Báo cáo thực tập chuyên môn MỤC LỤC Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn LỜI MỞ ĐẦU Ngày với phát triển mạnh mẽ công nghệ thông tin, việc ứng dụng công nghệ vào máy tính trở lên vô cần thiết trình tin học hóa doanh nghiệp phát triển mạnh mẽ đòi hỏi doanh nghiệp cần có hệ thống mạng hoàn chỉnh Hệ thống máy tính chuyên nghiệp yêu cầu nhiều máy chủ dịch vụ (web, mail, ftp ) hoạt động Trong tình hình việc áp dụng công nghệ thông tin vào kinh doanh sản xuất vấn đề sống toàn doanh nghiệp Mặc khác để xây dựng hệ thống mạng hoành chỉnh chi phí lớn vấn đề quyền Với phát triển phần mềm Open Source ngày manh mẽ, với ưu điểm miễn phí bảo mật linh hoạt….việc kiểm tra nghành chức việc sử dụng phần mềm quyền doanh nghiệp Việt Nam thời gian tới ngày chặt chẽ Để đáp ứng cho doanh nghiệp vùa ứng dụng triển khai hệ thống mạng hoàn chỉnh, bao gồm dịch vụ dns, web , mail ,ftp, dhcp, proxy… không vi phạm quyền lại tiết kiệm việc sử dụng Open Source hợp lý chúng em chọn đề tài nhằm mở hướng cho doanh nghiệp Việt Nam mà vấn đề quyền nghành quan tâm Dựa vào nhu cầu thực tế trên, chúng em tìm hiểu đề tài này, với mong muốn cung cấp nhìn tổng quan hệ thống Mạng Linux Đồng thời đề tài tìm hiểu xây dựng mô hình thực nghiệm hệ thống dịch vụ mô hình local Trong trình xây dựng nội dung, nhóm khó tránh khỏi thiếu sót hạn chế đề tài Nhóm hy vọng nhận đóng góp quý báu từ thầy bạn để đề tài hoàn thiện CHƯƠNG 1: GIỚI THIỆU VỀ ĐỀ TÀI 1.1.Giới Thiệu Về Đề Tài Đề tài “Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux ”là đề tài hay mang tính ứng dụng cao , Phù hợp với tình hình thực tế doanh nghiệp Việt Nam Trong bối cảnh tình hình quyền ngày quan tâm quản lý chặt chẽ Đề tài tìm hiểu triển khai số phần lý thuyết không trình bày mà tập trung tìm hiểu , Vì Phần lý thuyết không sâu Bên cạnh đề tài không Triển khai dịch vụ mạng cách riêng rẻ mà triển khai dạng mô hình dạng doanh nghiệp nhỏ giống phần lớn doanh nghiệp Việt Nam Bố cục đề tài chia làm chương, chương giới thiệu đề tài chương kết luận Các chương lại nội dung đề tài.Trong Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn chương vào tìm hiểu chi tiết dịch vụ mạng cách cách triển khai chúng Bố cục chương phần tóm tắt sau • Chương 1: Giới thiệu tổng quan đề tài • Chương 2: Giới thiệu mô Hình triển khai • Chương 3: Tìm hiểu dịch vụ Dns cài đặt • Chương 4: Tìm Hiểu Về dịch vụ DHCP cài đặt • Chương 5: Tìm hiểu Triển khai dịch vụ web từ bàn xây dựng website có chứng thực • Chương 6:Tìm hiểu triển khai Mail Postfix với thành phần liên quan • Chương 7:Tìm hiểu triển khai dịch vụ Proxy với Iptables • Chương 8: Kết Luận Đề tài tập trung vào số vấn đề Đề tài hoàng thiện mở rộng cài hoàn chỉnh dịch vụ khác lớn ftp,samba, ,…Khi cần có hệ thống chứng thực tập trung LDAP tính hợp để quản lý tài khoản người dùng tất dịch vụ Lúc mô hình đề tài áp dụng vào thực tế cao cho công ty việt Nam 1.2 Mục Tiêu Mục tiêu sau thực hoành thành đề tài , ta hiểu rõ dịch vụ mạng triển khai Linux nào, từ áp dụng để có nhiều giải pháp lựa chọm đẻ xây dựng hệ thống mạng hoàn chỉnh Linux Bên cạnh đề tài mở giải pháp lựa chọn cho doanh nghiệp việc lựa chọn Open source giải pháp phù hợp hiệu để tin học hóa doanh nghiêp Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn CHƯƠNG 2: TỔNG QUAN VỀ LINUX 2.1.Giới Thiệu Tổng Quan Về Linux vào năm đầu thập niên 90, Linux Tovarlds sinh viên đại học tổng hợp Helsinki (Phần Lan), qua trình mày mò nghiên cứu cách làm việc máy tính pc có trang bị xử lý 386 