IP Addressing
The following section describes the process of configuring your systems IP address and default gateway needed for communicating on a local area network and the Internet.
Temporary IP Address Assignment
For temporary network configurations, you can use the ip command which is also found on most other GNU/Linux operating systems. The ip command allows you to configure settings which take effect immediately, however they are not persistent and will be lost after a reboot.
To temporarily configure an IP address, you can use the ip command in the following manner. Modify the IP address and subnet mask to match your network requirements.
The ip can then be used to set the link up or down.
To verify the IP address configuration of enp0s25, you can use the ip command in the following manner.
To configure a default gateway, you can use the ip command in the following manner. Modify the default gateway address to match your network requirements.
To verify your default gateway configuration, you can use the ip command in the following manner.
If you require DNS for your temporary network configuration, you can add DNS server IP addresses in the file . In general, editing directly is not recommanded, but this is a temporary and non-persistent configuration. The example below shows how to enter two DNS servers to , which should be changed to servers appropriate for your network. A more lengthy description of the proper persistent way to do DNS client configuration is in a following section.
If you no longer need this configuration and wish to purge all IP configuration from an interface, you can use the ip command with the flush option as shown below.
Dynamic IP Address Assignment (DHCP Client)
To configure your server to use DHCP for dynamic address assignment, create a netplan configuration in the file . The example below assumes you are configuring your first Ethernet interface identified as enp3s0.
The configuration can then be applied using the netplan command.
Static IP Address Assignment
To configure your system to use static address assignment, create a netplan configuration in the file . The example below assumes you are configuring your first Ethernet interface identified as eth0. Change the addresses, gateway4, and nameservers values to meet the requirements of your network.
The configuration can then be applied using the netplan command.
Loopback Interface
The loopback interface is identified by the system as lo and has a default IP address of 127.0.0.1. It can be viewed using the ip command.
Настройка интернета в Linux
Прежде, чем говорить о настройке Интернета в убунту и рассматривать причины медленного Интернета ubuntu, отсутствия подключения linux mint к Интернету, а также того, что не работает Интернет в ubuntu, надо понять основные фатальные ошибки при работе с такими платформами:
Использование внешних файлов программного обеспечения, а также их беспорядочное обновление может привести к сбою работы операционной системы, соответственно через определенный период времени платформа вообще перестанет нормально функционировать
С осторожностью на данных платформах следует работать с расширениями .deb и .rpm. Через файлы этих расширений возможна установка вирусных программ, а в итоге ноутбук или компьютер навсегда перестает работать
Учетная запись root противоречит условиям безопасности платформы Линукс, соответственно это приведет к неполадкам в работе Убунту. В данном случае придется скачивать дополнительный платный пакет программного обеспечения. Настройка сети в linux mint также требует отключения некоторых расширений браузеров, поскольку они могут повлиять на нормальную работу компьютера или ноутбука в целом. В данной платформе нельзя использовать приложения для очистки системы. Иначе может возникнуть проблема того, что server ubuntu не видит Интернет. В результате снова надо будет проводить установку линкус через интернет, а в качестве плохого побочного эффекта станет потеря важных данных гаджета и сбой в работе операционной системы. Нельзя устанавливать другие тестовые программные обеспечения. Не стоит удалять файлы, входящие в стандартные документы и приложения программного обеспечения линкуса или убунту. Не стоит проводить какие-либо эксперименты с рабочими гаджетами.
Что касается настройки Интернета, то это процесс будет простым для профессионалов и средним по сложности для новичков. Однако стоит понимать, что Интернет понадобиться не только в подключении самой платформы, но и для последующих скачиваний необходимых программ.
Замечание! Если пользователь не уверен в своих силах, то лучше вызвать мастера на дом. Средства, необходимые для этой услуги, гораздо ниже, чем стоимость последствий неправильной установки сети в линкусе.
Существует 2 базовых способа подключения к сети. Об этом ниже.
Защита от инсайдерских угроз
Контроль рабочего времени
В офисе не приходится специально контролировать рабочее время , потому что действует корпоративная культура: сотрудники начинают рабочий день в 9, уходят на обед и возвращаются с него.
