2. Настройка доступа к сети Интернет

Задача:

• Настройка доступа к сети Интернет
  • Настройте маршрутизатор RTR
    • Настройте динамическую трансляцию адресов
      • Используйте firewalld
  • Настройте службу разрешения доменных имен
    • Используйте bind9
    • DNS-сервер обслуживает зону company.prof
    • Запросы, которые выходят за рамки зоны company.prof пересылаются DNS-серверу магистрального провайдера
  • Убедитесь в том, что все устройства имеют выход в интернет

Вариант реализации:

RTR:

Настраиваем динамическую трансляцию адресов:

• Включаем перессылку пакетов (forwarding):

echo "net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

• Применяем и проверяем:

sysctl -p

• • Результат:

• Отключаем сразу SELINUX:

setenforce 0

sed -i "s/SELINUX=enforcing/SELINUX=disabled/g" /etc/selinux/config

• Устанавливаем пакет firewalld:

dnf install -y firewalld

• Включаем и добавляем в автозагрузку слудбу firewalld:

systemctl enable --now firewalld

• Добавляем внешний интерфейс (enp0s3) в зону external:
  • на зону external по умолчанию включём MASQUERADE;

firewall-cmd --permanent --zone=external --add-interface=enp0s3

• Добавляем внутренний интерфейс (enp0s8) в зону trusted:

firewall-cmd --permanent --zone=trusted --add-interface=enp0s8

• Для применения изменений перезапускаем firewalld:

firewall-cmd --reload

• Проверяем:

Проверяем доступ до реальной сети Интернет из LAN:

• SRV-A:

• SRV-R:

• ANS:

RTR:

Настраиваем службу разрешения доменных имён:

• Устанавливаем пакет bind:

dnf install -y bind

• Редактируем конфигурационный файл /etc/named.conf:

vim /etc/named.conf

• • Вносим следующие изменения:
    1. listen-on - указываем IP-адрес нашего DNS-сервера, на котором он будет принимать запросы;
    2. отключаем поддержку IPv6;
    3. allow-query - разрешает выполнять запросы всем из сети 192.168.100.0/24;
    4. forwarders - перенаправляем запросы, которые DNS-сервер не может обработать самостоятельно на адрес 77.88.8.8;

• • также ниже в данном файле вносим следующие изменения:
    • описываем зону прямого просмотра company.prof - и указываем путь до файла с записями для прямого просмотра;
    • описываем зону обратного просмотра 100.168.192.in-addr.arpa - и указываем путь до файла с записями для обратного просмотра;

•  

• Создаём директорию для хранения зон DNS:

mkdir /opt/dns

• Берём за основу для файла зоны прямого просмотра имеющийся в системе шаблон:

cp /var/named/named.localhost /opt/dns/company.prof.db

• Редактируем файл зоны приямого просмотра:

vim /opt/dns/company.prof.db

• • приводим его к следующему виду:

• Создаём файл для зоны обратного просмотра:

cp /opt/dns/company.prof.db /opt/dns/100.168.192.in-addr.arpa.db

• Редактируем файл зоны обратного просмотра:

vim /opt/dns/100.168.192.in-addr.arpa.db

• • приводим его к следующему виду:

• Назначьте владельца и права на файлы зон:

chown -R root:named /opt/dns/

chmod 640 /opt/dns/*

• Проверяем с утилитой named-checkconf что зона прямого и обратного просмотра может быть загружена:

named-checkconf -z

• • результат:

• Запускаем и добавляем в автозагрузку службу named:

systemctl enable --now named

Проверяем из локальной сети доступ в Интернет:

• ANS:

• SRV-A:

• SRV-R:

Проверяем зоны прямого и обратного просмотра:

• ANS: