจเจตเจฐเจนเฉเฉฑเจก เจตเจง เจเจพเจตเฉเจเจพ, เจเจฟเจเจเจเจฟ TCP เจชเฉเจเฉเจ เจกเจฟเจฒเฉเจตเจฐเฉ เจจเจฟเจฏเฉฐเจคเจฐเจฃ เจชเจนเจฟเจฒเจพเจ เจนเฉ เจธเฉเจฐเฉฐเจ เจตเจฟเฉฑเจ เจธเจผเจพเจฎเจฒ เจชเฉเจเฉเจเจพเจ เจฆเฉ เจชเฉฑเจงเจฐ 'เจคเฉ เจเฉเจคเจพ เจเจพเจเจฆเจพ เจนเฉเฅค
**เจเฉเจเจฐ AD เจตเจฟเฉฑเจ เจชเฉเจฐเจฎเจพเจฃเจฟเจเจคเจพ เจฆเฉ เจฒเฉเฉ เจจเจนเฉเจ เจนเฉ, เจคเจพเจ เจเจนเจจเจพเจ 'เจคเฉ เจเจฟเฉฑเจชเจฃเฉ เจเจฐเฉ, เจ
เจเจฒเฉ เจญเจพเจ เจจเฉเฉฐ เจเฉฑเจกเฉ, เจ
เจคเฉ เจเฉเจเจชเจฒเฉเจ เจตเจฟเฉฑเจ auth-user-pass เจฒเจพเจเจจ เจจเฉเฉฐ เจนเจเจพเจ.
AD เจชเฉเจฐเจฎเจพเจฃเจฟเจเจคเจพ
เจฆเฉเจเฉ เจเจพเจฐเจ เจฆเจพ เจธเจฎเจฐเจฅเจจ เจเจฐเจจ เจฒเจ, เจ เจธเฉเจ AD เจตเจฟเฉฑเจ เจเจพเจคเจพ เจชเฉเจธเจผเจเฉเจเจฐเจจ เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจพเจเจเฉเฅค
เจธเจพเจจเฉเฉฐ เจเฉฑเจ เจเจฎ เจเจชเจญเฉเจเจคเจพ เจ เจคเฉ เจเฉฑเจ เจธเจฎเฉเจน เจฆเฉ เจ เจงเจฟเจเจพเจฐเจพเจ เจตเจพเจฒเฉ เจกเฉเจฎเฉเจจ เจตเจฟเฉฑเจ เจเฉฑเจ เจเจพเจคเฉ เจฆเฉ เจเจผเจฐเฉเจฐเจค เจนเฉ, เจฎเฉเจเจฌเจฐเจธเจผเจฟเจช เจเจฟเจธ เจตเจฟเฉฑเจ เจเฉเฉเจจ เจฆเฉ เจฏเฉเจเจคเจพ เจจเจฟเจฐเจงเจพเจฐเจค เจเฉเจคเฉ เจเจพเจตเฉเจเฉเฅค
เจเฉฑเจ เจธเฉฐเจฐเจเจจเจพ เจซเจพเจเจฒ เจฌเจฃเจพเจ:
/etc/openvpn/ldap.conf
เจนเฉเจ เจฆเจฟเฉฑเจคเฉ เจธเจฎเฉฑเจเจฐเฉ
<LDAP>
URL "ldap://ldap.abc.ru"
BindDN "CN=bindUsr,CN=Users,DC=abc,DC=ru"
Password b1ndP@SS
Timeout 15
TLSEnable no
FollowReferrals yes
</LDAP>
<Authorization>
BaseDN "OU=allUsr,DC=abc,DC=ru"
SearchFilter "(sAMAccountName=%u)"
RequireGroup true
<Group>
BaseDN "OU=myGrp,DC=abc,DC=ru"
