Блог о системном администрировании. статьи о linux, windows, схд netapp и виртуализации

Введение

Подробности о выходе новой версии вы можете узнать в официальной новости с сайта freebsd.org. С нововведениями можно ознакомиться в соответствующем разделе , посвещенному 11-й версии. Про ключевые новшества на русском языке предлагаю прочитать на opennet, сюда копировать не буду. Там, кстати, интересное обсуждение на тему, кому сейчас нужна Freebsd 11. Я так мельком просмотрел, увидел примерно то, что и ожидал увидеть. К сожалению, фряха теряет свою популярность и сам я ей почти не пользуюсь, отвык уже. Пишу про обновления по старой памяти. С Freebsd 6 я начинал свою работу сисадмином, до сих пор приятно набрать make install clean и наблюдать, как на мониторе бегают всякие строчки

2: Изменение сервера времени (опционально)

Стандартный конфигурационный файл находится в /usr/local/etc/ntpd.conf. Откройте его в текстовом редакторе:

Поддерживаемый проектом GeoDNS, pool.ntp.org обычно возвращает IP-адреса вашей страны (или рядом). В большинстве случаев это подходит.

Также можно указать часовой пояс (например, br.pool.ntp.org, de.pool.ntp.org, orru.pool.ntp.org), чтобы подогнать или ограничить результаты согласно вашим требованиям.

Примечание: Чтобы узнать больше о NTP Pool Project, посетите сайт проекта.

В данном руководстве для примера используется NTP. Br, бразильский проект, показывающий правильное время на территории Бразилии.

Выберите сервер времени, как показано выше.

Примечание: Вместо pool.ntp.br укажите свой сервер.

3: Настройка ограничений

Пользовательские настройки клиента позволяют добавлять поддержку ограничений, чтобы ntpd  мог запрашивать дату.

В руководстве ntpd.conf сказано: «Принятые NTP-пакеты с информацией о времени, которые не входят в диапазон, будут отброшены, а такие серверы NTP будут помечены как недействительные». Это предотвращает атаки «человек посередине», сохраняя при этом точность часов.

Добавьте ограничения в файл /usr/local/etc/ntpd.conf, чтобы установить доверенный диапазон. При этом используйте несколько надёжных, проверенных HTTPS сайтов. Чтобы раскомментировать строку, удалите символ #.

Подготовка к установке FreeBSD 11.0

Сначала необходимо подготовить загрузочный носитель. Это может быть флэшка, CD-диск или DVD-диск. Также можно установить операционную систему FreeBSD через сетевую установку, но для этого придется сначала создать сервер для загрузки по сети.

Скачиваем необходимый дистрибутив с официального сайта проекта Анонс релиза FreeBSD 11.0.

Сервер для загрузки дистрибутива ОС. Вам необходимо скачать нужный файл. Учтите, что если у вас сервер не поддерживает 64х битную архитектуру, то скачиваете файл содержащий i386  в названии, например FreeBSD-11.0-RELEASE-i386-bootonly.iso. Если ваш сервер более менее современный, то рекомендуется устанавливать дистрибутив содержащий в названии amd64 (слово amd не говорит, что это процессор AMD, т.е. устанавливается и на процессоры INTEL), также есть дистрибутивы для других архитектур, но они используются очень редко. Если вы ничего не поняли про архитектуры и процессоры, то выбирайте выделенный жирным шрифтом файл, скорее всего он вам и нужен

Для установки на флэшку скачиваем файл: FreeBSD-11.0-RELEASE-amd64-memstick.img

Для установки с CD-диска: FreeBSD-11.0-RELEASE-amd64-disc1.iso

Для установки с DVD-диска: FreeBSD-11.0-RELEASE-amd64-dvd1.iso 

Если вы используете Windows, то записать можно щелкнув на скачанном файле правой кнопкой мышки и вызвав контекстное меню выбрать в нем пункт меню «Записать образ диска».

