LXF139:IPCop

Материал из Linuxformat.

(Различия между версиями)
Перейти к: навигация, поиск
(Вы­бе­ри­те ди­ст­ри­бу­тив)
Строка 13: Строка 13:
===Вы­бе­ри­те ди­ст­ри­бу­тив===
===Вы­бе­ри­те ди­ст­ри­бу­тив===
-
{{Врезка|Содержание=LXF139_72_1.jpg|300px Графический ин­тер­фейс ус­та­нов­щи­ка спар­тан­ский, но ра­бо­та­ет. Вы поч­ти на­вер­ня­ка за­хо­ти­те вклю­чить DHCP-сер­вер.|Ширина=300px}}
+
{{Врезка|Содержание=[[Изображение:LXF139_72_1.jpg|300px]] Графический ин­тер­фейс ус­та­нов­щи­ка спар­тан­ский, но ра­бо­та­ет. Вы поч­ти на­вер­ня­ка за­хо­ти­те вклю­чить DHCP-сер­вер.|Ширина=300px}}
Су­ще­ст­ву­ет нема­ло ди­ст­ри­бу­ти­вов для ис­поль­зо­вания на бранд­мау­эрах, и часть из них осно­ва­на на FreeBSD, а не на Linux. Ди­ст­ри­бу­ти­вы мож­но раз­де­лить на две груп­пы: те, что обес­пе­чи­ва­ют оп­ре­де­лен­ный бранд­мау­эр/мар­шру­ти­за­тор и те, что пре­достав­ля­ют бо­лее пол­ный ин­тернет-шлюз, в том чис­ле та­кие ве­щи, как пе­чать, поч­та, фай­ло­вые и да­же web-сер­ве­ры. На дан­ном уро­ке мы скон­цен­три­ру­ем­ся на чис­том шлю­зе, бо­лее гиб­кой и мощ­ной аль­тер­на­ти­ве го­то­вых мо­де­мов/мар­шру­ти­за­то­ров, обес­пе­чи­ваю­щей боль­шую безо­пас­ность дру­гим услу­гам. Для это­го мы вы­бра­ли ди­ст­ри­бу­тив IPCop (http://www.ipcop.org). Мы ис­поль­зу­ем ста­биль­ный ре­лиз 1.4.21, но лю­би­те­ли при­клю­чений мо­гут взять вер­сию 1.9.
Су­ще­ст­ву­ет нема­ло ди­ст­ри­бу­ти­вов для ис­поль­зо­вания на бранд­мау­эрах, и часть из них осно­ва­на на FreeBSD, а не на Linux. Ди­ст­ри­бу­ти­вы мож­но раз­де­лить на две груп­пы: те, что обес­пе­чи­ва­ют оп­ре­де­лен­ный бранд­мау­эр/мар­шру­ти­за­тор и те, что пре­достав­ля­ют бо­лее пол­ный ин­тернет-шлюз, в том чис­ле та­кие ве­щи, как пе­чать, поч­та, фай­ло­вые и да­же web-сер­ве­ры. На дан­ном уро­ке мы скон­цен­три­ру­ем­ся на чис­том шлю­зе, бо­лее гиб­кой и мощ­ной аль­тер­на­ти­ве го­то­вых мо­де­мов/мар­шру­ти­за­то­ров, обес­пе­чи­ваю­щей боль­шую безо­пас­ность дру­гим услу­гам. Для это­го мы вы­бра­ли ди­ст­ри­бу­тив IPCop (http://www.ipcop.org). Мы ис­поль­зу­ем ста­биль­ный ре­лиз 1.4.21, но лю­би­те­ли при­клю­чений мо­гут взять вер­сию 1.9.

Версия 06:30, 20 марта 2012

Ро­уте­ры Соз­да­ем точ­ку дос­ту­па в Ин­тер­нет и за­щи­ща­ем свою но­вую сеть

Содержание

Ро­уте­ры: Свой личный I

Часть 1 Соз­дай­те мощ­ный ин­тернет-бранд­мау­эр и ро­утер из ста­ро­го ненуж­но­го ком­пь­ю­те­ра – и обезо­па­си­те ва­шу сеть.

