Интернет-шлюз на Linux или как раздать интернет в LAN

0. Задача

Недавно встала задача раздать интернет в локальную сеть. Причем не просто раздать, но еще и наладить оперативный контроль и управление пользователями, а также проверить входящий трафик на вирусы. Задачей номер два являлось поднятие файл-сервера (так же с антивирем), чтобы запретить расшаривание папок и все файлы передовать только через этот сервер.

В начале было решено поставить на одном компе с двумя сетевыми картами Ubuntu и с помощью IPTables перенаправить трафик на прокси-сервер Squid, а для удобного управления прикрутить к нему веб-интерфейс SAMS. Однако после продолжительного гугления и разговоров со знакомыми решение было измененно, и в качестве дистрибутива был выбран ClarkConnect 4.3. Его преимущества заключаются в том, что в нем уже есть все необходимое для поднятия сервера (WEB, FTP, Mail, прокси-сервера, сервера доступа, файл-сервера и пр) для малой и средней организации.

1. Установка

Скачать Clarkconnect Community можно здесь. Дистрибутив распространяется в виде образа iso для последующего создания установочного диска. Пока записывается диск проверим соответствие выбранного компьютера минимальным системным требованиям (CPU 500Mhz, 512RAM, HDD 1Gb). Для начала установки загрузимся с созданного CD. Установка происходит в текстовом режиме, в виде диалога и в целом очень напоминает RedHat Linux. Среди языков есть русский, при выборе которого вы получите русифицированную инсталляцию, консоль и немного web-интерфейса(пока только Current status).
Основные моменты: выбор режим работы сервера Standalone (Изолированный) или Gateway (Шлюз) и разбивка диска с последующим выбором сервисов. При использовании режима Gateway необходимо использовать как минимум два сетевых адаптера. В этом режиме обеспечивается общий доступ в интернет, с контролем входящих и исходящих соединений.
При разбивке дисков следует внимательно отнестись к автоматическому режиму — вся информация на них будет уничтожена. Возможен ручной режим при помощи Disk Druid. Выбор сервисов зависит от того, какие функции вы хотите возложить на сервер.
После копирования файлов и перезагрузки вы можете локально войти в систему под учетной записью root используя приглашение ввести пароль. Здесь можно настроить сетевые интерфейсы и изменить роль сервера (Standalone/Gateway). Также присутствует анализатор трафика и естественно консоль.
Для настройки сервера предусмотрен web-интерфейс. Он доступен по умолчанию только на внутреннем интерфейсе (если есть необходимость входа с внешнего интерфейса потребуется в Firewall Incoming открыть 81 порт). Для входа наберите в адресной строке браузера https://(ip-адрес вашего сервера):81. При первом входе используйте логин root с паролем заданным во время установки, а в дальнейшем рекомендуется создать профиль с правами администратора и пользоваться им.

2.Первичная настройка

После входа в web-интерфейс перейдите в меню Reports, пункт Current Status — вы попадете в общие сведения об установленной системе. Здесь можно увидеть аппаратную конфигурацию вашего сервера, время работы с момента последней перезагрузки и информацию о файловых системах и точках монтирования. На статус использования памяти равный 99% не стоит реагировать её увеличением, все равно она будет использована вся без исключения. Так-же присутствует статус сетевых интерфейсов и объем трафика прошедшей через них.
Первое ваше действие после установки будет заключаться в регистрации системы на сайте (бесплатно) и загрузки необходимых обновлений. Идем на сайт www.clarkconnect.com, далее во вкладку Login и выбираем пункт Create account. После получения логина и пароля используем их при регистрации в web-интерфейсе зайдя в меню Services, пункт Register System. После завершения регистрации переходим к пунктам Critical Updates и Recommended Updates. Выбираем все обновления и устанавливаем их. В разделе Software Modules можно посмотреть и установить дополнительные модули.

3.Настойка модулей.

После обновления системы переходим в меню System во вкладку Running Services. На этой странице мы можем видеть состояния сервисов и управлять их запуском, а по ссылке Configure переходить к страницам их конфигурирования. В web-интерфейсе реализованы лишь базовые функции их настроек, которых достаточно для обеспечения начального функционирования. Для желающих осуществить более полноценное управление сервисами есть командная строка доступная по SSH.
Не забудьте воспользоваться меню Account Manager для создания администраторского и пользовательских профилей и групп. Помните ,что например в web-почту https://(ip-адрес вашего сервера):83 невозможно авторизоваться под учетной записью root.

4.Общий доступ в Интернет.
Если при установке Clarkconnect вы выбрали роль сервера Gateway. то для обеспечения общего доступа в интернет все базовые настройки уже присутствуют.
Firewall уже настроен для блокирования запросов по всем портам за исключением порта 1875 требуемым для взаимодействия с www.clarkconnect.com. Исходящие соединения разрешены все. Управление модулем Firewall достаточно простое и не вызовет трудностей.
При помощи Network Tools вы можете увидеть активные соединения, таблицу маршрутизации и статистику протоколов.
Также доступно перенаправленные портов и выделение пользователям/ip-адресам/портам полосы пропускания с приоритетом использования. Например, если в вашей сети работает телефонный сервер Asterisk то его ip-адресу или порту (sip-5060) можно установить высший приоритет. Или наоборот пользователю использующему Emule можно ограничить полосу до 64kbit/sec и установить низший приоритет. Все это легко настраивается в меню Network, пункт Bandwidth.
Для экономии трафика и его учета воспользуйтесь модулем Proxy Server. При включении прозрачного прокси-сервера вы сможете просматривать статистику по пользователям/ ip-адресам/именам компьютеров в меню Report пункт Proxy Report.
Для распознавания/блокирования атак используется модуль Intrusion Detection/Prevention. Всем распознаваемым атакам присваивается код атаки, обозначение которого можно посмотреть нажав на него. IP-адреса с которых обнаружены атаки блокируются на 24 часа.
Ознакомиться со статистикой работы всех систем сервера можно в меню Report, пункт Statistics(графическое представление). Лог файлы там-же в пункте Logs.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *