PFSENSE İle Yerel Ağda DNS(53 Portu) Manipüle Etme

OpenSource proje olan Pfsense ile bağlantılı olduğunuz tüm ağlar için farklı DNS sunucu(53 portu) kullanmasını engellemek, daha doğrusu yönlendirmek ve bu yaptığınız işlemlerde son kullanıcıya müdahele edilmediği için haberleri dahi olmadan yapmak mümkün ve bir o kadar kolaydır. Dolayısıyla kullanıcılar kendi bilgisyarlarında DNS adresini değiştirse dahi firewall’dan sizin yapacağınız yönlendirme kuralına takılacak ve kendi yazdığı DNS ip’sine değil sizin yönlendirdiğiniz DNS sunucu/sunucular’ına gidecektir. Ayrıca bu durumdan haberi dahi olmayacaktır.

Bu işlemi ilgili interface, subnet yada ip için yapabilirsiniz.

Pfsense login olduktan sonra “Firewall / NAT / Port Forward” sekmesine tıklayın.

Ardından “Add” diyerek nat kuralını oluşturmaya başlayın.

Ardından aşağıdaki ss gibi kural yapısını oluşturun.

NoT : Yalnız burada bir şey belirtmem gerek. DNS sunucu yada sunucularınız kuralı işlettiğiniz subnetin içinde ise “Invert match.” seçeneğini aktif edip o ip yada ip’leri belirterek hariç tutmanız gerekmektedir. Çünkü ağın içindeki DNS sunucuları hariç tutmazsanız yönlendirme yaptıktan sonra bu DNS sunucularda dışırıya 53 portundan çıkmayacağı için ve kendinde olmayan kayıtları root ve diğer global DNS sunuculardan öğrenemeyeceği için kullanıcılara yansıyacak ve dolayısıyla iç DNS sunucularınız kendinde olmayan kayıtları çözemeyeceği için kullanıcılarda ip ye karşılık gelen domainleri çözemeyecektir.

Aşağıda örnek gösterilmiştir.

Ovirt/RHEV 4.2 Kurulumu Hostların Power Management Yapılandırması – Bölüm 3

Hostları ekleme sırasında son kısımlarda aldığımız power management uyarısını bu bölümde ele alacağız. Power management yapılandırması hostlar için ilo ekranına yada host’un konsol ekranına düşmeden kapatıp, açma ve yeniden başlatma gibi özellikleri kazandıracak agent’ı(fences agent) aktif edeceğiz.

Aşağıda görüldüğü üzere hostları listelediğimizde üzerlerinde ünlem(!) işareti var ve power management’ın yapılandırılmadığı uyarısını veriyor.

Şimdi hostları tek tek seçip “Edit” tıklıyoruz. Ardından “Enable Power Managementcheck ettikten sonra, “Add Fence Agent” kısmındaki artı işaretine tıklıyoruz.

Daha sonra sunucuların (ilo, idrac, BMC vs.) ip adresi, kullanıcı ve şifre bilgisini yazıyoruz. Ben “Type” olarak “ipmilan” ile yapılandırıyorum, “option” kısmına da “lanplus=1key value’sini verip, bağlantıyı “Test” ediyorum ve başarılı olduğunu görüyorum. OK ile işlemi tamamlıyorum.

 

Son durum aşağıdaki gibi, OK diyerek tamamlıyorum.

İşlem bu kadar. Artık hostları listelediğinizde ünlem işareti olmayacak ve host için power seçenekleri aktif olacak.

Bölüm 4 : http://www.fatlan.com/ovirt-rhev-4-2-kurulumu-hostlara-iscsi-lun-ekleme-bolum-4/

JXplorer – LDAP Browser ve Editor

LDAP ile alakalı olarak DN “uid=username,dc=example,dc=com” , base DN gibi bir çok niteliğe atanan değerleri elde etmek ve LDAP için daha bir çok parametreyi elde edip, yönetmenizi sağlayan browser ve editör uygulaması olan JXplorer gayet kullanışlıdır.