Для записи образа на флэшку, придется скачать специальную программу и записать с помощью нее этот образ на диск. Это необходимо, чтобы флэшка стала загрузочной. Наиболее популярная программа Win32 Disk Imager: бесплатная, без лишних наворотов и не требует установки. Запускаем ее выбираем скачанный образ, выбираем имя диска с вставленной флэшкой и нажимаем Write. Все готово!

Кстати после того, как вы установили FreeBSD с флэшки, вставив ее обратно в компьютер с Windows, вы не сможете ни отформатировать ее средствами Windows, ни нормально ее использовать. Для того, чтобы ее переоформатировать придется использовать специальную программу, например RUFUS. Ничего страшного в этом нет, просто имейте ввиду.

На моем сервере не пошла загрузка с флэшки, хотя версия FreeBSD 9.3 загружается. Пришлось записывать DVD-диск и подсоединять внешний DVD-привод, т.к. в сервере не было DVD-ROMa. Естественно в BIOS необходимо выбрать первым устройством то устройство, с которого вы будете производить установку системы. Вход в BIOS у всех компьютеров по разному, на моем сервере через клавишу F2 (у вас может быть F1, F10, Del)

Если загрузка с диска или флэшки благополучно пошла, то после того как пробегут разные буковки, вы увидите следующее меню.

Создание пользователя во FreeBSD

rootsuroot

su
Password:
root@freebsd:/home/username #

adduser

# adduser

Username: sysadmin
имя создаваемого пользователя
Full name: Ivan Ivanov
полное имя, можно оставить пусты, просто нажать Enter
Uid (Leave empty for default):
user id, можно ввести самому, начиная с номера 1001, либо нажать Enter, система выберет сама
Login group :
группа в которую входит создаваемый пользователь, по умолчанию совпадает с именем
Login group is sysadmin. Invitesysadmin into other groups? []:
включить-ли пользователя в другие группы, если нет, жмем Enter
Login class :
класс пользователя, о них поговорим чуть позже, на данном этапе, жмем Enter
Shell (sh csh tcsh nologin) : sh
здесь предлагается выбрать системную оболочку, если вы не собираетесь давать данной учетной записи, 
удаленный доступ к системе, например через SSH, вписываем nologin, 
либо выбираем из предложенных вариантов, я обычно ставлю sh
Home directory [/home/sysadmin]:
назначаем домашнюю директорию, если значение по-умолчанию устраивает, жмем Enter
Home directory permissions (Leave empty for default):
права доступа на домашнюю директорию, что-бы оставить по-умолчанию, жмем Enter
Use password-based authentication? :
использовать-ли авторизацию по паролю
Use an empty password? (yes/no) :
можно-ли использовать пустые пароли
Use a random password? (yes/no) :
система предлагает сгенерировать вам пароль, если вы хотите согласиться, нужно написать yes 
на заключительном этапе создания учетной записи, будет показан сгенерированный пароль
если предпочитаете ставить пароль вручную, жмите Enter
Enter password:
вводим пароль, имейте в виду, программа не покажет, что вы вообще что-либо вводите
так что будьте внимательны
Enter password again:
повторный ввод пароля
Lock out the account after creation? :
заблокировать-ли учетную запись после создания

wheel

Дополнительные материалы по Freebsd

Онлайн курс по Linux

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «Administrator Linux. Professional» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и установке Linux на виртуалку. Обучение длится 5 месяцев, после чего успешные выпускники курса смогут пройти собеседования у партнеров.

Что даст вам этот курс:

• Знание архитектуры Linux.
• Освоение современных методов и инструментов анализа и обработки данных.
• Умение подбирать конфигурацию под необходимые задачи, управлять процессами и обеспечивать безопасность системы.
• Владение основными рабочими инструментами системного администратора.
• Понимание особенностей развертывания, настройки и обслуживания сетей, построенных на базе Linux.
• Способность быстро решать возникающие проблемы и обеспечивать стабильную и бесперебойную работу системы.

