これまでのところ、システム管理者の「継続」に焦点を当てた2つの記事を発表しました。

これらの記事では、複数の会社のオフィスに接続し、ネットワークへの制限されたアクセス、トラフィックの優先順位付け（QoS）、および2つのプロバイダー間のチャネル予約による単純な負荷分散を可能にするLinuxでのインターネットゲートウェイの構築を検討します。

特にこの部分では：

最もシンプルなShorewallセットアップ
非常に複雑なdnsmasqセットアップ
それほど複雑ではないOpenVPNセットアップ
そして、多くの継続的な管理者にとって、非定型の動的ルーティング、例えばOSPF

そして、第2部では次のことを検討します。

Shorewallのより詳細なセットアップ
怖くて理解できないQoS
負荷分散と冗長性

第三部では：

ShorewallでのQoS
Shorewallのより詳細なセットアップ
プロトコルに従ってチャネルを介してトラフィックを拡散する
松葉杖、それらなしで、どこにも

4番目の部分では：

自動イベント
マクロ

以下に説明するすべてはCentOS 7.1に当てはまります（上記では、6番目のシリーズも適していますが、マイナーな機能があります）

私たちが持っているという事実から進みます：

最初の支店のロカルカ：172.16.0.0/23
最初のブランチのOpenVPNサブネット：172.16.3.0/25
2番目のブランチ：それぞれ172.16.8.0/23および172.16.11.0/25

一般に、私のIPプランには、172.16.0.0 / 12の範囲から各ブランチの/ 21ネットワークの予約が含まれていました。各/ 21バンドは、さまざまなニーズに合わせてサブネットにカットされます（詳細は次の記事で説明します）。

最もシンプルなShorewallセットアップ

これまで聞いたことがない人のために、ShorewallはLinuxカーネルでNetFilterを設定するためのiptablesユーティリティのアドオンです。 Iptables自体はそれほど複雑ではありませんが、ゲートウェイの構成が大きくなり、この量のiptablesコマンドを理解することが難しくなると、簡単ではありません。

そのような状況では、Shorewallに類似したさまざまな自作スクリプトまたは自作ではないシステムが助けになります。

Shorewallでは、すべてがゾーンの概念を中心に展開します。ホストはゾーンに含まれます（インターフェイスを設定するか、ネットワークおよび/または個々のアドレスを直接設定します）。

ゾーンファイルを見てみましょう

# # Shorewall -- /etc/shorewall/zones # # For information about this file, type "man shorewall-zones" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-zones.html # ############################################################################### #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall red ipv4 grn ipv4 tun ipv4

次に、ゲートウェイ自体を表す特別なゾーン「fw」に加えて、3つのゾーン（ipv4プロトコル用）を定義しました。

赤-インターネットゾーン
grn-LANゾーン
tun-トンネルのゾーン

これらのゾーンにインターフェースを配置する時が来ました（今のところ個別のホストは使用しません）が、その前にファイルにいくつかの変更を加えます。

params

 # # Shorewall -- /etc/shorewall/params # # Assign any variables that you need here. # # It is suggested that variable names begin with an upper case letter # to distinguish them from variables used internally within the # Shorewall programs # # Example: # # NET_IF=eth0 # NET_BCAST=130.252.100.255 # NET_OPTIONS=routefilter,norfc1918 # # Example (/etc/shorewall/interfaces record): # # net $NET_IF $NET_BCAST $NET_OPTIONS # # The result will be the same as if the record had been written # # net eth0 130.252.100.255 routefilter,norfc1918 # ############################################################################### IF_RED1=eth0 IF_GRN=eth1 NET_GRN=172.16.0.0/23 IF_TUN=tap+ #LAST LINE -- DO NOT REMOVE

このファイルでは、後で他のファイルで使用するさまざまな変数を設定できます。これらの変数は、システム間での構成の移植性を高めるのに役立ちます。これで、物理インターフェイスとブランチのローカルサブネットがここに登録されました。 tap +は、tapXが該当するマスクの使用について説明していることに注意してください（「タップ」を除く）。

さて、今ファイル：

インターフェース

 # # Shorewall -- /etc/shorewall/interfaces # # For information about entries in this file, type "man shorewall-interfaces" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-interfaces.html # ############################################################################### ?FORMAT 2 ############################################################################### #ZONE INTERFACE OPTIONS red $IF_RED1 dhcp,routeback,optional grn $IF_GRN dhcp,routeback,optional tun $IF_TUN dhcp,routeback,optional

