IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

  • Instal·lació d'una Xarxa formada per VLANs en un entorn virtual

Presentació

El projecte que proposo consisteix en el muntatge d'una xarxa amb una DMZ que contindrà un servidor DNS i un servidor web amb apache. En la part LAN de la xarxa hi haurà els clients, un servidor DNS per a la gestió dels noms de domini en local, un servidor DHCP que s'encarregara de donar IP's del rang determinat de la xarxa, un servidor de còpies de seguretat i finalment un host que monitoritzarà tots els serveis i que enviara alertes de correu en cas que hi hagues algun problema. El tallafocs de tota aquesta infraestructurà estarà en un mikrotik amb routerOS.

Instal·lació

Requeriments

  • Un servidor proxmox que ens servira d'entorn de virtualització per a tota l'estructura de xarxa lògica que muntarem.
  • Switch compatible amb VLANS amb el qual dividirem la xarxa.
  • ISO d'ubuntu server i routerOS.

Instal·lació pas a pas

VLANS

Xarxa LAN

El primer pas serà definir una VLAN al servidor proxmox per on anira separada la xarxa LAN de les resta. Per a fer-ho haurem d'editar l'arxiu interfaces i afegir la nova targeta

# nano /etc/network/interfaces
# VLAN 310  LAN
auto bond0.310
iface bond0.310 inet manual
       vlan_raw_device bond0

i a l'apartat de bridge haurem de crear el pont que apunta cap a la VLAN que creem

auto vmbr310
iface vmbr310 inet manual
       bridge_ports bond0.310
       bridge_stp off
       bridge_fd 0

Un cop fet això cal reiniciar el proxmox.

Xarxa Servidor-LAN
# nano /etc/network/interfaces
# VLAN 311  LAN
auto bond0.311
iface bond0.311 inet manual
       vlan_raw_device bond0
auto vmbr311
iface vmbr311 inet manual
       bridge_ports bond0.311
       bridge_stp off
       bridge_fd 0
Xarxa Servidor-PUB
# nano /etc/network/interfaces
# VLAN 312  LAN
auto bond0.312
iface bond0.312 inet manual
       vlan_raw_device bond0
auto vmbr312
iface vmbr312 inet manual
       bridge_ports bond0.312
       bridge_stp off
       bridge_fd 0
Connexió backup
# VLAN 313 Servidors Publics
auto bond0.313
iface bond0.313 inet manual
       vlan_raw_device bond0

auto vmbr313
iface vmbr313 inet manual
       bridge_ports bond0.312
       bridge_stp off
       bridge_fd 0


Creació de les VM

Com ja he dit l'estructura està muntada en un entorn virtual amb proxmox, per tant el primer pas serà la creació de màquines virtuals. Començarem per crear les màquines de la LAN

Mikrotik (infraestructura xarxa)

Instal·lació

El router mikrotik serà el cor de tota aquesta instal·lació, contindra el firewall i serà el que enrutara totes les xarxes, per tant podriem dir que és l'element més important d'aquesta xarxa.

Per tema d'infraestructura no podem utilitzar un router mikrotik físic, per tant l'emularem amb un routerOS, tot i que això ens suposo un problema, el routerOS només guarda la configuració durant un dia (temes de lliçencia) per tant haurem de congelar la màquina cada cop.

El primer pas serà penjar la .iso del routerOS al proxmox

Is proxmox spineda.png

Ara crearem la màquina amb routerOS


Selección 999(544).png

Com podem comprovar el disc és molt més petit ja que simplement guardarem les configuracions de firewall. De moment el connectem a la VLAN6, que és la que té accés a internet, però a posteriori afegirem les targetes de xarxa que aniran lligades a les VLANS de totes les xarxes.

Selección 999(545).png

i iniciem la màquina per a començar la instal·lació, com tenim recursos de sobres instal·lem tots els serveis disponibles epr si en algun futur ho necessitem

Selección 999(554).png

I un cop instal·lats tots els serveis reiniciem i ja tindrem la màquina operativa

Selección 999(555).png

Configuració de la xarxa Ara per a poder-nos connectar a la màquina mikrotik li afegim una targeta de xarxa amb la VLAN de l'aula

Vlan19 spineda.png

I li assignem una IP

[[email protected]] > ip address add
address: 192.168.204.189/24
interface: ether5

I ara via winbox ja podrem començar a configurar les Xarxes.

Afegim les IP

Selección 999(564).png


I ens quedarà aixi

[[email protected]] /ip address> print 
Flags: X - disabled, I - invalid, D - dynamic 
 #   ADDRESS            NETWORK         INTERFACE                              
 0   ;;; VLAN de l'aula 20.4
     192.168.204.189/24 192.168.204.0   ether5                                 
 1   ;;; VLAN cap a internet
     192.168.160.200/24 192.168.160.0   ether1                                 
 2   ;;; VLAN cap a la xarxa LAN
     192.168.10.1/24    192.168.10.0    ether2                                 
 3   ;;; VLAN servidors DMZ
     192.168.11.1/24    192.168.11.0    ether3                                 
 4   192.168.12.1/24    192.168.12.0    ether4


iptables

Taula Filter

Aquesta taula serveix per a filtrar els paquets, ja que no ens interessa que aribin paquets de l'exterior per exemple ala xarxa LAN

[[email protected](spineda)] /ip firewall filter> print
Flags: X - disabled, I - invalid, D - dynamic
 0    ;;; De internet a servidor-pub(acceptem tot)
      chain=forward action=accept in-interface=ether1(conecixio al router)
      out-interface=ether4(conexio servidors-pub) log=no log-prefix=""

 1    ;;; D'internet al servidor-lan (acceptar les conexions que ha obert el s>
idor)
      chain=forward action=accept connection-state=established,related
      in-interface=ether1(conecixio al router)
      out-interface=ether3(conexio al servidor-lan) log=no log-prefix=""

 2    ;;; D'internet al servidor-lan (acceptar les conexions entrants ssh)
      chain=forward action=accept protocol=tcp
      in-interface=ether1(conecixio al router)
      out-interface=ether3(conexio al servidor-lan) dst-port=22 log=no
      log-prefix=""

 3    ;;; D'internet a servidor-lan (esborar tot el que queda)
      chain=forward action=drop in-interface=ether1(conecixio al router)
      out-interface=ether3(conexio al servidor-lan) log=no log-prefix=""

 4    ;;; De servidor pub a servidor lan (acceptar totes les conexions obertes>
l servidor lan)
      chain=forward action=accept connection-state=established,related
      in-interface=ether4(conexio servidors-pub)
      out-interface=ether3(conexio al servidor-lan) log=no log-prefix=""

 5    ;;; De servidor-pub a servidor-lan (acceptar conexions ssh)
      chain=forward action=accept protocol=tcp
      in-interface=ether4(conexio servidors-pub)
      out-interface=ether3(conexio al servidor-lan) dst-port=22 log=no
      log-prefix=""

 6    ;;; De srvidor-pub a servidor-lan (esborrar tot el que queda)
      chain=forward action=drop in-interface=ether4(conexio servidors-pub)
      out-interface=ether3(conexio al servidor-lan) log=no log-prefix=""

 7    ;;; De wan a lan (acceptar les conexions que ha obert la lan)
      chain=forward action=accept connection-state=established,related
      in-interface=ether1(conecixio al router)
      out-interface=ether2(conexio a la lan) log=no log-prefix=""

 8    ;;; D'internet a la lan (acceptar les conexions ssh)
      chain=forward action=accept protocol=tcp
      in-interface=ether1(conecixio al router)
      out-interface=ether2(conexio a la lan) dst-port=22 log=no log-prefix=""

 9    ;;; De wan a lan (elimina el que queda)
      chain=forward action=drop in-interface=ether1(conecixio al router)
      out-interface=ether2(conexio a la lan) log=no log-prefix=""

10    ;;; de servidor-pub a lan (acceptar nomes les conexions obertes per la l>
      chain=forward action=accept connection-state=established,related
      in-interface=ether4(conexio servidors-pub)
      out-interface=ether2(conexio a la lan) log=no log-prefix=""

11    ;;; de servidor-pub a lan (acceptar les conexions ssh)
      chain=forward action=accept protocol=tcp
      in-interface=ether4(conexio servidors-pub)
      out-interface=ether2(conexio a la lan) src-port=22 log=no log-prefix=""

12    ;;; De servidor pub a lan (eliminar el que queda)
      chain=forward action=drop in-interface=ether4(conexio servidors-pub)
      out-interface=ether2(conexio a la lan) log=no log-prefix=""

13    chain=forward action=drop log=no log-prefix=""

Com podem veure hem definim primer que res que el servior públic sigui accessible des de qualsevol IP, mentres que les xarxes "LAN" i "Servidor-Lan" no s'hi pot accedir des de fora exepte els peticions ssh els paquets que està en estat "established" o "related" o sigui, les conexions que ha obert ell mateix i esper rebre paquets de resposta, si no es cap d'aquests dos casos el paquet s'elimina. Finalment la politica per defecte és la d'eliminar tots els paquets que no compleixin aquestes característiques.


Taula NAT

Aquesta taula serveix per a traduir IPs o pots, o sigui, per a canviar tan sockets de destí com sockets d'origen

[[email protected](spineda)] /ip firewall nat> print 
Flags: X - disabled, I - invalid, D - dynamic 


 0    ;;; DNAT de l'aula fins al servidor lan
      chain=dstnat action=dst-nat to-addresses=192.168.11.2 to-ports=22 
      protocol=tcp src-address=192.168.204.101 dst-address=192.168.204.189 
      dst-port=311 log=no log-prefix="" 

 1    ;;; DNAT de l'aula fins a la lan
      chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=22 
      protocol=tcp src-address=192.168.204.101 dst-address=192.168.204.189 
      dst-port=310 log=no log-prefix="" 

 2    ;;; DNAT de l'aula fins al servidor-pub
      chain=dstnat action=dst-nat to-addresses=192.168.12.2 to-ports=22 
      protocol=tcp src-address=192.168.204.101 dst-address=192.168.204.189 
      dst-port=312 log=no log-prefix="" 

 3    ;;; conexio des del proxmox al servidor de la lan
      chain=dstnat action=dst-nat to-addresses=192.168.11.2 to-ports=22 
      protocol=tcp dst-address=192.168.160.200 dst-port=311 log=no 
      log-prefix="" 

 4    ;;; conexio des del proxmox a la lan
      chain=dstnat action=dst-nat to-addresses=192.168.10.2 to-ports=22 
      protocol=tcp dst-address=192.168.160.200 dst-port=310 log=no 
      log-prefix="" 

 5    ;;; conexio des del proxmox al servidor public
      chain=dstnat action=dst-nat to-addresses=192.168.12.2 to-ports=22 
      protocol=tcp dst-address=192.168.160.200 dst-port=312 log=no 
      log-prefix="" 

6    chain=srcnat action=src-nat to-addresses=192.168.160.200 
      src-address=192.168.11.0/24 out-interface=ether1(conecixio al router) 
      log=no log-prefix="" 

7    chain=srcnat action=src-nat to-addresses=192.168.160.200 
      src-address=192.168.10.0/24 out-interface=ether1(conecixio al router) 
      log=no log-prefix="" 

8    chain=srcnat action=src-nat to-addresses=192.168.160.200 
      src-address=192.168.12.0/24 out-interface=ether1(conecixio al router) 
      log=no log-prefix="" 

Les 5 primeres normes el que fan es obrir conexions entre l'aula i la maquina del proxmox a la xarxa interna, fen aixi possible la conexió ssh des de la mateixa Ip a diferents IP canviant només el ports.

les tres últimes normes el que fan és canviar la IP d'origen de les tres xarxes per la de la xarxa del router que ens dona accés a internet, ja que el rputer que ens dona accés a internet no es pot modificar i no se li poden afegir rutes.

LAN

Creem la màquina de la xarxa LAN , que no serà més que una màquina client.

Selección 999(571).png

El sistema operatiu que conté és un ubuntu server la seva unica funció és la de rebre dns i dhcp, per tant farem una instal·lació neta.


Servidors LAN

Instal·lació Ara procedirema instal·lar la VM que contindrà tots els serveis que oferirem a la LAN, ja que he decidit que no és rendible crear una màquina per cada servei, tot i que en un cas real hauriem de tenir una màquina dedicada per a cada servei (encara que la màquina dedicada sigui virtual). Primer accedim al servidor proxmox i creem una màquina virtual amb ubuntu server 14 LTS

Creacio VM SAMBA Projecte Spineda.png

Seleccionem el kernel del sistema operatiu que instal·larem

Proxmax3 spineda.png

I seleccionem la ruta de la iso que previament hem transferit a la màquina del proxmox

Creació controlador domini2 spineda.png

Configurem l'emmagatzemament

Creacio controlador samba.png

i ens quedara aixi

Selección 999(473).png

Ara podrem procedir a la instal·lació del sistema operatiu.

Instal·lem el gestor de volums lògics per a que ens sigui més fàcil manegar els volums en cas que sigui necessari.

Selección 999(474).png

Un cop arribats al taskel seleccionem que s'instali l'openssh, per a poder-nos connectar remotament i fer més fàcil la seva configuració, el servidor

Administració via ssh

Per a connectarnos haurem de tocar l'Iptables amb dos normes.

  • La primera un SNAT per a que totes les IPs de la xarxa 192.168.11.0/24 surtin per la IP 192.168.204.189/24
 2    chain=srcnat action=src-nat to-addresses=192.168.204.189  src-address=192.168.11.0/24 out-interface=ether5 log=no log-prefix=""

I una altra de DNAT per a que ens puguem connectar via ssh, per tant el que farems serà obrir el port 22, o dit d'una altra manera, que quan ens conectem via ssh a la IP 192.168.204.189 del mikrotik (que està a la mateixa VLAN que nosaltres) aquest ens canviara la IP de destí per la de la xarxa 192.168.11.2/24, aixi ens podrem connectar tot i estar en xarxes diferents.

 1    chain=dstnat action=dst-nat to-addresses=192.168.11.2 protocol=tcp dst-address=192.168.204.189 dst-port=22 log=no log-prefix="" 


I per a donar-li accés a internet li configurarem una norma de source nat per a que els paquets que siguin de la xarxa 192.168.11.0/24 passin a tenir la ip d'origen 192.168.160.200/24 i aixi passar al router de l'institu i ell ja s'encarregara de sortir per la IP pública.

 3    chain=srcnat action=src-nat to-addresses=192.168.160.200  src-address=192.168.11.0/24 out-interface=ether1 log=no log-prefix=""

Configuració de la xarxa

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
	address 192.168.11.2
	netmask 255.255.255.0
	gateway 192.168.11.1
	# dns-* options are implemented by the resolvconf package, if installed
	dns-nameservers 192.168.11.2
	dns-search projecte.com

Per a separar els servidors hem creat la xarxa 192.168.11.0/24 on el servidor té la ip 192.168.11.2 i el router 192.168.11.1 dins la VLAN311

Servei DNS

Per a donar el servei DNS als usuaris de la LAN utilitzarem l'eina bind , ja que és la que ve per defecte amb el tasksel.

Primer anem a coneixer els arxius

namded.conf

$ cat /etc/bind/named.conf
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the 
// structure of BIND configuration files in Debian, *BEFORE* you customize 
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

El /etc/bind/named.conf és el fitxer que conté la ruta dels arxius de configuració.

named.conf.options

$ cat /etc/bind/named.conf.options 
options {
	directory "/var/cache/bind";

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.
	
		
	'''forwarders {
	 	8.8.8.8;
		8.8.4.4;
	 };'''

	//========================================================================
	// If BIND logs error messages about the root key being expired,
	// you will need to update your keys.  See https://www.isc.org/bind-keys
	//========================================================================
	dnssec-validation auto;

	auth-nxdomain no;    # conform to RFC1035
	listen-on-v6 { any; };
	
};

En aquest fitxer hem modificat un paràmetre, els forwarders, aquest paràmetre serveix per definir uns dns auxiliars, en cas que el nostre DNS no fos capaç de resoldre les adreçes, aniria a preguntar als forwarders.


Nota: De moment deixem de banda l'ipv6 per a més endavant

named.conf.local

$ cat /etc/bind/named.conf.local 
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "projecte.com" {
	type master;
	file "/etc/bind/s_lan/db.projecte.hosts";
notify yes;
};

zone "11.168.192.in-addr.arpa" {
	type master;
	file "/etc/bind/s_lan/db.projecte.rev";
notify yes;
};

zone "lan.projecte.com" {
        type master;
        file "/etc/bind/lan/db.lan.projecte.hosts";
notify yes;
};

zone "10.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/lan/db.lan.projecte.rev";
notify yes;
};

zone "pub.projecte.com" {
        type master;
        file "/etc/bind/pub/db.pub.projecte.hosts";
notify yes;
};

zone "12.168.192.in-addr.arpa" {
        type master;
        file "/etc/bind/pub/db.pub.projecte.rev";
notify yes;
};

Aquest document conté les rutes de les zones directa i inversa, la zona directa és la que conté la informació necessaria per a fer la traducció de IP a nom de domini, i la zona inversa, que fa just el contrari, hem definit un domini anomenat "projecte.com" i dins d'aquest domini englobarem els subdominis "pub.projecte.com" i "lan.projecte.com"

Ara un cop configurats tots els arxius de configuració utilitzarem l'eina que conté el bind per a revisar que no hi haigi cap error de sintaxi en aquests fitxers ni tampoc en cap ruta

$ named-checkconf -z
zone projecte.com/IN: loaded serial 1
zone 168.192.in-addr.arpa/IN: loaded serial 1
zone lan.projecte.com/IN: loaded serial 1
zone 10.168.192.in-addr.arpa/IN: loaded serial 1
zone pub.projecte.com/IN: loaded serial 1
zone 12.168.192.in-addr.arpa/IN: loaded serial 1
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1

Zona directa i Zona inversa

Dins de la carpeta bind tenim uns fitxers de mostra amb la zona directa i la zona inversa per a fer molt més senzilla la seva configuració

Zona directa (Servidor LAN)

$ cat  /etc/bind/db.projecte.host 
;
; BIND data file for local loopback interface
;
$TTL	604800
projecte.com.	IN	SOA 	Servidor-LAN. root.projecte.com. (
			       1		; Serial
			  604800		; Refresh
			   86400		; Retry
			 2419200		; Expire
			  604800 )	; Negative Cache TTL
;
projecte.com.	 IN	NS	Servidor-LAN.
projecte.com.	 IN	A	192.168.11.2
servidor-sergi	 IN	A	192.168.11.2
www 		IN	CNAME	Servidor-LAN

Com podem veure definim tant el nom de domini com el nom de host del nostre servidor, i a més li hem afegit un CNAME al nom de màquina, la funció del CNAME és la d'afegir un sufix al nom de màquina, un àlies.

El bind porta incorporat unes comandes per a debugar els arxius de configuració de zones, igual que els de configuració, això és molt util per a evitar errors de sintaxi.

$ named-checkzone -D projecte.com db.projecte.hosts 
zone projecte.com/IN: loaded serial 1
projecte.com.				      604800 IN	SOA	Servidor-LAN. root.projecte.com. 1 604800 86400 2419200 604800
projecte.com.				      604800 IN	NS	Servidor-LAN.
projecte.com.				      604800 IN	A	192.168.11.2
Servidor-LAN.projecte.com.		      604800 IN	A	192.168.11.2
www.projecte.com.			      604800 IN	CNAME	Servidor-LAN.projecte.com.
OK

Zona inversa Servidor LAN

$ cat db.projecte.rev
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     Servidor-LAN.projecte.com. root.projecte.com. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      Servidor-LAN.
2       IN      PTR     projecte.com.
2       IN      PTR     Servidor-LAN.

Com ja he dit abans aquesta zona és l'encarregada de traduir les IPs a noms, per tant aquest fitxer també és molt important.

$ named-checkzone -D projecte.com db.projecte.rev
zone projecte.com/IN: loaded serial 1
projecte.com.                                 604800 IN SOA     Servidor-LAN.projecte.com. root.projecte.com. 1 604800 86400 2419200 604800
projecte.com.                                 604800 IN NS      Servidor-LAN.
2.projecte.com.                               604800 IN PTR     projecte.com.
2.projecte.com.                               604800 IN PTR     Servidor-LAN.
OK


Igual que en la zona directa, en la zona inversa també tenim l'opció de fer un checkzone.

Zona directa (LAN)

$ cat db.lan.projecte.hosts 
;
; BIND data file for local loopback interface
;
$TTL	604800
lan.projecte.com.	IN	SOA	pc1. root.lan.projecte.com. (
			       1		; Serial
			  604800		; Refresh
			   86400		; Retry
			 2419200		; Expire
			  604800 )	; Negative Cache TTL
;
lan.projecte.com.	 IN	NS	pc1.
lan.projecte.com.	 IN	A	192.168.10.2
pc1	 IN	A	192.168.10.2
www		 IN	CNAME	pc1

Fem un checkzone per comprovar que el fitxer no contingui errors sintactics

$ named-checkzone -D lan.projecte.com db.lan.projecte.hosts 
zone lan.projecte.com/IN: loaded serial 1
lan.projecte.com.			      604800 IN	SOA	pc1. root.lan.projecte.com. 1 604800 86400 2419200 604800
lan.projecte.com.			      604800 IN	NS	pc1.
lan.projecte.com.			      604800 IN	A	192.168.10.2
pc1.lan.projecte.com.			      604800 IN	A	192.168.10.2
www.lan.projecte.com.			      604800 IN	CNAME	pc1.lan.projecte.com.
OK


Zona inversa (LAN)

$ cat db.lan.projecte.rev
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     pc1.lan.projecte.com. root.lan.projecte.com. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      pc1.
2       IN      PTR     lan.projecte.com.
2       IN      PTR     pc1.


I el checkconf

n$ named-checkzone -D lan.projecte.com db.lan.projecte.rev
zone lan.projecte.com/IN: loaded serial 1
lan.projecte.com.                             604800 IN SOA     pc1.lan.projecte.com. root.lan.projecte.com. 1 604800 86400 2419200 604800
lan.projecte.com.                             604800 IN NS      pc1.
2.lan.projecte.com.                           604800 IN PTR     lan.projecte.com.
2.lan.projecte.com.                           604800 IN PTR     pc1.
OK



Zona directa (pub)

$ cat db.pub.projecte.com 
;
; BIND data file for local loopback interface
;
$TTL	604800
pub.projecte.com.	IN	SOA	Servidor-PUB. root.pub.projecte.com. (
			      1		; Serial
			 604800		; Refresh
			  86400		; Retry
			2419200		; Expire
			 604800 )	; Negative Cache TTL
;
pub.projecte.com.	IN	NS	Servidor-PUB.
pub.projecte.com.	IN	A	192.168.12.2
Servidor-PUB	IN	A	192.168.12.2
www		IN	CNAME	Servidor-PUB

i executem el named-chezone

$ named-checkzone -D pub.projecte.com db.pub.projecte.com 
zone pub.projecte.com/IN: loaded serial 1
pub.projecte.com.			      604800 IN	SOA	Servidor-PUB. root.pub.projecte.com. 1 604800 86400 2419200 604800
pub.projecte.com.			      604800 IN	NS	Servidor-PUB.
pub.projecte.com.			      604800 IN	A	192.168.12.2
Servidor-PUB.pub.projecte.com.		      604800 IN	A	192.168.12.2
www.pub.projecte.com.			      604800 IN	CNAME	Servidor-PUB.pub.projecte.com.
OK

Zona inversa (pub)

$ cat db.pub.projecte.rev
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     Servidor-PUB.pub.projecte.com. root.pub.projecte.com. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      Servidor-PUB.
2       IN      PTR     pub.projecte.com.
2       IN      PTR     Servidor-PUB.

I la comprovació

b$ named-checkzone -D pub.projecte.com db.pub.projecte.rev
zone pub.projecte.com/IN: loaded serial 1
pub.projecte.com.                             604800 IN SOA     Servidor-PUB.pub.projecte.com. root.pub.projecte.com. 1 604800 86400 2419200 604800
pub.projecte.com.                             604800 IN NS      Servidor-PUB.
2.pub.projecte.com.                           604800 IN PTR     pub.projecte.com.
2.pub.projecte.com.                           604800 IN PTR     Servidor-PUB.
OK


Amb aquesta configuració dins ens resoldria els domnis enllaçats per routers desde qualsevols subdomini, però ara el problema ve al fer una petició des d'una xarxa que no pertany a la xarxa del servidor dns.

Si fem una petició dns des de la xarxa lan(192.168.10.0/24) a un host extern del nostre domini el servidor dns no enviara la petició als fordwarders, per tant retornarà com a que no ah trobat el host.

$ ping www.google.es
ping: unknown host www,google.es

si fem un torch, veurem que el paquet no es enviat als fordwarders, sino que es queda en la màquina del bind.

Selección 999(573).png

Per a solusionar-ho hem d'afegir la clausula allow-query al fitxer named.con.options.

He creat una acl anomenada "trusted" que conté totes les IP del domini

     acl "trusted" {
     192.168.10.0/24;
     192.168.12.0/24;
     localhost;
     localnets;
 };

options {

I a sota les accions que volem fer amb aquestes IPs , en aquest cas també afegim les clausules allow-recursion i allow-query cache, per a evitar problemes de redireccionament.

 allow-query { any; };
     allow-recursion { trusted; };
     allow-query-cache { trusted; };

I com podem veure ja redirecciona els paquets.

Selección 999(574).png

I fem les proves de resolucio de zona directa i zona inversa amb l'eina nslookup.

LAN

$ nslookup 192.168.10.2
Server:		192.168.11.2
Address:	192.168.11.2#53

2.10.168.192.in-addr.arpa	name = pc1.
2.10.168.192.in-addr.arpa	name = lan.projecte.com.

$ nslookup lan.projecte.com
Server:		192.168.11.2
Address:	192.168.11.2#53

Name:	lan.projecte.com
Address: 192.168.10.2

Servidor-Lan

$ nslookup 192.168.11.2
Server:		192.168.11.2
Address:	192.168.11.2#53

2.11.168.192.in-addr.arpa	name = projecte.com.
2.11.168.192.in-addr.arpa	name = Servidor-LAN.
 nslookup projecte.com
Server:		192.168.11.2
Address:	192.168.11.2#53

Name:	projecte.com
Address: 192.168.11.2

Servidor-Públic

$ nslookup 192.168.12.2
Server:		192.168.11.2
Address:	192.168.11.2#53

2.12.168.192.in-addr.arpa	name = Servidor-PUB.
2.12.168.192.in-addr.arpa	name = pub.projecte.com.
$ nslookup pub.projecte.com
Server:		192.168.11.2
Address:	192.168.11.2#53

Name:	pub.projecte.com
Address: 192.168.12.2

i finalment farem un traceroute des del client i ens fixarem en els primers salts, com salta del host cap al router , del router cap al dns i d'alli cap al router del centre queés el que ens dona internet.

$ traceroute www.google.es
traceroute to www.google.es (173.194.113.119), 30 hops max, 60 byte packets
 1  192.168.10.1 (192.168.10.1)  0.357 ms  0.281 ms  0.589 ms
 2  192.168.160.1 (192.168.160.1)  1.470 ms  1.452 ms  1.431 ms
 3  185-13-76-129-ipv4.ebretic.com (185.13.76.129)  3.817 ms  3.784 ms  3.938 ms
 4  gi0-0-0-0.nr11.b015586-2.bcn01.atlas.cogentco.com (149.6.130.217)  4.649 ms  4.891 ms  4.698 ms
 5  te0-7-1-2.rcr21.bcn01.atlas.cogentco.com (154.25.5.201)  4.626 ms  4.543 ms te0-1-1-2.rcr21.bcn01.atlas.cogentco.com (154.25.5.197)  4.531 ms
...


Servei DHCP

Instal·lació

Primer ens instal·lem el paquet

$ sudo apt-get install isc-dhcp-server

I anem a veure els paquets que ens ha instal·lat

$ sudo dpkg -l isc-dhcp-server
Desitjat=desconegUt/Instaŀla/supRimeix/Purga/retín(H)
| Estat=Not/Inst/Conf-files/Unpacked/halF-conf/Half-inst/trig-aWait/Trig-pend
|/ Err?=(none)/Reinst-required (Estat,Err: majúsc.=dolent)
||/ Nom                          Versió              Arquitectura        Descripció
+++-============================-===================-===================-=============================================================
ii  isc-dhcp-server              4.2.4-7ubuntu12.1   i386                ISC DHCP server for automatic IP address assignment

Configuració

Servidor DHCP

Aqui simplement haurem de configurar els rangs de les xarxes a les quals hem de donar servei, en el nostre cas només donem IP a una xarxa a la qual no pertanyem. Un servidor dhcp no pot donar IP d'una xarxa a la qual no pertany, però si que pot donar IP a multiples xarxes sempre i quant en aquestes estigui inclosa la xarxa pròpia del servidor.

$ cat /etc/dhcp/dhcpd.conf 

option domain-name "projecte.com";
subnet 192.168.11.0 netmask 255.255.255.0 {
  range 192.168.11.10 192.168.11.100;
  option routers 192.168.11.1;
  option domain-name-servers 192.168.11.2;
}
option domain-name "lan.projecte.com";
subnet 192.168.10.0 netmask 255.255.255.0 {
  range 192.168.10.10 192.168.10.100;
  option routers 192.168.10.1;
  option domain-name-servers 192.168.11.2;
}

Si no configuresem res més el nostre servidor només atendria a les peticions fetes per la seva xarxa, per tant haure de configurar el mikrotik amb la funció DHCP RELAY dins de l'standard RFC 3046. El dhcp relay agafa les peticions d'una targeta determinada i les redirgeix cap la IP del servidor dhcp, fent aixi que les peticions surtin del seu domini de broadcast. Com tenim diverses xarxes configurades dins del servidor dhcp aquest es guiara per la IP que té la interfície del router d'on ha vingut la petició per saber quina IP de quin rang ha de donar.

Mikrotik

 #   NAME               INTERFACE               DHCP-SERVER     LOCAL-ADDRESS  
 0   relay1             ether2                  192.168.11.2    0.0.0.0 

Aqui hem configurat la targeta per on li arriben les peticions de la xarxa lan en aquest cas només necessiten que envii IP a un host, però amb el relay li arribarien IP a qualsevol host que tinguem conectat a la xarxa.

Finalment porvemd e fer un dhclien a veure si rep una ip

$ sudo dhclient -v eth0
[sudo] password for spineda: 
Internet Systems Consortium DHCP Client 4.2.4
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth0/0e:ac:a8:14:60:56
Sending on   LPF/eth0/0e:ac:a8:14:60:56
Sending on   Socket/fallback
DHCPREQUEST of 192.168.10.12 on eth0 to 255.255.255.255 port 67 (xid=0x53417e99)
DHCPACK of 192.168.10.12 from 192.168.10.1
RTNETLINK answers: File exists
bound to 192.168.10.12 -- renewal in 20532 seconds.

I mirem les configuracions que li han arribat

$ ifconfig 
eth0      Link encap:Ethernet  HWaddr 0e:ac:a8:14:60:56  
          inet addr:192.168.10.12  Bcast:192.168.10.255  Mask:255.255.255.0
          inet6 addr: fe80::cac:a8ff:fe14:6056/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:15015 errors:0 dropped:0 overruns:0 frame:0
          TX packets:22815 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:1857809 (1.8 MB)  TX bytes:5385621 (5.3 MB)

I els dns

$ cat /etc/resolv.conf
# Dynamic resolv.conf(5) file for glibc resolver(3) generated by resolvconf(8)
#     DO NOT EDIT THIS FILE BY HAND -- YOUR CHANGES WILL BE OVERWRITTEN
nameserver 192.168.11.2
search lan.projecte.com

Si fem un torch a la xarxa on està conectada la LAN amb el mikrotik veurem com fa la petició de boradcast i com rep el paquet ACK

Selección 999(587).png

I si fem un torch a la boca on està conectat el mirkotik amb el servidor dhcp podrem veure com el paquet passa de la xarxa 192.168.11.0/24 a la 192.168.11.0/24.

Torch dhcp2.png

Monitorització

Per a monitorizar el servidor utilitzarem l'eina munin. Aquesta està formada per dos paquets:

  • El munin-node, és el paquet que instal·lem al host que volem monitoritzar.
  • El munin, és el paquet que instal·lem del host on volem rebre la informació de la monitorització.

He escollit el munin per la seva senzillesa, a més té l'opció d'avís per correu electronic en cas d'error, cosa molt útil per a actuar abans davant dels possibles errors que tinguem.

