Phần 1: Triển khai DNS

1. Giới thiệu

DNS là từ viết tắt trong tiếng anh của Domain Name System, là Hệ thống tên miền được phát minh vào năm 1984 cho Internet, chỉ một hệ thống cho phép thiết lập tương ứng giữa địa chỉ IP và tên miền. Hệ thống tên miền (DNS) là một hệ thống đặt tên theo thứ tự cho máy vi tính, dịch vụ, hoặc bất kì nguồn lực tham gia vào Internet. Nó liên kết nhiều thông tin đa dạng với tên miền được gán cho những người tham gia. Quan trọng nhất là, nó chuyển tên miền có ý nghĩa cho con người vào số định danh (nhị phân), liên kết với các trang thiết bị mạng cho các mục đích định vị và địa chỉ hóa các thiết bị khắp thế giới.

2.Các bước cài đặt

+ update

sudo apt-get update

+ cài bind9

sudo apt-get install bind9

+ mở file: gedit /etc/bind/named.conf.options

Và chỉnh nội dung thành

forwarders {

8.8.8.8;

8.8.4.4;

};

+ restart server

sudo service bind9 restart

+ mở file : gedit /etc/resolv.conf

Và chỉnh nameserver 127.0.0.1

+ tạo file db.nhom4175.com bằng cách

sudo cp /etc/bind/db.local /etc/bind/db.nhom4175.com

+ mở file: gedit /etc/bind/db.nhom4175.com

Và chỉnh nội dung:

; BIND data file for local loopback interface

;

$TTL    604800

@ IN SOA ns. nhom4175.com. root.ns. nhom4175.com. (

2         ; Serial

604800         ; Refresh

86400         ; Retry

2419200         ; Expire

604800 )       ; Negative Cache TTL

;

@       IN      NS      ns.nhom4175.com.

@       IN      A       192.168.6.5

@       IN      AAAA    ::1

ns      IN      A       192.168.6.5

www     IN A 192.168.6.10

và tạo file db.192 bằng cách copy từ file db.127

sudo cp /etc/bind/db.127 /etc/bind/db.192

+ mở file : gedit /etc/bind/db.192

Và chỉnh nội dung

; BIND reverse data file for local loopback interface

;

$TTL    604800

@ IN SOA ns. nhom4175.com. root.ns. nhom4175.com. (

1         ; Serial

604800         ; Refresh

86400         ; Retry

2419200         ; Expire

604800 )       ; Negative Cache TTL

;

@      IN      NS      ns.

5      IN      PTR     ns. nhom4175.com.

10     IN      PTR     www. nhom4175.com.

+ mở file : gedit  /etc/bind/named.conf.local

Và chỉnh nội dung

// Forward zone

zone " nhom4175.com" {

type master;

file "/etc/bind/db. nhom4175.com";

};

//reverse zone

zone "6.168.192.in-addr.arpa" {

type master;

file "/etc/bind/db.192";

};

+ restart service

sudo service bind9 restart

+kiểm tra bằng lệnh

Nslookup www.nhom4175.com

Kết quả trả về server và adress…là được

Và nslookup 192.168.6.5

Kết quả trả về name=www.nhom4175.com là được

sudo a2enmod ssl

sudo service apache2 restart

sudo mkdir /etc/apache2/ssl

sudo openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout /etc/apache2/ssl/apache.key -out /etc/apache2/ssl/apache.crt

sudo nano /etc/apache2/sites-available/default-ssl.conf

sudo a2ensite default-ssl.conf

sudo service apache2 restart

Phần 2: Triển khai Web server

1. Giới thiệuHTTP là một giao thức cho phép tr.nh duyệt Web Browser và servers có thể giao tiếp với nhau. Nó chuẩn hoá các thao tác cơ bản mà một Web Server phải làm được. HTTP bắt đầu là 1 giao thức đơn giản giống như với các giao thức chuẩn khác trên Internet, thông tin điều khiển được truyền dưới dạng văn bản thô thông qua kết nối TCP. Do đó, kết nối HTTP có thể thay thế bằng cách dùng lệnh “telnet” chuẩn.Apache là một phần mềm có nhiều tính năng mạnh và linh hoạt dùng để làm Web Server .