SearchFilter "(cn=myVPNUsr)"
MemberAttribute "member"
</Group>
</Authorization>
เจฎเฉเฉฑเจ เจธเฉเจเจฟเฉฐเจเจพเจ:
- URL โldap://ldap.abc.ruโ - เจกเฉเจฎเฉเจจ เจเฉฐเจเจฐเฉเจฒเจฐ เจชเจคเจพ;
- BindDN โCN=bindUsr,CN=Users,DC=abc,DC=ruโ - LDAP เจจเจพเจฒ เจฌเจพเจเจกเจฟเฉฐเจ เจฒเจ เจชเฉเจฐเจฎเจพเจฃเจฟเจ โโเจจเจพเจฎ (UZ - abc.ru/Users เจเฉฐเจเฉเจจเจฐ เจตเจฟเฉฑเจ bindUsr);
- เจชเจพเจธเจตเจฐเจก b1ndP@SS โ เจฌเจพเจเจกเจฟเฉฐเจ เจฒเจ เจฏเฉเจเจผเจฐ เจชเจพเจธเจตเจฐเจก;
- BaseDN โOU=allUsr,DC=abc,DC=ruโ โ เจเจน เจฎเจพเจฐเจ เจเจฟเฉฑเจฅเฉเจ เจเจชเจญเฉเจเจคเจพ เจฆเฉ เจเฉเจ เจธเจผเฉเจฐเฉ เจเจฐเจจเฉ เจนเฉ;
- BaseDN โOU=myGrp,DC=abc,DC=ruโ โ เจเจเจพเจเจผเจค เจฆเฉเจฃ เจตเจพเจฒเฉ เจธเจฎเฉเจน เจฆเจพ เจเฉฐเจเฉเจจเจฐ (abc.rumyGrp เจเฉฐเจเฉเจจเจฐ เจตเจฟเฉฑเจ เจเจฐเฉเฉฑเจช myVPNUsr);
- เจธเจฐเจเจซเจฟเจฒเจเจฐ "(cn=myVPNUsr)" เจเจเจฟเจ เจฆเฉเจฃ เจตเจพเจฒเฉ เจธเจฎเฉเจน เจฆเจพ เจจเจพเจฎ เจนเฉเฅค
เจธเจเจพเจฐเจเจ เจช เจ เจคเฉ เจกเจพเจเจเจจเฉเจธเจเจฟเจเจธ
เจนเฉเจฃ เจ เจธเฉเจ เจเจชเจฃเฉ เจธเจฐเจตเจฐ เจจเฉเฉฐ เจธเจฎเจฐเฉฑเจฅ เจ เจคเฉ เจเจพเจฒเฉ เจเจฐเจจ เจฆเฉ เจเฉเจธเจผเจฟเจธเจผ เจเจฐ เจธเจเจฆเฉ เจนเจพเจ:
$ sudo systemctl enable [email protected]
$ sudo systemctl start [email protected]
เจธเจผเฉเจฐเฉเจเจคเฉ เจเจพเจเจ:
systemctl status [email protected]
journalctl -xe
cat /var/log/messages
cat /var/log/openvpn/*log
เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเจฐเจจเจพ เจ เจคเฉ เจฐเฉฑเจฆ เจเจฐเจจเจพ
