diff --git a/SRV-DOC-Inhalt.tex b/SRV-DOC-Inhalt.tex index f80ef2d..f94a34c 100644 --- a/SRV-DOC-Inhalt.tex +++ b/SRV-DOC-Inhalt.tex @@ -14,7 +14,7 @@ Folgende Parameter wurden für die Konfiguration des Servers in Absprache mit de \end{itemize} \item IP-Adressen der zu benutzenden Gateways \begin{itemize} -\item \texttt{141.71.38.1} +\item \texttt{141.71.38.254} \item \texttt{2001:638:614:1780::1} \end{itemize} \item IP-Adressen des OpenVPN-Dienstes @@ -27,6 +27,7 @@ Folgende Parameter wurden für die Konfiguration des Servers in Absprache mit de \item \texttt{10.2.0.0/16} \item \texttt{2001:638:614:1750::/64} \end{itemize} +\item DNS-Server für Server in der DMZ: \texttt{141.71.38.1} \end{itemize} @@ -84,7 +85,7 @@ Als nächstes wird der GPG-Key importiert, mit dem die Pakete signiert sind: Anschließend können die Pakete über \texttt{apt-get} installiert werden \begin{lstlisting} # apt-get update -# apt-get install f4-i-srv-config-all-* +# apt-get install f4-i-srv-config-all-* f4-i-srv-config-dmz-* \end{lstlisting} \paragraph{Netzwerkkonfiguration} @@ -103,21 +104,16 @@ allow-hotplug eno1 #-primary network interface iface eno1 inet static - address 141.71.38.70/24 - gateway 141.71.38.1 + address 141.71.38.70/24 + gateway 141.71.38.254 + post-up /sbin/ip addr add 141.71.38.7/24 dev eno1 + pre-down /sbin/ip addr del 141.71.38.7/24 dev eno1 + iface eno1 inet6 static - address 2001:638:614:1780::131/64 - gateway 201:638:614:1780::1 -\end{lstlisting} -Die Konfiguration des Alias sieht so aus: -\begin{lstlisting} -#- virtual service alias -iface eno1:0 inet static - address 141.71.38.7/24 - gateway 141.71.38.1 -iface eno1:0 inet6 static - address 2001:638:614:1780::7/64 - gateway 201:638:614:1780::1 + address 2001:638:614:1780::0131/64 + gateway 2001:638:614:1780::1 + post-up /sbin/ip addr add 2001:638:614:1780::0007/64 dev eno1 + pre-down /sbin/ip addr del 2001:638:614:1780::0007/64 dev eno1 \end{lstlisting} \paragraph{DNS} @@ -174,14 +170,17 @@ Zugriffe auf den VPN-Server sind für die Dienste SSH und OpenVPN erlaubt. iptables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT ip6tables -A INPUT -p tcp --dport 22 -m state --state NEW,ESTABLISHED -j ACCEPT -iptables -A INPUT -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT -ip6tables -A INPUT -p udp --dport 1194 -m state --state NEW,ESTABLISHED -j ACCEPT +iptables -A INPUT -p udp --dport 1194 -j ACCEPT +ip6tables -A INPUT -p udp --dport 1194 -j ACCEPT \end{lstlisting} Antwortpakete für eingehende Pakete auf SSH und OpenVPN-Dienst sind erlaubt. \begin{lstlisting} iptables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT ip6tables -A OUTPUT -m state --state ESTABLISHED -j ACCEPT + +iptables -A OUTPUT -p udp --sport 1194 -j ACCEPT +ip6tables -A OUTPUT -p udp --sport 1194 -j ACCEPT \end{lstlisting} Vom VPN-Server ausgehende Pakete sind grundsätzlich erlaubt.