- Подписка на печатную версию:
- Подписка на электронную версию:
- Подшивки старых номеров журнала (печатные версии)
LXF139:IPCop
Материал из Linuxformat.
(→Выберите дистрибутив) |
|||
Строка 23: | Строка 23: | ||
===Установка=== | ===Установка=== | ||
- | {{Врезка|Содержание=LXF139_73_1.jpg|300px После первой загрузки зайдите в раздел обновлений на web-интерфейсе.|Ширина=300px}} | + | {{Врезка|Содержание=[[Изображение:LXF139_73_1.jpg|300px]] После первой загрузки зайдите в раздел обновлений на web-интерфейсе.|Ширина=300px}} |
Загрузитесь с CD IPCop для входа в текстовый режим. Если вы привыкли к графическим установщикам в стиле OpenSUSE, Mandriva и Ubuntu, вы ощутите легкий шок – перемещаться надо клавишами курсора, варианты выбирать клавишей пробела и нажимать '''Enter''' для продолжения. Обратите внимание на предупреждение на ранней стадии – установщик сотрет информацию на вашем жестком диске. Вы не можете сделать двойную загрузку маршрутизатора с Windows: это однозадачная машина. Отсутствие опций разбиения на разделы или выбора пакетов означает, что перед установкой делать особо нечего. Выберите '''Пропустить''' [Skip] на экране восстановления. Следующий шаг – выбрать интерфейс Ethernet для «зеленой» сети; другой интерфейс(ы) будет установлен позже. Обычно лучше дать установщику самому выбрать подходящий интерфейс, но есть и опции для ручной настройки, если у вас сетевой адаптер с нетипичными настройками. | Загрузитесь с CD IPCop для входа в текстовый режим. Если вы привыкли к графическим установщикам в стиле OpenSUSE, Mandriva и Ubuntu, вы ощутите легкий шок – перемещаться надо клавишами курсора, варианты выбирать клавишей пробела и нажимать '''Enter''' для продолжения. Обратите внимание на предупреждение на ранней стадии – установщик сотрет информацию на вашем жестком диске. Вы не можете сделать двойную загрузку маршрутизатора с Windows: это однозадачная машина. Отсутствие опций разбиения на разделы или выбора пакетов означает, что перед установкой делать особо нечего. Выберите '''Пропустить''' [Skip] на экране восстановления. Следующий шаг – выбрать интерфейс Ethernet для «зеленой» сети; другой интерфейс(ы) будет установлен позже. Обычно лучше дать установщику самому выбрать подходящий интерфейс, но есть и опции для ручной настройки, если у вас сетевой адаптер с нетипичными настройками. | ||
Строка 47: | Строка 47: | ||
===Изучим свойства=== | ===Изучим свойства=== | ||
- | {{Врезка|Содержание=LXF139_74_1.jpg|300px Переадресация портов — базовая функция роутера, легко настраиваемая с IPCop. Можно также настроить переадресацию на другой номер порта.|Ширина=300px}} | + | {{Врезка|Содержание=[[Изображение:LXF139_74_1.jpg|300px]] Переадресация портов — базовая функция роутера, легко настраиваемая с IPCop. Можно также настроить переадресацию на другой номер порта.|Ширина=300px}} |
{{Врезка|left|Заголовок=Скорая помощь|Содержание=Web-интерфейс имеет много вариантов настройки. Очень легко внести изменения, получив хорошие рабочие параметры, и новым изменением нечаянно все сломать. При экспериментах почаще делайте резервное копирование, чтобы иметь возможность отката.|Ширина=200px}} | {{Врезка|left|Заголовок=Скорая помощь|Содержание=Web-интерфейс имеет много вариантов настройки. Очень легко внести изменения, получив хорошие рабочие параметры, и новым изменением нечаянно все сломать. При экспериментах почаще делайте резервное копирование, чтобы иметь возможность отката.|Ширина=200px}} | ||
Строка 67: | Строка 67: | ||
===Просверлить дырку=== | ===Просверлить дырку=== | ||
- | {{Врезка|Содержание= | + | {{Врезка|Содержание=L[[Изображение:XF139_75_1.jpg|300px]] Web-интерфейс выдает множество статистики по состоянию вашей системы и сетевых соединений.|Ширина=300px}} |
Иногда ваш web-сервер должен общаться с машинами из зеленой сети – например, рассылаать резервные копии таблицы ''MySQL''. IPCop имеет функцию под названием '''DMZ pinhole''', обеспечивающую ограничение доступа с одного компьютера в «оранжевой» сети к одному порту на одном компьютере из «зеленой» сети. Это устанавливается в '''Firewall > DMZ Pinholes''', но использовать данную опцию следует только при необходимости, потому что она частично нарушает безопасность, обеспечиваемую DMZ. | Иногда ваш web-сервер должен общаться с машинами из зеленой сети – например, рассылаать резервные копии таблицы ''MySQL''. IPCop имеет функцию под названием '''DMZ pinhole''', обеспечивающую ограничение доступа с одного компьютера в «оранжевой» сети к одному порту на одном компьютере из «зеленой» сети. Это устанавливается в '''Firewall > DMZ Pinholes''', но использовать данную опцию следует только при необходимости, потому что она частично нарушает безопасность, обеспечиваемую DMZ. |
Версия 06:30, 20 марта 2012
- Роутеры Создаем точку доступа в Интернет и защищаем свою новую сеть
Содержание |
Роутеры: Свой личный I
- Часть 1 Создайте мощный интернет-брандмауэр и роутер из старого ненужного компьютера – и обезопасите вашу сеть.