เจเจฟเจเจเจเจฟ เจเจชเจฃเฉ เจเจช เจธเจฐเจเฉเจซเจฟเจเฉเจเจพเจ เจคเฉเจ เจเจฒเจพเจตเจพ, เจคเฉเจนเจพเจจเฉเฉฐ เจเฉเฉฐเจเฉเจเจ เจ เจคเฉ เจนเฉเจฐ เจธเฉเจเจฟเฉฐเจเจพเจ เจฆเฉ เจเจผเจฐเฉเจฐเจค เจนเฉ; เจเจน เจธเจญ เจเฉฑเจ เจชเฉเจฐเฉเจซเจพเจเจฒ เจซเจพเจเจฒ เจตเจฟเฉฑเจ เจฒเจชเฉเจเจฃเจพ เจฌเจนเฉเจค เจธเฉเจตเจฟเจงเจพเจเจจเจ เจนเฉ. เจเจน เจซเจพเจเจฒ เจซเจฟเจฐ เจเจชเจญเฉเจเจคเจพ เจจเฉเฉฐ เจเฉเจฐเจพเจเจธเจซเจฐ เจเฉเจคเฉ เจเจพเจเจฆเฉ เจนเฉ เจ เจคเฉ เจชเฉเจฐเฉเจซเจพเจเจฒ เจจเฉเฉฐ OpenVPN เจเจฒเจพเจเฉฐเจ 'เจคเฉ เจเจฏเจพเจค เจเฉเจคเจพ เจเจพเจเจฆเจพ เจนเฉเฅค เจ เจเจฟเจนเจพ เจเจฐเจจ เจฒเจ, เจ เจธเฉเจ เจเฉฑเจ เจธเฉเจเจฟเฉฐเจ เจเฉเจเจชเจฒเฉเจ เจ เจคเฉ เจเฉฑเจ เจธเจเฉเจฐเจฟเจชเจ เจฌเจฃเจพเจตเจพเจเจเฉ เจเฉ เจชเฉเจฐเฉเจซเจพเจเจฒ เจคเจฟเจเจฐ เจเจฐเจฆเฉ เจนเฉเฅค
เจคเฉเจนเจพเจจเฉเฉฐ เจชเฉเจฐเฉเจซเจพเจเจฒ เจตเจฟเฉฑเจ เจฐเฉเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ (ca.crt) เจ เจคเฉ TLS เจเฉเฉฐเจเฉ (ta.key) เจซเจพเจเจฒเจพเจ เจฆเฉ เจธเจฎเฉฑเจเจฐเฉ เจธเจผเจพเจฎเจฒ เจเจฐเจจ เจฆเฉ เจฒเฉเฉ เจนเฉเฅค
เจเจชเจญเฉเจเจคเจพ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเจฐเจจ เจคเฉเจ เจชเจนเจฟเจฒเจพเจ เจธเจฐเจเฉเจซเจฟเจเฉเจเจพเจ เจฒเจ เจฒเฉเฉเฉเจเจฆเฉ เจตเฉเจงเจคเจพ เจ เจตเจงเฉ เจจเจฟเจฐเจงเจพเจฐเจค เจเจฐเจจเจพ เจจเจพ เจญเฉเฉฑเจฒเฉ เจชเฉเจฐเจพเจฎเฉเจเจฐ เจซเจพเจเจฒ เจตเจฟเฉฑเจ. เจคเฉเจนเจพเจจเฉเฉฐ เจเจธ เจจเฉเฉฐ เจฌเจนเฉเจค เจฒเฉฐเจฎเจพ เจจเจนเฉเจ เจเจฐเจจเจพ เจเจพเจนเฉเจฆเจพ; เจฎเฉเจ เจเจชเจฃเฉ เจเจช เจจเฉเฉฐ เจตเฉฑเจง เจคเฉเจ เจตเฉฑเจง 180 เจฆเจฟเจจเจพเจ เจคเฉฑเจ เจธเฉเจฎเจค เจเจฐเจจ เจฆเฉ เจธเจฟเจซเจพเจฐเจธเจผ เจเจฐเจฆเจพ เจนเจพเจเฅค
vim /usr/share/easy-rsa/3/vars
...
