+ Responder ao Tópico



  1. #1

    Padrão Servidor completo-Problema para resolver nomes.-Centos 5.5

    Desculpe o tamanho do post abaixo mas como sempre usei o debian vou postar tudo o que fiz para colocar somente o samba no ar para depois colocar os serviços que tenho no debian e um AD windows para migrar para o centos 5.5:


    DHCP + DNS CENTOS:





    #yum install bind
    Uma exceção fica por conta do CentOS 5 onde (acompanhando a mudança feita no RHEL 5) os arquivos de configuração do Bind não são instalados junto com o pacote. Nele, é necessário que você gere a configuração inicial copiando os modelos de configuração que estão dentro da pasta "/usr/share/doc/bind-9.?.?/sample/" para as pastas apropriadas, como em:
    Cria-se um arquivo chamado /etc/named.conf
    vi /etc/named.conf e salva o as linhas abaixo:
    options
    { directory "/var/named"; // the default

    listen-on { 127.0.0.1; 192.168.0.2; };
    forwarders { 208.67.222.222; 208.67.220.220;};

    };
    zone "nfa" {
    type master;
    file "db.nfa";
    };
    zone "0.33.10.in-addr.arpa" {
    type master;
    file "/var/named/db.0.33.10.in-addr.arpa";};
    # cp -r /usr/share/doc/bind-9.?.?/sample/etc/* /etc/

    # cp -r /usr/share/doc/bind-9.?.?/sample/var/named/* /var/named/
    O serviço referente ao Bind pode se chamar "bind" ou "named", de acordo com a distribuição. Nos derivados do Debian você controla o serviço através do comando "/etc/init.d/bind9" (ou "/etc/init.d/bind" para a versão 8), enquanto nas distribuições derivadas do Red Hat utilizamos o comando "service named", como em:
    depois copiar as zonas para o /var/named.

    OBS.: dentro de db.nfa cole:
    [root@samba ~]# cat /var/named/db.nfa
    $TTL 43200 ; 12 hours
    @ IN SOA samba.nfa. root.nfa. (
    2 ; serial
    28800 ; refresh (8 hours)
    14400 ; retry (4 hours)
    3600000 ; expire (5 weeks 6 days 16 hours)
    86400 ; minimum (1 day)
    )
    @ IN NS samba.nfa.
    server IN A 10.33.0.1
    e dentro do db.0.33.10.in-addr.arpa cole:

    [root@samba ~]# cat /var/named/db.0.33.10.in-addr.arpa
    $TTL 43200 ; 12 hours
    @ IN SOA samba.nfa. root.nfa. (
    1 ; serial
    28800 ; refresh (8 hours)
    14400 ; retry (4 hours)
    3600000 ; expire (5 weeks 6 days 16 hours)
    86400 ; minimum (1 day)
    )
    @ IN NS samba.nfa.
    1 IN PTR samba.nfa.
    dentro de /etc/hosts ficou assim:
    1)coloque o nome do host:
    dentro de /etc/hosts ficou assim:
    [root@samba ~]# cat /etc/hosts
    # Do not remove the following line, or various programs
    # that require network functionality will fail.
    10.33.0.1 samba.nfa.local samba
    127.0.0.1 localhost.localdomain localhost

  2. #2

    Padrão Re: Servidor completo-Problema para resolver nomes.-Centos 5.5

    restante:
    dentro de /etc/resolv.conf ficou assim:[root@samba ~]# cat /etc/resolv.conf
    domain nfa.local
    nameserver 10.33.0.1

    Para testar, carregue o serviço:
    # service dhcpd start
    Configurando a inicialização automatica no sistema
    Configurando de forma automatica nos init 3 e 4.
    # chkconfig --level 34 named on



    AGORA VAMOS AO DHCPD + BIND (SEGUI PRATICAMENTE A RISCA O QUE ESTÁ NO WIKI):
    Instalando os pacotes necessários
    # apt-get install dhcp
    Configurando o arquivo dhcpd.conf

    #obs.: lEMBRO AQUI QUE MINHA PLACA DE REDE INTERNA ETH0 192.168.02 É A EXTERNA E A ETH1 10.33.0.1 É A INTERNA..GW DA REDE INTERNA)

