होम सर्वर - ESXi, व्यामोह

शुभ दिन, प्रिय Khabrovites!

होम सर्वर के कुछ टुकड़े सेट करने के बारे में हब पर बहुत सारे लेख हैं। मैं एक सिस्टम प्रशासक या डेवलपर के उद्देश्य से होम नेटवर्क बनाने के लिए एक और विकल्प साझा करना चाहूंगा। इस बार ESXi पर आधारित है।

कोई भी दिलचस्पी - बिल्ली में आपका स्वागत है।

मैं ईएसएक्स और गेस्ट सिस्टम को स्थापित करने और कॉन्फ़िगर करने के बारे में बात नहीं करूंगा, क्योंकि नेटवर्क इस विषय पर लेखों से भरा है, और आधिकारिक वेबसाइट पर प्रलेखन काफी सभ्य है। और मैं आपको कुछ विचार बताऊंगा जो मुझे घर पर और कुछ सूक्ष्मता में महसूस हुए। लेकिन पहले बातें पहले।

आइए स्वयं सर्वर से शुरू करें - आईबीएम सिस्टम एक्स 3200 एम 2 । उसने मुझे लगभग कुछ भी नहीं मिला। मुझे एक दोस्त से पता चला कि उसका दोस्त किसी तरह का सर्वर बेच रहा है। फ़ोन, मिले, और - वॉयला, सर्वर थोड़ा संयमित होने के बाद, Celeron'a 1.8 पर आधारित पुरानी मशीन के सम्मान का स्थान ले लिया। हालांकि, यह ध्यान दिया जाना चाहिए कि मामला थोड़ा हल्का था, अर्थात्, सामने के कवर के नीचे गायब था, और अंदर कोई रैम नहीं था। लेकिन ये ट्राइफल्स हैं। टोकरी में 2 लापता स्किड्स प्राप्त करना अधिक कठिन हो गया। शहर में कोई प्रत्यक्ष बिक्री नहीं है, आदेश के लिए विशेष दुकानों में - 1.5 महीने की प्रतीक्षा करें और 1.5k एपिस् की राशि ... इस विचार से इनकार कर दिया। डिलीवरी के लिए चीन से 500r के लिए ऑर्डर दिया, वे 1.5 महीने के लिए आए।

हमारे पास कुल:

1. आईबीएम सिस्टम X3200 M2 सर्वर
   
   • Intel® Xeon® X3320 2.5GHz
   • 4G DDR2 800MHz
   • 5TB की कुल क्षमता के साथ 5 हार्ड ड्राइव (कोई छापे नहीं)
   • ESXi
2. Asus F3SE लैपटॉप (मेरे कंप्यूटर को एक स्थिर मशीन के साथ बदल देता है, मेरे पास सर्वर नहीं है, वास्तव में, यह मेरा कार्यस्थल और मनोरंजन उपकरण है),
3. LinkSys WRT54GS v7 एक्सेस पॉइंट (WAN, 4xLAN 100Mb, WiFi), dd-wrt माइक्रो (ओह, हम कितने बच गए :)) के साथ चमकती है।
4. वाईफ़ाई के साथ फोन - नोकिया E52।

अंतिम प्रणाली के लक्ष्य:

1. जितना हो सके लैपटॉप सॉफ्टवेयर को अनलोड करें,
2. विकास और परीक्षण के लिए एक मंच प्रदान करें (योजना कुछ इस तरह है: स्थापित, कॉन्फ़िगर, कोशिश की, बंद कर दिया; जब जरूरत हो, इसे फिर से चालू कर दिया),
3. नेटवर्क को देखने वाली सेवाओं के साथ, सर्वर और डेटा सुरक्षा के कॉर्पोरेट स्तर प्रदान करते हैं। कार्यात्मक / सुरक्षा दुविधा के मामले में, सुरक्षा चुनें।

तो, चलो सबसे दिलचस्प भाग के लिए नीचे उतरें। अब से, हम मान लेंगे कि सर्वर नेटवर्क से जुड़ा हुआ है, 24/7 संचालित है, असीमित इंटरनेट है, ESXi स्थापित है, कई अतिथि सिस्टम बनाए गए हैं (win2k8 - 1 pc, winxp - 1 pc, Fedora 14 - N) न्यूनतम कॉन्फ़िगरेशन में पीसी, या कोई अन्य वितरण; स्वाद और रंग के लिए), अगर कुछ कहीं शुरू होता है (एमसी, नैनो, सुडो, आदि), तो यह समझा जाता है कि यह पहले से ही स्थापित है।

चरण 1. कार्यक्षमता चयन

हमें क्या आवश्यकता होगी?