Instal·lació al servidor

$ sudo apt-get install munin-node 

un cop instal·lat mirarem els paràmetres que podem monitoritzar amb el munin

$ sudo munin-node-configure
Plugin                     | Used | Extra information                      
------                     | ---- | -----------------                      
acpi                       | no   |                                        
amavis                     | no   |                                        
apache_accesses            | yes  |                                        
apache_processes           | yes  |                                        
apache_volume              | yes  |                                        
apc_envunit_               | no   |                                        
apc_nis                    | no   |                                        
apt                        | no   |                                        
apt_all                    | no   |                                        
asterisk_channels          | no   |                                        
asterisk_channelstypes     | no   |                                        
asterisk_codecs            | no   |                                        
asterisk_meetme            | no   |                                        
asterisk_meetmeusers       | no   |                                        
asterisk_sipchannels       | no   |                                        
asterisk_sippeers          | no   |                                        
asterisk_voicemail         | no   |                                        
bind9                      | no   |                                        
bind9_rndc                 | no   |                                        
bonding_err_               | no   |                                        
buddyinfo                  | no   |                                        
cmc_tc_sensor_             | no   |                                        
courier_                   | no   |                                        
courier_mta_mailqueue      | no   |                                        
courier_mta_mailstats      | no   |                                        
courier_mta_mailvolume     | no   |                                        
cps_                       | no   |                                        
cpu                        | yes  |                                        
cpuspeed                   | yes  |                                        
cupsys_pages               | no   |                                        
df                         | yes  |                                        
df_abs                     | no   |                                        
df_inode                   | yes  |                                        
dhcpd3                     | no   |                                        
digitemp_                  | no   |                                        
diskstat_                  | no   |                                        
diskstats                  | yes  |                                        
ejabberd_                  | no   |                                        
entropy                    | yes  |                                        
exim_mailqueue             | no   |                                        
exim_mailqueue_alt         | no   |                                        
exim_mailstats             | no   |                                        
fail2ban                   | no   |                                        
files_                     | no   |                                        
foldingathome              | no   |                                        
foldingathome_rank         | no   |                                        
foldingathome_wu           | no   |                                        
forks                      | yes  |                                        
freeradius_acct            | no   |                                        
freeradius_auth            | no   |                                        
freeradius_proxy_acct      | no   |                                        
freeradius_proxy_auth      | no   |                                        
fw_conntrack               | no   |                                        
fw_forwarded_local         | no   |                                        
fw_packets                 | yes  |                                        
haproxy_                   | no   |                                        
haproxy_ng                 | no   |                                        
hddtemp                    | no   |                                        
hddtemp2                   | no   |                                        
hddtemp_smartctl           | yes  |                                        
hddtempd                   | no   |                                        
hp2000_                    | no   |                                        
http_loadtime              | no   |                                        
if_                        | yes  | wlan2 eth2                             
if_err_                    | yes  | eth2 wlan2                             
ifx_concurrent_sessions_   | no   |                                        
interrupts                 | yes  |                                        
ip_                        | no   |                                        
ipac-ng                    | no   |                                        
ipmi_                      | no   |                                        
ipmi_sensor_               | no   |                                        
ircu                       | no   |                                        
irqstats                   | yes  |                                        
load                       | yes  |                                        
loggrep                    | no   |                                        
lpar_cpu                   | no   |                                        
lpstat                     | no   |                                        
mailman                    | no   |                                        
mailscanner                | no   |                                        
mbmon_                     | no   |                                        
memcached_                 | no   |                                        
meminfo                    | no   |                                        
memory                     | yes  |                                        
mhttping                   | no   |                                        
multiping                  | no   |                                        
multips                    | no   |                                        
multips_memory             | no   |                                        
munin_stats                | yes  |                                        
munin_update               | no   |                                        
mysql_                     | no   |                                        
mysql_bytes                | no   |                                        
mysql_innodb               | no   |                                        
mysql_isam_space_          | no   |                                        
mysql_queries              | no   |                                        
mysql_slowqueries          | no   |                                        
mysql_threads              | no   |                                        
named                      | no   |                                        
netopia                    | no   |                                        
netstat                    | yes  |                                        
netstat_multi              | no   |                                        
nfs4_client                | no   |                                        
nfs_client                 | no   |                                        
nfsd                       | no   |                                        
nfsd4                      | no   |                                        
nginx_request              | no   |                                        
nginx_status               | no   |                                        
nomadix_users_             | no   |                                        
ntp_                       | no   |                                        
ntp_kernel_err             | no   |                                        
ntp_kernel_pll_freq        | no   |                                        
ntp_kernel_pll_off         | no   |                                        
ntp_offset                 | no   |                                        
ntp_states                 | no   |                                        
nut_misc                   | no   |                                        
nut_volts                  | no   |                                        
nutups_                    | no   |                                        
nvidia_                    | no   |                                        
open_files                 | yes  |                                        
open_inodes                | yes  |                                        
openvpn                    | no   |                                        
perdition                  | no   |                                        
pgbouncer_connections      | no   |                                        
pgbouncer_requests         | no   |                                        
ping_                      | no   |                                        
pm3users_                  | no   |                                        
pop_stats                  | no   |                                        
port_                      | no   |                                        
postfix_mailqueue          | yes  |                                        
postfix_mailstats          | no   |                                        
postfix_mailvolume         | yes  |                                        
postgres_autovacuum        | no   |                                        
postgres_bgwriter          | no   |                                        
postgres_cache_            | no   |                                        
postgres_checkpoints       | no   |                                        
postgres_connections_      | no   |                                        
postgres_connections_db    | no   |                                        
postgres_locks_            | no   |                                        
postgres_oldest_prepared_xact_ | no   |                                        
postgres_prepared_xacts_   | no   |                                        
postgres_querylength_      | no   |                                        
postgres_scans_            | no   |                                        
postgres_size_             | no   |                                        
postgres_streaming_        | no   |                                        
postgres_transactions_     | no   |                                        
postgres_tuples_           | no   |                                        
postgres_users             | no   |                                        
postgres_xlog              | no   |                                        
proc                       | no   |                                        
proc_pri                   | yes  |                                        
processes                  | yes  |                                        
proxy_plugin               | no   |                                        
ps_                        | no   |                                        
psu_                       | no   |                                        
qmailqstat                 | no   |                                        
qmailscan                  | no   |                                        
qmailscan-simple           | no   |                                        
quota_usage_               | no   |                                        
samba                      | no   |                                        
selinux_avcstat            | no   |                                        
sendmail_mailqueue         | no   |                                        
sendmail_mailstats         | no   |                                        
sendmail_mailtraffic       | no   |                                        
sensors_                   | no   |                                        
slapd_                     | no   |                                        
slapd_bdb_cache_           | no   |                                        
slony_lag_                 | no   |                                        
smart_                     | yes  | sda                                    
snort_alerts               | no   |                                        
snort_bytes_pkt            | no   |                                        
snort_drop_rate            | no   |                                        
snort_pattern_match        | no   |                                        
snort_pkts                 | no   |                                        
snort_traffic              | no   |                                        
spamstats                  | no   |                                        
squeezebox_                | no   |                                        
squid_cache                | yes  |                                        
squid_icp                  | no   |                                        
squid_objectsize           | yes  |                                        
squid_requests             | yes  |                                        
squid_traffic              | yes  |                                        
surfboard                  | no   |                                        
swap                       | yes  |                                        
sybase_space               | no   |                                        
tcp                        | no   |                                        
threads                    | yes  |                                        
tomcat_                    | no   |                                        
tomcat_access              | no   |                                        
tomcat_jvm                 | no   |                                        
tomcat_threads             | no   |                                        
tomcat_volume              | no   |                                        
uptime                     | yes  |                                        
users                      | yes  |                                        
varnish_                   | no   |                                        
vlan_                      | no   |                                        
vlan_inetuse_              | no   |                                        
vlan_linkuse_              | no   |                                        
vmstat                     | yes  |                                        
vserver_cpu_               | no   |                                        
vserver_loadavg            | no   |                                        
vserver_resources          | no   |                                        
yum                        | no   |                                        
zimbra_                    | no   |

Si no el tenim instal·lat haurem d'instal·lar un servidor web, en el nostre cas farem servir l'apache.

$ sudo apt-get install apache2

El munin de serie ja porta un fitxer de configuració per al seu lloc a l'apache, per tant només ens caldrà copiar aquest fitxer a la carpeta "sites-available" de l'apache i fer un a2ensite i el nom que li haguem posat al fitxer del munin.

Aquest és el fitxer d'exemple de configuració

$ cat /etc/munin/apache.conf 
# Enable this for template generation
Alias /munin /var/cache/munin/www

# Enable this for cgi-based templates
#Alias /munin-cgi/static /var/cache/munin/www/static
#ScriptAlias /munin-cgi /usr/lib/munin/cgi/munin-cgi-html
#<Location /munin-cgi>
#	Order allow,deny
#	Allow from localhost 127.0.0.0/8 ::1
#	AuthUserFile /etc/munin/munin-htpasswd
#	AuthName "Munin"
#	AuthType Basic
#	require valid-user
#</Location>

<Directory /var/cache/munin/www>
        Order allow,deny
        Allow from all
        Require all granted
	Options FollowSymLinks SymLinksIfOwnerMatch

	# This file can be used as a .htaccess file, or a part of your apache
	# config file.
	#
	# For the .htaccess file option to work the munin www directory
	# (/var/cache/munin/www) must have "AllowOverride all" or something 
	# close to that set.
	#

	# AuthUserFile /etc/munin/munin-htpasswd
	# AuthName "Munin"
	# AuthType Basic
	# require valid-user

	# This next part requires mod_expires to be enabled.
	#
	
	# Set the default expiration time for files to 5 minutes 10 seconds from
	# their creation (modification) time.  There are probably new files by
	# that time. 
	#

    <IfModule mod_expires.c>
        ExpiresActive On
    	ExpiresDefault M310
    </IfModule>

</Directory> 

# Enables fastcgi for munin-cgi-html if present
#<Location /munin-cgi>
#    <IfModule mod_fastcgi.c>
#        SetHandler fastcgi-script
#    </IfModule>
#</Location>

#<Location /munin-cgi/static>
#	SetHandler None
#</Location>

# Enables fastcgi for munin-cgi-graph if present
ScriptAlias /munin-cgi/munin-cgi-graph /usr/lib/munin/cgi/munin-cgi-graph
<Location /munin-cgi/munin-cgi-graph>
	Order allow,deny
	Allow from localhost 127.0.0.0/8 ::1
	# AuthUserFile /etc/munin/munin-htpasswd
	# AuthName "Munin"
	# AuthType Basic
	# require valid-user
	<IfModule mod_fcgid.c>
	    SetHandler fcgid-script
	</IfModule>
	<IfModule !mod_fcgid.c>
	    SetHandler cgi-script
	</IfModule>
</Location>

ScriptAlias /munin-cgi/munin-cgi-html /usr/lib/munin/cgi/munin-cgi-html
<Location /munin-cgi/munin-cgi-html>
	Order allow,deny
	Allow from localhost 127.0.0.0/8 ::1
	# AuthUserFile /etc/munin/munin-htpasswd
	# AuthName "Munin"
	# AuthType Basic
	# require valid-user
	<IfModule mod_fcgid.c>
	    SetHandler fcgid-script
	</IfModule>
	<IfModule !mod_fcgid.c>
	    SetHandler cgi-script
	</IfModule>
</Location>

El copiem

$ sudo /etc/munin/apache.conf /etc/apache2/sites-available/munin.conf

Un cop piat haurem de definir els hosts que ens poden monitoritzar, afegim les següents linies a l'arxiu munin-node.conf

$ sudo nano /etc/munin/munin-node.conf 
                    .
                    .
                    .
  cidr_allow 192.168.11.0/24
 cidr_allow 192.168.10.0/24

Finalment per a acabar de configurar el servidor acivarem el plugin per al bind, aixi podrem monitoritzar també el dns.

El munin te un seguit de plugins per defecte sense activar, per activar-los només cal crear un enllaç feble de la carpeta on es troben els plugins fins a la carpeta munin/plugins

$ sudo ln -s /usr/share/munin/plugins/bind9 /etc/munin/plugins/bind9

I finalment al fitxer de configuració dels plugins munin-node afegirem les linies del bind


$ cat /etc/munin/plugin-conf.d/munin-node
    .
    .
    .
[bind9]
user root
env.logfile   /var/log/bind9/query.log

I reiniciem el servei

 $ sudo /etc/init.d/munin-node restart
[sudo] password for spineda: 
 * Stopping Munin-Node                                                                                                                                              [ OK ] 
 * Starting Munin-Node                                                                                                                                                [ OK ]
     

I com podem veure ja tenim el plugin habilitat

$ sudo munin-node-configure
Plugin                     | Used | Extra information                      
------                     | ---- | -----------------                      
acpi                       | no   |                                        
amavis                     | no   |                                        
apache_accesses            | yes  |                                        
apache_processes           | yes  |                                        
apache_volume              | yes  |                                        
apc_envunit_               | no   |                                        
apc_nis                    | no   |                                        
apt                        | no   |                                        
apt_all                    | no   |                                        
asterisk_channels          | no   |                                        
asterisk_channelstypes     | no   |                                        
asterisk_codecs            | no   |                                        
asterisk_meetme            | no   |                                        
asterisk_meetmeusers       | no   |                                        
asterisk_sipchannels       | no   |                                        
asterisk_sippeers          | no   |                                        
asterisk_voicemail         | no   |                                        
bind9                      | yes   |                                        
bind9_rndc                 | no   |                                        
bonding_err_               | no   |                                        
buddyinfo                  | no   |                                        
cmc_tc_sensor_             | no   |                                        
courier_                   | no   |                                        
courier_mta_mailqueue      | no   |                                        
courier_mta_mailstats      | no   |                                        
courier_mta_mailvolume     | no   |                                        
cps_                       | no   |                                        
cpu                        | yes  |                                        
cpuspeed                   | yes  |                                        
cupsys_pages               | no   |                                        
df                         | yes  |                                        
df_abs                     | no   |                                        
df_inode                   | yes  |                                        
dhcpd3                     | no   |                                        
digitemp_                  | no   |                                        
diskstat_                  | no   |                                        
diskstats                  | yes  |                                        
ejabberd_                  | no   |                                        
entropy                    | yes  |                                        
exim_mailqueue             | no   |                                        
exim_mailqueue_alt         | no   |                                        
exim_mailstats             | no   |                                        
fail2ban                   | no   |                                        
files_                     | no   |                                        
foldingathome              | no   |                                        
foldingathome_rank         | no   |                                        
foldingathome_wu           | no   |                                        
forks                      | yes  |                                        
freeradius_acct            | no   |                                        
freeradius_auth            | no   |                                        
freeradius_proxy_acct      | no   |                                        
freeradius_proxy_auth      | no   |                                        
fw_conntrack               | no   |                                        
fw_forwarded_local         | no   |                                        
fw_packets                 | yes  |                                        
haproxy_                   | no   |                                        
haproxy_ng                 | no   |                                        
hddtemp                    | no   |                                        
hddtemp2                   | no   |                                        
hddtemp_smartctl           | yes  |                                        
hddtempd                   | no   |                                        
hp2000_                    | no   |                                        
http_loadtime              | no   |                                        
if_                        | yes  | wlan2 eth2                             
if_err_                    | yes  | eth2 wlan2                             
ifx_concurrent_sessions_   | no   |                                        
interrupts                 | yes  |                                        
ip_                        | no   |                                        
ipac-ng                    | no   |                                        
ipmi_                      | no   |                                        
ipmi_sensor_               | no   |                                        
ircu                       | no   |                                        
irqstats                   | yes  |                                        
load                       | yes  |                                        
loggrep                    | no   |                                        
lpar_cpu                   | no   |                                        
lpstat                     | no   |                                        
mailman                    | no   |                                        
mailscanner                | no   |                                        
mbmon_                     | no   |                                        
memcached_                 | no   |                                        
meminfo                    | no   |                                        
memory                     | yes  |                                        
mhttping                   | no   |                                        
multiping                  | no   |                                        
multips                    | no   |                                        
multips_memory             | no   |                                        
munin_stats                | yes  |                                        
munin_update               | no   |                                        
mysql_                     | no   |                                        
mysql_bytes                | no   |                                        
mysql_innodb               | no   |                                        
mysql_isam_space_          | no   |                                        
mysql_queries              | no   |                                        
mysql_slowqueries          | no   |                                        
mysql_threads              | no   |                                        
named                      | no   |                                        
netopia                    | no   |                                        
netstat                    | yes  |                                        
netstat_multi              | no   |                                        
nfs4_client                | no   |                                        
nfs_client                 | no   |                                        
nfsd                       | no   |                                        
nfsd4                      | no   |                                        
nginx_request              | no   |                                        
nginx_status               | no   |                                        
nomadix_users_             | no   |                                        
ntp_                       | no   |                                        
ntp_kernel_err             | no   |                                        
ntp_kernel_pll_freq        | no   |                                        
ntp_kernel_pll_off         | no   |                                        
ntp_offset                 | no   |                                        
ntp_states                 | no   |                                        
nut_misc                   | no   |                                        
nut_volts                  | no   |                                        
nutups_                    | no   |                                        
nvidia_                    | no   |                                        
open_files                 | yes  |                                        
open_inodes                | yes  |                                        
openvpn                    | no   |                                        
perdition                  | no   |                                        
pgbouncer_connections      | no   |                                        
pgbouncer_requests         | no   |                                        
ping_                      | no   |                                        
pm3users_                  | no   |                                        
pop_stats                  | no   |                                        
port_                      | no   |                                        
postfix_mailqueue          | yes  |                                        
postfix_mailstats          | no   |                                        
postfix_mailvolume         | yes  |                                        
postgres_autovacuum        | no   |                                        
postgres_bgwriter          | no   |                                        
postgres_cache_            | no   |                                        
postgres_checkpoints       | no   |                                        
postgres_connections_      | no   |                                        
postgres_connections_db    | no   |                                        
postgres_locks_            | no   |                                        
postgres_oldest_prepared_xact_ | no   |                                        
postgres_prepared_xacts_   | no   |                                        
postgres_querylength_      | no   |                                        
postgres_scans_            | no   |                                        
postgres_size_             | no   |                                        
postgres_streaming_        | no   |                                        
postgres_transactions_     | no   |                                        
postgres_tuples_           | no   |                                        
postgres_users             | no   |                                        
postgres_xlog              | no   |                                        
proc                       | no   |                                        
proc_pri                   | yes  |                                        
processes                  | yes  |                                        
proxy_plugin               | no   |                                        
ps_                        | no   |                                        
psu_                       | no   |                                        
qmailqstat                 | no   |                                        
qmailscan                  | no   |                                        
qmailscan-simple           | no   |                                        
quota_usage_               | no   |                                        
samba                      | no   |                                        
selinux_avcstat            | no   |                                        
sendmail_mailqueue         | no   |                                        
sendmail_mailstats         | no   |                                        
sendmail_mailtraffic       | no   |                                        
sensors_                   | no   |                                        
slapd_                     | no   |                                        
slapd_bdb_cache_           | no   |                                        
slony_lag_                 | no   |                                        
smart_                     | yes  | sda                                    
snort_alerts               | no   |                                        
snort_bytes_pkt            | no   |                                        
snort_drop_rate            | no   |                                        
snort_pattern_match        | no   |                                        
snort_pkts                 | no   |                                        
snort_traffic              | no   |                                        
spamstats                  | no   |                                        
squeezebox_                | no   |                                        
squid_cache                | yes  |                                        
squid_icp                  | no   |                                        
squid_objectsize           | yes  |                                        
squid_requests             | yes  |                                        
squid_traffic              | yes  |                                        
surfboard                  | no   |                                        
swap                       | yes  |                                        
sybase_space               | no   |                                        
tcp                        | no   |                                        
threads                    | yes  |                                        
tomcat_                    | no   |                                        
tomcat_access              | no   |                                        
tomcat_jvm                 | no   |                                        
tomcat_threads             | no   |                                        
tomcat_volume              | no   |                                        
uptime                     | yes  |                                        
users                      | yes  |                                        
varnish_                   | no   |                                        
vlan_                      | no   |                                        
vlan_inetuse_              | no   |                                        
vlan_linkuse_              | no   |                                        
vmstat                     | yes  |                                        
vserver_cpu_               | no   |                                        
vserver_loadavg            | no   |                                        
vserver_resources          | no   |                                        
yum                        | no   |                                        
zimbra_                    | no   |
''' Instal·lació als clients que volen monitoritzar'''

Instal·lem el munin

 $ sudo apt-get install munin

Simplement al fitxer de configuració del munin hem d'afegir la informació del host que monitoritzarem
$ cat /etc/munin/munin.conf 
includedir /etc/munin/munin-conf.d

# a simple host tree
[localhost.localdomain]
    address 127.0.0.1
    use_node_name yes

[Servidor-Lan.projecte.com]
    address 192.168.11.2
    local_address 192.168.11.2
    use_node_name yes

I entrem via web al programa

Selección 999(589).png

i aqui tenim un exemple de les gràfiques.

Selección 999(591).png

NOTA: Com podem veure les gràfiques no són molt extenses, això es perquè porta poc temps monitoritzant


SAMBA

Ara instal·larem el servidor de domini samba, l'habilitarem com a servidor de fitxers.

El primer que hem de fer és baixar-nos i instalar-nos el paquet samba i alguns paquets ques en spodrien ser necessaris.

$ sudo apt-get install samba samba-common python-glade2 system-config-samba

Ara anem a configurar l'accés que tindràn els usuaris de la xarxa, per tant anem al fitxer /etc/samba/smb.conf, i l'apartat "global" el deixem aixi.

A workgroup definim el nom del domini. El camp security el deixem en user, per a que ens demani login per a accedir.

[global]

workgroup = projecte.com
server string = %h server (Samba, Ubuntu)
security=user
map to guest= bad user
dns proxy = no

Creem la carpta on compartirem els arxius

/home/samba$ sudo mkdir Servidor

I li afegim el permisos pertinents

$ sudo chmod -R 0755 Servidor/
$ ls -la
total 12
drwxr-xr-x 3 root root 4096 jun 18 15:12 .
drwxr-xr-x 4 root root 4096 jun 18 15:12 ..
drwxr-xr-x 2 root root 4096 jun 18 15:12 Servidor

Ara crearem l'usuari en el qual farem la conexió i l'afegiremal grup de samba

$ sudo useradd samba -G sambashare

I li afegim una contrasenya

~$ sudo smbpasswd -a samba
New SMB password:
Retype new SMB password:
Added user samba.
I creem el següent apartat per a configurar l'accés els usuaris

El path és la ruta de la carpeta compartida Valid users és el paràmetre que controla els usuaris, en aquest cas donarem accés als usuaris dins del grup samna Guest no significa que no deixarem entrar als invitats.


#=======Acces===============
[acces]
path= /home/samba/Servidor
valid users = @sambashare
guest ok = no
writable = yes
browsable = yes

I donem permisos a la carpeta compartida

$ sudo chmod -R 0770 /home/samba/Servidor
$ sudo chown -R root:sambashare /home/samba/Servidor

I ja tindrem accés a la carpeta


2015-06-18 16 01 44-VM.png

2015-06-18 16 02 15-VM.png

2015-06-18 16 02 50-VM.png

I podrem crear arxius

2015-06-18 16 08 59-VM 101 ('spineda').png

Servidor-PUB

Ara anema crear la màquina que donarà servei web

Selección 999(572).png

Primer configurem les interficies, coma servidor web i dns que ha de ser ha de tenir una ip pública.

$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.12.2
        netmask 255.255.255.0
        network 192.168.12.0
        broadcast 192.168.12.255
        gateway 192.168.12.1
DNS

La configuració serà molt semblant a la del servidor-Lan, al diferència residira en l'ús al que està destinat aquest, mentre que el servidor dns local de la lan només resoldra les peticions que es fan per a màquines de les subxarxes que composen el domini, aquest resoldra les peticions que venen des de l'exterior.

named.conf

$ cat /etc/bind/named.conf
// This is the primary configuration file for the BIND DNS server named.
//
// Please read /usr/share/doc/bind9/README.Debian.gz for information on the
// structure of BIND configuration files in Debian, *BEFORE* you customize
// this configuration file.
//
// If you are just adding zones, please do that in /etc/bind/named.conf.local

include "/etc/bind/named.conf.options";
include "/etc/bind/named.conf.local";
include "/etc/bind/named.conf.default-zones";

named.conf.options

options {
	directory "/var/cache/bind";

	// If there is a firewall between you and nameservers you want
	// to talk to, you may need to fix the firewall to allow multiple
	// ports to talk.  See http://www.kb.cert.org/vuls/id/800113

	// If your ISP provided one or more IP addresses for stable 
	// nameservers, you probably want to use them as forwarders.  
	// Uncomment the following block, and insert the addresses replacing 
	// the all-0's placeholder.
	
		
	   forwarders {
	 	8.8.8.8;
		8.8.4.4;
	 };

	//========================================================================
	// If BIND logs error messages about the root key being expired,
	// you will need to update your keys.  See https://www.isc.org/bind-keys
	//========================================================================
	dnssec-validation auto;

	auth-nxdomain no;    # conform to RFC1035
	listen-on-v6 { any; };
	
};

named.conf.local

$ cat /etc/bind/named.conf.local
//
// Do any local configuration here
//

// Consider adding the 1918 zones here, if they are not used in your
// organization
//include "/etc/bind/zones.rfc1918";

zone "projecte.com" {
        type master;
        file "/etc/bind/db.projecte.hosts";
notify yes;
};

zone "12.168.192.in-addr.arpa" {
	type master;
	file "/etc/bind/db.projecte.rev";
notify yes;
};

Ara farem les comprovacions

$ named-checkconf -z
zone projecte.com/IN: loaded serial 1
zone 12.168.192.in-addr.arpa/IN: loaded serial 1
zone localhost/IN: loaded serial 2
zone 127.in-addr.arpa/IN: loaded serial 1
zone 0.in-addr.arpa/IN: loaded serial 1
zone 255.in-addr.arpa/IN: loaded serial 1

Zona Directa

$ cat /etc/bind/db.projecte.hosts
;
; BIND data file for local loopback interface
;
$TTL    604800
projecte.com.   IN      SOA     Servidor-PUB. root.projecte.com. (
                               1                ; Serial
                          604800                ; Refresh
                           86400                ; Retry
                         2419200                ; Expire
                          604800 )      ; Negative Cache TTL
;
projecte.com.    IN     NS      Servidor-PUB.
projecte.com.    IN     A       192.168.12.2
Servidor-PUB     IN     A       192.168.12.2
www             IN      CNAME   Servidor-PUB

Coprovació

$ named-checkzone -D projecte.com db.projecte.hosts
zone projecte.com/IN: loaded serial 1
projecte.com.                                 604800 IN SOA     Servidor-PUB. root.projecte.com. 1 604800 86400 2419200 604800
projecte.com.                                 604800 IN NS      Servidor-PUB.
projecte.com.                                 604800 IN A       192.168.12.2
Servidor-PUB.projecte.com.                    604800 IN A       192.168.12.2
www.projecte.com.                             604800 IN CNAME   Servidor-PUB.projecte.com.
OK

Zona inversa

$ cat db.projecte.rev
;
; BIND reverse data file for local loopback interface
;
$TTL    604800
@       IN      SOA     Servidor-PUB.projecte.com. root.projecte.com. (
                              1         ; Serial
                         604800         ; Refresh
                          86400         ; Retry
                        2419200         ; Expire
                         604800 )       ; Negative Cache TTL
;
@       IN      NS      Servidor-PUB.
2       IN      PTR     projecte.com.
2       IN      PTR     Servidor-PUB.

I la comprovació

$ named-checkzone -D projecte.com db.projecte.rev
zone projecte.com/IN: loaded serial 1
projecte.com.                                 604800 IN SOA     Servidor-PUB.projecte.com. root.projecte.com. 1 604800 86400 2419200 604800
projecte.com.                                 604800 IN NS      Servidor-PUB.
2.projecte.com.                               604800 IN PTR     projecte.com.
2.projecte.com.                               604800 IN PTR     Servidor-PUB.
OK

Servei web

Per a donar servei web utilitzare l'apache, un dels dels més utilitzats per a aquest tipus de servei per la sea potència.

Simplement es tracta de fer una instal·lació.

$ sudo apt-get install apache2

Un cop instal·lat penjarem el contingut que volem mostrat a la següent ruta.

/var/www/html

Servidor-Backup

2015-05-30 14 54 14-Proxmox Virtual Environment.png


XARXA

Afegim una nova targeta de xarxa a al servidor, aquesta targeta anira connecata per VLAN a la targeta del servidor e backups, d'aquesta manera fem que ningu pugui accedir.

Selección 999(599).png

I configurem la xarxa

$ cat /etc/network/interfaces

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
        address 192.168.11.2
        netmask 255.255.255.0
        gateway 192.168.11.1

auto eth1
iface eth1 inet static
        address 192.168.13.10
        netmask 255.255.255.0

Ara anem al servidor de backups i conectem la seva targeta per la mateixa VLAN que hem conectat la targeta del servidor.

Selección 999(600).png


Posem una IP estatica, ja que ens interessa saber en tot moment la ip del servidor per als backups.

$ cat /etc/network/interfaces
# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).

# The loopback network interface
auto lo
iface lo inet loopback

auto eth0
iface eth0 inet static
address 192.168.13.13
netmask 255.255.255.0

Com podem veure no tenim gateway, com tenim conexio a internet no es necessari definirne un.


Per fer backups he decidit utilitzar un script que utilitza la conexió segura ssh i la compressió en tar. Per a automatitzar aquesta tasca utilitzare l'eina cron, l'eina que ve per defecte en ubuntu per a autimatitzar tasques. Per tant la politica de backups que utilitzare sera la de fer còpies completes de la carpeta etc , ja que bàsicament l'unic que m'interessa copiar són els arxius de configuració i el resultat de l'arxiu no ocupara molt d'espai en disc, per tant hem puc permetre fer còpies completes cada setmana.

#!/bin/bash
data=`date +%d-%m-%Y`
tar czf - /etc | ssh [email protected] 'cat > /home/backups/'$data'.tar.gz'

i afegirem aquest script al cron

$ sudo crontab -e
[sudo] password for spineda: 
no crontab for root - using an empty one

Select an editor.  To change later, run 'select-editor'.
  1. /bin/ed
  2. /bin/nano        <---- easiest
  3. /usr/bin/vim.basic
  4. /usr/bin/vim.tiny

Choose 1-4 [2]: 2
crontab: installing new crontab

0 0 * * 0 /home/spineda/backup.sh


i per a evitar que se'ns acumulin els backups anirem esborran cada mes els backups del mes anterior. Aquest script l'executarem en la màquina que es guarden els backups.


#!/bin/bash
mes=`date +%m`
any=`date +%Y`
let mes-=1
sudo -s
rm /home/backups/*$mes'-'$any'.tar.gz'
let mes-=1
rm /home/backups/*$mes'-'$any'.tar.gz'

creem una variable anomenada "mes" amb amb la comanda date i agafem el mes, fem el mateix per a la variable any, però, agafem l'any. Llavors per a agafar el mes anterior el que fem es restar 1 a la variable mes, llavors simplement untilitzem la comanda "sudo -s" per a executar la comanda sent superusuari (aixi no tindrem problemes a l'hora d'esborrar per culpa dels permisos) i finalment utilitzem l'eina rm que esborra tot el contingut de la carpeta backups sempre i quant en el nom del l'arxiu estigui especificat el mes anterior. També esborro les copies de fa dos mesos per si sen ha creat alguna després de l'esborrat aixi ens asegurem que no se'ns quedin.

I creem la tasca al cron

 0 0 1 * * /home/esborrar.sh

Compartint claus

A més també hem d'afegir la clau publica del Servidor-Lan a la llista de hosts coneguts del servidor-Backup.

El primer pas és la generació de la clau pública.

$ ssh-keygen -t dsa
Generating public/private dsa key pair.
Enter file in which to save the key (/home/spineda/.ssh/id_dsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/spineda/.ssh/id_dsa.
Your public key has been saved in /home/spineda/.ssh/id_dsa.pub.
The key fingerprint is:
32:97:4c:62:e4:32:53:a6:e8:fd:97:8d:f0:4b:87:7d [email protected]
The key's randomart image is:
+--[ DSA 1024]----+
|      +          |
|   . *           |
|  . = + .        |
| . . = + .       |
|  . . + S        |
|     . * *       |
|      . B + E    |
|       o o .     |
|        .        |
+-----------------+

Amb el paràmetre -p definim que la clau a generar estara encriptada amb l'algorisme d'encriptació dsa.

Ara només ens cal copiar aquesta clau generada al fitxer "authorized_keys" del Servidor-Backup

$ cat /home/spineda/.ssh/id_dsa.pub
ssh-dss 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 [email protected]
~$ cat /home/spineda/.ssh/authorized_keys
ssh-dss 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 [email protected]

Documentació externa

Relació del projecte amb els mòduls professionals del cicle

Objectius inicials

  • Muntar una xarxa que doni serveis a internet i pugui rebre peticions de qualsevols client sense comprotre la seguretat de la xarxa privada funncionant en un entorn virtual.
  • Investigar la possible implementació d'aquest sistema amb el nou protocol IPv6.

Implantació final

  • Resum del que realment s'ha implementat i les seves relacions amb els MPs


Notes de treball per dia

18/06/2015

  • Finalització

11/06/2015

  • Revisió del pojecte

4/06/2015

  • Implementació del Samba

30/05/2015

  • Documentació

29/05/2015

  • Últims retocs

25/05/2015

  • Configuració del iptables

25/05/2015

  • Implementació del servicor de backups

22/05/2015

  • Proves de conexió a tots els nivells

19/05/2015

  • Implantació del dchp Relay

18/05/2015

15/05/2015

  • Implementació completa del servei dns per a totes les zones

14/05/2015

  • Configuració dels forwarders a les zones locals externes al servidor-lan

13/05/2015

  • Implementació completa de totes les zones i fer les proves de conexió en local

12/05/2015

  • Implementació de la traducció de noms directa i inversa de la zona servidor-lan

11/05/2015

  • Començar a configurar totes les zones dels DNS

08/05/2015

  • Configuració de la màquina mikrotik, primeres proves de connexió

04/05/2015

  • Instal·lació de la màquina que farà de firewall i acabar de crear totes les VLANS necessaries.

27/04/2015

  • Instal·lació del sistema operatiu de la màquina que formara el conjunt de serveis que oferirem a la LAN.


24/04/2015

  • Creció de les VLANS al proxmox per a dividir la xarxa en seccions.
  • Creació de la màquina virtual.

21/04/2015

  • Familiarització amb la documentació del projecte.
  • Començar a investigar la càrrega de treball de la implementació del projecte.
  • S'ha de pensar que és més viables si la implementació amb un mikrotik fisic o la utilització d'un routerOS al servidor proxmox.
  • La instal·lació física suposaria tenir que fer la instal·lació al servidor de dalt i no sería gaire pràctic.
  • Amb la instal·lació completament virtual tindriem totes les maquines ubicades al servidor proxmox que tenim dalt, pot seria l'opció més viable, ja que a més ens donaria facilitat a l'hora de treballar amb VLAN.

20/04/2015

Vegeu també

http://tools.ietf.org/html/rfc3046

Enllaços externs

esborrar: Llista exhaustiva d'enllaços externs relacionat amb aquesta wiki

Tasques pendents

Preguntes

  • Per què dos DNS i no pas utilitzar un sol DNS amb vistes?

Firewall:

  • Configuració del router principal i router connexió externa. Configuració de normés del firewall, DMZ. A la wiki no està la configuració. Explicar clarament com munten el DMZ i les NAT
  • Obertura dels serveis públics, on estan normes
  • Política per defecte del firewall?


Errors:

  • Ús incorrecte del DNAT internament. Cal configurar rutes i prou.
  • SNAT no s'utilitza internament només cap a Internet
  • Seguretat: Obrir ports de DNAT per saltar del proxmox a altres xarxes? Millor SSH túnel

Documentació wiki:

  • Enllaç a document de proposta necessita permis. No és públic
  • Apartat enllaços extern buida
  • Apartat changelog buit últims dies
  • Presentació: Gràfica de la xarxa on es vegin subxarxes. A la wiki no està
  • Millorar gràfica: Que la gràfica s'autoexpliqui el tema DMZ, trànsits perduts. Afegir xarxa Internet
  • Apartat objectius. Resum objectius complerts i/o objectius pendents o no assolits
  • Apartat de conclusions que està a la presentació podria estar a la wiki?
  • Servidor LAN té el Munin?
  • Esborrar apartat codi font del projecte
  • La presentació està penjada a la wiki?
  • Configuració VLAN switch? No s'ha mirat com fer amb un swithc. Per exemple podriem fer amb el DLINK. Documentació/enllaç Router on a Stick
  • No wiki no és Usuari:***

Monitorització:

  • Només Munin?
  • Podria Haver-hi un Dude per exemple i/o Observium
  • GestióIP o al menys tenir una documentació/inventari de totes les adreces IP i xarxes i VLANs del projecte

Opcions extres:

  • Servidor Ldap determini dades servidor DNS i DHCP
  • Servei de fitxers