Phenquestions
Когда ядро Manjaro загружает машину, его Network Manager автоматически подключается к DHCP-серверу через включенный сетевой интерфейс. Затем он предоставляет клиенту IP-адрес, маску подсети, время аренды, DNS-сервер, шлюз и другие данные.
Если машина работает как сервер Apache, она должна быть легко доступна для клиентов через статический IP-адрес. Кроме того, в качестве меры предосторожности пользователи также должны защитить машину от ненужного доступа извне. Это требует настройки сетевых интерфейсов вручную через Manjaro Network Manager или с помощью команд и файлов конфигурации.
В этой статье мы научимся настраивать сетевой интерфейс через GUI и CLI вручную. Мы также упрощаем процесс настройки неограниченного межсетевого экрана (ufw) для новых пользователей в качестве меры предосторожности после установки Manjaro.
Настройка сетевого интерфейса
Ручная настройка сетевого интерфейса включает в себя назначение аппарату IP-адреса, шлюза, расположения DNS-серверов, маршрутов и маски подсети. Это делается через Manjaro NewtrokManager и CLI.
Начиная
Прежде чем приступить к ручной настройке сети, система должна соответствовать определенным условиям:
- включенные сетевые интерфейсы
- кабель Ethernet подключен
- у интерфейса есть IP-адрес
- таблица маршрутизации все настроено
- устройство может подключиться к системе внутри или за пределами локальной сети
- разрешение имени хоста-адреса работает нормально
Настройка статического IP-адреса через графический интерфейс
Найдите "Подключения»В средстве запуска приложений Manjaro. В меню сетевого подключения выберите текущие настройки сети, чтобы изменить / настроить подключение.
Выберите текущее соединение и перейдите на вкладку настроек IPv4.
Выбирать 'Руководство по эксплуатации' от 'Метод'раскрывающееся меню для статического IP-адреса и нажмите'Добавлять'для заполнения адреса, маски подсети, шлюза и DNS-сервера. Наконец, нажмите "Применять'перезапустить сеть с новыми настройками.
Псевдонимы статических IP-адресов
Графический интерфейс также позволяет настроить несколько адресов для одного интерфейса. Можно, нажав на знак «+» или кнопку «Добавить» на том же экране, добавить новый IP-адрес. Вот несколько подробностей о псевдонимах адресов:
- Для каждого псевдонима требуется сетевая маска, но не сведения о шлюзе.
- Параметр сохранения выделен серым цветом без достоверной информации.
- Он не обязательно должен быть на одной и той же сетевой маске, даже если он прослушивает трафик в одной и той же физической сети.
Используйте следующую команду для отображения рабочего интерфейса с двумя IP-адресами.
[электронная почта защищена]: ~ $ ip addr showНастройка статического IP-адреса через интерфейс командной строки
Другой способ настроить статический IP-адрес - через systemd. Для сетевых интерфейсов Manjaro настраиваемые маршруты настраиваются внутри / etc / systemd / сеть / каталог. Файлы конфигурации для каждого интерфейса идентифицируются на основе имени интерфейса. Следовательно, файл для сетевого интерфейса enp0s3 будет / и т.д. / systemd / сеть / enp0s3.сеть.
Обязательно отключите NetworkManager, так как он перезаписывает ручные настройки.
[электронная почта защищена]: ~ $ sudo systemctl disable --now NetworkManager.услугаСоздайте или отредактируйте указанный выше файл сетевого интерфейса с правами root. Вот пример файла:
[электронная почта защищена]: ~ $ sudo vim / etc / systemd / network / enp0s3.сеть[Матч]
Имя = enp0s3
[Сеть]
Адрес = 192.168.11.0/24
Шлюз = 192.168.11.1
DNS = 152.234.15.8
DNS = 215.158.11.10
Теперь включите и запустите сетевой сервис.
[электронная почта защищена]: ~ $ sudo systemctl enable --now systemd-networkd.услугаЧтобы вернуться к настройкам DHCP, удалите указанный выше файл и перезапустите NetworkManager.