export EASYRSA_CERT_EXPIRE=180
vim /usr/share/easy-rsa/3/client/template.ovpn
client
dev tun
proto udp
remote gw.abc.ru 1194
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
cipher AES-256-CBC
verb 3
auth-user-pass
<ca>
-----BEGIN CERTIFICATE-----
PUT YOUR CA CERT (ca.crt) HERE
-----END CERTIFICATE-----
</ca>
key-direction 1
<tls-auth>
-----BEGIN OpenVPN Static key V1-----
PUT YOUR TA KEY (ta.key) HERE
-----END OpenVPN Static key V1-----
</tls-auth>
เจเจฟเฉฑเจชเจฃเฉ:
- เจฒเจพเจเจจเจพเจ เจชเจพเจ เจเจชเจฃเจพ... เจธเจฎเฉฑเจเจฐเฉ เจตเจฟเฉฑเจ เจฌเจฆเจฒเฉ เจเจจเฉเจนเจพเจ เจฆเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจ;
- เจฐเจฟเจฎเฉเจ เจกเจพเจเจฐเฉเจเจเจฟเจต เจตเจฟเฉฑเจ, เจเจชเจฃเฉ เจเฉเจเจตเฉ เจฆเจพ เจจเจพเจฎ/เจชเจคเจพ เจฆเจฟเจ;
- auth-user-เจชเจพเจธ เจกเจพเจเจฐเฉเจเจเจฟเจต เจตเจพเจงเฉ เจฌเจพเจนเจฐเฉ เจชเฉเจฐเจฎเจพเจฃเฉเจเจฐเจจ เจฒเจ เจตเจฐเจคเจฟเจ เจเจพเจเจฆเจพ เจนเฉเฅค
เจนเฉเจฎ เจกเจพเจเจฐเฉเจเจเจฐเฉ (เจเจพเจ เจนเฉเจฐ เจธเฉเจตเจฟเจงเจพเจเจจเจ เจเจเฉเจนเจพ) เจตเจฟเฉฑเจ เจ เจธเฉเจ เจเฉฑเจ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจฆเฉ เจฌเฉเจจเจคเฉ เจเจฐเจจ เจ เจคเฉ เจเฉฑเจ เจชเฉเจฐเฉเจซเจพเจเจฒ เจฌเจฃเจพเจเจฃ เจฒเจ เจเฉฑเจ เจธเจเฉเจฐเจฟเจชเจ เจฌเจฃเจพเจเจเจฆเฉ เจนเจพเจ:
vim ~/make.profile.sh
#!/bin/bash
if [ -z "$1" ] ; then
echo Missing mandatory client name. Usage: $0 vpn-username
exit 1
fi
#Set variables
basepath=/usr/share/easy-rsa/3
clntpath=$basepath/client
privpath=$basepath/pki/private
certpath=$basepath/pki/issued
profile=$clntpath/$1.ovpn
#Get current year and lowercase client name
year=`date +%F`
client=${1,,}
echo Processing $year year cert for user/device $client
cd $basepath
if [ -f client/$client* ]; then
echo "*** ERROR! ***"
echo "Certificate $client already issued!"
echo "*** ERROR! ***"
exit 1
fi
. ./vars
./easyrsa --batch --req-cn=$client gen-req $client nopass
./easyrsa --batch sign-req client $client
#Make profile
cp $clntpath/template.ovpn $profile
echo "<key>" >> $profile
cat $privpath/$1.key >> $profile
echo "</key>" >> $profile
echo -e "n" >> $profile
openssl x509 -in $certpath/$1.crt -out $basepath/$1.crt
echo "<cert>" >> $profile
cat $basepath/$1.crt >> $profile
echo "</cert>" >> $profile
echo -e "n" >> $profile
#remove tmp file
rm -f $basepath/$1.crt
echo Complete. See $profile file.
