Wir haben einen Server, der mit einem Heimnetzwerk bietet, warum ihn nicht hinzufügen, Hosting. Zunächst werden wir beginnen, es zu tun - versuchen, Reithose konfigurieren Hosting-Server unsere Bedürfnisse durch einen Netzbetreiber, um die Web-Inhalte zu geben, und für jeden Benutzer Host notwendig ist, um die Möglichkeit, auf einer unabhängigen virtuellen Server arbeiten zu schaffen, wirft sofort die Umkreisnetzwerk (DMZ), die wir über zu tun Brücke br-DMZ, müssen noch eine Brücke in die Netzwerkkartenanbieter br-int, und alles andere muss der Server das lokale Netzwerk zu dienen.Und so
Unser Netzwerk:
eth0 - Netzwerk zum Provider . eth1 - lokalen Netzwerk.
Wir machen Brücken:
br-int ohne IP auf eth0, br-loc IP statisch IP auf eth1 , br-dmz Brücke in die entmilitarisierte Zone (virtuelle Server-Hosting-Nutzer).
Stellen Sie die gewünschte für dieses Paket.
yum install bridge-utils tunctl -y
Wenn Ihr System mit einer grafischen Oberfläche, um abgeschaltet werden NetworkManager
- chkconfig NetworkManager off
- chkconfig network on
- service NetworkManager stop
- service network start
Es wird angenommen, dass Ihr Netzwerk läuft und nun konfiguriert erstellen Brücken und das richtige Netzwerk.
nano /etc/sysconfig/network-scripts/ifcfg-br-int
DEVICE=br-int
TYPE=Bridge
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System br-int"
nano /etc/sysconfig/network-scripts/ifcfg-eth0
reduzierbar auf Form
DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
HWADDR=XX:XX:XX:XX:XX:XX # MAC-Adresse Netzwerk-
NAME="System eth0"
BRIDGE=br-int
IPV6INIT=no
Auch mit dem zweiten Netz selbst
nano /etc/sysconfig/network-scripts/ifcfg-br-loc
DEVICE=br-loc
TYPE=Bridge
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
IPADDR=ххх.ххх.ххх.ххх # IP-Brücke
PREFIX=24
GATEWAY=ххх.ххх.ххх.ххх # setzen Sie Ihre
DNS1=ххх.ххх.ххх.ххх # setzen Sie Ihre
DOMAIN=Ihren Domain-Namen
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System br-loc"
nano /etc/sysconfig/network-scripts/ifcfg-eth1
reduzierbar auf Form
DEVICE=eth1
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
HWADDR=XX:XX:XX:XX:XX:XX # MAC-Adresse Netzwerk
NAME="System eth1"
BRIDGE=br-loc
Und für die DMZ-Zone
nano /etc/sysconfig/network-scripts/ifcfg-br-dmz
EVICE=br-dmz
TYPE=Bridge
ONBOOT=yes
NM_CONTROLLED=no
BOOTPROTO=none
NAME="System br-dmz"
Netzwerk neu starten
service network restart
Auf dem Host iptables zu geben, um diese Art von
nano /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-I INPUT -p tcp --dport 3389 -m state --state NEW -j ACCEPT #-- nur in dem Fall, dass KDE oder GNOME gesetzt und machte Fernzugriff über RDP ist
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Restart iptables
service iptables restart
Mal sehen, was wir mit Brücken haben
brctl show
Sie sollten etwas sehen,
bridge name bridge id STP enabled interfaces
br-dmz 8000.000000000000 no
br-int 8000.d027880416d7 no eth0
br-loc 8000.6805ca06ecd9 no eth1
Die Konfiguration unseres Hauses hoting Server sucht:
Durch Farbe:
Grün - Server-Ebene.
Gelb - der Hypervisor-Ebene
Pink - das Niveau der virtuellen Maschinen.
Das Konzept des Servers nächsten, Dev Firewall (Router) - mit Namen, der gesamte Datenverkehr wird durch sie zu lenken, wird es auch werden Proxying Nginx für razrulivaniya Web-Content-Hosting-Benutzer auf einem Web-Server, Web-Server in einem separaten Netzwerk (DMZ) und der lokale Teil davon zum Haus, zu, es war wunderbar.
Jetzt können Sie KVM-Look setzen hier (Senkung der Einstellung der Brücke, wie wir bereits eingerichtet) Sie können auch die GUI GNOME oder KDE konfigurieren Sie die virtuellen Maschinen wird durch die "Virtual Machine Manager" sein.