    [root@saturno ~]# vi /etc/dhcpd.conf

    [root@samba ~]# cat /etc/dhcpd.conf
    #
    # DHCP Server Configuration file.
    # see /usr/share/doc/dhcp*/dhcpd.conf.sample
    #
    ddns-update-style interim;
    ignore client-updates;

    # Indica a máscara sub-rede a ser utilizada pelos clientes
    subnet 10.33.0.0 netmask 255.255.255.0 {

    # Indica a sub-rede a ser utilizada pelo cliente
    option subnet-mask 255.255.255.0;

    # Indica aos clientes qual o sufixo DNS a ser utilizado
    option domain-name "nfa.local";

    # Indica a lista de servidores DNS a serem utilizados pelos clientes;
    option domain-name-servers 10.33.0.1 ;

    #Indica o servidor de WINS utilizado pelos clientes
    #option netbios-name-servers 192.168.1.10, 192.168.1.11;

    # Faixa de endereços atribuídos dinamicamente pelo servidor de DHCP
    range dynamic-bootp 10.33.0.2 10.33.0.200;

    # Tempo em segundos que um IP fica atribuído a um dado cliente
    default-lease-time 36000;
    max-lease-time 36000;

    # Indica o endereço de broadcast para o cliente
    option broadcast-address 10.33.0.255;

    #Indicar a Gateway a ser utilizada pelos clientes
    option routers 10.33.0.1;
    }

    #Atribui um IP específico a um cliente (a partir do endereço MAC da sua placa de rede)
    #### Exemplo de maquina endereco ip fixo
    #host wks-0001p {
    # hardware ethernet 00:AA:55:2C:C27;
    # fixed-address 192.168.1.200;
    #}

    #ADCIONADO PARA RODAR BIND + DHCP
    # The ddns-updates-style parameter controls...
    ddns-update-style interim;
    ddns-updates on;
    ddns-domainname "nfa";
    ddns-rev-domainname "0.33.10.in-addr.arpa";



    zone 0.33.10.in-addr.arpa {
    primary 127.0.0.1;

    #Atribui um IP específico a um cliente (a partir do endereço MAC da sua placa de rede)
    #### Exemplo de maquina endereco ip fixo
    #host wks-0001p {
    # hardware ethernet 00:AA:55:2C:C27;
    # fixed-address 192.168.1.200;
    }
    Caso você possua mais de um placa de rede e deseje especificar qual interface o Servidor DHCPD será responsável
    [root@saturno ~]# vi /etc/sysconfig/dhcpd
    # Command line options here
    DHCPDARGS=eth1 (minha placa de rede interna 10.33.0.1…a minha externa tem o IP 192.168.0.2) <= troque o x pela interface correspondente.
    Teste
    Para testar, carregue o serviço:
    [root@saturno ~]# service dhcpd start
    Configurando a inicialização automatica no sistema
    Configurando de forma automatica nos init 3 e 5.
    [root@saturno ~]# chkconfig --level 35 dhcpd on



    PROBLEMAS ENCONTRADOS:

    1)APÓS COLOCAR UM CLIENTE NA PLACA DE REDE ETH1 10.33.0.1 O CLIENTE PEGOU O IP AUTOMÁTICAMENTE 10.33.0.3, GATEWAY 10.33.0.1, DNS 10.33.0.1 E MOSTRA DO DOMINIO NFA.LOCAL…mas do servidor não consigo pingar para fora usando o ip do server 10.33.0.1 dentro do /etc/resolv.conf somente colocando o 127.0.0.1.
    2)DA MÁQUINA CLIENTE NÃO CONSIGO PINGAR NO NOME SAMBA OU SAMBA.NFA COMO MOSTRO ABAIXO:
    Last login: Fri Jun 25 21:27:49 on ttys000
    MacBook-Pro-de-Fernando-Galvao:~ Fernando$ ping 10.33.0.1
    PING 10.33.0.1 (10.33.0.1): 56 data bytes
    64 bytes from 10.33.0.1: icmp_seq=0 ttl=64 time=0.189 ms
    64 bytes from 10.33.0.1: icmp_seq=1 ttl=64 time=0.260 ms
    round-trip min/avg/max/stddev = 0.189/0.225/0.260/0.036 ms
    MacBook-Pro-de-Fernando-Galvao:~ Fernando$ ping samba
    ping: cannot resolve samba: Unknown host
    MacBook-Pro-de-Fernando-Galvao:~ Fernando$ ping samba.nfa.local
    ping: cannot resolve samba.nfa.local: Unknown host
    mesmo colocando o 10.33.0.1 no resolv.conf para testar não consigo resolver os nomes. dentro do hoste está assim:
    [root@samba ~]# cat /etc/hosts
    # Do not remove the following line, or various programs
    # that require network functionality will fail.
    10.33.0.1 samba.nfa.local samba
    127.0.0.1 localhost.localdomain localhost
    ::1 localhost6.localdomain6 localhost6
    e o comando hostname responde: [root@samba ~]# hostname
    samba
    dentro do servidor pingo no samba e samba.nfa.com.br ele responde o ip 10.33.0.1.