На «удалёнке» следить за рабочим графиком сложнее. Ответственные сотрудники, у которых много работы, могут не вставать из-за компьютера целый день. Но таких людей не так много. Все остальные могут заниматься своими делами, пока за ними не следят. У всех дома есть дети, кошки, холодильники – много интересных вещей, которые отвлекают. Я даже знаю примеры, когда люди пьянствовали целый день.
Возникает вопрос, как контролировать людей — ведь нельзя поставить каждому сотруднику камеру и постоянно следить за ним.
Программы для учёта рабочего времени, такие как CrocoTime или «Стахановец», фиксируют чем сотрудник занимался целый день. На эти отчёты нужны не для того, чтобы их смотрели — они используются как «театр безопасности». Когда человек знает, что за его действиями следят, он будет придерживаться рабочего времени и стараясь работать производительно. Это полезная вещь, которую можно применять.
Кража данных сотрудниками
Я знаю случаи, когда после перехода на удаленку у компании в несколько раз падали продажи. При этом число лидов не изменилось: клиенты, как и прежде, обращались к менеджерам, но сделки не заключались. В чем же дело?
Когда сотрудники работают в офисе, они негласно присматривают друг за другом: никто не будет фотографировать экран, пересылать закрытую информацию по электронной почте или пересказывать её по телефону.
Ценность информации, которую можно украсть, сфотографировав экран, бывает велика. Особенно это касается компаний, у которых дорогой лид: из сферы недвижимости или автомобильного бизнеса. В этих компаниях очень ценен даже сам номер телефона клиента.
Менеджеры, которые его видят, могут обработать заявку в своей компании и не получить ничего, кроме зарплаты. А могут продать информацию конкурентам и получить бонусы. Компания потеряет клиента, понесёт финансовые и репутационные потери.
Единственная защита от кражи лидов – оградить контактные данные лида от человека, который с ними работает. Для этого в CRM-системе должен быть скрыт номер телефона. Такая возможность есть, например в 1С-Рарус: Call Center. В ней не отображаются номера.
Телефонная станция сама делает вызов. Оператору приходит уже обезличенная информация: «Звонит клиент Роман». В CRM нет никакой информации, которую можно с выгодой украсть. Такие программы не уберегут от топовых сотрудников, которые, обычно, имеют доступ ко всей информации и от технических сотрудников, обслуживающих систему. Но риск потерять клиента снизится.
Безопасность рабочего места сотрудника
Люди часто работают из дома на собственных компьютерах. Контролировать, какое на них установлено ПО, невозможно. Часто на домашних устройствах отсутствует антивирус, может стоять Windows XP, скачанный с торрентов, троянские программы. Когда этот же компьютер используется для доступа в рабочее пространство, финансовая информации может утечь.
Zero Trust
Идея Zero Trust в том, что для пользователей нет прямых препятствий доступа к системе, но сама система максимально безопасна.
Пример Zero Trust – «Сбербанк.Онлайн». В него встроена собственная защита: система следит за количеством попыток входа, мониторит уязвимости, отслеживает атаки. Пользователи получают доступ информации без дополнительных средств, отделённых от информационной системы.
Для небольшого корпоративного клиента Zero Trust может включать двухфакторную авторизацию, концепцию защиты от подбора паролей, обязательные сертификаты, регулярную проверка на уязвимости.
Подход Zero Trust очень надёжный, но для его качественной организации нужно много денег. Для небольших компаний это недоступное решение.
Настройка bridge и bonding для KVM
Данный пример будет содержать общую конфигурацию в одном YAML-файл. Возвращаясь к заданию: имеется сервер с двумя сетевыми картами, на которые нужно»повесить» балансировку нагрузки, а также все это объединить в bridge, для работы гостевых ОС гипервизора KVM(статья по настройке KVM)
nano /etc/netplan/50-cloud-init.yaml
network:
bridges:
br0:
addresses:
- 192.168.1.59/24
dhcp4: no
dhcp6: no
gateway4: 192.168.1.1
nameservers:
addresses:
- 192.168.1.1
search: []
interfaces:
- bond0
bonds:
bond0:
interfaces:
- enp3s0
- enp5s0
ethernets:
enp3s0:
addresses: [192.168.1.57/24]
dhcp4: no
dhcp6: no
enp5s0:
addresses: [192.168.1.58/24]
dhcp4: no
dhcp6: no
Настройка DNS-клиентов
Прежде чем все ваши серверы в доверенном ACL смогут отправлять запросы на ваши DNS-серверы, вы должны настроить для каждого из них использование ns1 и ns2 в качестве сервера имен. Этот процесс варьируется в зависимости от операционной системы, но для большинства дистрибутивов Linux он подразумевает добавление ваших серверов доменных имен в файл .