hệ điều hành Minix (là hệ điều hành unix cỡ nhỏ) Do có hạn chế hệ điều hành này, Linux viết lại số phần mềm để thêm chức cho Hệ điều hành đời với tên gọi Linux Ông ta công bố kết miễn phí internet ông không ngờ rắng điều làm cho Linux có phát triền ngày hôm 2.2 Khái Niệm Về Linux Linux tạo thành Moudle hoạt động độc lập với nhau, người dùng xây dựng Kernel cho hệ điều hành cách xây dựng moduel cần thiết vào Vì hệ thống Linux có tính linh hoạt cao windows Thường Linux dùng dành cho máy chủ máy trạm việc cấu hình cho Linux phức tạp hệ thống chạy Linux thường chạy nhanh ổn định hệ điều hành windows Sở dĩ Linux chưa sử dụng nhiều cho máy tính cá nhân chúng hỗ trợ giao diện đồ họa chưa tốt Tuy nhiên có số phiên Linux hỗ trợ giao diện đồ họa tương đối tốt Centos, solais, fedora 2.3.Một Số Phiên Bản Hệ Điều Hành Linux Tên phân phối Bản Trang web thức Ubuntu 12.04 Ubuntu.com Debian GNU/Linux Các tương tự Kubuntu, Xubuntu, Edubuntu www.debian.org Ultimate Edition Gentoo 12.1 www.gentoo.org Slackware 13.37 www.slackware.com OpenSolaris Hacao Linux SliTa Fenix Desktop Mandrake CentOS www.opensolaris.org 4.21 www.hacao.com www.slitaz.org 6.2 www.madrivaLinux.com www.centos.com Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Mandriva Báo cáo thực tập chuyên môn 2.4 Ưu Và Nhược Điểm Hệ Điều Hành Linux Ưu điểm Vấn đề quyền Ở Việt Nam, vấn đề vi phạm quyền phần mềm phổ biến Trước tình hình đó, việc tự xây dựng cho phần mềm thương hiệu Việt Nam trở nên vấn đề cấp bách Phần mềm mã nguồn mở xem giải pháp hữu hiệu cho toán quyền nước ta Phần mềm mã nguồn mở mặt có chi phí rẻ so với phần mềm truyền thống, mặt khác dễ nâng cấp, cải tiến (do cung cấp mã nguồn kèm theo) Chính thế, phát triển phần mềm mã nguồn mở tận dụng công nghệ tiên tiến có sẵn giới, cải tiến cho phù hợp với người Việt Nam, tiết kiệm nhiều công sức so với việc phát triển từ đầu Kỹ thuật bật Với Linux hệ điều hành nhiều ưu điểm khác mà không hệ điều hành có Chính đặc điểm nguyên nhân khiến cho Linux ngày trở nên phổ biến không Việt Nam mà giới Linh hoạt, uyển chuyển Có thể chỉnh sửa Linux ứng dụng cho phù hợp với Mặt khác Linux cộng đồng lớn người làm phần mềm phát triển môi trường, hoàn cảnh khác nên tìm phiên phù hợp với yêu cầu vấn đề khó khăn Độ an toàn cao Ngoài tính chất "mở" tạo nên an toàn Linux Nếu lỗ hổng Linux phát cộng đồng mã nguồn mở sửa thường sau 24h cho sửa lỗi.Vì Windows có chứa đoạn mã cho phép tạo "back door" để xâm nhập vào hệ thống biết Đối với người dùng bình thường vấn đề không quan trọng hệ thống tầm cỡ hệ thống quốc phòng vấn đề lại mang tính sống còn.Trong Linux thứ công khai, người quản trị tìm hiểu tới ngõ ngách hệ điều hành Điều có nghĩa độ an toàn nâng cao Thích hợp cho quản trị mạng Được thiết kế từ đầu cho chế độ đa người dùng, Linux xem hệ điều hành mạng giá trị Nếu Windows tỏ HĐH thích hợp với máy tín Desktop Linux lại hệ điều hành thống trị Server Đó Linux có nhiều ưu điểm thỏa mãn đòi hỏi hệ điều hành mạng: tính bảo mật cao, chạy ổn định, chế chia sẻ tài nguyên tốt Giao thức TCP/IP mà thấy ngày giao thức truyền tin Linux (sau nàyChạy thống hệ thống phần cứng đưa vào Window nhược điểm Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn hỗ trợ đồ họa chưa tốt , việc cấu hình khó khăn thành phần phía user thích hợp cho người quảng trị có kiến thức đinh Đòi hỏi người dùng phải thành thạo chuyên sâu Một số nhà sản xuất phần cứng driver hỗ trợ Linux CHƯƠNG 3: MÔ HÌNH TRIỂN KHAI 3.1 Giới Thiệu Về Mô Hình Triển Khai Hình 3-1: mô hình triển khai Máy Tên: server1.gtvt.edu Ip:10.0.0.1/8 Gw:10.0.0.3 Chức máy chủ cài dịch vụ dns dhcp Mays2: Tên: server2.gtvt.edu Ip:10.0.0.2/8 Gw:10.0.0.3 Máy server3 máy chủ web mai Máy 3: Tên:server3.gtvt.edu Card eth0: Ip:10.0.0.3/8 Gw: Card:eth1 Ip: 192.168.11.20 /24tho modem Gw:192.168.1.1 Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn Các máy dùng làm server sử dụng hệ điều hành cent0S version 5.8 cài máy ảo vmware version 9.0 Lưu ý: dùng máy thật để test cần chọn card mạng máy ảo vmnet2 và bỏ chế độ cấp ip động từ dhcp cho card mạng vmware2 Có nhiều cách để cài đặt dịch vụ mạng (dhcpd,bind….) nhiên thống tiện theo giõi dịch vụ mạng cài qua mạng theo lệnh: yum –y install… 3.2 Cấu Hình Ip Và Các Thông Tin Cơ Bản ta tiến hành đặt tên máy theo sơ đồ mô hình Máy Đăng nhập vào máy với quyền root Gõ lệnh vi/etc/sysconfig/network sau đặt tên máy theo hình sau Hình 3-2: đặt hostname restart lại dịch vụ để hệ thống cập nhật lại tên máy lệnh Tiếp tục đặt ip cho card eth0 : vi /etc/sysconfig/network-scipts/ifcfg-eth0 Tiến hành đặt hình sau restart lại dịch vụ mạng Hình 3-3: đăt ip Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn Hình 3-4: restart dịch vụ kiểm tra xem việc đặt tên ip cho máy chưa Hình 3-5: xem thông tin ip Ta thấy việc cấu hình cho máy xác Ngoài việc cấu hình lệnh theo cách ta thiết lập cấu hình nhanh lệnh setup Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn Hình 3-6: cấu hình lệnh setup tương tự ta tiếp tục việc đặt ip tên máu cho máy (server2.gtvt.edu) máy (server3.gtvt.edu )để hoàn thiện mô hình CHƯƠNG 4: DỊCH VỤ DNS 4.1 Giới Thiệu Về DNS DNS từ viết tắt tiếng Anh Domain Name System, Hệ thống tên miền phát minh vào năm 1984 cho Internet, hệ thống cho phép thiết lập tương ứng địa IP tên miền Hệ thống tên miền (DNS) hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, nguồn lực tham gia vào Internet Nó liên kết nhiều thông tin đa dạng với tên miền gán cho người tham gia Quan trọng là, chuyển tên miền có ý nghĩa cho người vào số định danh (nhị phân), liên kết với trang thiết bị mạng cho mục đích định vị địa hóa thiết bị khắp giới 4.1.1 Cơ Chế Phân Giải Phân giải thuận: Vai trò Root name server: máy chủ quản lý name server mức toplevel domain Khi có truy vấn tên miền root name server phải cung cấp tên địa IP name server quản lý top-level domain mà tên miền thuộc vào -Phân giải nghịch: Phần không gian có tên miền :.in-addr.arpa.có chức phân giải ip thành tên 4.1.2 Chứng Nhận Tên Miền FDQN Một tên miền đầy đủ nút chuỗi tên gọi nút hiên ngược lên nút gốc, tên gọi cách dấu (.) Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Báo cáo thực tập chuyên môn Tên tuyệt đối xem tên miền đầy đủ chứng nhận (fully qualified domain name FQDN) Ví dụ hcmutrans.edu.vn 4.1.3 Phân Loại Domain Name Server Primary server: Nơi xác thực thông tin địa IP tên miền chinh thứ Secondary server: Nơi lưu trữ dự phòng sở liệu tên miền cho Primary server Caching only server: Nơi lưu trữ địa tên miền nhớ cache nhằm tang tốc truy vấn tên miền 4.1.4 Rousce Record SOA → Start of Authority – Bao gồm thông tin domain DNS A → Host – Phân giải tên máy thành địa IP (IPv.4) CNAME → Canonical name – Cho phép host có nhiều tên MX → Mail exchange – Chỉ đến mail Server domain NS → Name Server – Chứa địa IP DNS Server với thông tin vềdomain PTR → Pointer – Phân giải địa IP thành tên máy AAAA →Ánh xạ tên máy thành địa IP (IPv.6) SRV → Service – Cung cấp chế định vị địa 4.1.5 Hoặt Động Của Name Server Tất