Archiv

Posts Tagged ‘system-config-firewall-tui’

DNS: Caching-Nameserver, DNS-Weiterleitung

2012/01/18 Kommentare aus

Für das RHCE-Examen werden die Einrichtung eines Caching-only sowie eines Forwarding-Nameservers verlangt. Diese Ziele sind sehr leicht zu erreichen. Eine Standardinstallation des Nameservers BIND bietet bereits die Funktionalität eines Caching-only Nameservers. Durch Ergänzung der Konfigurationsdatei um wenige Zeilen kann BIND als Forwarding-Nameserver fungieren.

Die Installation des Berkeley Internet Name Domain Daemon erfolgt mit

yum install bind

Caching-Nameserver

BIND ist zwar bereits in der Default-Installation als Caching-only Nameserver konfiguriert, jedoch muss noch der Adressbereich eingetragen werden von dem DNS-Anfragen angenommen werden. Außerdem ist dem Nameserver bekanntzugeben, unter welcher IP-Adresse Anfragen entgegengenommen werden. Dies geschieht durch Anpassung zweier Einträge in der Konfigurationsdatei des Nameservers, /etc/named.conf. Notwendige Änderungen sind fett dargestellt:

options {
 listen-on port 53 { 127.0.0.1; 192.168.100.1; };
 listen-on-v6 port 53 { ::1; };
 directory "/var/named";
 dump-file "/var/named/data/cache_dump.db";
 statistics-file "/var/named/data/named_stats.txt";
 memstatistics-file "/var/named/data/named_mem_stats.txt";
 allow-query { localhost; 192.168.100.0/24; };
 recursion yes;

 dnssec-enable yes;
 dnssec-validation yes;
 dnssec-lookaside auto;
/* Path to ISC DLV key */
 bindkeys-file "/etc/named.iscdlv.key";
};

Wichtig ist die Einhaltung der korrekten Syntax: Semikolon und Leerzeichen dürfen nicht vergessen werden.

Nach erfolgter Konfiguration ist der Nameserver zu starten und für den Start beim Hochfahren vorzumerken:

service named start   # jetzt starten
chkconfig named on    # beim Hochfahren starten

Ausnahme in die Firewall hinzufügen

Die Firewall wird am unkompliziertesten mit dem Werkzeug system-config-firewall-tui angepasst. Eine Installation erfolgt durch

yum install system-config-firewall-tui

Aufruf der Werkzeugs zur Firewallkonfiguration:

system-config-firewall-tui

–> Anpassen –> „DNS“ markieren –> Schließen

Konfiguration von DNS-Weiterleitung

Um DNS-Abfragen an einen anderen DNS-Server weiterzuleiten ist die Konfigurationsdatei des named um zwei Einträge zu ergänzen. Diese sollten sich ebenfalls innerhalb des option-Blocks befinden. Notwendige Ergänzungen sind fett dargestellt:

allow-query { localhost; 192.168.100.0/24; };
forward only;
forwarders { 80.120.17.70; 213.33.99.70; };

Wichtig ist, dass eingetragene Forwarder eine Abfrage auch erlauben.

Konfiguration der lokalen DNS-Einstellungen

Um den lokalen DNS-Server bei Anfragen auch zu verwenden ist ein Eintrag in /etc/resolv.conf notwendig:

search example.com
nameserver 127.0.0.1
nameserver 192.168.100.2

Falls eine DNS-Abfrage nicht erfolgreich ist, werden unter search angegebene Domänen an den Hostnamen angehängt und ein erneuter Versuch gestartet. Durch den Eintrag nameserver werden dem System zu verwendende Nameserver bekanntgegeben. Diese werden in der angegebenen Reihenfolge befragt.

