Здравствуйте! Имеется сервер на Centos 8, к которому через thinstation+freerdp подключается клиентская машина. Есть мысль подключать клиента не к основной ОС, а к некой второй ОС внутри первой. Зачем? Чтобы, в случае теоретического нарушения работоспособности второй ОС из-за действий со стороны клиента, первая осталась невредимой.

Первый вопрос. Это вообще возможно так сделать?

Второй вопрос. Если возможно, то какими способами это можно сделать, без установки виртуалок на сервере?

Здравствуйте. Имеется сервер с крутящимися на нём сервисами dhcpd, httpd, tftpd, nfs. Между сервером и клиентами два устройства, выполняющие роли маршрутизаторов и файрволлов. Сервер и клиенты в разных подсетях. Все устройства на VMware, с установленными CentOS 8.

Клиенты бездисковые, по tftp и http (с помощью pxe) заливают себе в память загрузчик и прочие файлы. И далее, при условии выключенного firewall-cmd на промежуточных устройствах, клиенты подключаются к nfs-серверу и выводят окно ввода логина и пароля. Если firewall-cmd включен, то этап с подключением к nfs-серверу обламывается (выводится спам сообщениями: mount.nfs access denied by server while mounting). Задача состоит в обеспечении стабильной связи клиентов с сервером через включенные файрволлы.

Что пробовал. В firewall-cmd пробовал добавлять сервисы и разные порты, имеющие отношение к nfs. Также, учитывая динамическое использование портов nfs и смежными службами, вручную назначил конкретные порты и также добавил их в файрволл. Но всё безрезультатно. Пробовал ещё засунуть клиентов в одну подсеть с сервером, но в таком случае всё работает и без настроек файрволла. Ещё проверял на доступность порты сервера через nc (нужные порты открыты).

https://i.imgur.com/YrklEUf.png — спам сообщениями на бездисковом клиенте.

https://pastebin.com/y5paQszV — текущие настройки файрволла на сервере и двух маршрутизаторах.

https://pastebin.com/PtJpKPY2 — данные о портах с rpcinfo -p .

https://pastebin.com/agecVfPw — настройка в /etc/exports .

https://pastebin.com/kMSStBk1 — настройки конфига default в pxelinux.cfg/ .

https://pastebin.com/mKTeHavN — кусок сообщений из /var/log/messages на сервере, во время спама сообщениями на клиенте.

https://pastebin.com/JCAtjFgF — на маршрутизаторе, имеющем общую подсеть с клиентами, поставил интерфейс на прослушку с помощью tcpdump -i ens34 port 2049 . В выводе непонятное месиво данных.

Здравствуйте! Я практикуюсь с созданием бездисковых клиентов и столкнулся с проблемой отправки файла загрузчика от tftp-сервера (на нём же крутится раздача адресов по dhcp). Между бездисковым клиентом и сервером пролегают два промежуточных устройства, выполняющие функции маршрутизаторов (ospf) и файрволлов. ВСЕ устройства работают на Centos 8, поверх VirtualBox. Клиент и сервер работают в разных подсетях, в то же время клиент без проблем получает ip-адрес по dhcp через dhcp-relay. Если клиента размещать в одной подсети с сервером, то отправка загрузчика работает без проблем. Мне же нужно обеспечить стабильную работу устройств при условии их нахождения в разных подсетях. Или же, если это возможно (что сомнительно), сменить загрузку с tftp на http или ftp.

Пробовал менять dhcp-сервера (с dhcp-server на dnsmasq), вырубать selinux и firewalld, менять tftp-сервера (tftp-server, xinetd, dnsmasq) с выставлением разных флагов. При просмотре трафика через tcpdump, примерно в 1 из 20 случаев загрузки клиента тот отправлял запросы на скачивание загрузчиков (пробовал работать с pxe и ipxe). В остальных случаях трафика не было, а клиент показывал tftp open timeout.

https://i.imgur.com/54s4V77.png - tftp open timeout на клиенте

https://i.imgur.com/ffwEMVZ.png - показания tcpdump на пограничном интерфейсе маршрутизатора с клиентом.

https://pastebin.com/DCVek4Af - конфиг dhcp- tftp-сервера на dnsmasq.

Скажите, если каких-то выхлопов не будет достаточно.

Здравствуйте!

Ранее в этой теме ( GRE-туннель без отключения файрволла не пингуется ) я расписывал возникшую проблему пинга между двумя хостами, соединёнными друг с другом и находящимися в одной подсети. Теперь задача изменилась. Два хоста (R-SRV на CentOS 8 и L-SRV на Debian 10) находятся в разных подсетях и соединены через промежуточный хост (ISP на CentOS 8) обычным соединением и GRE-туннелем поверх. R-SRV имеет локальный адрес 192.168.1.10/24 и 10.10.1.2/30 туннельный. Второй – L-SRV – локальный адрес 172.16.1.10/25 и 10.10.1.1/30 туннельный. Проблема та же — при отключенном firewalld на ISP (локальные адреса 192.168.1.1 и 172.16.1.1) пинг есть в обе стороны, с GRE и без него, с включённым — только в одну сторону по GRE, в обратную нет. По обычному соединению пинг так и так имеется.

https://gist.github.com/hapylestat/1a57cc7ef88357b2fad4bc470f287a7f - сайт, по которому настраивался GRE-туннель. Правила в iptables оттуда пробовал применять на ISP — не помогает. Также не помогает то решение по включению GRE сервиса из решённой темы выше.

https://i.imgur.com/VJHVH9b.png - показания nmcli на L-SRV.

https://i.imgur.com/n3XFkJN.png - показания nmcli на ISP.

https://i.imgur.com/LViPg0g.png - показания nmcli на R-SRV.

https://i.imgur.com/KdoKJIe.png - вывод iptables на L-SRV.

https://i.imgur.com/Lt9V52Q.png - данные с firewall-cmd на ISP.

https://i.imgur.com/pgV1nt1.png - данные с firewall-cmd на R-SRV.

https://i.imgur.com/bcnzg3X.png - вывод с tcpdump на ISP (включенный firewall-cmd), при пинге L-SRV от R-SRV.

Здравствуйте! У меня стоит задача поставить GRE-туннель между двумя хостами в одной подсети (оба CentOS 8 на VirtualBox). Первый – ISP – имеет локальный адрес 192.168.1.1/24 и 10.10.1.1/30 туннельный. Второй – R-SRV – локальный адрес 192.168.1.10/24 и 10.10.1.2/30 туннельный. Проблема в том, что, как и указано в теме сообщения, без отключения firewall-cmd пинги между туннельными IP не проходят. Между локальными IP пинги есть. А мне крайне желательно оставить файрволл включённым.

Настройку GRE проводил по инструкции здесь: https://gist.github.com/hapylestat/1a57cc7ef88357b2fad4bc470f287a7f

Правила для файрволла вставлял самые разные и уже просто ума не приложу, что надо в правилах прописать, чтобы файрволл не мешал.

nmcli R-SRV: https://i.imgur.com/CSVcdKz.png

nmcli ISP: https://i.imgur.com/851YAaz.png

Правила R-SRV: https://i.imgur.com/8asATaV.png

Правила ISP: https://i.imgur.com/jjhea8z.png

Показания tcpdump при пинге ISP со стороны R-SRV. Вижу, что пинг доходит, но ответ не отправляется: https://i.imgur.com/Uic7ooa.png