cd ~
เจซเจพเจเจฒ เจจเฉเฉฐ เจเฉฑเจฒเจฃเจฏเฉเจ เจฌเจฃเจพเจเจฃเจพ:
chmod a+x ~/make.profile.sh
เจ เจคเฉ เจ เจธเฉเจ เจเจชเจฃเจพ เจชเจนเจฟเจฒเจพ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจเจพเจฐเฉ เจเจฐ เจธเจเจฆเฉ เจนเจพเจเฅค
~/make.profile.sh my-first-user
เจซเฉเจกเจฌเฉเจ
เจเจฟเจธเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจ (เจจเฉเจเจธเจพเจจ, เจเฉเจฐเฉ) เจจเจพเจฒ เจธเจฎเจเฉเจคเจพ เจนเฉเจฃ เจฆเฉ เจฎเจพเจฎเจฒเฉ เจตเจฟเฉฑเจ, เจเจธ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจจเฉเฉฐ เจฐเฉฑเจฆ เจเจฐเจจเจพ เจเจผเจฐเฉเจฐเฉ เจนเฉ:
cd /usr/share/easy-rsa/3/
./easyrsa revoke my-first-user
./easyrsa gen-crl
เจเจพเจฐเฉ เจเฉเจคเฉ เจ เจคเฉ เจฐเฉฑเจฆ เจเฉเจคเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจตเฉเจเฉ
เจเจพเจฐเฉ เจเฉเจคเฉ เจ เจคเฉ เจฐเฉฑเจฆ เจเฉเจคเฉ เจธเจฐเจเฉเจซเจฟเจเฉเจเจพเจ เจจเฉเฉฐ เจฆเฉเจเจฃ เจฒเจ, เจฌเจธ เจเฉฐเจกเฉเจเจธ เจซเจพเจเจฒ เจตเฉเจเฉ:
cd /usr/share/easy-rsa/3/
cat pki/index.txt
เจตเจฟเจเจเจฟเจ:
- เจชเจนเจฟเจฒเฉ เจฒเจพเจเจจ เจธเจฐเจตเจฐ เจธเจฐเจเฉเจซเจฟเจเฉเจ เจนเฉ;
- เจชเจนเจฟเจฒเจพ เจ
เฉฑเจเจฐ
- V (เจตเฉเจง) - เจตเฉเจง;
- เจเจฐ (เจฐเฉฑเจฆ) - เจตเจพเจชเจธ เจฌเฉเจฒเจพเจเจ.
เจจเฉเฉฑเจเจตเจฐเจ เจธเฉฐเจฐเจเจจเจพ
เจเจเจฐเฉ เจชเฉเจพเจ เจเจฐเจพเจเจธเจฎเจฟเจธเจผเจจ เจจเฉเฉฑเจเจตเจฐเจ - เจฐเฉเจเจฟเฉฐเจ เจ เจคเฉ เจซเจพเจเจฐเจตเจพเจฒเจพเจ เจจเฉเฉฐ เจธเฉฐเจฐเจเจฟเจค เจเจฐเจจเจพ เจนเฉเฅค
เจธเจฅเจพเจจเจ เจซเจพเจเจฐเจตเจพเจฒ เจตเจฟเฉฑเจ เจเจจเฉเจเจธเจผเจจเจพเจ เจฆเฉ เจเจเจฟเจ เจฆเฉ เจฐเจฟเจนเจพ เจนเฉ:
$ sudo firewall-cmd --add-service=openvpn
$ sudo firewall-cmd --add-service=openvpn --permanent
เจ เฉฑเจเฉ, IP เจเฉเจฐเฉเจซเจฟเจ เจฐเฉเจเจฟเฉฐเจ เจจเฉเฉฐ เจธเจฎเจฐเฉฑเจฅ เจเจฐเฉ:
$ sudo sysctl net.ipv4.ip_forward=1
$ sudo echo "net.ipv4.ip_forward=1" > /etc/sysctl.d/50-sysctl.conf
เจเจพเจฐเจชเฉเจฐเฉเจ เจตเจพเจคเจพเจตเจฐเจฃ เจตเจฟเฉฑเจ, เจธเจฌเจจเฉเจเจฟเฉฐเจ เจนเฉเจฃ เจฆเฉ เจธเฉฐเจญเจพเจตเจจเจพ เจนเฉเฉฐเจฆเฉ เจนเฉ เจ เจคเฉ เจธเจพเจจเฉเฉฐ เจฐเจพเจเจเจฐ(เจเจ) เจจเฉเฉฐ เจเจน เจฆเฉฑเจธเจฃ เจฆเฉ เจฒเฉเฉ เจนเฉเฉฐเจฆเฉ เจนเฉ เจเจฟ เจธเจพเจกเฉ VPN เจเจฒเจพเจเฉฐเจเจธ เจฒเจ เจจเจฟเจฐเจงเจพเจฐเจฟเจค เจชเฉเจเฉเจ เจเจฟเจตเฉเจ เจญเฉเจเจฃเฉ เจนเจจเฅค เจเจฎเจพเจเจก เจฒเจพเจเจจ 'เจคเฉ เจ เจธเฉเจ เจเจฎเจพเจเจก เจจเฉเฉฐ เจเจธ เจคเจฐเฉเจเฉ เจจเจพเจฒ เจเจฒเจพเจเจเจฆเฉ เจนเจพเจ (เจตเจฐเจคเฉ เจเจ เจเจชเจเจฐเจจ 'เจคเฉ เจจเจฟเจฐเจญเจฐ เจเจฐเจฆเจพ เจนเฉ):
# ip route 172.16.20.0 255.255.254.0 172.16.19.123
เจ เจคเฉ เจธเฉฐเจฐเจเจจเจพ เจจเฉเฉฐ เจธเฉฐเจญเจพเจฒเฉ.