ここではあまり複雑なことはありません。オプションから次のことがわかります。

dhcp-DHCPはインターフェース上で機能します（クライアントとサーバーの両方）
ルートバック-将来的に便利で、リクエストの送信元と同じインターフェースを介して回答を返します
オプション-インターフェイスがアクティブでない場合にパニックする必要がないことを示します（Shorewallが必要なインターフェイスを見つけられない場合、完全に起動しません）

「shorewall.conf」ファイルにいくつかの変更を加えます。これは非常に大きいため、切り捨てられたビュー（変更された値のみ）を提供します。

shorewall.conf

 ############################################################################### # # Shorewall Version 5 -- /etc/shorewall/shorewall.conf # # For information about the settings in this file, type "man shorewall.conf" # # Manpage also online at http://www.shorewall.net/manpages/shorewall.conf.html ############################################################################### # STARTUPENABLED ############################################################################### STARTUP_ENABLED=Yes ############################################################################### # FIREWALL OPTIONS ############################################################################### BLACKLIST="ALL" CLAMPMSS=Yes IP_FORWARDING=Yes ################################################################################ # PACKETMARKLAYOUT ################################################################################ TC_BITS=14 PROVIDER_BITS=8 PROVIDER_OFFSET=16 MASK_BITS=16 ZONE_BITS=0

すべてのパラメーターは十分に明確ですが、「パケットマークレイアウト」セクションについては次のパートで説明します。「ブラックリスト」は、今後も禁止アドレスのブロックされたパケット（すべて）のタイプを設定します。

デフォルトのポリシーを作成します。

政策

 # # Shorewall -- /etc/shorewall/policy # # For information about entries in this file, type "man shorewall-policy" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-policy.html # ############################################################################### #SOURCE DEST POLICY LOG LIMIT: CONNLIMIT: # LEVEL BURST MASK $FW all ACCEPT grn all ACCEPT red all DROP tun grn ACCEPT tun red REJECT tun $FW ACCEPT

キーワードの意味は次のとおりです。

ACCEPT-パケットを受信（転送を含む）
拒否-パケットをドロップし、送信者に手紙が届かないことを通知します
ドロップ-パケットをドロップし、神秘的に見回して、誰にも何も言わない

3番目の列では、さらにいくつかのパラメーターを記述できます。そのうちの1つは、このポリシーのロギングを設定します（DROPおよびREJECTに意味があります。そうでない場合、ACCEPTはログであふれます）。

設定ポリシーは基本的なものであり、深刻なプロジェクトには適していません。ほとんどのホームルーターの構成に対応していますが、最初はそれが適しています。

つまり、マスカレードを構成すること（IPv6時代では必要ありません）は少し残っています。

マスク

 # # Shorewall -- /etc/shorewall/masq # # For information about entries in this file, type "man shorewall-masq" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-masq.html # ################################################################################################################################### #INTERFACE:DEST SOURCE ADDRESS PROTO PORT(S) IPSEC MARK USER/ SWITCH ORIGINAL PROBABILITY # GROUP DEST $IF_RED1 $NET_GRN

明らかに、ネットワーク$ NET_GRNからインターフェイス$ IF_RED1に向かうすべてのものをマスクする必要があります。 3番目の列ADDRESSはSNATに使用されます。

ファイアウォールルールを適宜監視および変更するために、インターフェイスの有効化/無効化に応じて、小さなスクリプトが役立ちます。

/etc/NetworkManager/dispatcher.d/30-shorewall.sh

 #!/bin/bash IF=$1 #   ,     STATUS=$2 #     case $STATUS in up) #      shorewall enable $IF shorewall6 enable $IF ;; down) #      shorewall disable $IF shorewall6 disable $IF ;; esac

コマンド "systemctl enable shorewall.service && systemctl restart shorewall.service"を与えた後、ファイアウォール設定を適用しますが、動作しません（ほとんど）、少し欠けています：DNSおよびDHCPサーバーのキャッシングはありません（しません）すべてのクライアントマシンを構成します）。

