ЦЕЛЬ

Веб прокси сервер.

Требования::

• Зашифровать подключение через HTTPS.
• Аутентификация по пользователю/паролю.
• Расщепление горизонта (split horizon), т.е. проксирование только определенных веб сайтов.

ИСПОЛЬЗУЕМЫЕ РЕШЕНИЯ

• Прокси сервер
  • Squid
  • nginx
• Шифрование HTTPS
  • Let’s encrypt
• Аутентификация
  • PAM
• Расщепление горизонта
  • PAC
  • plain text
• Браузер
  • Firefox (поддерживается Chrome)
• Веб сайт
  • 2ip.ru

ИМПЛЕМЕНТАЦИЯ

1. Установка прокси сервера

1. Squid
2. nginx

1. Без аутентификации

1. Squid
2. nginx

1. Squid
2. nginx

1. Plain text
2. PAC
3. nginx
4. Проверка

1. nginx
2. Let’s encrypt

1. Squid
2. PAC
3. Проверка

АДРЕСА

• proxy.example.org — DNS имя прокси сервера
• 1.1.1.1 — IP адрес прокси сервер внешний (перед NAT)
• 10.1.1.4 — IP адрес прокси сервер внутренний (за NAT)
• 195.201.201.32 — IP адрес 2ip.ru (проверка внешнего IP)
• 2.2.2.2 — IP адрес клиента браузера внешний

1. УСТАНОВКА ПРОКСИ СЕРВЕРА

В качестве прокси сервера проверим Squid и nginx.

1.1. SQUID

Примечание: вся действия будут производиться под пользователем root. Это не безопасно. Для защиты рекомендуется использовать отдельного пользователя и команду sudo.

Команда установки

yum install squid

1.2. NGINX

Для работы прокси и аутентификации в nginx нужно установить модули. nginx по умолчанию не понимает метод HTTP CONNECT, поэтому HTTPS проксирование без модуля работать не будет. Для установки модулей nginx придется пересобрать из исходников.

Команда установки

yum install nginx

Узнаем версию nginx

nginx -V

смотрим вывод nginx version

Узнаем опции, с которыми был скомпилирован nginx

nginx -V

смотрим вывод configure arguments

Устанавливаем зависимости для компиляции PCRE, ZLIB, OPENSSL

yum groupinstall 'Development Tools'

yum install zlib zlib-devel pcre pcre-devel openssl openssl-devel pam-devel

Скачиваем исходный код nginx
Примечание: версию используем ту же, что в выводе команды выше

mkdir -p /root/sources/nginx
cd /root/sources/nginx
wget http://nginx.org/download/nginx-1.14.0.tar.gz
tar zxf nginx-1.14.0.tar.gz

Скачиваем модуль PAM
Примечание: используем PAM модуль из репозитория проекта

mkdir -p /root/sources/http_auth_pam_module
cd /root/sources/http_auth_pam_module
wget https://raw.githubusercontent.com/sto/ngx_http_auth_pam_module/master/ngx_http_auth_pam_module.c
wget https://raw.githubusercontent.com/sto/ngx_http_auth_pam_module/master/config

Скачиваем модуль HTTP CONNECT
Примечание: используем модуль для версии из команды выше. Репозиторий проекта

mkdir -p /root/sources/http_proxy_connect_module
cd /root/sources/http_proxy_connect_module
wget https://raw.githubusercontent.com/chobits/ngx_http_proxy_connect_module/master/patch/proxy_connect_1014.patch
wget https://raw.githubusercontent.com/chobits/ngx_http_proxy_connect_module/master/ngx_http_proxy_connect_module.c
wget https://raw.githubusercontent.com/chobits/ngx_http_proxy_connect_module/master/config

Применим патч http_proxy_connect_module

cd /root/sources/nginx/nginx-1.14.0
patch -p1 < /root/sources/http_proxy_connect_module/proxy_connect_1014.patch

Настраиваем сборку ngnix из исходного кода с модулями
Примечание: параметры могут отличаться от ваших.

./configure --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib64/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-compat --with-file-aio --with-threads --with-http_addition_module --with-http_auth_request_module --with-http_dav_module --with-http_flv_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_mp4_module --with-http_random_index_module --with-http_realip_module --with-http_secure_link_module --with-http_slice_module --with-http_ssl_module --with-http_stub_status_module --with-http_sub_module --with-http_v2_module --with-mail --with-mail_ssl_module --with-stream --with-stream_realip_module --with-stream_ssl_module --with-stream_ssl_preread_module --with-cc-opt='-O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches -m64 -mtune=generic -fPIC' --with-ld-opt='-Wl,-z,relro -Wl,-z,now -pie' --add-module=/root/sources/http_auth_pam_module --add-module=/root/sources/http_proxy_connect_module

Примечание: Для получения команды нужно взять опции компиляции из вывода команды выше и добавить к ним два модуля —add-module=/root/sources/http_auth_pam_module —add-module=/root/sources/http_proxy_connect_module

Собираем nginx из исходных кодов
ВНИМАНИЕ: Команда установки сама заменит файлы в папках. Если у вас на этом nginx сервере запущено что-то оно может перестать работать.

make
make install

Читать далее →

В данном посте будет описана процедура установки коллектора sFlow на базе ELK на CentOS 7 для сбора трафика со свитча Juniper.