Linux по­стро­ен на се­те­вой ра­бо­те. Это за­ло­же­но в яд­ре опе­ра­ци­он­ной сис­те­мы, а не при­кру­чи­ва­ет­ся рас­ши­рения­ми. И для же­лаю­щих соз­дать ин­тернет-уст­рой­ст­во Linux – вы­бор оче­вид­ный. Са­мое по­пу­ляр­ное ин­тернет-уст­рой­ст­во – мар­ш­ру­ти­за­тор (ро­утер); в на­ши дни та­ко­вое име­ет­ся в боль­шин­ст­ве до­мов. Оно пе­ре­во­дит ва­ше DSL или пря­мое под­клю­чение к Ин­тернет в Ethernet или бес­про­вод­ное со­единение для пе­ре­да­чи в ком­пь­ю­тер. Ес­ли у вас до­ма не один ком­пь­ю­тер, та­кие уст­рой­ст­ва ста­но­вят­ся еще важнее, по­сколь­ку по­зво­ля­ют ис­поль­зо­вать Ин­тернет сра­зу на несколь­ких ма­ши­нах без про­блем с па­ке­та­ми.

Ес­ли у вас несколь­ко ком­пь­ю­те­ров, то ско­рее все­го есть и та­кой, ко­то­рый дав­но за­бро­шен и пы­лит­ся в шка­фу, по­то­му что его мощ­но­сти ма­ло для со­вре­мен­ных за­дач. Вы, воз­мож­но, по­ду­мы­ва­ли вы­ста­вить его на Ebay, но из-за лени и стре­ми­тель­но па­даю­щей цен­но­сти ста­ро­го обо­ру­до­вания так и не вы­ста­ви­ли. Вдох-ните же в это ба­рах­ло но­вую жизнь, в ро­ли ин­тернет-шлю­за! Вы cпросите, по­че­му бы вме­сто это­го не взять го­то­вый мо­дем/мар­ш­ру­ти­за­тор. Од­на из при­чин – вы по­лу­чае­те го­раз­до боль­ший кон­троль над тем, что про­ис­хо­дит в уст­рой­ст­ве, над его функ­ция­ми и их ор­ганиза­ци­ей. Дру­гая при­чи­на – ну, это лю­бо­пыт­ный спо­соб уз­нать о по­доб­ных ве­щах, а не про­сто от­дать все на от­куп ма­ги­че­­ско­­му чер­но­му ящи­ку (или, что бо­лее ве­ро­ят­но, бе­ло­му или се­реб­ри­сто­му).

К дан­ной за­да­че есть два под­хо­да. Пер­вый – восполь­зо­вать­ся спе­ци­аль­ным ди­ст­ри­бу­ти­вом для этой ра­бо­ты, уже на­стро­ен­ным, с нуж­ны­ми па­ке­та­ми. Дру­гой – по­стро­ить все са­мим, ис­поль­зуя минималь­ную уста­нов­ку Linux и до­ба­вив толь­ко са­мое необ­хо­ди­мое ПО для вы­полнения нуж­ных вам функ­ций. Спер­ва мы зай­мем­ся пер­вым спо­со­бом, но пол­но­стью ох­ва­тим под­ход «сде­лай сам» на сле­дую­щем уро­ке.

Вы­бе­ри­те ди­ст­ри­бу­тив

Графический ин­тер­фейс ус­та­нов­щи­ка спар­тан­ский, но ра­бо­та­ет. Вы поч­ти на­вер­ня­ка за­хо­ти­те вклю­чить DHCP-сер­вер.

Су­ще­ст­ву­ет нема­ло ди­ст­ри­бу­ти­вов для ис­поль­зо­вания на бранд­мау­эрах, и часть из них осно­ва­на на FreeBSD, а не на Linux. Ди­ст­ри­бу­ти­вы мож­но раз­де­лить на две груп­пы: те, что обес­пе­чи­ва­ют оп­ре­де­лен­ный бранд­мау­эр/мар­шру­ти­за­тор и те, что пре­достав­ля­ют бо­лее пол­ный ин­тернет-шлюз, в том чис­ле та­кие ве­щи, как пе­чать, поч­та, фай­ло­вые и да­же web-сер­ве­ры. На дан­ном уро­ке мы скон­цен­три­ру­ем­ся на чис­том шлю­зе, бо­лее гиб­кой и мощ­ной аль­тер­на­ти­ве го­то­вых мо­де­мов/мар­шру­ти­за­то­ров, обес­пе­чи­ваю­щей боль­шую безо­пас­ность дру­гим услу­гам. Для это­го мы вы­бра­ли ди­ст­ри­бу­тив IPCop (http://www.ipcop.org). Мы ис­поль­зу­ем ста­биль­ный ре­лиз 1.4.21, но лю­би­те­ли при­клю­чений мо­гут взять вер­сию 1.9.

