home       inleiding       sysadmin       services       links       bash       werk       nothing      

private ubuntu18 op RUBAX

 
Ik wens een VPN server te plaatsen in een private network achter een centOS firwall op RUBAX.
Ik gebruik de tweede virtuele netwerkkaart op RUBAX.
 

  1. install
     
    Voor de installatie van een ubuntu18 verwijs ik naar praktijk / labo's in de inleiding.
     
    Reeds tijdens de installatie kan ik testen of de centOS-fw masquerading toepast door de netwerkconfiguratie er naar te laten verwijzen.
    (192.168.255.77 wordt mijn gateway --
    ik kan 4.2.2.2 gebruiken als DNS --
    192.168.255.0 netmask 255.255.255.0 mijn netwerk --
    ik kies adres 192.168.255.118)
     
  2. first boot
     
    Na herstart van ubuntu gebruik ik ssh vanaf de centOS-fw om in te loggen:
     
    [user@centos-fw ~]$ ssh 192.168.255.118
     
    The authenticity of host '192.168.255.118 (192.168.255.118)' can't be established.
    ECDSA key fingerprint is SHA256:KU6QYbdAVz+D4dHToBWSsGtkPu45q1KNKQV4QGAHojQ.
    ECDSA key fingerprint is MD5:ef:4b:83:a0:9b:f4:ee:68:1d:82:7b:4f:bb:10:11:bb.
    Are you sure you want to continue connecting (yes/no)? yes
    Warning: Permanently added '192.168.255.118' (ECDSA) to the list of known hosts.
    bert0001@192.168.255.118's password: 
    Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-22-generic x86_64)
     
    * Documentation:  https://help.ubuntu.com
    * Management:     https://landscape.canonical.com
    * Support:        https://ubuntu.com/advantage
     
    System information as of Thu Jun  7 08:56:52 UTC 2018
     
    System load:  1.15               Processes:           98
    Usage of /:   20.8% of 19.56GB   Users logged in:     1
    Memory usage: 15%                IP address for ens3: 192.168.255.118
    Swap usage:   0%
     
    42 packages can be updated.
    13 updates are security updates.
     
    Last login: Thu Jun  7 08:55:50 2018
    user@ubu18-srv2:~$ 

     
    Vervolgens test ik internet met
     
    sudo apt update

    [sudo] password for bert0001: 
    Hit:1 http://archive.ubuntu.com/ubuntu bionic InRelease
    Hit:2 http://archive.ubuntu.com/ubuntu bionic-updates InRelease
    Hit:3 http://archive.ubuntu.com/ubuntu bionic-backports InRelease                             
    Hit:4 http://security.ubuntu.com/ubuntu bionic-security InRelease                             
    Reading package lists... Done                      
    Building dependency tree       
    Reading state information... Done
    42 packages can be upgraded. Run 'apt list --upgradable' to see them.

     
    sudo apt upgrade
     

    Reading package lists... Done
    Building dependency tree       
    Reading state information... Done
    Calculating upgrade... Done
    The following packages will be upgraded:
    apport bsdutils cloud-init curl distro-info-data ebtables fdisk git git-man
    language-selector-common libblkid1 libcurl3-gnutls libcurl4 libfdisk1 libmount1 libncurses5
    libncursesw5 libprocps6 libsmartcols1 libtinfo5 libuuid1 linux-firmware
    linux-signed-generic mdadm mount ncurses-base ncurses-bin ncurses-term netcat-openbsd
    procps python3-apport python3-distupgrade python3-problem-report
    python3-software-properties snapd software-properties-common ssh-import-id
    ubuntu-release-upgrader-core update-notifier-common util-linux uuid-runtime wget
    42 upgraded, 0 newly installed, 0 to remove and 0 not upgraded.
    Need to get 86.8 MB of archives.
    After this operation, 10.8 MB of additional disk space will be used.
    Do you want to continue? [Y/n] Y

     

  3. port forwarding sshd
     
    We willen poort 12321 op 151.152.153.154 gebruiken om van op afstand in te loggen op onze ubuntu server.
    Dat moeten we fixen op onze centOS-fw.
     
    [user@centos-fw ~]$ sudo firewall-cmd --permanent --zone=public --add-forward-port=port=12321:proto=tcp:toaddr=192.168.255.118:toport=22
    success
    [user@centos-fw ~]$  sudo firewall-cmd --reload
     
    we testen of het werkt vanaf onze laptop ...
    $ ssh -p 12321 user@151.152.153.154
    user@151.152.153.154's password:  
    Welcome to Ubuntu 18.04 LTS (GNU/Linux 4.15.0-22-generic x86_64)

     
    Om te testen of de firewall-regel ook permanent is opgeslagen (--permanent) kunnen we ook de centOS-fw even herstarten ...
     
     

  4. bastion host
     
    semi-publieke machines -- in dit geval wordt poort 22 op onze ubuntu server blootgesteld aan het publieke internet -- moeten elk apart voorzien worden van een eigen firewall (iptables) op zichzelf. Zo'n personal firewall maakt de host een bastion host.