DNS server kết nối cách logic với nhau, có truy vấn DNS client tự trả lời cách sử dụng thông tin lưu trữ nhớ cache từ truy vấn trước DNS server sử dụng thông tin cache hỏi DNS server khác Khi nhận yêu cầu từ resolver, named dùng giao thức UDP để truy vấn Nếu giao thức kết named dùng giao thức TCP Truy vấn từ Client đến Server sử dụng cổng nguồn lớn 1023, cổng đích 53 Server trả lời truy vấn sử dụng cổng nguồn 53, cổng đích lớn 1023 Một truy vấn trả lời server-to-server: với giao thức UDP port nguồn đích 53, với TCP truy vấn server sử dụng port > 1023 4.2 Cài Đặt Dịch Vụ DNS 4.2.1 Kế Hoạch Triển Khai Các Record Kế hoạch triển khai record Thứ tự Record Name NS Gtvt.edu Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux Ghi Xác định tên máy chủ dns 10 Báo cáo thực tập chuyên môn Hình 7-3-7:kiểm tra mail Quá trình cài đặt thành công 7.2.5.Triển Khai Web Mail Bước 1: cài đặt squirrelmail dịch vụ cài qua internet hệ thống tự cài gói phần mềm bổ sung nên việc cài đặt đơn giản việc cài đặt từ đĩa cd ta phải tự cài đặt dịch vụ tiến hành cài đặt : Ym –y install squirrelamil Hình 7-3-8: cài đặt squirrelmail Bước 2; cấu hình squirrelmail Vào file config vi /etc /squirrelmail/sqspell_config.php Dòng 28 khai báo tên domain $domain = “gtvt.edu” Lưu lại khởi động dịch vụ /service httpd restart Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 29 Báo cáo thực tập chuyên môn Hình 7-3-9: cài đặt (tiếp theo) Trên máy client tiến hành test dịch vụ squirrelmail Vào trình duyệt gõ http://mail.gtvt.edu/webmail Hoặt http://10.0.0.2/webmail Hình 8-3-1: dao diện squirredmail Như việc cấu hình hoàn tất đăng nhập tài khoản u2 để kiểm tra hộp thư Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 30 Báo cáo thực tập chuyên môn Hình 8-3-2: check mail sqiderrmail Đến việc cấu hình hoàn tất , user mạng sử dụng web mail để gởi nhận mail CHƯƠNG TÌM HIỂU VÀ TRIỂN KHAI PROXY TRÊN LINUX 8.1.Tìm Hiểu Về Dịch Vụ Firewall Proxy Trong Hệ Thống Mạng Internet cho phép truy cập tới nơi giới thông qua dịch vụ, ngồi máy tính bạn biết thông tin đăng tải website phương tiện khác, mà hệ thống máy tính bị xâm nhập lúc mà Do vậy, để bảo vệ hệ thống nên sinh khái niệm Firewall Firewall thuật ngữ có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn hạn chế hỏa hoạn Trong công nghệ thông tin (CNTT) Firewall kỹ thuật tích hợp vào hệ thống mạng để chống lại truy cập trái phép nhằm bảo vệ hệ thống mạng nguồn thông tin nội hạn chế xâm nhập vào hệ thống số đối tượng xấu 8.1.1 Chức Năng Của FireWall Trong Hệ Thống Mạng Firewall định dịch vụ từ bên phép truy cập từ bên ngoài, người từ bên phép truy cập đến dịch vụ bên trong, dịch vụ bên phép truy cập người bên 8.1.2 Hệ Thống FireWall Dùng Ipitables Một hệ thống Firewall chạy linux Iptables, với số ưu điểm sau • Tích hợp tốt với kernel Linux Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 31 Báo cáo thực tập chuyên môn • Có khả phân tích package hiệu • Lọc package dựa vào MAC số cờ hiệu TCP Header • Cung cấp chi tiết tùy chọn để ghi nhận kiện hệ thống • Cung cấp kỹ thuật NAT • Có khả ngăn chặn số chế công theo kiểu DOS 8.1.3 Cơ Chế Xử Lý Gói Tin Trong Iptables Có ba loại bảng iptables :FILTER, MANGLE, NAT chain bảng Chức cụ thể bảng sau: • Mangle: dùng để chỉnh sửa QOS (qulity of service) bit phần TCP Header gói tin • Filter: dùng để thiết lập lọc gói tin có ba loại built-in chains mô tả để thực sách firewall (firewall policy rules) - Forward chain: Cho phép packet nguồn chuyển qua firewall Input chain: Cho phép gói tin vào từ firewall Output chain: Cho phép gói tin từ firewall • NAT: sửa địa gói tin, cung cấp hai loại built-in chains sau: Pre-routing: sửa đại đích gói tin trước routing bảng routing hệ thống (destination NAT) Post-routing: Ngược lại với Pre-routing, sửa đại nguồn gói tin routing hệ thống (SNAT) Mỗi rule mà ta tạo tương ứng với chain table Nếu trường hợp không xác định tables iptables coi mặc định cho bảng FILTER.ử Lý Gói Tin Trong Iptables 8.1.4 Các Thành Phần Của Iptables -Mô hình quản lý Iptables dựa table tập luật (chain), bảng iptables gồm loại bảng: Filter, NAT, Mangle Tập luật tập hợp luật dung để xử lý gói tin, tập luật iptables gồm loại tập luật dựng sẵn tập luật định nghĩa, tập luật dựng sẵn bao gồm tập luật như: Forward, input, output, forward, prerouting, postrouting, masquerade Tập luật tự định nghĩa tập luật người dùng tạo ra, thông thường để firewall hoạt động hiệu đạt tính bảo mật cao, người quản trị thường xây dựng nhiều tập luật khác chuyên xử lý cho trường hợp riêng biệt kềm theo sách bảo mật chi tiết việc xử lý gói tin Dưới bảng thành phần chức thành phần iptables Bảng thành phần chức iptables: Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 32 Báo cáo thực tập chuyên môn • Hình 8-3- 4: chức Filter Mô hình xử lý Iptables: Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 33 Báo cáo thực tập chuyên môn Hình 8-3-5: sơ đồ xử lý iptables • Một gói tin Iptables xử lý sau: Gói tin lần từ mạng A kiểm tra luật chain Prerouting bảng Mangle, sau gói tin kiểm tra luật tập luật Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 34 Báo cáo thực tập chuyên môn Prerouting bảng Nat để xem gói tin có yêu cầu DNAT hay không? Sau gói tin định tuyến Nếu gói tin ngang qua Firewall gói tin chuyển đến xử lý luật tập luật Forward bảng Mangle bảng Filter, sau gói tin chuyển đến tập luật Postrouting bảng Mangle cuối gói tin chuyển đến tập luật Postrouting bảng NAT để tiến hành biên dịch địa để gói tin tiếp tục vào mạng B Nếu gói tin vào firewall gói tin chuyển vào tập luật INPUT bảng Mangle sau bảng Filter để xử lý, thỏa gói tin chuyển đến tiến trình xử lý liệu Firewall, sau firewall gửi gói tin trả lời định tuyến đến tập luật OUTPUT bảng Mangle, NAT Filter để xử lý, sau gói tin đưa đến tập luật Postrouting bảng Mangle, sau bảng NAT biên dịch lại địa để vào mạng A - Quy trình việc lọc xử lý gói tin iptable Hình 8-3-6: quy trình việc lọc gói tin o Target Jump: o Jump chế chuyển packet đến target để xử lý thêm số thao tác khác o Target chế hoạt động iptables, dùng để nhận diện kiểm tra packet Các target xây dựng sẵn iptables như: o ACCEPT : iptables chấp nhận chuyển data đến đích o DROP: iptables khóa packet o - LOG: Thông tin packet gởi vào syslog daemon ptables tiếp tục xử lý luật bảng mô tả luật Nếu luật cuối không match drop packet.Với tùy chọn thông dụng log-pr efix=”string”, tức iptables ghi nhận lại message bắt đầu chuỗi “string” Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 35 Báo cáo thực tập chuyên môn o - REJECT: Ngăn chặn packet gởi thông báo cho sender Với tùy chọn thông dụng r eject-with qualifier, tức qualifier định loại reject message gởi lại cho người gửi Các loại qualifer sau: icmp-port-unr eachable (default), icmp-net-unr eachable, icmp-host-unr eachable, icmppr oto-unreachable, … o DNAT: Thayđổi địa đích packet Tùy chọn to-destination ipaddress o SNAT: Thay đổi địa nguồn packet Tùy chọn to-source [-address][:-] o -MASQUERADING: Được sử dụng để thực kỹ thuật NAT (giả mạo địa nguồn với địa interface firewall) Tùy chọn [ to-ports zzz[-]], định dãy port nguồn ánh xạ với dãy port ban đầu 8.1.5 Một Số Lệnh Khi Làm Việc Với Iptables o Iptables –t : định bảng cho iptables gồm: filter, nat, mangle tables o Iptables –j : nhảy đến target chain packet thỏa luật o Iptables –A : thêm luật vào cuối iptables chain o Iptables –F : xóa tất luật bảng lựa chọn o Iptables –p : mô tả giao thức gồm : icmp, tcp, udp all o Iptables –s : định địa nguồn o Iptables –d : định địa đích o Iptables –i : định “input” interface nhận packet o Iptables –o : định “output “ interface chuyển packet 8.2 Cài Đặt Và Cấu Hình Iptables 8.2.1 Cài đặt Iptables Kiểm tra lại hostanem ip cho máy server3 Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 36 Báo cáo thực tập chuyên môn Hình 8-3-7: thông tin ip máy firewall Sau kiểm tra, ta thấy máy có card mạng eth0 eth1 đại diện cho card mạng giao tiếp nội (eth1) card mạng giao tiếp với môi trường Internet bên (card eth0) (H1.5) Kiểm tra xem máy server3 có iptables chưa lệnh :which iptables Hình 8-3-8: kiểm tra gói iptables cài đăt chưa dịch vụ iptable cài đặt Restart lại dịch vụ , cho khởi động hệ thống Hình 8-3-9: restart dịch vụ iptables 8.2.2 Tiến Hành Tạo Cấu Hình Iptables Có hai cách cấu hình iptables dùng lệnh sửa file etc/sysconfig/iptables Nếu cấu hình iptables cách dùng lệnh không lưu lại ta tiến hành restart service iptables Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 37 Báo cáo thực tập chuyên môn Hình 8-4-1: file cấu hình iptables Sau restart lại dịch vụ iptables Sang máy làm Dns-Dhcp (server ) để kiểm tra thử Tại máy làm Dns dùng lệnh ping Hình 8-4-2: check mail sqiderrmail Ping thành công Tại máy server1 tiến hành dùng ssh để điều khiển máy server3 Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 38 Báo cáo thực tập chuyên môn Hình 8-4-3: kết nối ssh đền máy firewall • Ngoài dùng lệnh setup để cấu hình iptables Hình 8-4-4: cấu hình ấu hình firewall iptables lệnh setup Hình 8-4-5: cấu hình ấu hình firewall iptables lệnh setup(tiếp theo) •các gói tin qua cổng interface ” Trusted Device” Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 39 Báo cáo thực tập chuyên môn muốn cho gói tin qua interface chọn vào interface • Mục “Allow incoming” lựa chọn dịch vụ phép sử dụng hình ta cho phép dịch vụ SSH, HTTP, TELNET, MAIL, HTTPS 8.2.3 Tiến Hành Tạo Các Rule Căn Bản Tạo rule cấm máy mạng ping đến máy làm proxy Hình 8-4-6: cấu hình ấu hình firewall iptables lệnh setup Bỏ “#” Để tiến hành tạo rule cấm ping Trên máy server1 tiến hành ping đến máy firewall Hình 8-4-7: cấu hình ấu hình firewall iptables lệnh setup Như firewall chặn gói tin ping đến máy làm firewall - Tạo rule cấm ssh Hình 8-4-8: cấu hình ấu hình firewall iptables lệnh setup Bỏ dấu ”#” để tiến hành tạo rule cấm port 22 (dịch vụ ssh) tiến hành kiểm tra từ máy server1 Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 40 Báo cáo thực tập chuyên môn Hình 8-4-9: cấu hình ấu hình firewall iptables lệnh setup 8.2.4 Các Rule Cấu Hình Iptables Tham Khảo Iptables chấp nhận packet vào cổng 80 card eth0 - Iptables –A INPUT –I eth0 –dport 80 –j ACCEPT Iptables drop packet đến cổng 23 dùng giao thức TCP Trên card mạng etho - Iptables -A INPUT –i eth0 –p tcp –dport 23 –j DROP Iptables cấu hình cho phép firewall chấp nhận gói tin TCP có địa nguồn địa đích 192.168.1.1 ; có hướng vào cổng interface eth0: - Iptables -A INPUT –s 0/0 –I eth0 –d 192.168.1.1 –p TCP –j ACCEPT