Ес­те­ст­вен­но, вам так­же по­на­до­бит­ся ком­пь­ю­тер. Сой­дет лю­бой, ко­то­рый ра­бо­та­ет уже не на дро­вах, а на элек­три­че­­ст­ве. I586 или бо­лее поздней вер­сии вполне спра­вит­ся с неболь­шой се­тью и вы­хо­дом в Ин­тернет. В IPCop нет ра­бо­че­го сто­ла – по­сле уста­нов­ки все де­ла­ет­ся уда­лен­но че­рез web-брау­зер, по­это­му тре­бо­вания к па­мя­ти обо­ру­до­вания минималь­ны. Вам по­тре­бу­ют­ся кла­виа­ту­ра и монитор для уста­нов­ки, но их мож­но уб­рать, как толь­ко сис­те­ма бу­дет пе­ре­за­гру­же­на.

Ком­пь­ю­те­ру нужны как минимум два се­те­вых ин­тер­фей­са: Ethernet для локаль­ной се­ти и все­го, что тре­бу­ет под­клю­чения к Ин­тернет. Это мо­жет быть кар­та мо­де­ма DSL-PCI, дру­гая се­те­вая кар­та для под­клю­чения че­рез стан­дарт­ный ка­бель или DSL-мо­дем или да­же толь­ко порт USB, ес­ли у вас нет про­вод­ной свя­зи и ис­поль­зу­ет­ся 3G-бре­лок. Ес­ли вам нуж­на де­ми­ли­та­ри­зо­ван­ная зо­на (DMZ), по­тре­бу­ет­ся до­полнитель­ная се­те­вая кар­та, а так­же бес­про­вод­ная кар­та, ес­ли вы хо­ти­те, что­бы эта ко­роб­ка так­же вы­сту­па­ла в ка­че­­ст­ве точ­ки досту­па Wi-Fi. Кон­цен­тра­тор или ком­му­та­тор Ethernet, под­клю­чен­ный к пор­ту локаль­ной се­ти («зе­ле­ной»), по­зво­лит несколь­ким ком­пь­ю­те­рам од­но­вре­мен­но вы­хо­дит в Ин­тернет че­рез этот мар­шру­ти­за­тор.

Ус­та­нов­ка

LXF139_73_1.jpg

За­гру­зи­тесь с CD IPCop для вхо­да в тек­сто­вый ре­жим. Ес­ли вы привык­ли к гра­фи­че­­ским уста­нов­щи­кам в сти­ле OpenSUSE, Mandriva и Ubuntu, вы ощу­ти­те лег­кий шок – пе­ре­ме­щать­ся на­до кла­ви­ша­ми кур­со­ра, ва­ри­ан­ты вы­би­рать кла­ви­шей про­бе­ла и на­жи­мать Enter для про­дол­жения. Об­ра­ти­те внимание на пре­ду­пре­ж­дение на ранней ста­дии – уста­нов­щик со­трет ин­фор­ма­цию на ва­шем же­ст­ком дис­ке. Вы не мо­же­те сде­лать двой­ную за­груз­ку мар­шру­ти­за­то­ра с Windows: это од­но­за­дач­ная ма­ши­на. От­сут­ст­вие оп­ций раз­биения на раз­де­лы или вы­бо­ра па­ке­тов оз­на­ча­ет, что пе­ред уста­нов­кой де­лать осо­бо нече­го. Вы­бе­ри­те Про­пустить [Skip] на эк­ране восста­нов­ления. Сле­дую­щий шаг – вы­брать ин­тер­фейс Ethernet для «зе­ле­ной» се­ти; дру­гой ин­тер­фейс(ы) бу­дет уста­нов­лен поз­же. Обыч­но луч­ше дать уста­нов­щи­ку са­мо­му вы­брать под­хо­дя­щий ин­тер­фейс, но есть и оп­ции для руч­ной на­строй­ки, ес­ли у вас се­те­вой адап­тер с нети­пич­ны­ми на­строй­ка­ми.