Проверьте себя на вступительном тесте и смотрите подробнее программу по .

Рекомендую полезные материалы по Freebsd:

Установка Настройка Обновление Шлюз Прокси сервер Веб сервер NGINX Веб сервер Apache Описание установки Freebsd 11 на одиночный диск, либо на софтовый raid1, сделанный средствами zfs, которые поддерживает стандартный установщик. Базовая настройка Freebsd, которую можно выполнить после установки сервера общего назначения. Представлены некоторые рекомендации по повышению удобства пользования и безопасности. Описание и нюансы обновления системы Freebsd с помощью утилиты freebsd-update. Показано пошагово на конкретном примере обновления. Настройка Freebsd шлюза для обеспечения выхода в интернет. Используется ipfw и ядерный нат, dnsmasq в качестве dhcp и dns сервера. Мониторинг сетевой активности с помощью iftop. Подробная настройка на Freebsd прокси сервера squid + sams2 — панели управления для удобного администрирования. Настройка максимально быстрого web сервера на базе Freebsd и nginx + php-fpm. Существенный прирост производительности по сравнению с классическим apache. Настройка web сервера на Freebsd в связке с apache, nginx, php и mysql. Пошаговая установка и настройка каждого компонента.

Установка и настройка ipfw

Настройка фаервола сервера это тема отдельной статьи, тут я подробно останавливаться на этом не буду. Мы просто запустим фаервол на нашей freebsd 10, установим скрипт для безопасного редактирования правил. А дальше каждый уже сам по своему желанию сможет безопасно настраивать удаленно фаервол, не боясь потерять доступ к серверу.

Для работы ipfw необходимо либо пересобрать ядро с нужными функциями, любо подгружать модуль во время загрузки. Второй вариант проще и быстрее, воспользуемся им. Добавим в /etc/rc.conf строку:

firewall_enable="YES"

Если нам не нужен NAT, forward портов, то больше ничего делать не нужно, ipfw подключится во время загрузки сервера. Если мы оставим только эту строку и перезагрузим сервер, то удаленно мы к нему больше не подключимся, фаервол заблокирует все соединения. Чтобы того не произошло, указываем путь к файлу с правилами:

firewall_script="/usr/local/etc/ipfw/rc.firewall"

Идем в указанную папку и создаем файл следующего содержания:

#!/bin/sh -

fwcmd="/sbin/ipfw"
${fwcmd} -f flush
${fwcmd} -f queue flush
${fwcmd} -f pipe flush

${fwcmd} add allow ip from any to any

Это полностью открытый фаервол, который разрешает все подключения. Делаем файл исполняемым. Перезагружаем сервер. После перезагрузки подключаемся удаленно. Проблем не должно возникнуть, фаервол у нас ничего не блокирует. Убеждаемся в этом, запустив команду:

# ipfw show

В ответ получаем:

00100 115 15052 allow ip from any to any
65535 0 0 deny ip from any to any

На первом месте наше правило, которое все разрешает, на втором, запрещающее. Все пакеты попадают под первое правило. В Freebsd есть замечательный скрипт, с помощью которого можно безопасно настраивать ipfw. Работает он просто. Вы запускаете скрипт, редактируете правила, потом сохраняете их и принимаете изменения. Скрипт после применения правил выводит сообщение о том, что все ли в порядке, записываем правила или нет. Если вы где-то ошиблись и вас отключило от сервера, вы не сможете положительно ответить на вопрос. Скрипт ждет 30 секунд ответа и если его не получает, откатывается на предыдущую версию правил. Вы спокойно подключаетесь и смотрите, где ошиблись.