    Estou usando o iptables que uso no debian(desativei o padrão do centos com o chkconfig iptables off) com os mesmos serviços(dhcp + bine) e funciona normalmente.Mesmo sem conseguir pingar consigo entrar nas pastas de compartilhamento samba.

    Por favor preciso resolver esse problema para poder continuar motando o servidor PDC samba, bind,dhcp, squid,iptables,htb e etc…

    abaixo vou colocar meu firewall básico pois quando ficar ok..vou implementar o restante que tenho no debian:

  3. #3

    Padrão Re: Servidor completo-Problema para resolver nomes.-Centos 5.5

    final:

    [root@samba ~]# cat /etc/init.d/firewall
    #!/bin/sh


    ##############SCRIPT IPTABLES FIREWALL POR : LUIZ FERNANDO GALVAO#############
    ############# ###########
    ############# ##########
    ############ ##########



    ############################### VARIAVEIS ######################################

    IF_INTERNO="eth1"
    IF_EXTERNO="eth0"
    IP_INTERNO="10.33.0.1"
    IP_EXTERNO="192.168.0.2"
    INTMASK="255.255.255.0"
    INTBC="10.33.0.255"



    ############################# POLITICAS ####################################

    iptables -P INPUT ACCEPT
    iptables -P FORWARD ACCEPT
    iptables -P OUTPUT ACCEPT



    ######################## COMPARTILHA A INTERNET ##############################
    #iptables -t nat -A POSTROUTING -o $IF_EXTERNO -j MASQUERADE
    echo 1 > /proc/sys/net/ipv4/ip_forward


    ###################### JOGA CADA UMA PARA SEU CHAIN CHAIN ###################

    iptables -A INPUT -i lo -j ACCEPT

    ######################### LEVANTA MODULOS ###################################

    modprobe ip_nat_ftp
    modprobe ip_conntrack_ftp
    modprobe ip_tables
    modprobe iptable_filter
    modprobe ip_conntrack
    modprobe iptable_nat
    modprobe ipt_LOG
    modprobe ipt_state
    modprobe ipt_REJECT
    modprobe ipt_MASQUERADE
    modprobe ip_gre
    #modprobe ipt_CONNMARK
    modprobe ipt_string
    #modprobe ip_conntrack_ftp
    modprobe ip_nat_ftp
    ######################## LIMPA REGRAS ########################################


    iptables -F
    iptables -Z
    iptables -X
    iptables -t nat -F
    iptables -t nat -X
    iptables -t mangle -F
    iptables -t mangle -X


    ##################### BLOQUEIA SPOOFING ####################################


    echo "1" > /proc/sys/net/ipv4/conf/all/rp_filter


    ##################NAO RESPONDER A PINGS###################################

    #echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all




    ####################LIBERARANDO INPUT LOOPBACK###########################

    iptables -A INPUT -p ALL -s 127.0.0.1 -i lo -j ACCEPT
    #iptables -A INPUT -p ALL -s $IF_GW -i lo -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT





    ######################## REGRAS ############################################

    iptables -A INPUT -i $IF_INTERNO --dst 255.255.255.255 -p tcp --dport 67:68 -j ACCEPT # DHCP para rede interna - TCP-netmask
    iptables -A INPUT -i $IF_INTERNO --dst 255.255.255.255 -p udp --dport 67:68 -j ACCEPT # DHCP para rede interna - UDP-netmask
    iptables -A INPUT -i $IF_INTERNO --dst $IP_INTERNO -p tcp --dport 67:68 -j ACCEPT # DHCP para rede interna - TCP-rede interna
    iptables -A INPUT -i $IF_INTERNO --dst $IP_EXTERNO -p tcp --dport 67:68 -j ACCEPT # DHCP para rede interna - TCP-rede interna