Chấp nhận gói tin TCP cho việc forward gói tin có địa nguồn đến từ interface erthenet 0, source post nằm dãy 1024-65535 có địa đích 192.168.1.58 ngõ interface Ethernet 1, với destination port 80 (www) - Iptables –A FORWARD –s 0/0 –I eth0 –d 192.168.1.58 –o eth1 –p sport 1024:65535 –dport 80 –j ACCEPT Chấp nhận cho firewall send ICMP (echo-request) nhận ICMP (echo -eply) - Iptables –A OUTPUT –p icmp –icmp-type echo-request –j ACCEPT - Iptables –AINPUT –p icmp –icmp-type echo-reply –j ACCEPT Firewall chấp nhậ gói tin TCP router chúng vào interface ethernet0 với địa nguồn có chiều interface Ethernet với địa 192.168.1.58 Source post dãy 1024 – 65535 destination port 80 (www) 443 (https) - Iptables –A FORWARD –s 0/0 –I eth0 –d 192.168.1.58 –o eth1 –p TCP sport 1024:65535 –m multiport –dport 80,443 –j ACCEPT Thay phải định source post destination port , ta đơn giản dùng tùy chọn –m state – state ESTABLISHED - Iptabeles -A FORWARD –d 0/0 – o eth0 –s 192.168.1.58 –I eth1 –p TCP\ -m state –state ESTABLISHED –j ACCEPT Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 41 Báo cáo thực tập chuyên môn CHƯƠNG ĐÁNH GIÁ VÀ HƯỚNG PHÁT TRIỂN ĐỀ TÀI 9.1.Đánh Giá Đề Tài 9.1.1.Khả Năng Phát Triển Và Mở Rộng Trong lĩnh vực công nghệ thông tin, xu hướng sử dụng Open Source ngày tăng Với ổn định, miễn phí, cập nhật vá lỗi nhanh… Do Linux chọn làm hệ thống server giới lớn Việc áp dụng đề tài vào Doanh nghiệp tất yếu tương lai Nó đáp ứng đầy đủ yêu cầu cho Doanh nghiệp Đề tài bươc đầu triển khai dịch vụ ,vì để hoàn thiện ứng dụng vào thực tế ta phải hoàn chỉnh với việc triển khai thêm dịch vụ cho hệ thống thêm hoàn chỉnh ftp…sambal Và cần phải có hệ thống LDAP chứng thực cho tài khoản người dùng tất dịch vụ Đề tài triển khai mức xây dựng ban đầu, thiếu chuyên sâu quản trị, để làm chủ hoàn toàn đòi hỏi người quản trị viên cần nhiều am hiểu kiến trúc HĐH Linux, có kiến thức lập trình shell, script …để tự tạo công cụ quản lý hỗ trợ từ cộng đồng mạng, mang lại chủ động quản trị 9.1.2.Hướng Phát Triển Của Đề Tài Triển khai thêm dịch vụ quan trọng cho hệ thống thêm hoàn chỉnh như: -xây dựng hệ thống DNS hoàn chỉnh với máy secondary -hệ thống chia sẻ file : sambal -hệ thống proxy iptables với thiết lập nâng cao để tăng cường bảo mật cho hệ thống -xây dựng hệ thống chứng thực quảng lý tập trung với Open Ldap -tìm hiểu sâu hệ thộng cách thức hoạt động chế bảo mật dịch vụ 9.2.Hạn Chế Của Đề Tài Do kiến thức thời gian có hạn nên đề tài khai thác số khía cạnh chưa tìm hiểu rõ chi tiết hết , Đề tài tồn số hạn chế sau -đề tài tìm hiểu phần cấu hình cài đặt dịch vụ , chưa sâu vào tìm hiểu nghiên cứu chi tiết dịch vụ -nhìn chung đề tài mức cấu hình chưa có bảo mật nhiều dịch vụ quang trọng dns, web, mail … Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 42 Báo cáo thực tập chuyên môn … Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 43 [...]... thư Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 30 Báo cáo thực tập chuyên môn Hình 8-3-2: check mail bằng sqiderrmail Đến đây việc cấu hình đã hoàn tất , các user trong mạng có thể sử dụng web mail để gởi và nhận mail CHƯƠNG 8 TÌM HIỂU VÀ TRIỂN KHAI PROXY TRÊN LINUX 8.1 .Tìm Hiểu Về Dịch Vụ Firewall Proxy Trong Hệ Thống Mạng Internet cho phép chúng ta truy cập tới mọi nơi trên thế giới... Iptables: Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 33 Báo cáo thực tập chuyên môn Hình 8-3-5: sơ đồ xử lý của iptables • Một gói tin sẽ được Iptables xử lý như sau: Gói tin lần đầu