Копируем себе скрипт:

# cp /usr/share/examples/ipfw/change_rules.sh /usr/local/etc/ipfw_change_rules

и делаем его исполняемым:

# chmod 0700 ipfw_change_rules

Теперь можно экспериментировать. При запуске скрипта будет открываться файл с правилами ipfw. После сохранения файла и выхода из него, скрипт спросит, применить или нет новые правила. Дальше я уже описал его логику.

Настройка OpenVPN сервера

Для начала создадим директорию где будут храниться файлы конфигурации и ключи нашего будущего сервера.

# mkdir /usr/local/etc/openvpn

Копируем туда пример файла конфигурации сервера server.conf:

# cp /usr/local/share/examples/openvpn/sample-config-files/server.conf  /usr/local/etc/openvpn/server.conf

и каталог с файлами Easy-RSA:

# cp -r /usr/local/share/easy-rsa /usr/local/etc/openvpn/easy-rsa

Вот теперь начинается самое интересное. Для генерации ключей переходим в только что созданный каталог:

# cd /usr/local/etc/openvpn/easy-rsa

в котором нас ожидает совсем не то что было раньше:

# ls
easyrsa.real		openssl-1.0.cnf.example	vars.example
openssl-1.0.cnf		vars			x509-types

Правим конфигурационный файл Easy-RSA

Тут нам нужно заполнить необходимые поля о нашей организации, городе и прочее. Просто расскомментируйте требуемые поля и внесите изменения. Ничего нового пока нет.

set_var EASYRSA_REQ_COUNTRY     "<COUNTRY>"
set_var EASYRSA_REQ_PROVINCE    "<PROVINCE>"
set_var EASYRSA_REQ_CITY        "<CITY>"
set_var EASYRSA_REQ_ORG         "<ORGANIZATION>"
set_var EASYRSA_REQ_EMAIL       "<EMAIL>"
set_var EASYRSA_REQ_OU          "<ORGANIZATIONAL UNIT>"

Генерация ключей

Вот тут принципиальное отличие. Теперь ключи генерируются одним единственным shell-скриптом easyrsa.real

Посмотреть все возможные команды нового скрипта easy-rsa можно так:

./easyrsa.real help
init-pki
  build-ca 
  gen-dh
  gen-req <filename_base> 
  sign-req <type> <filename_base>
  build-client-full <filename_base> 
  build-server-full <filename_base> 
  revoke <filename_base>
  gen-crl
  update-db
  show-req <filename_base> 
  show-cert <filename_base> 
  import-req <request_file_path> <short_basename>
  export-p7 <filename_base> 
  export-p12 <filename_base> 
  set-rsa-pass <filename_base> 
  set-ec-pass <filename_base> 

Для более детального ознакомления с отдельными командами и опциями следует ввести:

# ./easyrsa help COMMAND
# ./easyrsa help options

Создаем инфраструктуру публичного ключа (Public Key Infrastructure)

# ./easyrsa.real init-pki

Этой команда выполняется один раз, создавая структуру каталогов для будущих ключей /usr/local/etc/openvpn/easy-rsa/pki

Создание Certificate Authority

# ./easyrsa.real build-ca nopass

Опция “nopass” указывает что пароль при запуске не требуется, но помните что ключи в таком случае должны быть тщательно защищены.

Создание сертификата сервера (Server Certificate)

# ./easyrsa.real build-server-full openvpn-server nopass

посмотреть созданный ключ можно командой:

# ./easyrsa.real show-cert openvpn-server

Создание сертификатов клиентов (Client Certificate)

# ./easyrsa.real build-client-full client_name nopass

Генерация Diffie Hellman Parameters

# ./easyrsa.real gen-dh

Прописываем ключи OpenVPN серверу

Создадим специальный каталог, откуда openvp-cервер будет брать нужные ключи для авторизации:

# mkdir /usr/local/etc/openvpn/keys
# cp pki/dh.pem \
           pki/ca.crt \
           pki/issued/openvpn-server.crt \
           pki/private/openvpn-server.key \
           /usr/local/etc/openvpn/keys

Туда же скопируем файлы ключей наших пользователей из каталогов:

pki/issued/<client_name>.crt
pki/private/<client_name>.key

Собственно, дальнейшая настройка аналогична старому варианту, сам конфигуционный файл openvpn-сервера не претерпел каких-то особых изменений и предыдущая статья о настройке в этом плане актуальна.