最も簡単なdnsmasqセットアップ

このサービスは非常に優れたタスクを実行し、/ 23ネットワークは問題になりません。設定の単純さと柔軟性により、私たちの状況に非常に適しています。

設定ファイルは大きいため、切り捨て形式でも指定します。

/etc/dnsmasq.conf

 # Configuration file for dnsmasq. # # Format is one option per line, legal options are the same # as the long options legal on the command line. See # "/usr/sbin/dnsmasq --help" or "man 8 dnsmasq" for details. # If you want dnsmasq to listen for DHCP and DNS requests only on # specified interfaces (and the loopback) give the name of the # interface (eg eth0) here. # Repeat the line for more than one interface. interface=eth1 # Set the domain for dnsmasq. this is optional, but if it is set, it # does the following things. # 1) Allows DHCP hosts to have fully qualified domain names, as long # as the domain part matches this setting. # 2) Sets the "domain" DHCP option thereby potentially setting the # domain of all systems configured by DHCP # 3) Provides the domain part for "expand-hosts" domain=domain.local # This is an example of a DHCP range where the netmask is given. This # is needed for networks we reach the dnsmasq DHCP server via a relay # agent. If you don't know what a DHCP relay agent is, you probably # don't need to worry about this. dhcp-range=172.16.0.50,172.16.0.150,255.255.254.0,12h # Set the DHCP server to authoritative mode. In this mode it will barge in # and take over the lease for any client which broadcasts on the network, # whether it has a record of the lease or not. This avoids long timeouts # when a machine wakes up on a new network. DO NOT enable this if there's # the slightest chance that you might end up accidentally configuring a DHCP # server for your campus/company accidentally. The ISC server uses # the same option, and this URL provides more information: # http://www.isc.org/files/auth.html dhcp-authoritative

ここでは何も説明する必要はないと思います。DNSおよびDHCPリクエストを処理するインターフェイスを設定し、配布するアドレスの範囲を設定し、DHCPに渡すパラメータを設定し、権威主義的な動作モードを設定します。

「systemctl enable dnsmasq.service && systemctl restart dnsmasq.service」の後、内部クライアントからインターネットアクセスを取得します（DHCPリースを取得するとすぐに）。

OpenVPNを構成する

この部分は誰にとっても難しいことではないと思いますが、手順は次のとおりです。

epelからパッケージをインストール：openvpn easy-rsa
/ usr / share / easy-rsaから/ etc / openvpnにフォルダーをコピーし、easy-rsaに名前を変更します。
/ etc / openvpn / easy-rsaに移動し、必要に応じてvarsファイルを編集します
実行してみましょう： "。./Vars && ./clean-all &&。./Build-dh && openvpn --genkey --secret ./keys/ta.key &&。/ Build-ca && ./build-key-server server＃ gentushnikからこんにちは（1つのコマンドでGentooをインストールする方法、これは可能です）！

サーバー構成ファイルも必要です。

/etc/openvpn/inter-lan.conf

 port 1194 proto udp topology subnet dev tap0 ca ./easy-rsa/keys/ca.crt cert ./easy-rsa/keys/server.crt key ./easy-rsa/keys/server.key dh ./easy-rsa/keys/dh1024.pem client-config-dir ./ccd/inter-lan/ client-to-client keepalive 10 120 tls-server tls-auth ./easy-rsa/keys/ta.key 0 cipher AES-256-OFB comp-lzo no auth SHA256 status /var/run/openvpn/inter-lan.status sndbuf 393216 rcvbuf 393216 push "sndbuf 393216" push "rcvbuf 393216" mode server push "topology subnet" ifconfig 172.16.3.1 255.255.255.128 ifconfig-pool 172.16.3.2 172.16.3.126 255.255.255.128 ifconfig-pool-persist /var/run/openvpn/inter-lan.db 3600 verb 1

クライアントのOpenVPNに渡されるデフォルトパラメータのファイル：

/ etc / openvpn / ccd / inter-lan / DEFAULT

 push "comp-lzo no"

クライアント構成テンプレートファイル：

/etc/openvpn/easy-rsa/templates/inter-lan.conf

 client port 1194 dev tap4 proto udp remote <   > 1194 tls-client ns-cert-type server cipher AES-256-OFB auth SHA256 verb 1 comp-lzo no <ca> -----CERTIFICATE-CA----- </ca> <cert> -----CERTIFICATE----- </cert> <key> -----KEY----- </key> key-direction 1 <tls-auth> -----TLS----- </tls-auth>