Клиенты Ubuntu 18.04
На Ubuntu 18.04 настройка сетевого взаимодействия выполняется с помощью Netplan, абстракции, которая позволяет вам записывать стандартную конфигурацию сети и применять ее к несовместимому сетевому ПО, отвечающему за бекэнд. Для настройки DNS нам потребуется записать файл конфигурации Netplan.
Во-первых, найдите устройство, связанное с вашей частной сетью, отправив частной подсети команду :
В этом примере используется частный интерфейс .
Далее необходимо создать новый файл в с именем :
Вставьте в файл следующее содержимое. Вам потребуется изменить интерфейс частной сети, адреса ваших DNS-серверов ns1 и ns2, а также зону DNS:
Примечание: Netplan использует формат сериализации данных YAML для своих файлов конфигурации. Поскольку YAML использует структурирование текста и пробелы для определения структуры данных, убедитесь, что ваше определение имеет равномерное структурирование текста во избежание ошибок.
/etc/netplan 00-private-nameservers.yaml
Сохраните файл и закройте его после завершения.
Затем вы должны сообщить Netplan о необходимости использования нового файла конфигурации с помощью команды . При наличии проблем, которые приводят к потере подключения к сети, Netplan будет автоматически перезапускать изменения по истечении определенного периода времени:
Если счетчик в нижней части обновляется корректно, это значит, что новой конфигурации удалось по крайней мере не повредить ваше соединение SSH. Нажмите ENTER, чтобы принять изменения в конфигурации.
Теперь проверьте DNS-преобразователь системы, чтобы определить, применены ли изменения в конфигурацию DNS:
Прокрутите вниз, пока не увидите раздел для вашего интерфейса частной сети. Вы должны увидеть частные IP-адреса ваших DNS-серверов, которые будут перечислены в первую очередь, а за ними идут резервные значения. Ваш домен должен находиться в строке DNS Domain:
Ваш клиент должен быть настроен на использование ваших внутренних DNS-серверов.
Клиенты Ubuntu 16.04 и Debian
В серверах Ubuntu 16.04 и Debian вы можете изменить файл :
Внутри найдите строку и добавьте ваши серверы доменных имен в начало списка, который уже добавлен в файл. Под этой строкой добавьте опцию , указывающую на базовый домен вашей инфраструктуры. В нашем случае это будет “nyc3.example.com”:
/etc/network/interfaces
Сохраните файл и закройте его после завершения.
Перезапустите ваши сетевые службы, применив изменения с помощью следующих команд. Убедитесь, что вы заменили на имя вашего сетевого интерфейса:
В результате будет выполнен перезапуск вашей сети без отключения текущего подключения. Если все работает корректно, вы должны увидеть примерно следующее:
Еще раз проверьте, что ваши настройки были применены, введя следующую команду:
Вы должны увидеть ваши серверы доменных имен в файле , а также ваш домен поиска:
Ваш клиент настроен для использования ваших DNS-серверов.
Клиенты CentOS
В CentOS, RedHat и Fedora Linux отредактируйте файл . Возможно, вам придется заменить на имя вашего основного сетевого интерфейса:
Найдите опции и и задайте для них частные IP-адреса ваших основного и дополнительного серверов доменных имен. Добавьте параметр , используя базовый домен вашей инфраструктуры. В этом руководстве это будет “nyc3.example.com”:
/etc/sysconfig/network-scripts/ifcfg-eth0
Сохраните файл и закройте его после завершения.
Перезапустите сетевую службу с помощью следующей команды:
Команда может зависнуть на несколько секунд, но через короткое время вы должны вернуться в командную строку.
Убедитесь, что изменения вступили в силу, введя следующую команду:
Вы должны увидеть ваши серверы доменных имен и домена поиска в списке:
/etc/resolv.conf
Ваш клиент теперь может подключиться и использовать ваши DNS-серверы.