Небольшое дополнение. Для автоматического поднятия интерфейса tap0 нужно в конце rc.conf добавить строчку:

ifconfig_tap0="up"

Подписывайтесь на канал и узнавайте первыми о новых материалах, опубликованных на сайте.

Если считаете статью полезной,не ленитесь ставить лайки и делиться с друзьями.

Сборка ядра FreeBSD. Если что-то пошло не так…Принудительная отправка deferred почты в PostfixНастройка почтового веб-интерфейса RoundCuberead (subshell_pty…): No such file or directory (2)Самый «нестыдный» LINUXУстановка OpenMediaVault на компьютер с единственным жёстким диском

Настройка sudo (root права) пользователю во FreeBSD

sudo

pkg update

pkg install sudo

# cd /usr/local/etc
# ls -l sudoers
-r--r----- 1 root wheel 3646 20 авг. 21:36 sudoers

# chmod u+w /usr/local/etc/sudoers

# mcedit /usr/local/etc/sudoers

...
##
## Runas alias specification
##

##
## User privilege specification
##
root ALL=(ALL) ALL
sysadmin ALL=(ALL) ALL

## Uncomment to allow members of group wheel to execute any command
# %wheel ALL=(ALL) ALL

## Same thing without a password
# %wheel ALL=(ALL) NOPASSWD: ALL

## Uncomment to allow members of group sudo to execute any command
# %sudo ALL=(ALL) ALL

%wheel ALL=(ALL) NOPASSWD: ALLNOPASSWDsu

$ su service zabbix-server restart

Настройка netfilter (iptables) для NTP сервера

Настроив работу сервера, неплохо было бы его защитить. Мы знаем, что сервер работает на 123/udp порту, при этом запросы так же отправляются с порта 123/udp. Ознакомившись со статьей, что такое netfilter и правила iptables и ознакомившись с практическими примерами iptables, можно создать правила фильтрации сетевого трафика:

ntp ~ # iptables-save
# типовые правила iptables для DNS
*filter
:INPUT DROP 
:FORWARD DROP 
:OUTPUT DROP 
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
# разрешить доступ локальной сети к NTP серверу:
-A INPUT -s 192.168.1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack --ctstate NEW -j ACCEPT
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -p icmp -j ACCEPT
-A OUTPUT -p udp -m udp --sport 32768:61000 -j ACCEPT
-A OUTPUT -p tcp -m tcp --sport 32768:61000 -j ACCEPT
-A OUTPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# разрешить доступ NTP серверу совершать исходящие запросы
-A OUTPUT -p udp -m udp --sport 123 --dport 123 -m conntrack --ctstate NEW -j ACCEPT
COMMIT

Это типовой пример! Для задания правил iptables под Ваши задачи и конфигурацию сети, необходимо понимать принцип работы netfilter в Linux, почитав вышеуказанные статьи.

Настройка NTP-сервера с помощью NTPd в Debian 10 Buster

Установите NTP на Debian 10 Buster

Пакет ntp предоставляет демона NTPd, который отвечает за установку и поддержание системного времени дня синхронно со стандартными серверами времени Интернета. Пакет ntp доступен в репозиториях Debian 10 Buster по умолчанию. Следовательно, вы можете установить, выполнив команду ниже;

Запуск службы NTP

NTP запускается и запускается при загрузке системы после установки. Проверить статус;

Чтобы проверить, разрешен ли запуск при перезагрузке системы;

Настроить пул NTP

NTP по умолчанию настроен на использование серверов времени из пула Debian для синхронизации времени. Вы можете настроить свой NTP-сервер на использование серверов времени, близких к вашему часовому поясу.