เจเจธ เจคเฉเจ เจเจฒเจพเจตเจพ, เจฌเจพเจฐเจกเจฐ เจฐเจพเจเจเจฐ เจเฉฐเจเจฐเจซเฉเจธ 'เจคเฉ เจเจฟเฉฑเจฅเฉ เจฌเจพเจนเจฐเฉ เจชเจคเจพ gw.abc.ru เจฆเจฟเฉฑเจคเจพ เจเจพเจเจฆเจพ เจนเฉ, udp/1194 เจชเฉเจเฉเจเจพเจ เจจเฉเฉฐ เจฒเฉฐเจเจฃ เจฆเฉ เจเจเจพเจเจผเจค เจฆเฉเจฃเจพ เจเจผเจฐเฉเจฐเฉ เจนเฉเฅค
เจเฉเจเจฐ เจธเฉฐเจธเจฅเจพ เจฆเฉ เจธเจเจผเจค เจธเฉเจฐเฉฑเจเจฟเจ เจจเจฟเจฏเจฎ เจนเจจ, เจคเจพเจ เจธเจพเจกเฉ VPN เจธเจฐเจตเจฐ 'เจคเฉ เจซเจพเจเจฐเจตเจพเจฒ เจจเฉเฉฐ เจตเฉ เจเฉเจเจซเจฟเจเจฐ เจเฉเจคเจพ เจเจพเจฃเจพ เจเจพเจนเฉเจฆเจพ เจนเฉเฅค เจฎเฉเจฐเฉ เจฐเจพเจ เจตเจฟเฉฑเจ, เจธเจญ เจคเฉเจ เจตเฉฑเจกเฉ เจฒเจเจเจคเจพ iptables FORWARD เจเฉเจจ เจธเจฅเจพเจชเจค เจเจฐเจเฉ เจชเฉเจฐเจฆเจพเจจ เจเฉเจคเฉ เจเจพเจเจฆเฉ เจนเฉ, เจนเจพเจฒเจพเจเจเจฟ เจเจนเจจเจพเจ เจจเฉเฉฐ เจธเจฅเจพเจชเจค เจเจฐเจจเจพ เจเฉฑเจ เจธเฉเจตเจฟเจงเจพเจเจจเจ เจนเฉ. เจเจนเจจเจพเจ เจจเฉเฉฐ เจธเจฅเจพเจชเจค เจเจฐเจจ เจฌเจพเจฐเฉ เจฅเฉเฉเจพ เจนเฉเจฐ. เจ เจเจฟเจนเจพ เจเจฐเจจ เจฒเจ, "เจธเจฟเฉฑเจงเจพ เจจเจฟเจฏเจฎ" เจฆเฉ เจตเจฐเจคเฉเจ เจเจฐเจจเจพ เจธเจญ เจคเฉเจ เจธเฉเจตเจฟเจงเจพเจเจจเจ เจนเฉ - เจธเจฟเฉฑเจงเฉ เจจเจฟเจฏเจฎ, เจเฉฑเจ เจซเจพเจเจฒ เจตเจฟเฉฑเจ เจธเจเฉเจฐ เจเฉเจคเฉ เจเจ เจนเจจ /etc/firewalld/direct.xml. เจจเจฟเจฏเจฎเจพเจ เจฆเฉ เจฎเฉเจเฉเจฆเจพ เจธเฉฐเจฐเจเจจเจพ เจนเฉเจ เจฒเจฟเจเฉ เจ เจจเฉเจธเจพเจฐ เจฒเฉฑเจญเฉ เจเจพ เจธเจเจฆเฉ เจนเฉ:
$ sudo firewall-cmd --direct --get-all-rule
เจเจฟเจธเฉ เจซเจพเจเจฒ เจจเฉเฉฐ เจฌเจฆเจฒเจฃ เจคเฉเจ เจชเจนเจฟเจฒเจพเจ, เจเจธเจฆเฉ เจฌเฉเจเจ เฉฑเจช เจเจพเจชเฉ เจฌเจฃเจพเจ:
cp /etc/firewalld/direct.xml /etc/firewalld/direct.xml.`date +%F.%T`.bak
เจซเจพเจเจฒ เจฆเฉ เจ เฉฐเจฆเจพเจเจผเจจ เจธเจฎเฉฑเจเจฐเฉ เจนเจจ:
<?xml version="1.0" encoding="utf-8"?>
<direct>
<!--Common Remote Services-->
<!--DNS-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o ens192 -p udp --dport 53 -j ACCEPT</rule>
<!--web-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.200 --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p tcp -d 172.16.19.201 --dport 443 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<!--Some Other Systems-->
<rule priority="0" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -p udp -d 172.16.19.100 --dport 7000 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT</rule>
<!--just logging-->
<rule priority="1" table="filter" ipv="ipv4" chain="FORWARD">-i tun0 -o eth0 -j LOG --log-prefix 'forward_fw '</rule>
</direct>
เจตเจฟเจเจเจฟเจ
เจเจน เจเจผเจฐเฉเจฐเฉ เจคเฉเจฐ 'เจคเฉ เจจเจฟเจฏเจฎเจค iptables เจจเจฟเจฏเจฎ เจนเจจ, เจจเจนเฉเจ เจคเจพเจ เจซเจพเจเจฐเจตเจพเจฒเจก เจฆเฉ เจเจเจฎเจจ เจคเฉเจ เจฌเจพเจ เจฆ เจชเฉเจ เจเฉเจคเฉ เจเจ เจนเจจเฅค
เจกเจฟเจซเจพเจฒเจ เจธเฉเจเจฟเฉฐเจเจพเจ เจตเจพเจฒเจพ เจฎเฉฐเจเจผเจฟเจฒ เจเฉฐเจเจฐเจซเฉเจธ tun0 เจนเฉ, เจ เจคเฉ เจธเฉเจฐเฉฐเจ เจฒเจ เจฌเจพเจนเจฐเฉ เจเฉฐเจเจฐเจซเฉเจธ เจตเฉฑเจเจฐเจพ เจนเฉ เจธเจเจฆเจพ เจนเฉ, เจเจฆเจพเจนเจฐเจจ เจฒเจ, ens192, เจตเจฐเจคเฉ เจเจ เจชเจฒเฉเจเจซเจพเจฐเจฎ 'เจคเฉ เจจเจฟเจฐเจญเจฐ เจเจฐเจฆเจพ เจนเฉเฅค