Временная настройка сетевого интерфейса
Иногда приходиться быстро выполнить настройку сетевого интерфейса. И тут ничего сложного нет. Открываем терминал комбинацией клавиш Ctrl+Alt+t . Следующим шагом нам необходимо узнать какой интерфейс нам нужно настроить. Для того, чтобы посмотреть все интерфейсы нужно набрать команду:
После того как узнали название нашего интерфейса в терминале вводим команду:
- sudo -выполнение команды от пользователя root,
- ifconfig — специальная утилита для просмотра и редактирования настроек сетевых интерфейсов,
- eth0 — название сетевого интерфейса настройки, которого мы хотим посмотреть или отредактировать (Вы должны указать свой сетевой интерфейс),
- 192.168.0.1 — ip адрес, который мы присваиваем сетевому интерфейсу(Вы должны указать свой ip адрес)
- netmask — служебное слово после, которого идет маска подсети в примере это 255.255.255.0 (Вы должны указать маску соответствующую Вашим сетевым настройкам)
- up — служебное слово, которое указывает что данный интерфейс необходимо “поднять” (включить)
И теперь осталось прописать шлюз. Для этого в терминале вводим следующую команду
- sudo -выполнение команды от пользователя root,
- route — специальная утилита для просмотра и редактирования маршрутизации в Ubuntu
- default gw — указывает шлюз по умолчанию, в примере это 192.168.0.100 (Вы должны установить шлюз, который соответствует Вашим сетевым настройкам)
Вот в принципе и все. Для того, чтобы проверить применились ли настройки необходимо ввести команду ifconfig. И Вы должны увидеть нечто похожее:
Единственный минус данной настройки — это при перезапуски интерфейса или самой системы все настройки пропадут.
Установка и настройка инструментов администрирования, настройка сети
После того как мы установили базовую операционную систему ubuntu14.04 с минимального дистрибутива, первым делом нужно озаботится тем как ей комфортно управлять. В основном для конфигурирования и управления серверами на базе *nix используют ssh/telnet, но в последнее время для этого также появились вполне годные инструменты на базе web-интерфейсов. Я использую бесплатные решения Webmin и Ajenti. Oбе эти панели заслуживают внимания и не смотря на то что они по отдельности могут всё, для чего-то каждая из них подходит лучше, по этому лучше иметь их обе. Я должен заметить, что на боевых продакшн-серверах подобные решения не ставят исходя из безопасности. Всё-таки чем больше управляющих систем, тем больше вероятность найти в них уязвимость. По этому если ваши требования безопасности находятся на уровне «паранойя», то просто примите тот факт, что вам придётся работать с сервером только через ssh (через консоль).
Настройка сети в ubuntu 14.04
Чтобы связываться с нашим сервером по сети, для начала её нужно настроить. По умолчанию, при установке сеть настроилась автоматически и если инсталлятор обнаружил в сети DHCP-сервер, то скорее всего он уже настроил всё как нужно. Если в сети нет DHCP-сервера, то установщик всё равно настроил всё исходя из опроса маршрутизатора к которому подключена сетевая карта. Для того что-бы посмотреть, каким образом сейчас настроена сеть, достаточно в терминале набрать:
Вывод:
Что же мы тут видим:
У нас два сетевых интерфейса eth0 и lo где lo — это «интерфейс обратной петли loopback» а eth0 — это имя нашей сетевой карточки, и если lo — это неизменный сетевой интерфейс, то все остальные интерфейсы могут отличатся по имени. Если в системном блоке установлены две сетевые карты то их интерфейсы скорее всего будут выглядеть как eth0 и eth1 и так далее. Вид имени интерфейса зависит от типа сетевой карты, так например если сетевая карта работает по протоколу WiFi то скорее всего имя у неё будет wlan0.
Что-бы настроить сеть, отредактируем следующий файл:
Приведём его к такому виду:
Где: iface eth0 inet static — указывает, что интерфейс (iface eth0) находится в диапазоне адресов IPv4 (inet) со статическим ip (static);address 192.168.0.184 — указывает что IP адрес (address) нашей сетевой карты 192.168.0.184;netmask 255.255.255.0 — указывает что наша маска подсети (netmask) имеет значение 255.255.255.0;gateway 192.168.0.1 — адрес шлюза (gateway) по умолчанию 192.168.0.254;auto eth0 — указывет системе что интерфейс eth0 необходимо включать автоматически при загрузке системы с вышеуказанными параметрами.eth0 — имя подключаемого своего интерфейса. Список интерфейсов можно посмотреть набрав ifconfigdns-nameservers — DNS-сервера, пишутся через пробел.