2. Các bước cài đặt

+Root máy bằng:

Sudo –i

+Cài apache2 :

sudo apt-get install apache2

+khởi apache2 :

sudo /etc/init.d/apache2 start

+cài tên host

gedit /etc/hosts và thêm vào dòng khai báo servername nhom4175.com

+tạo 1 file index.html trong var/www/html/

gedit /var/www/html/index.html

+với nội dung:

<html>

<head>

<title>nhom4175.com</title>

</head>

<body>

<h1>

xin chao cac ban den voi website nhom4175.com.

<h1>

<body>

<html>

+lưu lại rồi restart

sudo apache2ctl restart

+cài php

sudo apt-get install php5 libapache2-mod-php5

+restart lại

sudo a2enmod php5

tạo 1 file index.php

gedit /var/www/html/index.php

+với nội dung

<?php

phpinfo();

?>

+và chạy thử bằng cách vào firefox gõ đường link nhom4175.com/index.php

Phần 3: Triển khai dịch vụ mail

+ Cài postfix , dovecot, squirrelmail, php (cấu hình postfix ở bước sau, chưa cấu hình khi cài đặt)

sudo apt-get install php postfix dovecot-common dovecot-imapd dovecot –pop3d squirrelmail

+ Dùng dns ở phần trên nhưng ở file thuận thêm dòng

IN MX 10 mail.nhom4175.com.

+ Reset lại bind9

service bind9 restart

+ Dùng nslookup để kiểm tra

Nslookup mail.nhom4175.com

+ Vào sites-available vào tạo tập tin mail.conf

cd /etc/apache2/sites-available/

nano mail.conf

nội dung trong mail.conf

<VirtualHost *:80>

ServerAdmin webmaster@localhost

ServerName mail.nhom4175.com

DocumentRoot /usr/share/squirrelmail

<Directory />

Options FollowSymLinks

AllowOverride None

</Directory>

<Directory /usr/share/squirrelmail/>

Options Indexes FollowSymLinks MultiViews

AllowOverride None

Order allow,deny

allow from all

</Directory>

ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/

<Directory "/usr/lib/cgi-bin">

AllowOverride None

Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch

Order allow,deny

Allow from all

</Directory>

ErrorLog /var/log/apache2/error.log

# Possible values include: debug, info, notice, warn, error, crit,

# alert, emerg.

LogLevel warn

CustomLog /var/log/apache2/access.log combined

Alias /doc/ "/usr/share/doc/"

<Directory "/usr/share/doc/">

Options Indexes MultiViews FollowSymLinks

AllowOverride None

Order deny,allow

Deny from all

Allow from 127.0.0.0/255.0.0.0 ::1/128

</Directory>

</VirtualHost>

+ restart lại apache2

invoke-rc.d apache2 restart

+ cấu hình postfix

dpkg-reconfigure postfix

OK -> Local only -> mail.nhom4175.com -> OK -> thêm nhom4175.com và mail.nhom4175.com-> No -> thêm địa chỉ IP -> OK -> OK.

+ chỉnh squirrelmail theo hình

nano /etc/squirrelmail/apache.conf

+ chỉnh file dovecot.conf theo hình

+ restart lại bind9 apache2 postfix dovecot

+ tạo thêm 1 số user để test gửi mail

+đăng nhập vào như hình là thành công

+ test gửi mail như hình là thành công

Ph n 4 C u hình firewall:ầ ấ

a. Xây d ng mô hình 3 n i (trong, gi a, ngoài)ự ơ ữ Mô hình 3 nơi Cài 4 máy ảo(3 máy CentOS, 1 máy ubuntu) trên VMware. Trong đó 1 máy

đại diện cho máy ngoài (có thể dùng máy thật để đại diện cho máy ngoài),

Firewall đại diện cho máy trung gian, bên trong mạng nội bộ có một máy

client và 1 máy đóng vai trò là DNS-server và Web-server

Các máy được cấu hình đỉa chỉ IP giống như hình vẽ trên(các máy đều cấu hình như nình thường).Máy chủ Fiwall cần cẩn thận hơn vì cần 2 card mạng

Máy Firewall : có 2 card mạng.- Card trong là eth1 có địa chỉ 192.168.2.1 kết nối với mạng nội bộ thông

qua VMnet8- Card ngoài eth0 có địa chỉ 192.168.45.1 kết nối với mạng Internet ( sử

dụng PC làm đại diện) Máy Firewall sử dụng cơ chế NAT để chuyển tiếp gói tin. Khi gói tin tới cổng eth1 sẽ được chuyển tiếp qua cổng eth0 và ngược lại.

