Dịch vụ SSH Tất cả các server trong mô hỉnh này nêu là Linux đều phai cai dat dich vu SSH dé cac client 6 INTERNAL cé thé truy cập và cầu hình các dịch vụ từ xa.. Các tài khoản SSH trên
Trang 1ĐẠI HỌC QUOC GIA THANH PHO HO CHI MINH TRUONG DAI HOC KHOA HOC TU NHIEN KHOA CONG NGHE THONG TIN
Phan Dương Linh — 20120319 Đặng Thiên Long — 20120322
2023 — TP.H6é Chi Minh
Trang 2Quan tri dich vu mang DMZ
Trang 3Quan tri dich vu mang DMZ
20120319 | Phan Duong Linh - Cai dat firewall, nat 100%
- Cai dat dich vu SSH
~ ` - Cài đặt dịch vụ DNS °
Đánh giá mức độ hoàn thành: 100%
Đánh giá mức độ đóng góp:
- Nguyén Minh Tri: 35%
Noi dung hoan thanh:
Trường ĐH Khoa Học Tự Nhiên - DHQG — HCM | Khoa Cong nghệ thông tin Page | 3
Trang 4Quan tri dich vu mang DMZ
- Day du thong tin nhom
- Viét bao cao day du va chi tiết các bước thực hiện cầu hình chương trình thực hiện các
yêu cầu đưa ra
- _ Chụp hình kết quả và báo cáo nhận xét các kết quả thu được
- - Nguồn tham khảo đầy đủ
Trang 5
Quan tri dich vu mang DMZ
Nội dung báo cáo
1 Dịch vụ SSH
Tất cả các server trong mô hỉnh này nêu là Linux đều phai cai dat dich vu SSH dé cac client 6 INTERNAL cé thé truy cập và cầu hình các dịch vụ từ xa Chí cho phép remote từ INTERNAL
Không được login bằng tài khoản root thông qua SSH Các tài khoản SSH trên DHCP, DNS
server được chứng thực bằng username & password Cac tai khoan trên các server khac được
chứng thực bằng SSH key-pair
Cho phép chạy địch vụ SFTP tương ứng với các tài khoản có quyền SSH
Trang 6
Quan tri dich vu mang DMZ
2 Web, Mail
Ca 3 dich vu nay cai dat chung trên một máy 10.10.X.3/24
Lưu : Các dịch vụ này khi kiểm tra hoạt động can phải kiểm tra truy cập từ cả 2 vùng INTERNAL va EXTERNAL
Xay dựng một website với Wordpress (https:/wordpress.org/) Ứng với dữ liệu mẫu khi cài đặt Wordpress Và các máy Internal có thê truy cập thông qua tên
miền www.xyz.com
» Thư mục cài đặt web sẽ la /var/www/xyz.com
+ Yéu cau cai dat gom co Apache, PHP va MySQL
Luu : Sinh vién co thé sie dung web server Apache hode nginx
Trang 7
3 Firewall & NAT
Cai dat Firewall (version 1.1.1):
DMZ
fire-watt@firewatl-virtual-machine: ~ linh@firewall-virtual-machine: ~
-direct.5.gz /usr/share/man/man5/firewalld
-icmptype.5.gz -ipset.5.gz
-gZ
/usr/share/potktt-1
/usr/share/polkit-1/actions
/usr /share/potktt- 1/acttons/org fedoraproject.FLrewaLLD1 desktop poLtcy.chotce
/usr /share/potktt- 1/acttons/org fedor aproject.F1rewaLLD1 server poLtcy.chotce
link/ether 66:9c:29:c@:38:a4 brd ff:ff:ff:ff:ff:ff
aLtnane enp2s1
inet 192.168.88.154/24 brd 192.168.88.255 scope global dynamic noprefixr4
valid_lft 1458sec preferred_lft 1458sec
inet6 fe80::cd70:8451:f636: 7856/64 scope Link noprefixroute
valid lft forever preferred lft forever Ề@
: ens37: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UP group iErZm qlen 1000
link/ether 6 c:29:c8:38:ae brd ff:ff:ff:ff:ff:ff
altname enp2s5
inet 192.168.1.100/24 brd 192.168.1.255 scope global nopreftxroute ens37
valid lft forever preferred lft forever
HH <BROADCAST , MULTICAST, UP,LOWER_UP> mtu os TS fq_codel state UP group ve
link/ether ©0:0c:29:c@:38: ca lì Their heirs
altname enp2s6
inet 10.10.72.1/24 brd 10.10.72.255 scope global noprefitxroute ens38
valid 1ft forever oreferr oe itz forever
ens39: <BROADCAST ,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc fq_codel state Ut
ink/ether 66:9c:29:c@:38:b8 brd ff:ff:ff:ff:ff:ff
aLtnane enp2s7
inet 172.16.72.1/24 brd 172.16.72.255 scope global noprefixroute ens39
valid lft forever preferred lft forever
tnet6 fe86: :1f14:9105:9d6a:6cf1/64 scope link noprefixroute
valid_lft forever preferred_lft forever
ot)
Trang 8
DMZ Set up firewall zones:
Fire-watt@firewatt-virtuat-machine: ~ linh@firewall-virtual-machine: ~ Fire-wall@firewall-virtual-machine: ~
S$ firewall-cmd get-active-zones dmz
inet 10.10.72.1/24 brd 10.10.72.255 scope global noprefixroute ens38
vaLid_Lft forever preferred_Lft forever
5: ens39: <BROADCAST,MULTICAST,UP,L0WER_U
Link/ether 96:6c:29:ec:bf:0d brd f
