Настройка IPsec-туннеля для защиты NFS

Для защиты передаваемых по NFS данных настройте IPsec туннель между серверами.

Настройка на сервере Staffcop (NFS-сервер)

  1. Установите strongSwan:

sudo apt install strongswan -y

  1. Отредактируйте /etc/ipsec.conf:

sudo nano /etc/ipsec.conf

Добавьте конфигурацию:

conn nfs-to-client
    authby=psk
    left=%any
    leftid=<IP_СЕРВЕРА_NFS>
    leftsubnet=<IP_СЕРВЕРА_NFS>/32
    right=<IP_КЛИЕНТА_NFS>
    rightsubnet=<IP_КЛИЕНТА_NFS>/32
    auto=start
    ike=aes256-sha256-modp2048!
    esp=aes256-sha256!
    type=transport

Замените <IP_КЛИЕНТА_NFS> на адрес сервера файлового сканера, <IP_СЕРВЕРА_NFS> — на адрес сервера Staffcop.

  1. Сгенерируйте PSK ключ:

openssl rand -base64 32

  1. Откройте /etc/ipsec.secrets:

sudo nano /etc/ipsec.secrets

Добавьте ключ в строку:

<IP_СЕРВЕРА_NFS> <IP_КЛИЕНТА_NFS> : PSK "сгенерированный_ключ_в_base64"

  1. Запустите strongSwan:

sudo systemctl restart strongswan-starter
sudo systemctl enable strongswan-starter

Настройка на сервере файлового сканера (NFS-клиент)

  1. Установите strongSwan:

sudo apt install strongswan -y

  1. Отредактируйте /etc/ipsec.conf:

sudo nano /etc/ipsec.conf

Добавьте конфигурацию:

conn nfs-to-server
    authby=psk
    left=%any
    leftid=<IP_КЛИЕНТА_NFS>
    leftsubnet=<IP_КЛИЕНТА_NFS>/32
    right=<IP_СЕРВЕРА_NFS>
    rightsubnet=<IP_СЕРВЕРА_NFS>/32
    auto=start
    ike=aes256-sha256-modp2048!
    esp=aes256-sha256!
    type=transport

Замените <IP_КЛИЕНТА_NFS> на адрес сервера файлового сканера, <IP_СЕРВЕРА_NFS> — на адрес сервера Staffcop.

  1. Откройте /etc/ipsec.secrets:

sudo nano /etc/ipsec.secrets

Добавьте ключ в строку:

<IP_СЕРВЕРА_NFS> <IP_КЛИЕНТА_NFS> : PSK "сгенерированный_ключ_в_base64"

  1. Запустите strongSwan:

sudo systemctl restart strongswan-starter
sudo systemctl enable strongswan-starter

Внимание

После настройки IPsec убедитесь, что трафик NFS проходит через защищенный туннель.

Последнее обновление: 16.12.25