Test des DNS-Servers

Diverse Werkzeuge zur DNS-Abfrage werden vom Paket bind-utils bereitgestellt:

yum install bind-utils

Der DNS-Server lässt sich nun mit Tools wie host, dig oder nslookup auf Funktion testen:

[root@test ~]# host google.de
google.de has address 74.125.232.216
google.de mail is handled by 10 google.com.s9a2.psmtp.com.
google.de mail is handled by 10 google.com.s9b1.psmtp.com.
google.de mail is handled by 10 google.com.s9b2.psmtp.com.
google.de mail is handled by 10 google.com.s9a1.psmtp.com.

 

Weiterführende Informationen bieten die Befehle

man named
man named_selinux
tail -f /var/log/messages
Advertisements

einen VNC-Server bereitstellen, mit dem mehrere Desktops gleichzeitig genutzt werden können

2010/12/26 Kommentare aus

Neuinstallation:

Rechnername setzen.

Netzwerk konfigurieren -> eth0 bearbeiten -> automatisch verbinden

Basis Server -> Jetzt anpassen

Desktops -> Desktop

Optionale Pakete: tigervnc-server

Installation von der Kommandozeile:

Eine minimale Konfiguration umfasst die Paketgruppe “Desktop” und das Paket “vnc-server”.

yum groupinstall Desktop
yum install vnc-server

Konfiguration

editieren von /etc/sysconfig/vncservers :

VNCSERVERS=“1:root 2:bob 3:alice“
VNCSERVERARGS[1]=”-geometry 800x600 –nolisten tcp -localhost”
VNCSERVERARGS[2]=”-geometry 1024x768”

-geometry 800×600 bestimmt die Fenstergröße, für root in diesem Fall 800×600 Pixel.

-nolisten tcp verhindert X Verbindungen via TCP auf den VNC Server.

-localhost erlaubt nur Verbindungen über einen sicheren Tunnel (siehe VNC-Verbindung)

Hier wird also für den Benutzer root eine Auflösung von 800×600 eingestellt, keine X Verbindungen via TCP erlaubt und eine Verbindung über einen sicheren Tunnel erzwungen. Der Benutzer bob bekommt eine Auflösung von 1024×768 und darf eine direkte und unverschlüsselte Verbindung mit seinem VNC-Client aufbauen. Für alice gelten die Default-Einstellungen. Da VNC standardmäßig unverschlüsselt übertragen wird empfiehlt sich die Verwendung nur innerhalb eines vertrauenswürdigen lokalen Netzwerkes bzw. durch eine sichere Tunnelverbindung.

Passwort setzen

vncpasswd

Legt  die Datei  .vnc/passwd im Heimatverzeichnis des momentan eingeloggten Benutzers an. Um Passworte für die jeweiligen Benutzer zu setzen kann man sich nun unter dem entsprechenden Benutzernamen  einloggen und vncpasswd ausführen oder auch einfach das Ziel angeben und daraufhin den entsprechenden Eigentümer setzen:

mkdir –p /home/bob/.vnc          # .vnc in bob's Heimatverzeichnis anlegen
vncpasswd /home/bob/.vnc/passwd  # Passwortdatei anlegen
chown –R bob.bob /home/bob/.vnc  # bob als Eigentümer festlegen

Dienst starten

chkconfig vncserver on        # beim booten starten
service vncserver start       # Dienst jetzt starten

Ausnahmen in Firewall hinzufügen

netstat –tan

Listet offene TCP-Ports auf. Geöffnete Ports des VNC-Servers sind als 5900 + Displaynummer erkenntlich, also z.B. Port 5901 für Benutzer root, Display 1. In diesem Beispiel sollten also 127.0.0.1:5901, 0.0.0.0:5902 sowie 0.0.0.0:5903 (Displays für root, bob und alice) geöffnet sein. Falls der VNC-Server nur eine Verbindung über einen SSH-Tunnel erlaubt (-localhost) muss keine Ausnahme für externe VNC-Ports hinzugefügt werden, da die Verbindung  ausschließlich via SSH erfolgt.

Zugriff auf externe Ports 5902-5903 TCP erlauben:

system-config-firewall-tui

Anpassen -> Vor -> Hinzufügen: Port 5902-5903 Protokoll tcp