altname enp2s7
inet 172.16.72.1/24 brd 172.16.72.255 scope global noprefixroute ens39
valid_lft forever preferred lft forever
:-§ sudo tptabLes -N UDP
eee ees
Sorry, try again
[sudo] password for fw:
Sorry, try again
[sudo] password for fw:
sudo: 3 incorrect password attempts
$ sudo iptables -N UDP ] password for fw:
Trang 9DMZ Cho phép ESTABLISHED, RELATED trén luéng vao là luồng ra
(BÌ fw- VMwareWcrkstation
File Edit View VM Jabs Hep JJ ~ ®&® ¢
[hp fw [fp ext
[!] out-interface -o output name[+]
network interface name ([+] for wildcard) table -t table table to manipulate (default: “filter')
verbose -v verbose mode
Ha: -w [seconds] maximum wait to acquire xtables lock before give up
wait-intervel -W [usecs] wait time to try to acquire xtables lock
default ts 1 second Line-numbers print Ltne numbers when tLsttng
exact D4 expand numbers (display exact values)
[!] fragment -f match second or further fragments only
- -modprobe=<comnmand> try to insert modules using this command
Set-Counters PKTS BYTES set the counter durtng tnsert/append
[!] verston -V prtnt package verston
iptables v1.8.7 (nf_tables): Could not fetch rule set generation id: Permission denied (you must be root
$ sudo iptables -A INPUT -m conntrack ctstate ESTABLISHED,RELATED -j ACCEPT
$ hàn iptables -A OUTPUT -m conntrack ctstate ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp dport m conntrack ctstate NEW,ESTABLISHED -J ACCEP
sudo iptables -A 0UTPUT -p tcp sport 22 -m conntrack ctstate ESTABLISHED -j ACCEPT sudo iptables -A OUTPUT -p tcp dport 22 -m conntrack ctstate NEW,ESTABLISHED -j ACCEPT sudo iptables -A INPUT -p tcp n conntrack ctstate ESTABLISHED -j
Patt 0/1 16 6086 6 n -] REJECT
sudo iptables -A INPUT -p tcp d S -m conntrack ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp sport 25 -m conntrack ctstste ESTABLISHED -j ACCEPT
i$
as) sudo iptables -A INPUT -p tcp dport 143 -m conntrack ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp sport 143 -m conntrack ctstate ESTABLIS4EP -j ⁄€€EPY7 sudo iptables -A INPUT -p tcp dport 993 -m conntrack ctstate NEW,ESTABLISHED -j ACCEPT sudo iptables -A OUTPUT -p tcp sport 993 -m conntreck ctstats ESTABLISHED -j ACCEPT
sudo iptables -A INPUT -p tcp dport 110 -m conntra ctstate NEhW,ESTABLTSHED -j ACCEPT
sudo tptabLes -A 0UTPUT -p tcp sport 116 -mn conntrack ctstate ESTABLISFED -j ACCEPT
sudo iptables -A INPUT -p tcp dport 995 -m conntrack ctstate NEW,ESTABLISHED -j ACCEPT
sudo iptables -A OUTPUT -p tcp sport 995 -m conntrack ctstate ESTABLISHED -| ACCEPT
Firewall được giá lập là một server chạy HĐH Linux gồm 3 card mạng có IP như trên mô hình
và có cài đặt IPTables Firewall có các chức năng sau:
Trường ĐH Khoa Học Tự Nhiên - ĐHQG — HCM | Khoa Công nghệ thông tin Page | 9
Trang 10network interface name ([+] for wildcard) table to manipulate (default: “filter') verbose mode
Maximum wait to acquire xtables Lock before give up
wait time to try to acquire xtables lock default is 1 second
print line numbers when listing expand numbers (display exact values) match second or further fragments only try to insert modules using this command
set-counters PKTS BYTES set the counter during insert/append
[!] version -V print package version
iptables v1.8.7 (nf_tables): Could not fetch rule set gen
tion id: Permission denied (you must be root
§ sudo iptables -A INPUT -m conntrack ctstate ESTABLISHED,RELATED -j ACCEPT
§ sudo iptables -A OUTPUT -m conntrack ctstate ESTABLISHED -j ACCEPT :-§$ iptables -A FORWARD -i ens39 -o ens38 -j ACCEPT
iptables v1.8.7 (nf_tables): Could not fetch rule set generation id: Permission denied (you must be root
)
:-§ sudo iptables -A FORWARD -i ens39 -o ens38 -j ACCEPT t~§
chỉ định rằng tất cả các kết nối tcp đến công 80 phải được gửi đến công 8080 của máy
External bằng IP công khai theo quy tắc thứ hai
expand numbers (display exact values)
match second or further fragments only
try to insert modules using this command