tiên từ mạng A được kiểm tra bởi các luật trong chain Prerouting của bảng Mangle, sau đó gói tin được kiểm tra bởi các luật trong tập luật Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 34 Báo cáo thực... giải nghịch cho mail server 4.2.2 Cài Đặt Dịch Vụ Bind gõ lệnh yum –y install bind để tiến hành cài đặt Hình 4-2-2: cài đặt bind Hệ thống sẽ tự động downloads gói bind mới nhất về cài đặt , ở đây là bind.i386 30:9.3.6 Tiến hành restart dịch vụ và cho dịch vụ khởi động cùng hệ thống Hình 4-2-3: restart dịch vụ Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 11 Báo cáo thực tập chuyên môn 4.2.3... mail hoặt động trong mạng local 7.2.2 Triển Khai Mail Sử Dụng Dovecot Bước1:Cài đặt dovecot Yum – y install dovecot Sau đó hệ thống sẽ cài đặt cho ta dịch vụ dovecot mới nhất Hình 7-2-9: cài đặt dovecot Cài xong sau đó khởi động dịch vụ , cho khởi động cùng hệ thống Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 25 Báo cáo thực tập chuyên môn Xem thông tin về conorng của dịch vụ Hình 7-3-1: cấu... Thông tin về trang chủ của web trang index Resart lại dịch vụ httpd Hình 6-3-4: trang home Hình 6-3-5: restart dịch vụ Trên máy client win7 tiến hành kiểm tra Vào trình duyệt gõ http://gtvt.edu Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 19 Báo cáo thực tập chuyên môn Hình 6-3-6: kiểm tra lại việc cấu hình Như vậy quá trình cấu hình dịch vụ http cơ bản đã thành công 6.3.2.Xây dựng web site... squirrelmail Bước 2; cấu hình squirrelmail Vào file config vi /etc /squirrelmail/sqspell_config.php Dòng 28 khai báo tên domain là $domain = “gtvt.edu” Lưu lại khởi động dịch vụ /service httpd restart Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 29 Báo cáo thực tập chuyên môn Hình 7-3-9: cài đặt (tiếp theo) Trên máy client tiến hành test dịch vụ squirrelmail Vào trình duyệt gõ http://mail.gtvt.edu/webmail... Dịch Vụ Mạng Trên Linux 26 Báo cáo thực tập chuyên môn Hình 7-3-3: kiểm tra mail Ta thấy đănng nhập vào hộp mail của u2 có 1 thư được gởi từ u1 , như vậy việc lấy mail từ dovecot đã thành công Các user có thể gởi mail cho nhau trong nội bộ 7.2.4 Duyệt Mail Bằng Pop3 Và Imap Trên Linux Trên các máy client Linux cài dịch vụ thunderbird để duyệt mail yum –y install thunderbird Đề Tài : Tìm Hiểu Và Triển Khai. .. lớp mạng cài đặt Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 15 Báo cáo thực tập chuyên môn Hình 5-1: cấu hình dhcp mở file cấu hình (vi /etc/dhcpd/.conf) sửa lại các thông tin như sau Hình 5-2: nội dung file cấu hình ở đây dịch vụ dhcp có lớp mạng 10.0.0.0/8 Getway sẽ là card mạng eth0 của máy proxy Domain: gtvt.edu Dãy ip được cấp là :10.0.0.100->10.0.0.254 Thời gian là 21600s =6 h và. .. những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong 8.1.2 Hệ Thống FireWall Dùng Ipitables Một trong những hệ thống Firewall chạy trên linux hiện nay là Iptables, với một số ưu điểm sau • Tích hợp tốt với kernel của Linux Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 31 Báo cáo thực tập chuyên môn • Có khả năng phân tích package hiệu quả • Lọc package dựa vào MAC và một số... tiến hành restart dịch vụ dhcpd Hình 5-3: restart dịch vụ Tại máy cliet dùng win7 tiến hành kiểm tra xem máy dhcp có cấp ip được không Đề Tài : Tìm Hiểu Và Triển Khai Dịch Vụ Mạng Trên Linux 16 Báo cáo thực tập chuyên môn Hình 5-4: kiểm tra việc cấp phát ip Như vậy máy chủ dhcp đã cấp ip thành công cho các máy client Trên máy server ta xem các ip đã được máy chủ cấp cho các client trong mạng : cat /var