Phenquestions
Kui Manjaro kernel masina käivitab, ühendub selle võrguhaldur lubatud võrguliidese kaudu automaatselt DHCP-serveriga. Seejärel annab see kliendile IP-aadressi, alamvõrgu maski, rendiaja, DNS-serveri, lüüsi ja muud üksikasjad.
Kui masin töötab Apache-serverina, peab see olema klientidele staatilise IP-aadressi kaudu hõlpsasti juurdepääsetav. Pealegi peavad kasutajad ettevaatusabinõuna kaitsma masinat tarbetu juurdepääsu eest väljastpoolt võrku. See nõuab võrguliideste seadistamist Manjaro Network Manageri või käsude ja konfiguratsioonifailide kaudu käsitsi.
Selles artiklis õpime võrguliidest GUI ja CLI kaudu käsitsi konfigureerima. Samuti lihtsustame uute kasutajate jaoks piiranguteta tulemüüri (ufw) konfigureerimisprotsessi ettevaatusabinõuna pärast Manjaro installimist.
Võrguliidese seadistamine
Käsitsi võrguliidese seadistamine hõlmab seadme määramist IP-aadressi, lüüsi, DNS-serveri asukohtade, marsruutide ja alamvõrgu maskiga. Seda tehakse Manjaro NewtrokManageri ja CLI kaudu.
Alustamine
Enne võrgu käsitsi seadistamise alustamist peab süsteem vastama teatud tingimustele:
- lubatud võrguliidesed
- Ethernet-kaabel on ühendatud
- liidesel on IP-aadress
- marsruutimistabel on kõik seatud
- seade võib süsteemi jõuda kohalikus võrgus või väljaspool seda
- hostinime-aadressi eraldusvõime töötab hästi
Staatiline IP seadistamine GUI kaudu
OtsigeÜhendused”Manjaro rakenduste käivitaja sees. Võrguühenduse menüüs valige ühenduse muutmiseks / konfigureerimiseks praegused võrguseaded.
Valige praegune ühendus ja valige vahekaart IPv4 seaded.
Vali 'Käsitsi' alates 'Meetod'Staatilise IP rippmenüü ja klõpsake nuppu'Lisama'aadressi, alamvõrgu maski, lüüsi ja DNS-serveri üksikasjade täitmiseks. Lõpuks klõpsake nuppu "Rakenda'võrgu taaskäivitamiseks uute seadetega.
Staatilised IP-aadresside varjunimed
GUI võimaldab ka ühe liidese jaoks seadistada mitu aadressi. Uue IP-aadressi lisamiseks on võimalik klõpsata samal ekraanil nupul „+” või nuppu „Lisa”. Siin on mõned üksikasjad aadresside varjunimede kohta:
- Iga varjunime aadress nõuab võrgumaski, kuid mitte värava üksikasju.
- Salvestusvõimalus hallitas ilma kehtiva teabeta.
- See ei pea olema samas võrgumaskis, kuigi see kuulab liiklust samas füüsilises võrgus.
Kahe IP-aadressiga tööliidese kuvamiseks kasutage järgmist käsku.
[meiliga kaitstud]: ~ $ ip addr showStaatiline IP seadistamine CLI kaudu
Teine võimalus staatilise IP konfigureerimiseks on systemd. Manjaro võrguliideste jaoks on kohandatud marsruudid konfigureeritud sees / etc / systemd / võrk / kataloog. Iga liidese konfiguratsioonifailid tuvastatakse liidese nime põhjal. Seega on võrguliidese enp0s3 fail / etc / systemd / network / enp0s3.võrku.
Keelake kindlasti NetworkManager, kuna see kirjutab üle käsitsi seaded.
[meiliga kaitstud]: ~ $ sudo systemctl keelake - nüüd NetworkManager.teenusLooge või muutke ülaltoodud võrguliidese faili juurõigustega. Siin on näidisfail:
[meiliga kaitstud]: ~ $ sudo vim / etc / systemd / network / enp0s3.võrku[Mäng]
Nimi = enp0s3
[Võrk]
Aadress = 192.168.11.0/24
Värav = 192.168.11.1
DNS = 152.234.15.8
DNS = 215.158.11.10
Nüüd lubage ja käivitage võrguteenus.
[meiliga kaitstud]: ~ $ sudo systemctl enable - nüüd systemd-networkd.teenusDHCP sätete taastamiseks kustutage ülaltoodud fail ja taaskäivitage NetworkManager.
UFW-ga tulemüüri seadistamine Manjaros
Toimiv tulemüür on iga turvalise Linuxi süsteemi kriitiline osa. Vaikimisi on kõigi Linuxi distributsioonidega kaasas installitud tulemüüri seadistustööriist, mida nimetatakse komplitseerimata tulemüüriks (ufw). UFW on iptable'i liides ja see on mõeldud tulemüüri seadistamisülesande lihtsustamiseks.