set-counters PKTS BYTES set the counter during insert/append
Method -V prtnt package verston
iptables v1.8.7 (nf_table Could not fetch rule set generation id:
iptables v1.8.7 (nf _tables): unknown option " dport”
Try ‘iptables -h' or ‘iptables help' for more information
:-$ tptabLes PREROUTING -t nat ens37 -p tcp
iptables v1.8.7 (nf PEE Couldn't load match
p tcp dport 80 -j DNAT to 10.10.72.2:8080 -m tcp dport 80 -j DNAT to 10.10.72.2:8080
“tcp':No such file or directory
Try `iptahla< -h' ar eS far
:-$ sudo iptables -A PREROUTING -t nat -i ens37 -p tcp dport 80 -j DNAT to 10.10.72.2:
[sudo] pa ord for fw:
more information
:-$ iptables -A FORWARD -p tcp -d 10.10.72.2 dport 8080 -j ACCEPT
iptables v1.8.7 (nf_table unknown optton dport”
Try ‘iptables -h' or ‘iptables help' for more information
:-§ sudo iptables -A FORWARD -p tcp -d 10.10.72.2 dport 8080 -j ACCEPT
LẺ
Page | 10
Trang 11DMZ
interface ens39 cua vung Internal dén interface ens37 cua ving External
Trang 124, Internal
Gia tri X = 72
- Bao gom DHCP server, DNS server, SSH server
- _ Câu hình địa chỉ IP nh cho server
Đặt đường mạng của máy client và server ở VMnet2
Trang 14DMZ
Thém rule trong Firewall va dat port la 22
Cac tai khoan SSH trên DHCP, DNS server được chứng thực bằng username & password
Trang 15DMZ
Cho phép chạy địch vụ SFTP tương ứng với các tài khoản có quyền SSH
Kiểm tra kết quả :
Trang 16DMZ
Đã co thé SSH tr client đến server thông qua chứng thực password
DNS SERVER
Trang 17DMZ
Trước tién can dat root domain name nén sé cai thém ADDS
Dat root domain name theo yêu cầu ( Tên miền XYZ.com với XYZ là tên của các bạn sinh viên trong nhóm ) là longlinhtri.com
Ta thay trên bảng đã có các dich vu cần thiết được cài
Trang 18DMZ
Tai Forward Lookup Zone -> nhap chuột phải chọn New Zone
Tiệp tục làm các bược rồi đặt zone name là tên miền theo yêu câu longlinhtri.com
Tai Reserve Lookup Zone -> chuột phai chon New Zone
Dién network ID theo yéu cau la 172.16.72
Trang 19DMZ
Tao alias cho cac Host www.xyz.com, ftp.xyz.com, mail.xyz.com
Kiém tra :
Trang 20DMZ
Cau hinh DNS thanh céng
Trang 21DMZ DHCP SERVER
Dat pham vi IP theo yéu cau ( Quản lý việc cấp phát IP trong phạm vi tir 172.16.X.50/24 dén 172.16.X.100/24 cho các máy trong mạng nội bộ công ty)
Đặt dãy IP chặn theo yêu cầu ( DHCP Server phải loại trừ địa chỉ IP đã được đặt cho các server
trong mang INTERNAL )
Trang 22Quan tri dich vu mang DMZ
+ Bi seneriong di eo Configure the DHCP Server ’
w penci| Bet0re a DHCP server can issue IP adcresses, you must
mi finer) 5 i Router (Dotault Gateway) _ 7
ape A scope ica range of addresses that is serigned tơ "You Gan epecily Re I0Wer3 Getauk gaieways io be detiutnd by tie scope No
runicn your network
* To add anew scope, on the Action merns click New TeaddenP oddone fore rotor ened by cians ntertie address bow
* To authorize this OHC® server, navigate te the server| Paddes ges to authorze the
sewer Tiel! 1-1 if
Authorization may take a few moments to complete: F Tin
For more information about setting up a DHCP server,
Domain Name and ONS Servers
A scope is a range of IP addresses that is assigned to ¢| The Domain Name System (ONS) mape anổ varalatas demai
runon your network nawerk
* To add a new scope, on the Action mers click New
rexahiten
*To autharze this DHCP server, navigate to the server esto authorise the
Autorzation may take a tew moments to complete #_To<orfawe scope chertsfo me DNS sere on youre ner IPecchesses tr tone
For more information about setting up a DHCP server, ‘Serves nama: (Padcess
Trang 23File Action View Help
(@ Cota an BP atdrass automatically (Ose the folnang adcress:
(QObtan OHS server address eutometicaly (© Usa the following OFS server actresses Profarred DNS server: 172.16 ,72 3
Trang 24DMZ
Dịch vụ DHCP thành công
Video demo:
https://drive.google.com/file/d/10wRUwHFaUl0rTURV8ZKhcQ YvpN7mG7Iw/view? usp=sharing
Trang 25DMZ
Tài liệu tham khảo
[6] SSH02 - Cài đặt OpenSSH trên Windows và kết nối SSH đến Windows Server -
YouTube
[7]