По­сколь­ку мар­шру­ти­за­тор бу­дет так­же вы­сту­пать в ка­че­­ст­ве сер­ве­ра DHCP для ва­шей се­ти, он дол­жен иметь свой ад­рес, при­сво­ен­ный ста­ти­че­­ски. Ес­ли есть со­мнения, ка­кой впи­сать, впи­ши­те 192.168.1.1. Тут вам да­дут web-ад­рес для на­строй­ки; при­ми­те его к све­дению. Од­но из са­мых важ­ных ре­шений во вре­мя уста­-нов­ки – вы­бор ти­па кон­фи­гу­ра­ции се­ти; ис­то­ри­че­­ски по умол­чанию ис­поль­зу­ет­ся Ethernet для «зе­ле­ной» и мо­дем для «крас­ной» се­ти. Ес­ли ваш мо­дем под­клю­ча­ет­ся че­рез Ethernet, из­мените это на GREEN + RED. Вы­бе­ри­те ва­ри­ант ORANGE или BLUE, ес­ли вам так­же нуж­ны DMZ или бес­про­вод­ная сеть – вы мо­же­те из­менить это поз­же, ес­ли пред­по­чи­тае­те про­сто­ту и толь­ко что уста­но­ви­ли «крас­ную» и «зе­ле­ную» для на­ча­ла. За­тем нуж­но ука­зать для IPCop, что ис­поль­зо­вать для до­полнитель­ных ин­тер­фей­сов, в раз­де­ле Драй­ве­ры и кар­ты [Drivers and Card Assignments].

На­строй­ка ад­ре­са

Скорая помощь

Мо­ни­тор и кла­виа­ту­ра по­сле на­строй­ки IPCop вам уже не по­тре­бу­ют­ся, но, воз­мож­но, сто­ит их по­при­дер­жать, по­ка вы не ос­вои­тесь с web-ин­тер­фей­сом... так, на вся­кий слу­чай.

Раз­дел DNS и Gateway мож­но оста­вить пустым, ес­ли ваш мо­дем по­лу­ча­ет эту ин­фор­ма­цию от ин­тернет-про­вай­де­ра по DHCP, но раз­дел на­строй­ки DHCP от­но­сит­ся к ад­ре­сам, ко­то­рые IPCop да­ет «зе­ле­ным» и «синим» се­тям. Не­об­хо­ди­мо ука­зать диа­па­зон ад­ре­сов, из ко­то­рых IPCop мо­жет вы­брать, но оста­вить часть для тех ком­пь­ю­те­ров, ко­то­рые мо­гут ис­поль­зо­вать ста­ти­че­­ский ад­рес. Я обыч­но за­даю на­ча­ло диа­па­зо­на DHCP со 100 (192.168.1.100, ес­ли вы дае­те 192.168.1.1 для са­мо­го IPCop) и ис­поль­зую мень­шие но­ме­ра ад­ре­сов для ста­ти­че­­ских ад­ре­сов, про­сто по­то­му, что так сра­зу вид­ны ад­ре­са, раз­да­вае­мые DHCP. На этом эта­пе так­же нуж­но вклю­чить DHCP-сер­вер. Ос­нов­но­му сер­ве­ру DNS мож­но оста­вить ад­рес ком­пь­ю­те­ра IPCop – тогда IPCop станет кэ­шем DNS, уско­рив об­ра­щение к до­ме­ну, вы­зы­вае­мо­му бо­лее чем одним ком­пь­ю­те­ром – а ка­ким ком­пь­ю­те­рам в ва­шей се­ти не ин­те­ре­сен http://www.google.com или http://www.linuxformat.com? На­конец, нуж­но уста­но­вить па­ро­ли для трех поль­зо­ва­те­лей: root (обыч­но не ис­поль­зу­ет­ся, ес­ли вы не на­ме­ре­ны вхо­дить в сис­те­му из мар­ш­ру­ти­за­то­ра), admin – поль­зо­ва­тель web-ин­тер­фей­са, обыч­но ис­поль­зуе­мый для на­строй­ки, и ре­зерв­ный поль­зо­ва­тель. Те­перь вы мо­же­те уда­лить уста­но­воч­ный ком­пакт-диск и пе­ре­за­гру­зить ком­пь­ю­тер.

За­пуск

По­сле пе­ре­за­груз­ки вы уви­ди­те непри­вет­ли­вое ок­но ло­ги­на, но вам оно не по­на­до­бит­ся. От­крой­те в брау­зе­ре на дру­гом ком­пь­ю­те­ре в «зе­ле­ной» се­ти и пе­рей­ди­те по ад­ре­су https://192.168.1.1:445, за­менив IP-ад­рес на тот, что был ука­зан при уста­нов­ке. Ес­ли на ком­пь­ю­те­ре, от­ку­да вы под­клю­чае­тесь, сеть бы­ла уста­нов­ле­на по­сле пе­ре­за­груз­ки мар­шру­ти­за­то­ра, мо­же­те вме­сто это­го ис­поль­зо­вать имя хоста, дан­ное при уста­нов­ке; по умол­чанию это ipcop (https://ipcop:445). Ваш брау­зер, ве­ро­ят­но, по­жа­лу­ет­ся при под­клю­чении на нена­деж­ный сер­ти­фи­кат, ко­то­рый вы при­ка­же­те ему при­нять. Это про­ис­хо­дит по­то­му, что IPCop сам генери­ру­ет сер­ти­фи­кат, и ваш брау­зер не мо­жет про­ве­рить его досто­вер­ность. Так как вы толь­ко что уста­но­ви­ли его, вы знае­те, что до­ве­рять ему мож­но.

Помните па­роль поль­зо­ва­те­ля с пра­ва­ми ад­минист­ра­то­ра, соз­дан­ный ва­ми в про­цес­се уста­нов­ки? IPCop по­зво­ля­ет про­смат­ри­вать глав­ную страницу без него, но при вы­бо­ре че­го-нибудь всплы­ва­ет за­прос па­ро­ля. Пер­вое, ку­да сле­ду­ет пе­рей­ти – это Сис­те­ма > Об­нов­ление [System > Updates], по­сколь­ку на глав­ной странице вы уви­ди­те со­об­щение о на­ли­чии об­нов­лений. На­жми­те кноп­ку Ска­чать, ко­то­рая с ви­ду ниче­го не де­ла­ет, кро­ме вывода опи­сания об­нов­лений в раз­де­ле ниже, по­это­му на­жми­те При­менить.

Ес­ли возникнет ошиб­ка, что об­нов­ления не до­ве­рен­ные, то, ве­ро­ят­но, ча­сы ва­шей сис­те­мы от­ста­ли. Это до­воль­но час­то бы­ва­ет с ма­ши­на­ми, ко­то­рые го­да­ми не ис­поль­зо­ва­лись или де­ла­ли пе­реуста­нов­ку BIOS. Пе­рей­ди­те в Сер­ви­сы > Сер­вер вре­мени [Services > Time Server] и уста­но­ви­те вре­мя вруч­ную. За­тем по­ставь­те га­лоч­ку, что­бы ис­поль­зо­вать вре­мя с сер­ве­ра, и на­жми­те Со­хранить. Вруч­ную вре­мя спер­ва при­дет­ся уста­но­вить по­то­му, что NTP не ме­ня­ет вре­мя, ес­ли раз­рыв слиш­ком ве­лик.

С это­го мо­мен­та вы бу­де­те вы­пол­нять все дей­ст­вия из web-ин­тер­фей­са. Мож­но вы­клю­чить мар­шру­ти­за­тор, от­клю­чить кла­виа­ту­ру и монитор и уб­рать их с глаз до­лой, а по­том вклю­чить мар­шру­ти­за­тор сно­ва (по­за­боть­тесь, что­бы он имел доста­точ­но воз­ду­ха для ох­ла­ж­дения). Но­вый мар­шру­ти­за­тор дол­жен те­перь пре­достав­лять DHCP- и DNS-сер­ви­сы для ва­шей локаль­ной се­ти и да­вать доступ к Ин­тернет, так что по­ра изу­чать оп­ции. Сна­ча­ла пе­рей­ди­те в Сис­те­ма > Ре­зерв­ное ко­пи­ро­вание, где мож­но соз­дать файл DAT, со­дер­жа­щий все на­строй­ки – это даст воз­мож­ность от­ка­та при неудач­но внесен­ных из­менениях. Сде­лай­те это, пре­ж­де чем на­чать экс­пе­ри­мен­ты. Мож­но да­же по кноп­ке Экс­порт за­пи­сать эти на­строй­ки на USB-бре­лок для пу­щей со­хран­но­сти.

Изу­чим свой­ст­ва

LXF139_74_1.jpg

Скорая помощь

Web-ин­тер­фейс име­ет мно­го ва­ри­ан­тов на­строй­ки. Очень лег­ко вне­сти из­ме­не­ния, по­лу­чив хо­ро­шие ра­бо­чие па­ра­мет­ры, и но­вым из­ме­не­ни­ем не­ча­ян­но все сло­мать. При экс­пе­ри­мен­тах по­ча­ще де­лай­те ре­зерв­ное ко­пи­ро­ва­ние, что­бы иметь воз­мож­ность от­ка­та.

IPCop пре­достав­ля­ет ряд сер­ви­сов, ко­то­рые по умол­чанию не вклю­че­ны, но сто­ят внимания и вклю­чения. Их мож­но най­ти в ме­ню Се­ви­сы [Services]: они вклю­ча­ют web-про­кси, для умень­шения тра­фи­ка и вре­мени от­кли­ка для час­то ис­поль­зуе­мых страниц, сер­вер вре­мени, ди­на­ми­че­­ский DNS для об­нов­ления ва­ше­го IP-ад­ре­са на сер­ви­сах ти­па http://www.dyndns.org, об­на­ру­жение втор­жений с по­мо­щью Snort и управ­ление тра­фи­ком. По­следнее по­лез­но, когда несколь­ко ма­шин де­лят ог­раничен­ную по­ло­су про­пускания, а вы не хо­ти­те, что­бы кто-то, ска­чи­вая ISO-об­раз Ubuntu че­рез BitTorrent, за­мед­лял ваш про­смотр фо­ру­мов по Fedora. Ус­та­но­вив при­ори­те­ты вы­со­ки­ми для пор­тов элек­трон­ной поч­ты, та­ких как 25, 110 и 143, средними для web-пор­тов 80 и 443 и низ­ки­ми для FTP (21) и BitTorrent (6881‑6999), вы мо­же­те пре­сечь за­мед­ление про­смот­ра сай­тов из-за ска­чи­вания фай­лов, не пре­пят­ст­вуя ра­бо­те поч­ты.

Мы го­во­ри­ли, что мож­но до­ба­вить сеть по­сле уста­нов­ки, но как же это сде­лать, ведь в web-ин­тер­фей­се нет та­кой оп­ции? От­вет – сде­лай­те это в команд­ной стро­ке: ли­бо непо­сред­ст­вен­но на ком­пь­ю­те­ре с IPCop (ес­ли кла­виа­ту­ра и монитор все еще при нем), ли­бо че­рез SSH-со­единение из «зе­ле­ной» се­ти. Во вто­ром слу­чае необ­хо­ди­мо вклю­чить SSH-доступ из ме­ню Сис­те­ма [System], за­тем под­клю­чить­ся к нему ко­ман­дой

ssh -p 222 root@ipcop

За­тем за­пусти­те setup, что­бы пе­рей­ти к гра­фи­че­­ско­­му ин­тер­фей­су, схо­же­му с ин­тер­фей­сом уста­нов­щи­ка, где мож­но из­менить сде­лан­ные на­строй­ки. Пе­рей­ди­те в Сеть > Из­менить тип се­ти [Network > Change Network Type] и вы­бе­ри­те GREEN + ORANGE + RED для до­бав­ления DMZ, или BLUE – для бес­про­вод­но­го сек­то­ра. По лю­бо­му, спер­ва нуж­но уста­но­вить у се­бя на ком­пь­ю­те­ре под­хо­дя­щую се­те­вую кар­ту. Пе­рей­ди­те в Драй­ве­ры и кар­ты [Drivers and Card Assignments] для но­вой се­ти, а за­тем ис­поль­зуй­те На­строй­ки ад­ре­са [Address Settings], что­бы вы­брать ад­рес для ин­тер­фей­са но­вой се­ти. Она, ско­рее все­го, бу­дет в дру­гой под­се­ти, так что ес­ли вы ис­поль­зо­ва­ли 192.168.1.1 для зе­ле­ной, ис­поль­зуй­те 192.168.2.1 для оран­же­вой. Сде­лав это­го, вы­клю­чи­те SSH – безо­пас­но­сти ра­ди.

На­строй­ка DMZ

Сде­ла­ли DMZ – зна­чит, на­до ее на­стро­ить. В «оран­же­вой» се­ти нет сер­ве­ра DHCP, так что лю­бой до­бав­лен­ный здесь ком­пь­ю­тер дол­жен иметь ста­ти­че­­ский ад­рес, и это хо­ро­шо, ес­ли вы хо­ти­те ор­ганизо­вать доступ из­вне, по­то­му что нуж­но бу­дет пе­ре­на­пра­вить тра­фик на оп­ре­де­лен­ный ад­рес. Что­бы на­стро­ить доступ к web-сер­ве­ру с ад­ре­сом 192.168.2.2, пер­вым ша­гом нуж­но сде­лать пе­ре­ад­ре­са­цию пор­тов, так же, как на стан­дарт­ном мо­де­ме/мар­шру­ти­за­то­ре, толь­ко сер­вер уста­нав­ли­ва­ет­ся в DMZ. Пе­рей­ди­те к странице Бранд­мау­эр > Пе­ре­ад­ре­са­ция пор­тов [Firewall > Port forwarding]. Ис­ход­ный IP [Source IP] или Cетевая ма­ши­на [Network box] обыч­но остав­ля­ют пустым, что­бы обес­пе­чить доступ со всех внешних ад­ре­сов, но вы мо­же­те ог­раничить доступ оп­ре­де­лен­ным ад­ре­сом или диа­па­зо­ном, ес­ли хо­ти­те, что­бы ваш сер­вер был досту­пен толь­ко из од­но­го мес­та (хо­тя VPN, по­жа­луй, бо­лее при­ем­ле­мый под­ход в этой си­туа­ции). Ус­та­но­ви­те ис­ход­ный порт в 80 (HTTP), IP-ад­рес на­зна­чения – в 192.168.2.2, и на­жми­те До­ба­вить [Add], что­бы уви­деть поя­вив­шее­ся ниже пра­ви­ло. Те­перь на­жми­те Пе­реуста­но­вить [Reset] и по­вто­ри­те про­цесс для пор­та 443 (HTTPS).

Те­перь у вас есть web-сер­вер, доступ­ный из Ин­тернет и локаль­ной се­ти («зе­ле­ная» сеть), но сам он не име­ет досту­па к «зе­ле­ной» се­ти. Это оз­на­ча­ет, что ес­ли на сер­вер, или, воз­мож­но, в за­пу­щен­ный на нем код PHP про­брал­ся экс­плойт, он мо­жет по­вре­дить толь­ко се­бе, но не осталь­ным ком­пь­ю­те­рам.

Про­свер­лить дыр­ку

LXF139_75_1.jpg

Иногда ваш web-сер­вер дол­жен об­щать­ся с ма­ши­на­ми из зе­ле­ной се­ти – на­при­мер, рас­сы­ла­ать ре­зерв­ные ко­пии таб­ли­цы MySQL. IPCop име­ет функ­цию под на­званием DMZ pinhole, обес­пе­чи­ваю­щую ог­раничение досту­па с од­но­го ком­пь­ю­те­ра в «оран­же­вой» се­ти к од­но­му пор­ту на од­ном ком­пь­ю­те­ре из «зе­ле­ной» се­ти. Это уста­нав­ли­ва­ет­ся в Firewall > DMZ Pinholes, но ис­поль­зо­вать данную оп­цию сле­ду­ет толь­ко при необ­хо­ди­мо­сти, по­то­му что она час­тич­но на­ру­ша­ет безо­пас­ность, обес­пе­чи­вае­мую DMZ.

Есть мно­го дру­гих ве­щей, вы­пол­няе­мых с по­мо­щью IPCop, но мы рас­ска­за­ли вам доста­точ­но для то­го, что­бы на­чать ра­бо­ту. По­смот­ри­те web-ин­тер­фейс и по­чи­тай­те свя­зан­ную с ним до­ку­мен­та­цию на сай­те IPCop для по­лу­чения под­роб­ной ин­фор­ма­ции.

Рас­ши­ре­ния

Ес­ли IPCop не пре­дос­тав­ля­ет все не­об­хо­ди­мые вам функ­ции, рас­ширь­те его воз­мож­но­сти до­пол­не­ния­ми. Это мо­ду­ли сто­рон­них раз­ра­бот­чи­ков; их спи­сок – в ком­плек­те со ссыл­ка­ми – име­ет­ся на сай­те IPCop. Они вклю­ча­ют URL-фильтр, ог­ра­ни­чи­ваю­щий дос­туп для кон­крет­но­го ком­пь­ю­те­ра и/или вре­ме­ни дня (на­при­мер, за­пре­тить со­труд­ни­кам тор­чать в ра­бо­чее вре­мя на сай­тах со­ци­аль­ных се­тей – а се­бе-то по­зво­лить), и улуч­шен­ный про­кси-сер­вер на ос­но­ве пе­ре­ком­пи­ли­ро­ван­но­го Squid. Есть так­же L2TP VPN, в до­пол­не­ние к вклю­чен­но­му OpenVPN по­зво­ляю­щий по­се­ти­те­лям с Windows под­клю­чать­ся к ва­шей се­ти, и еще не­сколь­ко. Спи­сок см. на http://sourceforge.net/apps/trac/ipcop/wiki/Addons.

Зо­ны се­ти

Мар­шру­ти­за­тор/бранд­мау­эр вы­пол­ня­ет две основ­ные функ­ции: дать доступ в Ин­тернет из ва­шей се­ти и за­щи­тить ва­шу се­ти от несанк­циониро­ван­но­го досту­па из Ин­тернет. Для это­го сеть мож­но раз­де­лить на зоны. Две зоны при­сут­ст­ву­ют всегда: во-пер­вых, явно небезо­пас­ный Ин­тернет, а во-вто­рых, локаль­ная про­вод­ная (и до­ве­рен­ная) сеть. Не­ко­то­рым мар­ш­ру­ти­за­то­рам без­раз­лич­но, бес­про­вод­ное под­клю­чение у ком­пь­ю­те­ра или про­вод­ное, но дру­гие при­зна­ют воз­мож­ность неже­ла­тель­но­го воз­дей­ст­вия при под­клю­чении че­рез Wi-Fi и кон­троль та­ко­го досту­па.

Вам мо­жет так­же по­на­до­бить­ся ком­пь­ю­тер, к ко­то­ро­му мож­но под­клю­чать­ся из Ин­тернет, та­кой как web- или поч­то­вый сер­вер, но для него всегда есть риск ата­ки из­вне. Об­щий под­ход — пре­ду­смот­реть в се­ти де­ми­ли­та­ри­зо­ван­ную зо­ну (DMZ), доступ­ную из­вне и из­нут­ри ва­шей се­ти, но доступ ко­то­рой к до­ве­рен­ной се­ти ог­раничен или от­сут­ст­ву­ет. Это минимизирует вред, ко­то­рый спо­со­бен нанес­ти экс­плойт. IPCop да­ет ка­ж­дой из этих зон свой цвет: зе­ле­ный для локаль­ной се­ти, крас­ный для Ин­тернет, оран­же­вый для DMZ и синий – для бес­про­вод­ного сек­тора.

Аль­тер­на­ти­вы

Мы вы­бра­ли IPCop, по­то­му что он ос­но­ван на Linux (мно­же­ст­во по­доб­ных па­ке­тов сде­ла­ны на ба­зе FreeBSD), по­пу­ля­рен в ис­поль­зо­ва­нии и прост в ус­та­нов­ке и управ­ле­нии. Од­на­ко это от­нюдь не един­ст­вен­ный дос­туп­ный ди­ст­ри­бу­тив бранд­мау­эра/мар­шру­ти­за­то­ра. Сре­ди аль­тер­на­тив:

  • Astaro Security Gateway (http://www.astaro.com) На ба­зе OpenSUSE, дос­туп­на сво­бод­ная и ком­мер­че­ская вер­сии, а так­же пред­ва­ри­тель­но ус­та­нов­лен­ная на обо­ру­до­ва­нии.
  • Coyote Linux (http://coyotelinux.com) Пер­во­на­чаль­но пред­став­лял со­бой бранд­мау­эр на дис­ке­те, а сей­час это не­боль­шой встраи­вае­мый ди­ст­ри­бу­тив для ма­лых и сред­них се­тей.
  • ClearOS (http://www.clearfoundation.com) Ра­нее бы­л из­весте­н как ClarkConnect; это боль­ше, чем мар­шру­ти­за­тор и бранд­мау­эр, по­сколь­ку пред­ла­га­ет раз­лич­ные сер­ве­ры в од­ной ко­роб­ке. Од­на­ко это оз­на­ча­ет, что вы те­ряе­те за­щи­ту DMZ.
  • SME Server (http://www.contribs.org) Ос­но­ван­ный на CentOS ди­ст­ри­бу­тив, обес­пе­чи­ваю­щий ра­бо­ту с фай­ла­ми, пе­чать, поч­то­вый и web-сер­ви­сы, а так­же функ­ции бранд­мау­эра и мар­шру­ти­за­то­ра.
  • SmoothWall (http://www.smoothwall.org) Со­лид­ный ди­ст­ри­бу­тив мар­шру­ти­за­то­ра в ком­мер­че­ской и сво­бод­ной вер­си­ях. IPCop пер­во­на­чаль­но был ос­но­ван на SmoothWall.
  • Zentyal (http://www.zentyal.com) Ра­нее на­зы­вал­ся Ebox. Ос­но­ван на ди­ст­ри­бу­ти­ве Ubuntu и не­обы­чен на­ли­чи­ем ра­бо­че­го сто­ла для на­строй­ки; большин­ст­во аль­тер­на­тив – обез­глав­лен­ные ко­роб­ки с web-ин­тер­фей­сом.
Личные инструменты
  • Купить электронную версию
  • Подписаться на бумажную версию