Linux построен на сетевой работе. Это заложено в ядре операционной системы, а не прикручивается расширениями. И для желающих создать интернет-устройство Linux – выбор очевидный. Самое популярное интернет-устройство – маршрутизатор (роутер); в наши дни таковое имеется в большинстве домов. Оно переводит ваше DSL или прямое подключение к Интернет в Ethernet или беспроводное соединение для передачи в компьютер. Если у вас дома не один компьютер, такие устройства становятся еще важнее, поскольку позволяют использовать Интернет сразу на нескольких машинах без проблем с пакетами.
Если у вас несколько компьютеров, то скорее всего есть и такой, который давно заброшен и пылится в шкафу, потому что его мощности мало для современных задач. Вы, возможно, подумывали выставить его на Ebay, но из-за лени и стремительно падающей ценности старого оборудования так и не выставили. Вдох-ните же в это барахло новую жизнь, в роли интернет-шлюза! Вы cпросите, почему бы вместо этого не взять готовый модем/маршрутизатор. Одна из причин – вы получаете гораздо больший контроль над тем, что происходит в устройстве, над его функциями и их организацией. Другая причина – ну, это любопытный способ узнать о подобных вещах, а не просто отдать все на откуп магическому черному ящику (или, что более вероятно, белому или серебристому).
К данной задаче есть два подхода. Первый – воспользоваться специальным дистрибутивом для этой работы, уже настроенным, с нужными пакетами. Другой – построить все самим, используя минимальную установку Linux и добавив только самое необходимое ПО для выполнения нужных вам функций. Сперва мы займемся первым способом, но полностью охватим подход «сделай сам» на следующем уроке.
Выберите дистрибутив
Существует немало дистрибутивов для использования на брандмауэрах, и часть из них основана на FreeBSD, а не на Linux. Дистрибутивы можно разделить на две группы: те, что обеспечивают определенный брандмауэр/маршрутизатор и те, что предоставляют более полный интернет-шлюз, в том числе такие вещи, как печать, почта, файловые и даже web-серверы. На данном уроке мы сконцентрируемся на чистом шлюзе, более гибкой и мощной альтернативе готовых модемов/маршрутизаторов, обеспечивающей большую безопасность другим услугам. Для этого мы выбрали дистрибутив IPCop (http://www.ipcop.org). Мы используем стабильный релиз 1.4.21, но любители приключений могут взять версию 1.9.
Естественно, вам также понадобится компьютер. Сойдет любой, который работает уже не на дровах, а на электричестве. I586 или более поздней версии вполне справится с небольшой сетью и выходом в Интернет. В IPCop нет рабочего стола – после установки все делается удаленно через web-браузер, поэтому требования к памяти оборудования минимальны. Вам потребуются клавиатура и монитор для установки, но их можно убрать, как только система будет перезагружена.
Компьютеру нужны как минимум два сетевых интерфейса: Ethernet для локальной сети и всего, что требует подключения к Интернет. Это может быть карта модема DSL-PCI, другая сетевая карта для подключения через стандартный кабель или DSL-модем или даже только порт USB, если у вас нет проводной связи и используется 3G-брелок. Если вам нужна демилитаризованная зона (DMZ), потребуется дополнительная сетевая карта, а также беспроводная карта, если вы хотите, чтобы эта коробка также выступала в качестве точки доступа Wi-Fi. Концентратор или коммутатор Ethernet, подключенный к порту локальной сети («зеленой»), позволит нескольким компьютерам одновременно выходит в Интернет через этот маршрутизатор.