    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_INTERNO -p tcp --dport 53 -j ACCEPT # DNS server
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_INTERNO -p udp --dport 53 -j ACCEPT # DNS server
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_EXTERNO -p udp --dport 53 -j ACCEPT # DNS server
    iptables -A INPUT --src $IP_INTERNO -i $IF_INTERNO --dst $IP_INTERNO -p tcp --dport 953 -j ACCEPT # DNS server



    iptables -A INPUT -m state --state ESTABLISHED,RELATED -i $IF_EXTERNO --dst $IP_EXTERNO -j ACCEPT # Trafego externo para o servidor
    iptables -A INPUT -m state --state ESTABLISHED,RELATED --src $IP_INTERNO/$INTMASK -i $IF_INTERNO --dst $IP_INTERNO -j ACCEPT # Trafego interno para o servidor


    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO -p icmp --icmp-type destination-unreachable -j ACCEPT # ICMP destination-unreachable
    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO -p icmp --icmp-type source-quench -j ACCEPT # ICMP source-quench
    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO -p icmp --icmp-type time-exceeded -j ACCEPT # ICMP time-exceeded
    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO -p icmp --icmp-type parameter-problem -j ACCEPT # ICMP parameter-problem
    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO -p icmp --icmp-type echo-request -j ACCEPT # ICMP echo-request
    iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO -p icmp --icmp-type echo-reply -j ACCEPT # ICMP echo-reply
    iptables -A INPUT -i $IF_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type destination-unreachable -j ACCEPT # ICMP destination-unreachable
    iptables -A INPUT -i $IF_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type source-quench -j ACCEPT # ICMP source-quench
    iptables -A INPUT -i $IP_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type time-exceeded -j ACCEPT # ICMP time-exceeded
    iptables -A INPUT -i $IF_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type parameter-problem -j ACCEPT # ICMP parameter-problem
    iptables -A INPUT -i $IF_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type echo-request -j ACCEPT # ICMP echo-request
    iptables -A INPUT -i $IF_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type echo-request -j ACCEPT # ICMP echo-request
    iptables -A INPUT -i $IF_EXTERNO --dst $IP_EXTERNO -p icmp --icmp-type echo-reply -j ACCEPT # ICMP echo-reply


    ###################### PROTECAO CONTRA Syn-flood ######################################################

    iptables -A FORWARD -p tcp --syn -m limit --limit 2/s -j ACCEPT

    ################### PROTECAO CONTRA PING DA MORTE #####################################################

    iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT

    ######################################### LIBERANDO E BLOQUEANDO PORTAS #################


    #iptables -A INPUT -i $IF_INTERNO --dst $IP_INTERNO/255.255.255.0 -p tcp --dport 110 -j ACCEPT # E-mail - POP3
    iptables -A INPUT -j ACCEPT -p tcp --dport 110
    iptables -A INPUT -j ACCEPT -p tcp --dport 25
    #iptables -A INPUT --src $IP_INTERNO/$INTMASK -i $IF_INTERNO --dst $IP_INTERNO -p tcp --dport 995 -j ACCEPT # E-mail - POP3S
    iptables -A INPUT --dst $IP_EXTERNO/255.255.255.255 -p tcp --dport 25 -j ACCEPT # E-mail - SMTP
    #iptables -A INPUT -i $IF_INTERNO --dst $IP_INTERNO/255.255.255.0 -p tcp --dport 25 -j ACCEPT # E-mail - SMTP
    iptables -A OUTPUT -p TCP --dport 25 -j ACCEPT # SMTP
    iptables -A OUTPUT -p TCP --dport 110 -j ACCEPT



    iptables -A INPUT -p tcp -m tcp --dport 64022 -j ACCEPT #SSH
    o firewall está startado tanto que consigo entrar pelo ssh pela porta acima usando o IP interno 10.33.0.1.

    ==>estou fazendo isso no Centos 5.5 64 bits.