private ubuntu18 op RUBAX
Ik wens een VPN server te plaatsen in een private network achter een centOS firwall op RUBAX.
Ik gebruik de tweede virtuele netwerkkaart op RUBAX.
- install
Voor de installatie van een ubuntu18 verwijs ik naar praktijk / labo's in de inleiding.
Reeds tijdens de installatie kan ik testen of de centOS-fw masquerading toepast door de netwerkconfiguratie er naar te laten verwijzen.
(192.168.255.77wordt mijn gateway --
ik kan4.2.2.2gebruiken als DNS --
192.168.255.0 netmask 255.255.255.0mijn netwerk --
ik kies adres192.168.255.118)
- first boot
Na herstart van ubuntu gebruik ik ssh vanaf de centOS-fw om in te loggen:
[user@centos-fw ~]$ssh 192.168.255.118
The authenticity of host '192.168.255.118 (192.168.255.118)' can't be established. ECDSA key fingerprint is SHA256:KU6QYbdAVz+D4dHToBWSsGtkPu45q1KNKQV4QGAHojQ. ECDSA key fingerprint is MD5:ef:4b:83:a0:9b:f4:ee:68:1d:82:7b:4f:bb:10:11:bb. Are you sure you want to continue connecting (yes/no)? yes Warning: Permanently added '192.168.255.118' (ECDSA) to the list of known hosts. bert0001@192.168.255.118's password: Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-22-generic x86_64) * Documentation: https://help.ubuntu.com * Management: https://landscape.canonical.com * Support: https://ubuntu.com/advantage System information as of Thu Jun 7 08:56:52 UTC 2018 System load: 1.15 Processes: 98 Usage of /: 20.8% of 19.56GB Users logged in: 1 Memory usage: 15% IP address for ens3: 192.168.255.118 Swap usage: 0% 42 packages can be updated. 13 updates are security updates. Last login: Thu Jun 7 08:55:50 2018 user@ubu18-srv2:~$
Vervolgens test ik internet met
sudo apt update[sudo] password for bert0001: Hit:1 http://archive.ubuntu.com/ubuntu bionic InRelease Hit:2 http://archive.ubuntu.com/ubuntu bionic-updates InRelease Hit:3 http://archive.ubuntu.com/ubuntu bionic-backports InRelease Hit:4 http://security.ubuntu.com/ubuntu bionic-security InRelease Reading package lists... Done Building dependency tree Reading state information... Done 42 packages can be upgraded. Run 'apt list --upgradable' to see them.
sudo apt upgrade
Reading package lists... Done Building dependency tree Reading state information... Done Calculating upgrade... Done The following packages will be upgraded: apport bsdutils cloud-init curl distro-info-data ebtables fdisk git git-man language-selector-common libblkid1 libcurl3-gnutls libcurl4 libfdisk1 libmount1 libncurses5 libncursesw5 libprocps6 libsmartcols1 libtinfo5 libuuid1 linux-firmware linux-signed-generic mdadm mount ncurses-base ncurses-bin ncurses-term netcat-openbsd procps python3-apport python3-distupgrade python3-problem-report python3-software-properties snapd software-properties-common ssh-import-id ubuntu-release-upgrader-core update-notifier-common util-linux uuid-runtime wget 42 upgraded, 0 newly installed, 0 to remove and 0 not upgraded. Need to get 86.8 MB of archives. After this operation, 10.8 MB of additional disk space will be used. Do you want to continue? [Y/n] Y - port forwarding sshd
We willen poort 12321 op 151.152.153.154 gebruiken om van op afstand in te loggen op onze ubuntu server.
Dat moeten we fixen op onze centOS-fw.
[user@centos-fw ~]$sudo firewall-cmd --permanent --zone=public --add-forward-port=port=12321:proto=tcp:toaddr=192.168.255.118:toport=22
success
[user@centos-fw ~]$sudo firewall-cmd --reload
we testen of het werkt vanaf onze laptop ...$ ssh -p 12321 user@151.152.153.154 user@151.152.153.154's password: Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-22-generic x86_64)
Om te testen of de firewall-regel ook permanent is opgeslagen (--permanent) kunnen we ook de centOS-fw even herstarten ...
- bastion host
semi-publieke machines -- in dit geval wordt poort 22 op onze ubuntu server blootgesteld aan het publieke internet -- moeten elk apart voorzien worden van een eigen firewall (iptables) op zichzelf. Zo'n personal firewall maakt de host een bastion host.