Получите список серверов в вашем часовом поясе (или на вашем континенте) с  серверов времени публичного пула NTP . Затем откройте файл конфигурации NTP, прокомментируйте серверы пула Debian и добавьте серверы времени пула NTP вашего часового пояса. Например, чтобы использовать серверы пула времени NTP из Европы, вы должны добавить следующие строки в конфигурацию NTP.

Настройка контроля доступа к серверу NTP

Чтобы разрешить только определенным клиентам NTP запрашивать службы времени с вашего сервера NTP для синхронизации времени, вам необходимо установить контроль доступа, чтобы определить, какие клиенты разрешить. Это можно сделать с помощью параметра ограничения NTP, который принимает синтаксис;

Например, чтобы разрешить хостам в сети 192.168.1.0/24 запрашивать точное время и статистику с вашего NTP-сервера;

Где:

• options предотвращает любые изменения конфигурации
• опция предотвращает   ловушки протокола управляющих сообщений.
• опция предотвращает формирование одноранговой ассоциации

Для базовой настройки сервера NTP это всего лишь конфигурация. Сохраните конфигурацию и перезапустите службу NTP.

Проверьте соединение сервера NTP с узлами NTP и сводку их состояния, выполнив команду;

Как вы можете видеть, наш NTP — сервер теперь всматривался в ntp4.inx.net.za . В Звездочка показывает предпочтительный источник времени.

Настройка клиентов

Настройка PPTP-соедения на Windows вещь элементарная и описывать её не стоит. Нужно только отметить что в качестве сервера для подключения нужно указывать авторой IP-адрес (алиас) сервера, а точкой выхода будет первый (основной) адрес. Шифрование в Windows включено и используется по умолчанию.

В Linux (при использовании Network Manager) шифрование по умолчанию выключено и потому его нужно включать самому. Для этого в свойствах соединения нужно нажать кнопку «Advanced» и включить «MPPE» и «stateful encryption»:

После этого соединение проходит успешно и между клиентом и сервером ходит шифрованный трафик.

Дополнительные материалы по Freebsd

Онлайн курс «SRE практики и инструменты»

Если у вас есть желание научиться строить и поддерживать высокодоступные и надежные системы, рекомендую познакомиться с онлайн-курсом «SRE практики и инструменты» в OTUS. Курс не для новичков, для поступления нужны базовые знания по сетям и Linux. Обучение длится 3 месяц, после чего успешные выпускники курса смогут пройти собеседования у партнеров.

На курсе вы узнаете как:

• Внедрить SRE практики в своей организации
• Управлять надежностью, доступностью и эффективностью сервисов
• Управлять изменениями
• Осуществлять мониторинг
• Реагировать на инциденты и производительность
• Работать со следующим технологическим стеком: Linux, AWS, GCP, Kubernetes, Ansible, Terraform, Prometheus, Go, Python.

Проверьте себя на вступительном тесте и смотрите подробнее программу по .

Рекомендую полезные материалы по Freebsd:

Установка Настройка Обновление Шлюз Прокси сервер Веб сервер NGINX Веб сервер Apache Описание установки Freebsd 11 на одиночный диск, либо на софтовый raid1, сделанный средствами zfs, которые поддерживает стандартный установщик. Базовая настройка Freebsd, которую можно выполнить после установки сервера общего назначения. Представлены некоторые рекомендации по повышению удобства пользования и безопасности. Описание и нюансы обновления системы Freebsd с помощью утилиты freebsd-update. Показано пошагово на конкретном примере обновления. Настройка Freebsd шлюза для обеспечения выхода в интернет. Используется ipfw и ядерный нат, dnsmasq в качестве dhcp и dns сервера. Мониторинг сетевой активности с помощью iftop. Подробная настройка на Freebsd прокси сервера squid + sams2 — панели управления для удобного администрирования. Настройка максимально быстрого web сервера на базе Freebsd и nginx + php-fpm. Существенный прирост производительности по сравнению с классическим apache. Настройка web сервера на Freebsd в связке с apache, nginx, php и mysql. Пошаговая установка и настройка каждого компонента.