Настройка брандмауэра с UFW в Manjaro
Функционирующий брандмауэр - важная часть любой безопасной системы Linux. По умолчанию все дистрибутивы Linux поставляются с установленным инструментом настройки брандмауэра, известным как Uncomplicated Firewall (ufw). UFW - это интерфейс для iptables, предназначенный для упрощения задачи настройки межсетевого экрана.
Согласно странице руководства ufw, инструмент не обеспечивает полноценную функциональность брандмауэра через интерфейс командной строки. Вместо этого он упрощает процесс добавления или удаления простых правил. Кроме того, ufw стремится предоставить брандмауэры на базе хоста.
Чтобы приступить к защите сети, установите ufw, если он недоступен:
[электронная почта защищена]: ~ $ sudo pacman -Syu ufwНастройка политик ufw по умолчанию
Поскольку мы начинаем работу с конфигурацией ufw. По умолчанию ufw отключен. Проверьте статус ufw, введя следующую команду:
[электронная почта защищена]: ~ $ sudo service ufw statusВыполните следующую команду, чтобы включить настройки ufw.
[электронная почта защищена]: ~ $ sudo ufw enableВключение ufw инициирует политику брандмауэра по умолчанию. То есть ufw разрешает только исходящие соединения и запрещает все входящие соединения. Другими словами, сервер Manjaro недоступен извне сети. Пока пользовательские приложения могут подключаться к внешнему миру.
Если отключено, мы можем установить правила для выполнения политик ufw по умолчанию.
[электронная почта защищена]: ~ $ sudo ufw default deny incoming[электронная почта защищена]: ~ $ sudo ufw по умолчанию разрешить исходящие
Чтобы включить политики по умолчанию, отредактируйте / etc / default / ufw файл. Обратите внимание, что настройки брандмауэра будут автоматически запускаться при перезагрузке системы. Этих правил достаточно для защиты личной ОС Manjaro. Однако сервер Manjaro должен отвечать на входящие запросы.
Включение SSH-подключений для Manjaro Server
Вышеуказанный параметр запрещает все входящие соединения. Чтобы разрешить законное SSH или HTTP-соединение с сервером Manjaro, необходимо создать правила в ufw. Этот параметр позволит пользователю подключаться и управлять сервером через безопасное соединение оболочки.
[электронная почта защищена]: ~ $ sudo ufw allow sshВышеупомянутая команда эквивалентна установке правила для подключения через ssh-порт 22. Следовательно, UFW знает о портах, используемых протоколами приложений, благодаря службам, перечисленным в файле / etc / services.
Однако нам нужно указать соответствующий порт, если демон SSH прослушивает другой порт. Например, если сервер прослушивает порт 3333, используйте следующую команду, чтобы установить правило ufw:
[электронная почта защищена]: ~ $ sudo ufw allow 3333Конфигурация UFW для IPv6
UFW поддерживает настройки IPv6 для управления правилами брандмауэра вместе с IPv4. Для этого отредактируйте файл конфигурации ufw в / etc / каталог по умолчанию и следующие настройки:
IPv6 = даТеперь ufw настроен для добавления и управления политиками как для IPv4, так и для IPv6.
Прочие подключения
ufw позволяет пользователям управлять различными правилами подсети, конкретными IP-адресами, диапазонами портов и сетевыми интерфейсами.
Чтобы указать диапазоны портов:
[электронная почта защищена]: ~ $ sudo ufw allow 3000: 4444 / tcpЧтобы указать подсеть с конкретным портом назначения:
[электронная почта защищена]: ~ $ ufw разрешить от 192.168.100.0/24 на любой порт 81Чтобы установить правило для определенного IP-адреса
[электронная почта защищена]: ~ $ sudo ufw allow from 192.168.100.14Кроме того, он также позволяет создавать правила для запрета подключений с IP-адресов и служб. Все, что для этого требуется, это заменить allow на команду deny.
[электронная почта защищена]: ~ $ sudo ufw deny from 192.168.100.14Заключение
В этой статье приводится краткое описание ручного сетевого интерфейса Manjaro и настроек конфигурации брандмауэра для начинающих. Мы обсудили установку статического IP-адреса через графический интерфейс и файлы команд / конфигурации. Кроме того, в статье также демонстрируется установка неограниченного брандмауэра по умолчанию (ufw), чтобы разрешить ограниченный доступ к машине для пользователей через Интернет.