Uygulamayı http://jxplorer.org/downloads/users.html adresinden indirdikten sonra, çalıştırma yetkisi vermelisiniz.

> chmod +x jxplorer-3.3.1.2-linux-installer.run

Ardından çalıştırın ve kurulumunu yapın.

> ./jxplorer-3.3.1.2-linux-installer.run

Şimdi uygulamayı çalıştırdıktan ve aşağıdaki şekilde bağlandıktan sonra LDAP bilgilerini elde edeceksiniz.

OVİRT(RHEV) 4.2 Kurulum ve Yapılandırması – Host Ekleme – Bölüm 2

Makalemizin ikinci bölümüyle beraber artık tüm işlemlerimizi hosted engine üzerinden yapacağımızı adım adım göreceğiz. Şimdi sırada ortama hypervisor olarak host ekleme var. Host ekleme işleminin sırasıyla nasıl yapılacağına bakacağız.

İlk olarak engine login olun.

Ardından “Compute – Hosts” kısmına gelin ve “New” butonunu tıklayın.

Daha sonra “General” sekmesinde;

– “Host Cluster”ı seçin, genelde Default olur. Fakat ismini siz daha sonra özelleştirebilirsiniz.

– “Name” ve “Hostname” kısmına host için verdiğiniz domain name’yi girin.

– “SSH Port” bölümüne port numarasını yazın.

– Authentication kısmındaki “Password” kısmına sunucuya login olduğunuz user’ın şifre bilgisini yazın.

Son olarak “Hosted Engine” sekmesine gelin ve “Choose hosted engine deployment action” seçeneğini “Deploy” olarak belirledikten sonra “OK” tıklayın.

Bu kısımda “Power Management” yapılandırılmadığına dair uyarı verecek, “OK” diyerek işlemi başlatın daha sonra nasıl yapılandırılacağına bakacağız. Bu arada “Power Management” yapılandırması Engine üzerinden sunucuyu kapatma, açma ve yeniden başlatma gibi yetenekler kazandırmasına olanak tanıyacak olan bir agent’tir(fences agent).

Kırmızı alanla işaretlediğimiz kısıma tıkladığınızda “Deploy” edildiği sürece tanık olabilirsiniz.

Ve ardından hostları listelediğimizde geldiğini görebiliyoruz. Siz ortamınızdaki tasarımınızda gerekli olan kaynak durumuna göre tüm hostlarınızı aynı yöntemle ortama dahil edebilirsiniz.

Bölüm 3 : http://www.fatlan.com/ovirt-rhev-4-2-kurulumu-hostlarin-powermanagement-yapilandirmasi-bolum-3/

Linux DNS – BİND Versiyon Bilgisini Kapatma yada Özelleştirme

Hacker mantalitesinin ilk adımlarından olan, servis/servisleri keşfetmek, bu keşfi yaparken versiyon bilgisini almaktır. Daha sonra bu versiyonların barındırdıkları zafiyetleri kullanarak içeri sızmaktır.

Doğal olarak Linux üzerinde kullanılacak olan Dns servisi BİND-NAMED servisinin versiyon bilgisini gizlemek ya da özelleştirmek yapılacak olan mantıklı hareketlerden biri olacaktır.

Versiyon bilgisini aşağıdaki 3 yöntem ile elde edebilirsiniz.

1. NMAP

> nmap -sV -p 53 fatlan.com

2. DIG

> dig @fatlan.com version.bind txt chaos

3. NSLOOKUP

> nslookup -type=txt -class=chaos version.bind fatlan.com

Sıra geldi versiyon bilgisini gizlemeye. Bunun için “/etc/named.conf” dosyası içindeki “option” kısmındaki satırlara ek olarak aşağıdaki satırları da ekleyin. Ek olarak iserseniz hostname bilgisini de ekleyebilirsiniz.

options {

         version “DNS SERVER 2018”;

         hostname “DNS SERVER 2018”;

};

 

 

OVİRT(RHEV) 4.2 Kurulum ve Yapılandırması – Bölüm 1

RHEV(Red Hat Enterprise Virtualization) yada Ovirt Açık Kaynak Kodlu KVM temelinde hypervisor olarak kullanılan, ölçeklenebilen sanallaştırma platformudur. İki ürünün temeli aynı fakat Ovirt(https://ovirt.org/) RHEV’in forklanmış hali olup tamamen ücretsizdir.

Konuyu tamamen adım adım ele alan ve bölümlerden oluşan makale serisi ile baştan sona böyle bir sanal bulut ortamını elde edebilmek için Ovirt yapısını inceleyeceğiz. İşlemlere başlamadan önce istediğimiz yapının bir çizgisini yukarıda paylaşıyorum. Kafanızda durum şekillenmesi için çizgiyi paylaştım, siz daha basit yapıda da kurabilirsiniz. Örneğin tek nic yada internal disk gibi.

Node1: 192.168.22.10

Node2: 192.168.22.20

HostedEngine: 192.168.22.15

gibi, engine için ayrı management ip vermek gerekiyor. Çünkü yönetimi engine aracılığı ile yapacağız, bir nevi vcenter gibi düşünebilirsiniz.

İstediğimiz ortamın yukarıdaki gibi olmasını planlıyoruz.

Ovirt’i iki şekilde kurabiliriz.

1. Manuel olarak terminal üzerinden ilk önce CentOS kurup, ardından gerekli paketleri indirip daha sonra da barematel üzerine engine setup ederek yapabilirsiniz.

Manual kurulum linkleri : https://ovirt.org/download/

https://www.ovirt.org/documentation/install-guide/Installation_Guide/

https://www.ovirt.org/documentation/install-guide/chap-Installing_oVirt/

2. Ovirt için hazırlanmış özelleştirilmiş iso paketi ile kurulum gerçekleştirebilirsiniz ki CentOS sunucunun özelleştirilmiş halidir ve repoları ona göre otomatik yapılandırılmış gelir, ayrıca hosted engine vm olarak kurulup yönetim sağlanmaktadır. Biz bu yöntemi kullanarak kurulum gerçekleştireceğiz.

İso paket linki : https://resources.ovirt.org/pub/ovirt-4.2/iso/ovirt-node-ng-installer-ovirt/4.2-2018100407/

İso dosyasını host’lara mount ettikten sonra aşağıdaki karşılama ekranından “Install oVirt Node” diyerek işleme devam edelim.

Aşağıda görüldüğü üzere normal CentOS kurulum gibi Anaconda ekranı, o yüzden buranın üzerinde fazla durmayacağım. Bu bölümün kurulumunu yapıp sunucuyu reboot edin.

NoT1 : Kurulum bittikten sonra gerekli erişimler için hostların network yapılandırmasını yapmalısınız. Update’ni geçebilirsiniz. Bu arada “yum” ile paket kurmak istediğinizde hata alabilirsiniz. Çünkü repolar Ovirt için özelliştirilmiş olacaktır. Onun dışındaki repolar disable gelecektir. Bu yüzden paketlerde kurulum yapamazsanız “yum” komutunu aşağıdaki gibi kullanabilirsiniz. Tek seferlik paket kurulumu için enable modu.

Ayrıca “/etc/hosts” ve “/etc/resolv.conf” dosyalarını yapılandırıp, search domain.com ibaresinide ekleyin. DNS, SSH Keypair ve NTP(ntp olarak chrony servisi kullanılmaktadır, yapılandırma dosyasına ilgili ntp server’ı girdikten sonra servisi yeniden başlatmak yeterlidir) yapılandırmalarının yapılmış olması gerekmektedir.

> yum install –enablerepo=”base” CentOS-Base.repo “paketadı” -y

> yum install –enablerepo=”epel” epel.repo “paketadı” -y

NoT2 : Hosted Engine kurulumunu terminal ekranından da yapabilirsiniz. Fakat biz GUI kullanarak yapacağız. Bu arada HostedEngine storage üzerine kurmak zorundasınız.

Komut satırından kurulum linki : https://ovirt.org/documentation/how-to/hosted-engine/

Devam edelim. Sunucu reboot olduktan sonra aşağıdaki paketi terminal ekranından kurun. Daha sonra GUI ekranında fazlaca beklememiş olursunuz.

> yum install ovirt-engine-appliance -y

Hosted Engine kurulumuna geçmeden önce storage ayarlarını yapmamız gerekiyor. Host’ta saklayacağımız vm ler için iscsi protokolünü kullarak data01 ve data02 adında iki adet lun bağlayacağız, daha sonra HostedEngine bağlanacak. Ovirt’in istediği, nfs protokolü ile de iso ve export adında iki adet volume HostedEngine bağlayacağız. Nfs’leri host’a bağlamak zorunda değilsiniz. Hatta bağlamayın çünkü Nfs’ler HostedEngine bağlanacak. Dikkat etmeniz gereken Nfs’ler için yazma ve okuma haklarının unix için tam olması gerekiyor yoksa HostedEngine bağlanma sırasında “permission” hatası alırsınız.

Konu ile alakalı cause linki : https://support.hpe.com/hpsc/doc/public/display?docId=mmr_kc-0108935

ISCSI’leri terminal üzerinden bağlayacağız çünkü UI tarafında bu işlem yapılamıyor ama daha sonra node’lerin gui’sinde görüntülüyebileceksiniz. Aslında bu protokollerin dışında FC(fiber channel) yada Gluster storage protokolleri de kullanılabilir ama şuan için bizim konumuz dışında.

İscsi yapılandırması:

Storage tarafında ilgili SVMs, LUNs, Volumes ve network ayarlarını yapıp data01, data02, iso ve export bölümlerini açtıktan sonra iscsi’nin hostlara erişimi için “Initiators” ve “Initiator Group” erişimlerini vermelisiniz. Storage tarafına detaylıca girmiyorum konu genişleyip, dağılmaya başlar.

Not3 : Sunucunun “InitiatorName” elde etmek için aşağıdaki komutu kullanabilirsiniz.

> cat /etc/iscsi/initiatorname.iscsi

İscsi hedef tespiti için aşağıdaki komut ile discover işlemini yapalım. İlgili ip’lere bağlı erişimi olan tüm hedefleri listeleyecektir.

> iscsiadm -m discovery -t st -p 10.10.30.5

Çıktı: 10.10.30.5:3260,1030 iqn.1992-08.com.netapp:sn.2626a89cce1111e66c5200a098d9e8ba:vs.18

Şimdi var olan tüm iscsi hedeflerine login olmak için aşağıdaki komutu çalıştırın.

> iscsiadm -m node -l

Ayrıca http://www.fatlan.com/linux-sunucular-uzerinde-iscsi-yapilandirmasi/ adresinden iscsi yapılandırma komutlarına bakabilirsiniz.

Ardından “fdisk -l” ile bağlanan diskleri görüntüleyebilirsiniz.

Daha sonra da “multipath -l” ile de iscsi ile takılan disklerin multipath bağlantısını görüntüleyebilirsiniz.

Not4 : Host tarafında ISCSI bağlantıları için yaptığınız bond, vlan ve diğer network yapılandırmalarından sonra, NetworkManager’ı kapatmanız gerekmektedir. Aksi halde Engine tarafında hatalar alıp, nic kopmalarıyla beraber, ip’nizin kaybolması gibi durumlarla karşılaşabilirsiniz.

Host’ta Datastorage’de işlemleri tamamladıktan sonra HostedEngine kuruluma geçelim, bunun için tabi ilk önce Ovirt host’a login olalım.

Kurulum ekranında network kısmında management için verdiğiniz ip’yi tarayıca da 9090 ile çağırıp işlemlere devam edelim. Örnek olarak 192.168.22.10:9090 yada domain name gibi…

Bu ekran hostun yönetimi için açılan web panelidir. Sunucuyu konsol yerine burdan UI üzerinden rahatça yönetebilirsiniz. Biz HostedEngine kurulumunu bu ekrandan yapacağız. Bu ekrana sunucuya verilen kullanıcı adı ve şifresi ile login olacaksınız.

Aslında bu GUI ekranında terminalde yaptığınız birçok işlemi gerek kalmadan görsel ekranda da yapabilirsiniz. Iscsi bağlantınızı host’larda gerçekleştirdikten sonra bu ekranda da görünecektir, etkileşimli olarak yapılan işlemler yansıyacaktır.

Ovirt node’ye login olduktan sonra Storage ile çalışacağımız için Virtualization – Hosted Engine sekmesine gidip start veriyoruz. Hyperconverged sekmesi ile şuan ilgilenmiyoruz çünkü bu kısım internal diskler ile glusterfs file sistemi yedekli node’ler ile kullanmaktadır. Gluster için; OS in disklerini Raid 1, Gluster‘ın kullanacağı disklerini Raid 5 olarak iki Raid grup yapabilirsiniz.

Bu kısmda hosted engine için yukarıda belirdediğimiz ip’ye karşılık gelen domaini dns sunucumuzda daha önceden tanımlamıştık. Örnek bulut.fatlan.com gibi.

Engine VM FQDN kısmına o domaini yazıyoruz.

Belirlenen ip’yi dhcp’den ya da static olarak verip, gateway ve dns bilgilerini de giriyoruz.

Manage olacak bridge interface’mizide seçtikten sonra host’un root pass bilgisini giriyoruz.

En son olarak virtual CPU ve Memory kısımların da default’ta bırakıp Next ile devam edelim.

Bu kısımda ki Engine Credentials kısmı önemli. Çünkü Bu kısımdan HostedEngine login olabileceğiniz şifreyi belirliyorsunuz.

Notification kısmı şuan için çok zaruri değil, defaultta bırakabilirsiniz daha sonra da değiştirebilirsiniz.

Ardından config’ler hazır halde Prepare VM demenizi beklemektedir. Tıklayıp devam edin.

NoT4 : HostedEngine atadığınız ip gateway’ine ping atabilmelidir ve network’sel erişimde kısıtlı olmamalıdır aksi halde aşağıdaki ss’lerden belirttiğim hataları alırsınız ve çok sizi çok uğraştırır.

Terminalde;

GUI’de;

Prepare VM dedikten sonra aşağıdaki gibi başarılı bir kurulum uyarısı alacaksınız, Next ile devam edin.

Şimdi Engine’nin barınacağı datastore için iscsi ayarlarını yapmamız gerekiyor. Diğer store’leri engine kurulduktan sonra yapacağız.

Storage type iscsi seçip,

Portal ip address kısmına iscsi hedefimizin ip adresini yazıyoruz, eğer hedefinizde user ve şifre varsa onu da girin bende olmadığı için girmiyorum.

Ardından Retrieve Target List butonuna tıklayın.

Retrieve Target List butonuna bastıktan sonra aşağıdaki gibi hedefleriniz gelecektir. Seçiminizi yapıp Next ile devam edin.

Ardından aşağıdaki gibi yeşil Finish ekranı sizi karşılıyorsa Hosted Engine kurulumu başarılı bir şekilde gerçekleştirildi demektir.

Tekrar Hosted Engine deploy ettiğimiz Ovirt Node ekranına dönecek olursak aşağıdaki gibi deploy işleminin başarılı ve sunucunun çalıştığını anlayabiliriz.

Şimdi kurduğumuz hosted engine login olalım. Default kullanıcı adı “admin”, password de deploy sırasında verdiğiniz şifre olacak.

Artık bundan sonra ki işlemlerimize hosted engine’de devam edeceğiz. Datacenter ekleme, Cluster ekleme, Host ekleme, Storage ekleme, Vm oluşturma gibi vesaire işlemleri bu ekranda yapacağız.

Bölüm 2 : http://www.fatlan.com/ovirtrhev-4-2-kurulum-ve-yapilandirmasi-host-ekleme-bolum-2/