そして、補助的な自己記述スクリプト：

/etc/openvpn/easy-rsa/build-ovpn.sh

 #!/bin/bash # $2 -        [ "$2" == "-r" ] && ./build-key $1 CWD=$(pwd) RUN=$(dirname $0) cd "$RUN" mkdir -p ../ovpn/$1 for i in $(ls -1 ./templates/); do TEMPLATE=$(basename $i .conf) sed -e '/-----CERTIFICATE-CA-----/{r /etc/openvpn/easy-rsa/keys/ca.crt' -e 'd}' ./templates/${TEMPLATE}.conf | \ sed -e '/-----CERTIFICATE-----/{r /etc/openvpn/easy-rsa/keys/'"$1.crt"'' -e 'd}' | \ sed -e '/-----KEY-----/{r /etc/openvpn/easy-rsa/keys/'"$1.key"'' -e 'd}' | \ sed -e '/-----TLS-----/{r /etc/openvpn/easy-rsa/keys/ta.key' -e 'd}' > ../ovpn/$1/${TEMPLATE}-$1.ovpn done cd "$CWD"

tunはOpenVPNカーネルによってルーティングされ、これはすべてirouteディレクティブで構成されているため、タップのようなインターフェイスを使用します。そして悲しいことに、ルートが必要なサーバーにもう1つのサーバーがある場合、このルートをccdに明示的に登録する必要があります。irouteディレクティブは、通常のルートに加えて、不必要な困難（ OSPFセクションで）。

次に、クライアントの構成を生成します。

./build-ovpn.sh <クライアント名> -r

クライアント用のccdファイルを作成します。

/ etc / openvpn / ccd / inter-lan / <クライアント名>

 #    ,       :),   ,   DEFAULT

その後、ファイルをディレクトリ/etc/openvpn/ovpn/<clientname>/<clientname>.ovpnからクライアントコンピューター（ゲートウェイ）にコピーし、拡張子「.conf」を付けて/ etc / openvpn /に配置する必要があります。

クライアントとサーバーでopenvpnを実行します。

 systemctl enable openvpn@< conf    conf>.service && systemctl start openvpn@< conf    conf>.service

そして結果はサーバー上でのみです！クライアントは理解できません。岸壁はすべてのせいにすることであり、むしろ私たちのポリシーでは、インターネット（レッドゾーン）からの接続を許可しませんでした！

ファイルに許可ルールを追加します。

/ etc / shorewall /ルール

 # # Shorewall -- /etc/shorewall/rules # # For information on the settings in this file, type "man shorewall-rules" # # The manpage is also online at # http://www.shorewall.net/manpages/shorewall-rules.html # ###################################################################################################################################################################################################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ MARK CONNLIMIT TIME HEADERS SWITCH HELPER # PORT(S) PORT(S) DEST LIMIT GROUP ?SECTION ALL ?SECTION ESTABLISHED ?SECTION RELATED ?SECTION INVALID ?SECTION UNTRACKED ?SECTION NEW #    : /usr/share/shorewall/macro.OpenVPN #  ,     /etc/shorewall,      OpenVPN(ACCEPT) red $FW # ,      : #ACCEPT red $FW udp 1194

「shorewall restart」を実行し、クライアントが正常に接続されたことを確認します。

OpenVPNによって発行されたクライアントIPをpingしてみましょう。すべてがOKです。これで、ネットワークはクライアント（172.16.8.0/23）の背後にあり、トンネルで再びpingが送信されますが、ネットワークは存在しません。ルートがないため、OSPFはそれらを提供します。

QuaggaでのOSPF動的ルーティングプロトコルの構成

ハブには、動的ルーティング、それがどのように機能するかなどに焦点を当てた一連の大きな記事があります。そこで、それらから実際に絞り出して、構成自体を説明します。

私が働いている会社が十数個の支店と代表的なオフィスを買収した後、OSPFを使用するようになりました。また、それらの間のトンネルは星だけでなく、個々の支店間でまっすぐでした（そのため、最も活発なやり取りは直線で行われましたが、セントラルノードではありません）。ルートの数とその設定から少し腫れたときに、自転車を作成しました（規定のマップに従って静的ルート構成を再構築するスクリプト）。自転車は美しく、車輪は六角形で、10個のペダルがあり、その隣を歩いている間に自分で乗ります...沼地に、私は考え、すぐにOSPFを知り、実装を開始しました。

quaggaパッケージが必要です。インストール後、初期構成ファイルをコピーしてサービスを開始します。

 cp /usr/share/doc/quagga-0.99.22.4/ospfd.conf.sample /etc/quagga/ospfd.conf && chown quagga. /etc/quagga/ospfd.conf systemctl enable ospfd.service && systemctl start ospfd.service