Как видно в моём случае я решил задать статический ip 192.168.0.184
перезагружаем сервер командой
Пингуем наш сервер из сети и убеждаемся что он виден. Теперь пришла пора установить с ним связь по SSH, для этого собственно установим ssh-сервер:
Теперь можно подключится к нашему серверу по ssh через программу putty например, теперь можно вводить команды не в ручную, а копируя и вставляя нужные нам строки в клиент ssh, ибо в дальнейшем это удивительно облегчит настройку, в чём вы вскоре убедитесь сами:
ВСЕ КОМАНДЫ НИЖЕ ЭТОЙ СТРОЧКИ ВВОДЯТСЯ ОТ ИМЕНИ СУПЕРПОЛЬЗОВАТЕЛЯ, а для того что-бы войти в режим суперпользователя, нужно набрать:
Установка webmin
echo «deb https://download.webmin.com/download/repository sarge contrib» >> /etc/apt/sources.list
echo «deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib» >> /etc/apt/sources.list
wget https://www.webmin.com/jcameron-key.asc
apt-key add jcameron-key.asc
apt-get update
apt-get install -y webmin
|
1 |
echo»deb https://download.webmin.com/download/repository sarge contrib»>>etcaptsources.list echo»deb https://webmin.mirror.somersettechsolutions.co.uk/repository sarge contrib»>>etcaptsources.list wget https//www.webmin.com/jcameron-key.asc apt-key add jcameron-key.asc apt-get update apt-get install-ywebmin |
Всё! 6 последовательно введённых команд и webmin установлен и настроен. Теперь можно зайти через браузер по адресу:
По умолчанию webmin выглядит минималистично, интерфейс по умолчанию отображается на английском языке, но всё настраивается!
Делаем вот так:
Получается вот так:
Настройка Ubuntu и Debian сетевым шлюзом для раздачи интернета в локальную сеть
- 28th day of Chaos, in the yold 3176
- 140 Comments
В этой заметке будет рассказано как с помощью iptables настроить системы с Ubuntu и Debian для раздачи интернета другим компьютерам локальной сети. На простом примере будет показано как машину с двумя сетевыми интерфейсами (в один поступает интернет, из другого — «выходит») сделать шлюзом.
Настроить этот функционал через веб-интерфейс можно с помощью Webmin, через графический интерфейс – с помощью GAdmintools. Но мы рекомендуем настраивать шлюз напямую, а не через сторонние утилиты.
Допустим, что аппаратно-сетевая часть уже полностью настроена, на вашей машине имеются работоспособный интернет и вы видите другие компьютеры сети. Поэтому давайте разберемся что к чему, для этого введем команду:
(с Debian 9 эта команда устарела, используйте вместо нее)
Она выдаст список работающих в данный момент сетевых интерфейсов. Среди них надо опознать те, что начинаются со слов «Link encap:Ethernet» — это интерфейсы сетевых карт. Как правило, это eth0 и eth1.
Теперь потребуется опознать в какой из них поступает интернет, а из какого «выходит». Проще всего это сделать по их ip-адресам.
Итак, допустим через eth0 вы получаете интернет (например через adsl-модем по протоколу ppp), а eth1 связывает вас с локальной сетью.
Если локальная сеть настроена через Network Manager, то мы рекомендуем прописать эти настройки непосредственно в системном конфигурационном файле сети:
Здесь исправьте настройки вашего сетевого интерфейса, подключенного к локальной сети (в нашем случае eth1), соответствующим образом:
Значение address — это айпи вашей машины в локальной сети, по этому адресу собственно и будет располагаться шлюз.
Значение netmask — в локальных сетях для этого диапазона чаще всего такая. Для других диапазонов можно вычислить здесь.
Значения network и broadcast будут зависеть от вашего адреса. То есть, если ваш локальный ip — 10.0.0.10, то network и broadcast будут 10.0.0.0 и 10.255.255.255 соответственно.
Либо, это можно проделать всего одной командой:
Эта команда самостоятельно настроит вашу сетевую карту eth1 на использование статичного айпи-адреса, и самостоятельно пропишет описанные выше настройки в файл /etc/network/interfaces
В любом случае, после этих изменений перезапустите networking:
Командой:
()
проверьте, что изменения вступили в силу и все работает.
Теперь осталось дело за малым. В случае если вы уже пытались настроить вашу систему шлюзом, но у вас не получилось или по каким-то другим причинам вы желаете обнулить все настройки файрвола iptables, то это можно сделать следующими командами:
Если прямой необходимости в сбросе настроек iptables нет, то лучше этого не делать.
Следующие команды настроят ваш iptables для NAT-трансляции (NAT, Network Address Translation — «преобразование сетевых адресов») через Ubuntu-шлюз:
Если необходимые вам сетевые интерфейсы отличаются от eth0 и eth1, то просто измените первую строку соответствующим образом.
Если ваша локальная сеть находится вне диапазона 192.168.x.x, то маску подсети для указания в первой строке вы сможете легко вычислить через сервис Network Calculators.
Теперь для конфигурации gateway’я для роутинга между двумя интерфейсами необходимо включить IP-форвардинг командой:
И последний штрих: надо отредактировать файл sysctl.conf:
Добавьте в него вот эти две строки для активации роутинга:
В Debian 9 достаточно добавить (раскомментрировать) всего одну строку:
После этого ваш интернет-шлюз готов к работе. Можете настраивать клиентские машины. На нашем примере для них gateway будет 192.168.0.10
Если все внесенные вами изменения работают корректно и вы желаете внести эти настройки в автозагрузку (а именно, вышеприведенные настройки iptables теряют активность после перезагрузки системы), то сохраните нынешнюю рабочую конфигурацию iptables в файл командой:
После этого в сам файл сетевых настроек /etc/network/interfaces () к параметрам вашего сетевого интерфейса, например, из которого к вам поступает интернет (в нашем случае – это eth0) добавьте строку:
То есть оно станет примерно такого вида:
Только не меняйте значения в строке iface, просто добавьте указанную строку последней в разделе auto eth0 (ну или какого-то другого сетевого интерфейса). После этого при перезагрузке сохраненные настройки iptables будут подниматься автоматически.
Если вы хотите добавить к этому автоматическую раздачу адресов (dhcp) и прокси, то воспользуйтесь для этого, например, вот этой инструкцией.
nmcli
nmcli conn show
NAME UUID TYPE DEVICE
k3-5-bw4-udp-1196 754bf232-b384-4e41-944f-00b37e781ea3 vpn wlp0s20f3
NetGuest 09a61c52-6da7-4947-bcce-bd928c72ec04 wifi wlp0s20f3
tun0 749f87c0-2e48-48d6-a8b9-924e120b4e22 tun tun0
br-cb9e77c3b2f2 744bd9ed-dc76-4632-9bb7-47605e47d16e bridge br-cb9e77c3b2f2
docker0 717d7ef5-2bcf-493e-af17-ea858a83d7ce bridge docker0
Net2.4G cee7ba3b-2835-4383-ae97-70ed50ec6d41 wifi —
NetM 131ea9fd-ca46-4de6-b909-542ae1548894 wifi —
SKYnet 5faa88cd-b6a4-4b8d-aa16-d0c8a62425ea wifi —
S-office 5ca185cc-cd49-4451-99c8-42ae24aef077 wifi —
Wired connection 1 befcb047-1362-33bf-8819-96d783e30df5 ethernet —
Управлять сервером
Одна из тех вещей, которые каждый должен принимать во внимание на каком-то этапе обучения, касается работа веб-сервера. Когда мы говорим о серверах, мы имеем в виду не только веб-сервер, поскольку сервер также может использоваться, например, для хранения или содержания базы данных
В этом смысле важно отметить, что сервер идеально адаптируется к описанию технологического и цифрового инструмента, поскольку он не обязательно должен быть связан с физическим устройством, поскольку были предприняты необходимые усилия, чтобы сделать его мощным программа. для облегчить его обращение