- Mạng nội bộ (máy client và DNS-server) được kết nối với Firewall qua cổng eth0

Cấu hình địa chỉ mạng cho các máy: Cấu hình ip cho từng card mạng: sử dụng nano,gedit, vi… để cấu hình trong

file interfaces (cũng có thể cấu hình cho máy bằng giao diện đồ họa)

Khởi động lại network bằng lệnh: #service network restart

Làm tương tự với các máy khác

a. Demo firewall iptables1) Cài đặt ssh, telnet giữa các máy (yêu cầu máy cài có kết nối mạng internet )

Cài đặt: #yum install telnet-server #yum install sshdKhi hỏi có đồng ý hay không (y,n) chon y để cài đặt.

Thực hiện telnet và ssh giữa các máy: SSH từ máy client đến firewall:

#ssh 192.168.2.1

Khi chương trình hỏi password thì chúng ta nhập password của root.Sau

khi nhập xong thì ssh từ client đến firewall được thực hiện

Kết luận: Như vậy là chúng ta đã cấu hình và cài đặt thành công mô hình 3 nơi (trong, giữa, ngoài) và cài đặt cũng như sử dụng các dịch vụ như ping, telnet, ssh, truy cập web… một các bình thường. Bây giờ chúng ta sẽ bắt tay vào cấu hình firewall iptables để chặn ping, telnet, ssh, web, chặn cổng, chặn giao thức…

2) Demo một số rules trong iptables

Chặn ping từ máy client đến firewalliptables -A INPUT -s 192.168.2.5 -d 192.168.2.1 -p icmp -j REJECT

Cấm ping trong trường hợp tường lửa iptables đang cho phép request gửi tới máy chủ(cấm lệnh ping từ ngoài tới máy chủ)==>làm cho máy chủ có vẻ như là đang ofline

# iptables –A INPUT –p icmp –j DROPHoặc # iptables –A INPUT –p icmp –j REJECT

Chặn telnet từ máy client đến máy firewalliptables -A INPUT –s 192.168.0.9 –d 192.168.0.8 –p tcp -- dport 23 -j REJECT

Chặn ssh từ máy client đến máy firewallIptables –A INPUT –s 10.0.0.15 –d 10.0.0.2 –p tcp -- dport 22 –j REJECT

Cho phép ping từ máy client đến máy PC (thuộc mạng ngoài)

-Bật cơ chế chuyển tiếp gói tin trong bảng iptables :Echo ‘1’ >/proc/sys/net/ipv4/ip_forward

-Cho phép gói tin icmp được chuyển tiếp từ máy client đến máy PC thông qua cổng input là eth1 và cổng output là eth0Iptables –A FORWARD –s 192.168.2.5 –d 192.168.45.5 -i eth1 –o eth0 –p icmp – j ACCEPT

- Từ chối telnet từ máy PC đến mày firewallIptables –A INPUT –s 10.0.0.3 –d 192.168.0.8 –p tcp --dport 23 –j REJECT

-Từ chối ping từ máy PC đến máy firewallIptables –A INPUT –s 192.168.45.5 –d 192.168.45.1 –p icmp –j REJECT

-Từ chối chuyển tiếp gói tin từ PC đến máy clientIptables –A FORWARD –s 192.168.45.5 –d 192.168.2.5 –p icmp –j REJECT

-Từ chối chuyển tiếp gói tin từ máy PC đến DNS-serverIptables –A FORWARD –s 192.168.45.5 –d 192.168.2.6 –p icmp –j REJECT

-Cho phép máy PC truy cập web (qua cổng 80) đến máy DNS-server thông qua cơ chế nat Iptables –t nat –A PREROUTING –d 192.168.45.5 –I eth0 –p tcp --dport 80 –j DNAT --to-destination 192.168.2.6:80