NTP时间服务

搭建时间服务器

先熟悉一下ntp，再学习chrony

克隆虚拟机---修改主机名、网卡IP、hosts

安装ntp，查看安装内容rpm -ql

这里面我们要用到的就一个文件  /etc/ntp.conf
两个命令：
　　/usr/sbin/ntpq
　　/usr/bin/ntpstat
还有一个服务文件：/usr/lib/systemd/system/ntpd.service

如何使用

请查看官方文档PPT中

restrict default nomodify（不让你改） notrap nopeer noquery（不让用户查询ntp服务器的状态）

# 先注释掉完整的，为了方便测试，删掉后面3个参数
#restrict default nomodify notrap nopeer noquery
restrict default nomodify
# Permit all access over the loopback interface.  This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
#  用来设置哪些网络可以访问
# restrict 127.0.0.1 # 这是原来的
restrict 172.16.1.0/24 # 也可以加上10.0.0.0/24 但是我认为没必要
restrict ::1 # IPv6的设置

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.htm
l).
# 下面的都是时间服务器 iburst 表示不能用的时候，隔2s发送一次消息
server ntp1.aliyun.com iburet
server ntp2.aliyun.com iburet
server ntp3.aliyun.com iburet
server ntp4.aliyun.com iburet

停止chrony软件，

启动ntp服务

在其他设备上测试

Chrony时间服务器搭建

见PPT

不要一起用，一起用就乱了

当NTP服务器时间乱了之后，NTP就无法正常工作了。

但是chrony不会，在断网的时间内，不会有太大的问题

使用前关闭ntp

修改配置文件 vim /etc/chrony.conf
只用修改服务器信息
最多再修改一下26行 ：  #allow 192.168.0.0/16 

allow 10.0.0

allow 172.16.1

也可以这样写，还能用deny

重新启动：systemctl restart chronyd.service
使用：ntpdate 10.0.0.62  或者ntpdate 172.16.1.62 这两个的时间也不太一样，用一个就行了，别两都用

PPTN-VPN

我们的服务器对用户只开放了如80.443这些端口，

运维人员要访问网站，要通过秘密通道，就是VPN 或者OPEN-VPN这样的软件

这样，运维才可以在任何时候链接到服务器

分配IP的时候不要和现有的内网IP冲突

使用PPTP

win电脑上，在网络和共享中心里面，创建新的链接和网络----选择（连接到工作区，有VPN的那一项）...

创建好之后，点击链接，输入用户名和密码

链接之后，电脑（笔记本）的网络就断了！怎么解决？

不要让VPN座位默认的网关

在网络连接中-----选择创建好的VPN网络，右键属性---网络---IPV4---属性

高级---不要勾选 在远程网络上使用默认网关-----确定

通过VPN访问内网服务器

安装抓包软件

[root@m02 ~]# yum install wireshark -y

[root@m02 ~]# rpm -ql wireshark

/usr/sbin/tshark 就是用来抓包的
[root@m02 ~]# tshark -n -i eth0 -i eth1    # -n 不要把IP解析为对应的服务 -i 指定端口 -w 把抓包信息输出为文件

我们 主要看的PPP 和GRE的

启动之后的暂停键是ctrl + s   ctrl + q 继续

启动一台内网的服务器，我们链接了VPN的电脑已经得到172.16.1.101了，但是还是无法访问内网服务器

为什么呢？因为VPN服务器少了一样东西，没有开启内核的转发功能

什么是内核的转发功能？数据通过 eth0 传递给 eth1 在传递给其他服务器

临时的：/proc/sys/ipv4/ip_forward 中的0改为1

永久的：将/etc/sysctl.conf 中加上net.ipv4.ip_forward=1

使生效

[root@m02 ~]# sysctl -p
net.ipv4.ip_forward = 1

另一种方法：端口映射

在虚拟就的网络设置中有，NAT设置中有端口转发

首先需要知道路由器的IP

缺点是依赖路由器的IP

VPN日志审计

可以通过命令man pppd 查看 变量的含义和用法

注意ip-up和ip-down最后一行是 exit 0 表示退出，脚本一定要写在它前面

也可以用sed命令 sed “$i#” ip-up

不用重启　

企业案例

子公司的服务器没有公网IP，但是可以访问公网，总公司有，运维人员如何才能连接到子公司的服务器