เจเจเจฐเฉ เจฒเจพเจเจจ เจกเจฐเจพเจช เจชเฉเจเฉเจเจพเจ เจจเฉเฉฐ เจฒเฉเจ เจเจฐเจจ เจฒเจ เจนเฉเฅค เจเฉฐเจฎ เจเจฐเจจ เจฒเจ เจฒเจพเจเจฟเฉฐเจ เจเจฐเจจ เจฒเจ, เจคเฉเจนเจพเจจเฉเฉฐ เจซเจพเจเจฐเจตเจพเจฒเจก เจธเฉฐเจฐเจเจจเจพ เจตเจฟเฉฑเจ เจกเฉเจฌเฉฑเจ เจชเฉฑเจงเจฐ เจจเฉเฉฐ เจฌเจฆเจฒเจฃ เจฆเฉ เจฒเฉเฉ เจนเฉ:
vim /etc/sysconfig/firewalld
FIREWALLD_ARGS=--debug=2
เจธเฉเจเจฟเฉฐเจเจพเจ เจจเฉเฉฐ เจฎเฉเฉ-เจชเฉเฉเจนเจจ เจฒเจ เจธเฉเจเจฟเฉฐเจเจพเจ เจจเฉเฉฐ เจฒเจพเจเฉ เจเจฐเจจเจพ เจเจฎ เจซเจพเจเจฐเจตเจพเจฒเจก เจเจฎเจพเจเจก เจนเฉ:
$ sudo firewall-cmd --reload
เจคเฉเจธเฉเจ เจเจธ เจคเจฐเฉเจนเจพเจ เจเฉฑเจกเฉ เจนเฉเจ เจชเฉเจเฉเจ เจฆเฉเจ เจธเจเจฆเฉ เจนเฉ:
grep forward_fw /var/log/messages
เจ เฉฑเจเฉ เจเฉ เจนเฉ
เจเจน เจธเฉเฉฑเจเจ เฉฑเจช เจจเฉเฉฐ เจชเฉเจฐเจพ เจเจฐเจฆเจพ เจนเฉ!
เจเฉ เจฌเจเจฆเจพ เจนเฉ เจเจน เจนเฉ เจเจฒเจพเจเฉฐเจ เจธเจพเจเจก 'เจคเฉ เจเจฒเจพเจเฉฐเจ เจธเฉเจซเจเจตเฉเจ
เจฐ เจจเฉเฉฐ เจธเจฅเจพเจชเจฟเจค เจเจฐเจจเจพ, เจชเฉเจฐเฉเจซเจพเจเจฒ เจจเฉเฉฐ เจเจฏเจพเจค เจเจฐเจจเจพ เจ
เจคเฉ เจเจจเฉเจเจ เจเจฐเจจเจพเฅค เจตเจฟเฉฐเจกเฉเจเจผ เจเจชเจฐเฉเจเจฟเฉฐเจ เจธเจฟเจธเจเจฎเจพเจ เจฒเจ, เจกเจฟเจธเจเจฐเฉเจฌเจฟเจเจธเจผเจจ เจเจฟเฉฑเจ 'เจคเฉ เจธเจฅเจฟเจค เจนเฉ
เจ เฉฐเจค เจตเจฟเฉฑเจ, เจ เจธเฉเจ เจเจชเจฃเฉ เจจเจตเฉเจ เจธเจฐเจตเจฐ เจจเฉเฉฐ เจจเจฟเจเจฐเจพเจจเฉ เจ เจคเฉ เจชเฉเจฐเจพเจฒเฉเจ เจชเฉเจฐเจฃเจพเจฒเฉเจเจ เจจเจพเจฒ เจเฉเฉเจฆเฉ เจนเจพเจ, เจ เจคเฉ เจจเจฟเจฏเจฎเจฟเจค เจคเฉเจฐ 'เจคเฉ เจ เฉฑเจชเจกเฉเจ เจธเจฅเจพเจชเจค เจเจฐเจจเจพ เจจเจพ เจญเฉเฉฑเจฒเฉเฅค
เจธเจฅเจฟเจฐ เจเฉเจจเฉเจเจธเจผเจจ!
เจธเจฐเฉเจค: www.habr.com