Временное назначение ip адреса.

Честно говоря я не знаю для чего может пригодиться временное назначение сетевых настроек. Разве что допустим у вас какой-нибудь сервер который предназначен только для вашей локальной сети и вы вдруг решили быстренько обновить ПО через интернет на этом сервере, чтобы не ходить к шлюзу не раздавать интернет на нужный IP адрес итд.  Вы можете обойтись парой команд.

Например, мы знаем что на 192.168.3.109 точно есть доступ в интернет, назначаем этот IP адрес нашему интерфейсу, так же нужно указать маску сети(Рис.12):

ifconfig em0 192.168.3.109 netmask 255.255.255.0

или командой с короткой записью маски сети.

ifconfig em0 192.168.3.109/24

Рис.12 — Указание временных настроек для сетевого интерфейса em0.

Интернет может  не появиться, так как не указан шлюз по умолчанию. Прописываем его и пингуем гугловкие восьмёрки.(Рис.13)

route add default 192.168.3.1

ping 8.8.8.8

Рис.13 — Указываем шлюз по умолчанию. Проверяем ping.

Правильно ли мы прописали наш шлюз по умолчанию можно посмотреть в таблице маршрутизации. Она выводится с помощью команды «netstat -rn», Шлюз по умолчанию будет обозначен флагом UG.(Рис.14)

netstat -rn

Рис.14 — Вывод таблицы маршрутизации.

Если вы где-то ошиблись в написании или у вас указан другой шлюз, то можно удалить шлюз по умолчанию.

route del default

На этом временная настройка закончена, помните что после перезагрузки сервера  или отдельно службы networking, все временные настройки исчезнут.

Добавляем маршрут в сеть 192.168.0.0/16 (Маска 255.255.0.0) через основной шлюз(gateway) 192.168.3.1/24

route add 192.168.0.0/16 192.168.3.1

Вариант добавления маршрута с указанием полной маски.

route add -net 192.168.0.0 -netmask 255.255.0.0 192.168.3.1

Настроить NTP-клиент

Чтобы убедиться, что настроенный сервер действительно работает, вам необходимо настроить клиент NTP для запроса времени с нашего сервера NTP. В этом руководстве Debian 10 Buster аналогичным образом используется в качестве клиента NTP.

Что ж, если вам нужно просто запустить синхронизацию времени один раз, вы можете просто использовать команду ntpdate . Чтобы установить ntpdate ;

После завершения установки вы можете запросить службы времени с сервера с помощью ntpdate , выполнив команду;

Если вам нужно автоматически настроить ваш клиент на постоянный запрос времени с сервера NTP, вы можете использовать сам демон NTP. Следовательно, установите пакет NTP и настройте его для запроса служб времени с вашего сервера NTP.

После завершения установки настройте ваш NTP-клиент для запроса NTP-сервера. Это можно сделать с помощью серверной команды, которая принимает форму;

Например;

Опция iburst сокращает время, необходимое для начальной синхронизации.

Вы также можете закомментировать серверы пула времени Debian NTP по умолчанию, чтобы вы могли просто использовать свой собственный сервер NTP.

Следовательно, откройте файл конфигурации NTP

Сохраните и выйдите из файла конфигурации.

Затем отключите Systemd timesyncd ntp.

Перезапустить службу NTP

Проверить синхронизацию времени

Отлично. Вы успешно установили и настроили NTP-сервер с помощью NTPd в Debian 10 Buster. Вы также настроили клиент и протестировали работу вашего NTP-сервера. Наслаждаться.