1. वेब सर्वर (Apache, IIS, GlassFish / Tomcat),
2. DBMS (MSSQL, MySQL, FireBird, PostgreSQL),
3. टोरेंट क्लाइंट, फ्लाईलिंकडीसी क्लाइंट,
4. सभी लिनक्स सर्वरों के लिए SSH, विन सर्वरों में से एक RDP,
5. फ़ाइल भंडारण।

चरण 2. नेटवर्क वास्तुकला

और यहाँ हमें क्या करना चाहिए:


मैं इस नेटवर्क के संगठन पर होलीवर से सम्मानित खब्रोव्स्क नागरिकों को तुरंत चेतावनी देना चाहता हूं, यह कुछ व्यक्तिपरक आवश्यकताओं द्वारा निर्धारित किया गया है, और अब तक, केवल इसका आभासी हिस्सा बदल सकता है। क्षमा करें, लेकिन "ऐतिहासिक रूप से।" हालाँकि, रचनात्मक आलोचना का स्वागत है। मैं भविष्य में विचार करूंगा।

जैसा कि आप सभी आभासी मशीनों के आरेख से देख सकते हैं, केवल एक भौतिक नेटवर्क से जुड़ा है - आकाशगंगा। यह सर्वर सभी वर्चुअल मशीनों का प्रवेश द्वार होगा, जो महत्वपूर्ण बंदरगाहों (SSH, RDP) तक पहुंच की निगरानी करेगा और विभिन्न प्रकार के लॉग भी बनाए रखेगा।

चरण 3. गेटवे सेटअप

आगे की हलचल के बिना, मैं मामूली बदलावों के साथ अपने प्रवेश द्वार से फ़ायरवॉल कॉन्फिगर करूँगा। बेशक, सभी इंटरफेस ऊपर हैं, स्थिर आईपी कॉन्फ़िगर किए गए हैं, डीएनएस, गेटवे पंजीकृत हैं, बिंदु पर आवश्यक एनएटी कॉन्फ़िगर किया गया है। मैं माफी मांगता हूं, लेकिन सभी आईपी और बंदरगाहों को बदल दिया जाता है या जाम कर दिया जाता है। इस संबंध में - अगर मैं पागल हूँ तो। :)

firewall.sh
#!/bin/sh

modprobe ip_nat_ftp
modprobe ip_conntrack_ftp
modprobe nf_conntrack_tftp

ipt='/sbin/iptables'

home='#.#.#.#/24'
vmnet='#.#.#.#/24'
mehome='#.#.#.#'
mevmnet='#.#.#.#'

venera='#.#.#.#'

${ipt} -F -t nat
${ipt} -F -t filter
${ipt} -F -t mangle

#established
${ipt} -t filter -A INPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT
${ipt} -t filter -A OUTPUT -p all -m state --state ESTABLISHED,RELATED -j ACCEPT

#allow forwarding
echo "1" > /proc/sys/net/ipv4/ip_forward
${ipt} -t filter -P FORWARD DROP

#log some new connections
${ipt} -A INPUT -m state --state NEW -p tcp --dport 12121 -j LOG --log-level INFO --log-prefix "SSH-NEW : "
${ipt} -A FORWARD -m state --state NEW -d ${venera} -j LOG --log-level INFO --log-prefix "VENERA : "

#localhost
${ipt} -t filter -A INPUT -i lo -j ACCEPT

#icmp home
${ipt} -t filter -A FORWARD -p icmp -s ${home} -j ACCEPT
${ipt} -t filter -A FORWARD -p icmp -d ${home} -j ACCEPT
${ipt} -t filter -A INPUT -p icmp -s ${home} -j ACCEPT
${ipt} -t filter -A OUTPUT -p icmp -d ${home} -j ACCEPT
#icmp vmnet
${ipt} -t filter -A FORWARD -p icmp -s ${vmnet} -j ACCEPT

#dns tcp
${ipt} -t filter -A INPUT -p tcp --sport 53 -j ACCEPT
${ipt} -t filter -A OUTPUT -p tcp --dport 53 -j ACCEPT
${ipt} -t filter -A FORWARD -p tcp --dport 53 -j ACCEPT
${ipt} -t filter -A FORWARD -p tcp --sport 53 -j ACCEPT

#dns udp
${ipt} -t filter -A INPUT -p udp --sport 53 -j ACCEPT
${ipt} -t filter -A OUTPUT -p udp --dport 53 -j ACCEPT
${ipt} -t filter -A FORWARD -p udp --dport 53 -j ACCEPT
${ipt} -t filter -A FORWARD -p udp --sport 53 -j ACCEPT

#ssh
${ipt} -t filter -A INPUT -p tcp --dport 12121 -j ACCEPT

#nat venera (GlassFish[80->8080], SSH[3333->12121])
${ipt} -t nat -A PREROUTING -d ${mehome} -p tcp --dport 3333 -j DNAT --to ${venera}:12121
${ipt} -t nat -A PREROUTING -d ${mehome} -p tcp --dport 80 -j DNAT --to ${venera}:8080
#${ipt} -t filter -A FORWARD -d ${venera} -p tcp --dport 8080 -j ACCEPT
${ipt} -t nat -A POSTROUTING -s ${venera} -j SNAT --to-source ${mehome}
#firwarding for venera
${ipt} -t filter -A FORWARD -s ${venera} -j ACCEPT
${ipt} -t filter -A FORWARD -d ${venera} -p tcp --dport 12121 -j ACCEPT
${ipt} -t filter -A FORWARD -d ${mehome} -p tcp --dport 80 -j ACCEPT

# .
${ipt} -t filter -A OUTPUT -p all -j ACCEPT

#
${ipt} -t filter -A INPUT -p all -j DROP
${ipt} -t filter -A OUTPUT -p all -j DROP


वेनेरा सर्वर के साथ समानता से, हम नियमों द्वारा आवश्यक बंदरगाहों को शामिल और छोड़कर, बाकी सर्वर को कॉन्फ़िगर करते हैं। कृपया ध्यान दें कि nat venera ब्लॉक को 3 लाइन पर टिप्पणी की गई है।
यह SSH पोर्ट 12121 से कनेक्शन की अनुमति देता है। यह नीचे वर्णित कारण के लिए टिप्पणी की गई है।

चरण 4. व्यामोह

इस कथा की परिणति बंदरगाह की दस्तक तकनीक का कार्यान्वयन है।
शायद आप में से एक इस विषय पर आया है, लेकिन एक कारण या किसी अन्य ने इसके कार्यान्वयन को अस्वीकार कर दिया है।
किसके लिए आलस्य जो ऊपर दिए गए लिंक पर नहीं जा सकता है, संक्षेप में मैं आपको बताऊंगा कि यह क्या है और वे क्या खाते हैं। यह तकनीक आपको उसी आईपी से बंदरगाहों के एक निश्चित अनुक्रम पर दस्तक देने के बाद ही वांछित पोर्ट खोलने की अनुमति देती है। इसके अलावा, इस क्रम से पोर्ट खुले भी नहीं हो सकते हैं। एक पर्याप्त संकेत पैकेट के इस बंदरगाह को SYN ध्वज (या दूसरे के विवेक पर) के साथ भेजना है। अनुक्रम सही ढंग से सक्रिय होने के बाद, एक कमांड निष्पादित किया जाता है जो फ़ायरवॉल में वांछित पोर्ट खोलता है। इस पोर्ट को बंद करने के लिए, आपको उसी तकनीक के अनुसार, पोर्ट के एक अलग अनुक्रम पर उसी तरह से टैप करना होगा।

बेशक, "हमारे सामने सब कुछ पहले ही चोरी हो चुका है" (सी)। एक खटखट डेमॉन और इसके साथ एक ग्राहक है जो इस कार्यक्षमता को लागू करता है।
अगर मैं एक अजीब समस्या का सामना नहीं करता तो सब कुछ सरल होगा। आरपीएम सिस्टम के तहत कोई बाइनरी नहीं है (अपनी नाक को दबाएं, कृपया, अगर मैं बुरी तरह से देख रहा था)।
स्रोत डाउनलोड करें, अनपैक करें।

./configure
make


स्रोत कोड से प्राप्त, जीसीसी त्रुटि "PATH_MAX - अघोषित" के साथ संकलित नहीं करता है ... क्या करना है? :)
यह सही है। स्रोत में जाओ और देखो कि वहां क्या गलत है। सौभाग्य से, सेवा फ़ाइलों के अलावा, केवल 4 फाइलें हैं: क्लाइंट, सर्वर का कार्यान्वयन और अपनी स्वयं की सूची का कार्यान्वयन (.h + + c)। कुछ विचार-विमर्श के बाद, मैंने मौजूदा समावेशन के बीच सर्वर फ़ाइल में एक और दर्ज किया:
#include <limits.h>


और यह काम किया :)
वैसे, लोग मंचों से लिखते हैं कि वे बिना किसी समस्या के फ्रीबीएसडी के तहत पोर्ट लगाते हैं, लेकिन मैंने इसे अपने दम पर नहीं आजमाया है (हां, मेरे पास परीक्षणों के लिए ऐसी वर्चुअल मशीन है)। नवीनतम संस्करण के साथ वस्तुनिष्ठ परिणामों के बारे में, कृपया सदस्यता समाप्त करें।

दस्तक के लिए प्रलेखन बहुत अच्छा है। डेमन सरल, सुविधाजनक, जाँच - यह काम करता है। इसलिए, आपकी अनुमति के साथ, मैं इसका वर्णन नहीं करूंगा, लेकिन मैं इस मामले के लिए एक अनुमानित विन्यास दूंगा, जिसमें फ़ायरवॉल चित्र के साथ पूरा हो जाएगा:
[options]
logfile = /var/log/knockd.log

[openSSH]
sequence = 1,2,3
seq_timeout = 5
command = /sbin/iptables -A FORWARD -s %IP% -p tcp --dport 8080 -j ACCEPT
tcpflags = syn

[closeSSH]
sequence = 3,2,1
seq_timeout = 5
command = /sbin/iptables -D FORWARD -s %IP% -p tcp --dport 8080 -j ACCEPT
tcpflags = syn


घर पर, मैं विभिन्न आभासी मशीनों के लिए अलग-अलग पोर्ट खोलने के लिए कई दृश्यों का उपयोग करता हूं। दुर्भाग्य से, केवल टीसीपी ने बंदरगाहों को चुना, क्योंकि आप उन्हें एक साधारण टेलनेट से जोड़ सकते हैं। लेकिन जैसे ही मैं यूडीपी के लिए दस्तक देने वाले मोबाइल ग्राहक के साथ सौदा करता हूं, मैं निश्चित रूप से आवश्यकतानुसार सब कुछ करूंगा।

शेष आभासी मशीनों पर हम आवश्यक सेवाओं को शुरू करते हैं, जैसा कि हम चाहते हैं, सब कुछ कॉन्फ़िगर करें। वर्चुअल गेटवे के माध्यम से आवश्यक बंदरगाहों को आगे बढ़ाने के लिए मत भूलना, और यदि आवश्यक हो तो /etc/knockd.conf में कुछ पंजीकृत करें। हम इसका उपयोग करते हैं।

निष्कर्ष

मेरे पास जनवरी 2011 के अंत से पहले से ही यह सर्वर है। जो मैंने अभी करने की कोशिश नहीं की / उस पर कोशिश की। और विभिन्न सेवाओं, और Gentoo, और FBSD, और GlassFish, और फ़ायरवॉल / nat, SSH + XMing, आदि के माध्यम से विंडोज मशीन पर फ़ायरफ़ॉक्स। और यह सब एक कार में। अब मैं विश्वास के साथ कह सकता हूं कि वर्चुअलाइजेशन मस्त है। दुर्भाग्य से, मैं अभी तक केवीएम और एक्सईएन की कोशिश नहीं कर पाया हूं (एक्सईएन के साथ लाइव सिट की गिनती नहीं है - आपको इसे कलम से छूने की जरूरत है), लेकिन वर्चुअल मशीन पर एक और हाइपरवाइजर चलाना ... यहां तक ​​कि मेरे विकृत मस्तिष्क के लिए, यह बहुत अधिक है। जाहिर तौर पर अभी उनका समय नहीं आया है।

जल्द ही , एक यूएसबी ध्वनि दूसरे चीन से आएगी, और मेरे पास 1Sky से प्रबंधित उत्पादन कैलेंडर के साथ एक अलार्म आउट चालित घड़ी होगी। ^ _ ^
सामान्य तौर पर, जिस किसी के पास इस चमत्कार को एक समर्पित मशीन पर रखने का अवसर है - इसके लिए जाएं। शायद यह विषय किसी को काम पर सर्वर को कॉन्फ़िगर करने में मदद करेगा। वैसे भी, मुझे खुशी होगी कि मैंने मदद की।

आपका ध्यान देने के लिए धन्यवाद।

पीएस मैं इस योजना के लिए 100% सुरक्षित होने का दिखावा नहीं करता, लेकिन यह खुले बंदरगाहों से बहुत बेहतर है, मुझे व्यामोह से भिगोता है और दीर्घकालिक उपयोग का अमूल्य अनुभव देता है। बेशक, जहां संभव हो, अंत सर्वर पर मानक पोर्ट बदल दिए जाते हैं। दुर्भावनापूर्ण ब्रूट कैंसर के आईपी पते के लिए पर्याप्त ब्लॉक नहीं है, लेकिन यह अभी भी आना है।

UPD: अगर मैंने ब्लॉग को गलत तरीके से चुना तो मैं माफी माँगता हूँ। कृपया अपनी नाक को थपथपाएं जहां इसे रखना बेहतर है?