Компоненты:

• Logstash — система принимающая данные, фильтрующая их и передающая их в Elasticsearch.
• Elasticsearch — база данных, которая хранит информацию и осуществляет по ней поиск.
• Kibana — служит для визуального представления данных, хранящихся в Elasticsearch.

Взаимодействие компонентов выглядит так:

10.10.10.10 — адрес сервера CentOS, где установлен ELK

Читать далее →

В последних версиях мобильной и настольной ОС компании Apple появилась полноценная поддержка VPN подключений по IKEv2. В системах компании Microsoft она была реализована еще с Windows 7. Таким образом можно предположить, что IKEv2 станет мультиплатформенным стандартом для виртуальных сетей, заменив устаревший и небезопасный PPTP.

В данной статье будет описана настройка StrongSwan как сервера IKEv2 VPN, а также проверено подключение к нему с Windows и MacOS.

VPN сервер и клиенты IKEv2 могут аутентифицировать себя как по ключам, так и по сертификатам. Причем для каждой стороны можно задать свой выбор. Для уменьшения требований, предъявляемых к клиентам, было выбрано чтобы сервер StrongSwan аутентифицировал клиентов по логину и паролю, а VPN клиенты аутентифицировали сервер по сертификату, выданному доверенным центром сертификации.

Последовательность действий:

1. Получение сертификата для сервера StrongSwan
2. Установка и настройка сервера StrongSwan
3. Проверка подключения к серверу с Windows и MacOS

Читать далее →

Продолжаем тему FTP и рассмотрим протокол SFTP.

SFTP расшифровывается как SSH File Transfer Protocol — SSH-протокол для передачи файлов. Он предназначен для копирования и выполнения других операций с файлами поверх надёжного и безопасного соединения. Как правило, в качестве базового протокола, обеспечивающего соединение, и используется протокол SSH2, но это необязательно.

В сравнении с другим протоколом, тоже предназначенным для копирования файлов поверх SSH — протоколом SCP, который позволяет только копировать файлы, SFTP даёт возможность выполнять намного больше операций с ними: например, докачивать файл после разрыва соединения или удалять файл на сервере и многие другие операции.

Существует заблуждение, что SFTP это просто обычный FTP, работающий поверх SSH. В действительности SFTP — это новый протокол, разработанный с нуля. Ещё его иногда путают с Simple File Transfer Protocol. SFTP расшифровывается как SSH File Transfer Protocol и ничего общего с Simple File Transfer Protocol не имеет.

Сам по себе протокол SFTP не обеспечивает безопасность работы; это делает нижележащий протокол. Как правило, SFTP используется в сочетании с протоколом SSH2 (он даже был разработан той же рабочей группой). Можно использовать SFTP и с другими протоколами, например SSH1, но это сопряжено с дополнительными трудностями.

Сервер SFTP

SFTP-сервер встроен в OpenSSH. Он реализуется с помощью программы sftp-server. Для того чтобы включить sftp-server в sshd, необходимо указать его в конфигурационном файле sshd_config в качестве подсистемы:

Subsystem sftp /usr/lib/openssh/sftp-server

Как правило, эта строка уже указана в конфигурационном файле sshd по умолчанию, так что SFTP работает сразу и не требует никаких дополнительных действий для включения.

Клиент SFTP

SFTP-клиент sftp встроен в пакет OpenSSH. Пример команд использования клиента SFTP:

sftp user@host:файл1

sftp скачивает файл1 с сервера и записывает его в текущий каталог с под именем файл1

sftp user@host:dir

переводит sftp в интерактивный режим и работа на удалённом сервере начинается с определённого каталога.

В интерактивном режиме команды SFTP клиента похожи на команды FTP: get, cd, ls, mkdir, put, pwd, rm и пр.

Программа sftp использует в качестве транспорта ssh, и аутентификация на удалённом сервере выполняется средствами ssh.

В качестве SFTP-клиента для Windows может использоваться WinSCP, PSFTP из пакета PuTTY или кроссплатформенный ftp-клиент Filezilla.

Клиент SSHFS

Использование SFTP можно не только родным клиентом, но и SSHFS, дающим возможность монтировать файловую систему удаленной машины, на которой включен SFTP.

Пример команды монтирования через SSHFS:

sshfs user@host:dir local_mount_point ssh_options

Пример демонтирования:

fusermount -u local_mount_point

Также если вы часто монтируете одну и ту же директорию по SSHFS, ее можно внести в fstab для автоматического монтирования при включении машины, внеся следующую строку в /etc/fstab:

user@host:dir local_mount_point fuse.sshfs  defaults  0  0

Однако придется каждый раз при попытке монтирования вводить логин и пароль, и чтобы избежать этого, можно настроить авторизацию SSH на основе ключей, которая была описана ранее.

Стоит понимать, что в отличие от NFS/SMB в SSHFS не предустановлено никаких механизмов для контроля доступа к одному файлу нескольких пользователей.

Источник 1
Источник 2
Источник 3
Источник 4
Источник 5
Источник 6