ここで、ループバックインターフェイスでIPアドレスを構成する必要があります。これは、他の項目（他の記事で意味がわかります）でルーターIDとして機能します。

/ etc / sysconfig / network-scripts / ifcfg-loファイルに次の行を追加します。

 IPADDR2=172.16.248.1 NETMASK2=255.255.255.255

インターフェースを再構築します：ifup lo

次に、ospfdサービスに接続して構成します。

 telnet localhost ospfd #   zebra ospfd# enable #    ospfd# configure terminal #    ospfd(config)# password <> #     ospfd(config)# hostname < > #  ,     ospfd(config)# log syslog #      ospfd(config)# interface <   tap0> #  ospfd(config-if)# ip ospf network point-to-multipoint #  tap    (    ,        ) ospfd(config-if)# exit #    ospfd(config)# router ospf #   ospf ospfd(config-router)# router-id 172.16.248.1 #   ospfd(config-router)# passive-interface default # OSPF    ospfd(config-router)# no passive-interface < > #    ,        ospf (     tap0) ospfd(config-router)# network 172.16.0.0/12 area 0.0.0.0 # ,     ,   ,     .    /12    ,        ospfd(config-router)# write memory #

結果の構成ファイル：

/etc/quagga/ospfd.conf

 ! ! Zebra configuration saved from vty ! 2016/01/05 14:20:08 ! hostname ospfd password zebra log stdout log syslog ! ! ! interface eth0 ! interface eth1 ! interface lo ! interface tap0 ip ospf network point-to-multipoint ip ospf cost 3 ! router ospf ospf router-id 172.16.248.1 passive-interface default no passive-interface tap0 network 172.16.0.0/12 area 0.0.0.0 ! line vty !

このファイルには、コンソールに入力した構成コマンドが反映されていることに気付くかもしれません。「ip ospf cost 3」が表示されない限り、インターフェイスのコストを示しました（これもまた将来、1つのポイントに異なるルートがある場合）。

このファイルを別のゲートウェイ（OpenVPNを介して接続されている）にコピーし、そこで適切な変更を行うことにより、2つのゲートウェイ間で機能する構成を取得します（2番目のゲートウェイのospfdサービスも開始する必要があります）。

これで、ip route listコマンドで次のように表示されます。

 default via 192.168.10.1 dev eth0 proto static metric 100 172.16.0.0/23 dev eth1 proto kernel scope link src 172.16.0.1 metric 100 172.16.3.0/25 dev tap0 proto kernel scope link src 172.16.3.1 172.16.3.1 dev tap0 proto zebra 172.16.8.0/23 via 172.16.3.2 dev tap0 proto zebra metric 13 172.16.11.1 via 172.16.3.2 dev tap0 proto zebra metric 3 172.16.12.129 via 172.16.3.2 dev tap0 proto zebra metric 3 172.16.248.2 via 172.16.3.2 dev tap0 proto zebra metric 13 192.168.10.0/24 dev eth0 proto kernel scope link src 192.168.10.37 metric 100 192.168.10.1 dev eth0 scope link src 192.168.10.37

OSPFを使用して、プロトゼブラのルートが追加されました。

ブランチが2つしかない場合でも、動的ルーティングを使用することをお勧めします。さらにある場合は、別のノードをネットワークに簡単に追加できます。

そしてもちろん、提案されたOSPF構成は非常に原始的であり、例が含まれるより複雑なオプションについては、次の記事を参照してください（またはより有能な仲間によって記事を読んでください、実際、私はまだOSPFを深く研究していません）。

中小企業向けのソフトウェアインターネットゲートウェイ（Shorewall、OpenVPN、OSPF）。パート1

最もシンプルなShorewallセットアップ

最も簡単なdnsmasqセットアップ

OpenVPNを構成する

QuaggaでのOSPF動的ルーティングプロトコルの構成

More articles:

中小企業向けのソフトウェアインターネットゲートウェイ（Shorewall、OpenVPN、OSPF）。 パート1

最もシンプルなShorewallセットアップ

最も簡単なdnsmasqセットアップ

OpenVPNを構成する

QuaggaでのOSPF動的ルーティングプロトコルの構成

More articles:

中小企業向けのソフトウェアインターネットゲートウェイ（Shorewall、OpenVPN、OSPF）。パート1