Ufw manulehe andmetel ei paku tööriist CLI kaudu täieõiguslikku tulemüüri funktsionaalsust. Selle asemel lihtsustatakse lihtsate reeglite lisamise või eemaldamise protsessi. Samuti on ufw eesmärk pakkuda hostipõhiseid tulemüüre.
Võrgu turvalisuse alustamiseks installige ufw, kui see pole saadaval:
[meiliga kaitstud]: ~ $ sudo pacman -Syu ufwUfw vaikepoliitikate määramine
Kuna me alustame ufw seadistamist. Vaikimisi on ufw keelatud. Kontrollige ufw olekut, sisestades järgmise käsu:
[meiliga kaitstud]: ~ $ sudo service ufw statusUfw seadete lubamiseks käivitage järgmine käsk.
[meiliga kaitstud]: ~ $ sudo ufw enableUfw lubamine algatab tulemüüri vaikepoliitika. See tähendab, et ufw lubab ainult väljuvaid ühendusi ja keelab kõik sissetulevad ühendused. Teisisõnu, Manjaro server pole väljaspool võrku juurdepääsetav. Kuigi kasutajarakendused saavad ühenduse luua välismaailmaga.
Kui see on keelatud, saame reeglid määrata ufw vaikepoliitikate täitmiseks.
[meiliga kaitstud]: ~ $ sudo ufw vaikimisi keelab sissetuleku[meiliga kaitstud]: ~ $ sudo ufw lubab vaikimisi väljuda
Vaikepoliitika lubamiseks muutke / etc / default / ufw fail. Pange tähele, et tulemüüri seaded käivitatakse automaatselt, kui süsteem taaskäivitub. Need reeglid on isikliku Manjaro OS-i kaitsmiseks piisavad. Manjaro server peab aga sissetulevatele päringutele vastama.
Luba Manjaro Serveri SSH-ühendused
Ülaltoodud seade keelab kõik sissetulevad ühendused. Õiguspärase SSH- või HTTP-ühenduse lubamiseks Manjaro serveriga on vaja luua reeglid ufw-s. See seade võimaldab kasutajal serverit ühendada ja hallata turvalise shellühenduse kaudu.
[meiliga kaitstud]: ~ $ sudo ufw ssh lubamineÜlaltoodud käsk on samaväärne ssh-pordi 22 kaudu ühenduse loomise reegli seadistamisega. Seega on UFW teadlik portidest, mida rakenduse protokollid kasutavad / etc / services failis loetletud teenuste tõttu.
Kuid kui SSH deemon kuulab mõnda muud pordi, peame määrama sobiva pordi. Näiteks kui server kuulab porti 3333, kasutage ufw reegli määramiseks järgmist käsku:
[meiliga kaitstud]: ~ $ sudo ufw allow 3333UFW seadistamine IPv6 jaoks
UFW toetab IPv6 sätteid tulemüüri reeglite haldamiseks koos IPv4-ga. Selleks muutke ufw konfiguratsioonifaili / etc / vaikekataloog ja järgmised seaded:
IPv6 = jahNüüd on ufw konfigureeritud nii IPv4 kui ka IPv6 poliitika lisamiseks ja haldamiseks.
Muud ühendused
ufw võimaldab kasutajatel hallata erinevaid alamvõrgu reegleid, konkreetseid IP-aadresse, pordivahemikke ja võrguliideseid.
Pordivahemike määramiseks toimige järgmiselt
[meiliga kaitstud]: ~ $ sudo ufw allow 3000: 4444 / tcpKonkreetse sihtkoha pordiga alamvõrgu määramine:
[meiliga kaitstud]: ~ $ ufw luba alates 192.168.100.0/24 suvalisse sadamasse 81Reegli määramine konkreetsele IP-aadressile
[meiliga kaitstud]: ~ $ sudo ufw allow alates 192.168.100.14Lisaks võimaldab see luua ka reegleid, et keelata IP-aadressidelt ja teenustelt ühendused. Vaja on vaid lubade asendamist käsuga deny.
[meiliga kaitstud]: ~ $ sudo ufw eita 192-st.168.100.14Järeldus
See artikkel võtab kokku Manjaro käsitsi võrguliidese ja tulemüüri konfiguratsiooniseaded algajatele. Arutasime staatilise IP-aadressi seadistamist GUI ja käskude / konfiguratsioonifailide kaudu. Lisaks demonstreeritakse artiklis vaikimisi piiranguteta tulemüüri (ufw) seadistamist, et võimaldada kasutajatel masinale piiratud juurdepääsu Internetis.