Gehen wir setzen Router (Firewall), und liefern sie mit all unseren Brücken br-int, br-DMZ, br-loc, er laufen wird CentOs derzeit Version 6.7. Nach der Installation erhalten wir 3 Netzwerk eth0, eth1, eth2, durch die wir lassen Sie den gesamten Datenverkehr.
Bearbeiten Sie die Datei-Netzwerk /etc/sysconfig/network-scripts/
ifcfg-eth0 DEVICE=eth0 |
ifcfg-eth1 DEVICE=eth1 |
ifcfg-eth2 DEVICE=eth2 |
Decoding:
eth0 (ifcfg-eth0) - Einrichtung für eine IP per DHCP vom Internet-Provider, wird es um den gesamten Datenverkehr aus dem Internet.
eth1 (ifcfg-eth1) - es ist unsere DMZ ihr eigenes Netzwerk (statische IP) nicht mit dem lokalen schneiden (Benutzer nicht brauchen, um in unsere Hosting lokalku klettern).
eth2 (ifcfg-eth2) - es ist Ihre lokalku eine statische IP-Netzwerk weisen Sie auch.
Auf dem Router (Firewall) für diese Art von iptables zu geben
nano /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT # SSH
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT # dann nginx reagieren wird, dass wir später liefernе
-A INPUT -s локальная сеть -j ACCEPT # dann lassen LAN scheuen
-A INPUT -s ДМЗ -j ACCEPT # dann wird der DMZ
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-P FORWARD DROP
-A FORWARD -i lo -o lo -j ACCEPT
-A FORWARD -i eth2 -o eth0 -j ACCEPT # erlaubt, die lokalen Paket übergeben
-A FORWARD -i eth1 -o eth0 -j ACCEPT # DMZ ist erlaubt, um Pakete (in der Regel nicht enthalten Überlegungen. Sicherheit) übergeben
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
COMMIT
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A POSTROUTING -o eth0 -j MASQUERADE # erlaubt, online zu gehen
COMMIT
Restart iptables
service iptables restart
Jetzt am Router (Firewall) Nginx setzen, wie hier beschrieben.
Theoretisch mit dem Router (Firewall) landeten wir später für die Hauptrasterfeld kann ich Ihnen sagen, wie man in die Multicast-Netzwerk zu durchqueren, um TV-Kanälen zu sehen, können Sie fortfahren, um die Web servaka konfigurieren.
Der Web-Server wird ebenfalls eingestellt, wie für den Router, CentOS 6.7, gib ihm eine Brücke br-DMZ. Nach der Installation, werden wir bei der Veräußerung der Netzwerk eth0 sein, ich denke, es wird einfacher sein, um eine statische IP-Set (Sie erinnern sich, dass das Gitter DMZ) wie der Router wird es leichter sein, um trafikom.Skript lenken:
nano /etc/sysconfig/network-scripts/ifcfg-eth0 Es wird wie folgt aussehen:
DEVICE=eth0
TYPE=Ethernet
ONBOOT=yes
NM_CONTROLLED=yes
BOOTPROTO=none
HWADDR=Ihre E-Netzwerk
IPADDR= Ihre IP
PREFIX=8
GATEWAY=hier in der Gateway-IP-Router ist eth1
DNS1=dann wird es ein DNS DNS, das wir auf dem Router kann später setzen
DEFROUTE=yes
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
NAME="System eth0"
Crtl+O , Ctrl+X
Auf dem Web ein Server (Webserver) auf diese Art von iptables zu geben
nano /etc/sysconfig/iptables
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT #Eingang über SSH
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT #dann Apache reagiert
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT
Crtl+O , Ctrl+X
Dennoch ist es notwendig, SELinux zu deaktivieren.
Führen Sie den Befehl (Wenn die Studie brachen SELinux, wiederholen Sie dies auf allen Dev):
nano /etc/selinux/config
Und ersetzen Sie den Wert der Variablen in der SELINUX = disabled, geschehen soll
# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - No SELinux policy is loaded.
SELINUX=disabled
# SELINUXTYPE= can take one of these two values:
# targeted - Targeted processes are protected,
# mls - Multi Level Security protection.
SELINUXTYPE=targeted
Drücken Sie Ctrl+O und Ctrl+X im Prinzip nicht schlecht, um neu laden (um den Computer neu zu starten).
Bereit, um den Rest des Fleisches zu installieren, dann ka Apache, PHP 5.4, MySQL! ! Besteht der Verdacht, dass vielleicht ist es besser, eine separate Dev machen.
Installation von PHP 5.4 auf CentOS 6.7 ODER Installation von PHP 5.5 und MySQL 5.5 auf einem Home-Server
und
Installieren des Apache-Webserver
So.