Установка
Загрузитесь с CD IPCop для входа в текстовый режим. Если вы привыкли к графическим установщикам в стиле OpenSUSE, Mandriva и Ubuntu, вы ощутите легкий шок – перемещаться надо клавишами курсора, варианты выбирать клавишей пробела и нажимать Enter для продолжения. Обратите внимание на предупреждение на ранней стадии – установщик сотрет информацию на вашем жестком диске. Вы не можете сделать двойную загрузку маршрутизатора с Windows: это однозадачная машина. Отсутствие опций разбиения на разделы или выбора пакетов означает, что перед установкой делать особо нечего. Выберите Пропустить [Skip] на экране восстановления. Следующий шаг – выбрать интерфейс Ethernet для «зеленой» сети; другой интерфейс(ы) будет установлен позже. Обычно лучше дать установщику самому выбрать подходящий интерфейс, но есть и опции для ручной настройки, если у вас сетевой адаптер с нетипичными настройками.
Поскольку маршрутизатор будет также выступать в качестве сервера DHCP для вашей сети, он должен иметь свой адрес, присвоенный статически. Если есть сомнения, какой вписать, впишите 192.168.1.1. Тут вам дадут web-адрес для настройки; примите его к сведению. Одно из самых важных решений во время уста-новки – выбор типа конфигурации сети; исторически по умолчанию используется Ethernet для «зеленой» и модем для «красной» сети. Если ваш модем подключается через Ethernet, измените это на GREEN + RED. Выберите вариант ORANGE или BLUE, если вам также нужны DMZ или беспроводная сеть – вы можете изменить это позже, если предпочитаете простоту и только что установили «красную» и «зеленую» для начала. Затем нужно указать для IPCop, что использовать для дополнительных интерфейсов, в разделе Драйверы и карты [Drivers and Card Assignments].
Настройка адреса
Монитор и клавиатура после настройки IPCop вам уже не потребуются, но, возможно, стоит их попридержать, пока вы не освоитесь с web-интерфейсом... так, на всякий случай.
Раздел DNS и Gateway можно оставить пустым, если ваш модем получает эту информацию от интернет-провайдера по DHCP, но раздел настройки DHCP относится к адресам, которые IPCop дает «зеленым» и «синим» сетям. Необходимо указать диапазон адресов, из которых IPCop может выбрать, но оставить часть для тех компьютеров, которые могут использовать статический адрес. Я обычно задаю начало диапазона DHCP со 100 (192.168.1.100, если вы даете 192.168.1.1 для самого IPCop) и использую меньшие номера адресов для статических адресов, просто потому, что так сразу видны адреса, раздаваемые DHCP. На этом этапе также нужно включить DHCP-сервер. Основному серверу DNS можно оставить адрес компьютера IPCop – тогда IPCop станет кэшем DNS, ускорив обращение к домену, вызываемому более чем одним компьютером – а каким компьютерам в вашей сети не интересен http://www.google.com или http://www.linuxformat.com? Наконец, нужно установить пароли для трех пользователей: root (обычно не используется, если вы не намерены входить в систему из маршрутизатора), admin – пользователь web-интерфейса, обычно используемый для настройки, и резервный пользователь. Теперь вы можете удалить установочный компакт-диск и перезагрузить компьютер.
Запуск
После перезагрузки вы увидите неприветливое окно логина, но вам оно не понадобится. Откройте в браузере на другом компьютере в «зеленой» сети и перейдите по адресу https://192.168.1.1:445, заменив IP-адрес на тот, что был указан при установке. Если на компьютере, откуда вы подключаетесь, сеть была установлена после перезагрузки маршрутизатора, можете вместо этого использовать имя хоста, данное при установке; по умолчанию это ipcop (https://ipcop:445). Ваш браузер, вероятно, пожалуется при подключении на ненадежный сертификат, который вы прикажете ему принять. Это происходит потому, что IPCop сам генерирует сертификат, и ваш браузер не может проверить его достоверность. Так как вы только что установили его, вы знаете, что доверять ему можно.
Помните пароль пользователя с правами администратора, созданный вами в процессе установки? IPCop позволяет просматривать главную страницу без него, но при выборе чего-нибудь всплывает запрос пароля. Первое, куда следует перейти – это Система > Обновление [System > Updates], поскольку на главной странице вы увидите сообщение о наличии обновлений. Нажмите кнопку Скачать, которая с виду ничего не делает, кроме вывода описания обновлений в разделе ниже, поэтому нажмите Применить.
Если возникнет ошибка, что обновления не доверенные, то, вероятно, часы вашей системы отстали. Это довольно часто бывает с машинами, которые годами не использовались или делали переустановку BIOS. Перейдите в Сервисы > Сервер времени [Services > Time Server] и установите время вручную. Затем поставьте галочку, чтобы использовать время с сервера, и нажмите Сохранить. Вручную время сперва придется установить потому, что NTP не меняет время, если разрыв слишком велик.
С этого момента вы будете выполнять все действия из web-интерфейса. Можно выключить маршрутизатор, отключить клавиатуру и монитор и убрать их с глаз долой, а потом включить маршрутизатор снова (позаботьтесь, чтобы он имел достаточно воздуха для охлаждения). Новый маршрутизатор должен теперь предоставлять DHCP- и DNS-сервисы для вашей локальной сети и давать доступ к Интернет, так что пора изучать опции. Сначала перейдите в Система > Резервное копирование, где можно создать файл DAT, содержащий все настройки – это даст возможность отката при неудачно внесенных изменениях. Сделайте это, прежде чем начать эксперименты. Можно даже по кнопке Экспорт записать эти настройки на USB-брелок для пущей сохранности.
Изучим свойства
Web-интерфейс имеет много вариантов настройки. Очень легко внести изменения, получив хорошие рабочие параметры, и новым изменением нечаянно все сломать. При экспериментах почаще делайте резервное копирование, чтобы иметь возможность отката.
IPCop предоставляет ряд сервисов, которые по умолчанию не включены, но стоят внимания и включения. Их можно найти в меню Севисы [Services]: они включают web-прокси, для уменьшения трафика и времени отклика для часто используемых страниц, сервер времени, динамический DNS для обновления вашего IP-адреса на сервисах типа http://www.dyndns.org, обнаружение вторжений с помощью Snort и управление трафиком. Последнее полезно, когда несколько машин делят ограниченную полосу пропускания, а вы не хотите, чтобы кто-то, скачивая ISO-образ Ubuntu через BitTorrent, замедлял ваш просмотр форумов по Fedora. Установив приоритеты высокими для портов электронной почты, таких как 25, 110 и 143, средними для web-портов 80 и 443 и низкими для FTP (21) и BitTorrent (6881‑6999), вы можете пресечь замедление просмотра сайтов из-за скачивания файлов, не препятствуя работе почты.
Мы говорили, что можно добавить сеть после установки, но как же это сделать, ведь в web-интерфейсе нет такой опции? Ответ – сделайте это в командной строке: либо непосредственно на компьютере с IPCop (если клавиатура и монитор все еще при нем), либо через SSH-соединение из «зеленой» сети. Во втором случае необходимо включить SSH-доступ из меню Система [System], затем подключиться к нему командой
ssh -p 222 root@ipcop
Затем запустите setup, чтобы перейти к графическому интерфейсу, схожему с интерфейсом установщика, где можно изменить сделанные настройки. Перейдите в Сеть > Изменить тип сети [Network > Change Network Type] и выберите GREEN + ORANGE + RED для добавления DMZ, или BLUE – для беспроводного сектора. По любому, сперва нужно установить у себя на компьютере подходящую сетевую карту. Перейдите в Драйверы и карты [Drivers and Card Assignments] для новой сети, а затем используйте Настройки адреса [Address Settings], чтобы выбрать адрес для интерфейса новой сети. Она, скорее всего, будет в другой подсети, так что если вы использовали 192.168.1.1 для зеленой, используйте 192.168.2.1 для оранжевой. Сделав этого, выключите SSH – безопасности ради.
Настройка DMZ
Сделали DMZ – значит, надо ее настроить. В «оранжевой» сети нет сервера DHCP, так что любой добавленный здесь компьютер должен иметь статический адрес, и это хорошо, если вы хотите организовать доступ извне, потому что нужно будет перенаправить трафик на определенный адрес. Чтобы настроить доступ к web-серверу с адресом 192.168.2.2, первым шагом нужно сделать переадресацию портов, так же, как на стандартном модеме/маршрутизаторе, только сервер устанавливается в DMZ. Перейдите к странице Брандмауэр > Переадресация портов [Firewall > Port forwarding]. Исходный IP [Source IP] или Cетевая машина [Network box] обычно оставляют пустым, чтобы обеспечить доступ со всех внешних адресов, но вы можете ограничить доступ определенным адресом или диапазоном, если хотите, чтобы ваш сервер был доступен только из одного места (хотя VPN, пожалуй, более приемлемый подход в этой ситуации). Установите исходный порт в 80 (HTTP), IP-адрес назначения – в 192.168.2.2, и нажмите Добавить [Add], чтобы увидеть появившееся ниже правило. Теперь нажмите Переустановить [Reset] и повторите процесс для порта 443 (HTTPS).
Теперь у вас есть web-сервер, доступный из Интернет и локальной сети («зеленая» сеть), но сам он не имеет доступа к «зеленой» сети. Это означает, что если на сервер, или, возможно, в запущенный на нем код PHP пробрался эксплойт, он может повредить только себе, но не остальным компьютерам.
Просверлить дырку
LИзображение:XF139 75 1.jpg Web-интерфейс выдает множество статистики по состоянию вашей системы и сетевых соединений.
Иногда ваш web-сервер должен общаться с машинами из зеленой сети – например, рассылаать резервные копии таблицы MySQL. IPCop имеет функцию под названием DMZ pinhole, обеспечивающую ограничение доступа с одного компьютера в «оранжевой» сети к одному порту на одном компьютере из «зеленой» сети. Это устанавливается в Firewall > DMZ Pinholes, но использовать данную опцию следует только при необходимости, потому что она частично нарушает безопасность, обеспечиваемую DMZ.
Есть много других вещей, выполняемых с помощью IPCop, но мы рассказали вам достаточно для того, чтобы начать работу. Посмотрите web-интерфейс и почитайте связанную с ним документацию на сайте IPCop для получения подробной информации.
Расширения
Если IPCop не предоставляет все необходимые вам функции, расширьте его возможности дополнениями. Это модули сторонних разработчиков; их список – в комплекте со ссылками – имеется на сайте IPCop. Они включают URL-фильтр, ограничивающий доступ для конкретного компьютера и/или времени дня (например, запретить сотрудникам торчать в рабочее время на сайтах социальных сетей – а себе-то позволить), и улучшенный прокси-сервер на основе перекомпилированного Squid. Есть также L2TP VPN, в дополнение к включенному OpenVPN позволяющий посетителям с Windows подключаться к вашей сети, и еще несколько. Список см. на http://sourceforge.net/apps/trac/ipcop/wiki/Addons.
Зоны сети
Маршрутизатор/брандмауэр выполняет две основные функции: дать доступ в Интернет из вашей сети и защитить вашу сети от несанкционированного доступа из Интернет. Для этого сеть можно разделить на зоны. Две зоны присутствуют всегда: во-первых, явно небезопасный Интернет, а во-вторых, локальная проводная (и доверенная) сеть. Некоторым маршрутизаторам безразлично, беспроводное подключение у компьютера или проводное, но другие признают возможность нежелательного воздействия при подключении через Wi-Fi и контроль такого доступа.
Вам может также понадобиться компьютер, к которому можно подключаться из Интернет, такой как web- или почтовый сервер, но для него всегда есть риск атаки извне. Общий подход — предусмотреть в сети демилитаризованную зону (DMZ), доступную извне и изнутри вашей сети, но доступ которой к доверенной сети ограничен или отсутствует. Это минимизирует вред, который способен нанести эксплойт. IPCop дает каждой из этих зон свой цвет: зеленый для локальной сети, красный для Интернет, оранжевый для DMZ и синий – для беспроводного сектора.
Альтернативы
Мы выбрали IPCop, потому что он основан на Linux (множество подобных пакетов сделаны на базе FreeBSD), популярен в использовании и прост в установке и управлении. Однако это отнюдь не единственный доступный дистрибутив брандмауэра/маршрутизатора. Среди альтернатив:
- Astaro Security Gateway (http://www.astaro.com) На базе OpenSUSE, доступна свободная и коммерческая версии, а также предварительно установленная на оборудовании.
- Coyote Linux (http://coyotelinux.com) Первоначально представлял собой брандмауэр на дискете, а сейчас это небольшой встраиваемый дистрибутив для малых и средних сетей.
- ClearOS (http://www.clearfoundation.com) Ранее был известен как ClarkConnect; это больше, чем маршрутизатор и брандмауэр, поскольку предлагает различные серверы в одной коробке. Однако это означает, что вы теряете защиту DMZ.
- SME Server (http://www.contribs.org) Основанный на CentOS дистрибутив, обеспечивающий работу с файлами, печать, почтовый и web-сервисы, а также функции брандмауэра и маршрутизатора.
- SmoothWall (http://www.smoothwall.org) Солидный дистрибутив маршрутизатора в коммерческой и свободной версиях. IPCop первоначально был основан на SmoothWall.
- Zentyal (http://www.zentyal.com) Ранее назывался Ebox. Основан на дистрибутиве Ubuntu и необычен наличием рабочего стола для настройки; большинство альтернатив – обезглавленные коробки с web-интерфейсом.