Інтернет шлюз на ubuntu - linux

Інтернет шлюз на ubuntu - linux

Рекомендації перед установкою

  1. Рекомендую використовувати для серверів тільки дистрибутиви Ubuntu Server тривалої підтримки LTS (Long Term Support). Крім того, що оновлення та підтримка цих версій дистрибутивів триває 5 років, з досвіду вони ще й більш стабільні в порівнянні зі звичайними збірками.
  2. Перед установкою на «самозбірних» залізо рекомендую провести ретельну перевірку обладнання: перевірити жорсткий диск за допомогою MHDD, пам'ять за допомогою Memtest86 + і т.п. встановити останні оновлення мікропрограм BIOS, контролерів IDE # 92; SATA і т.п.
  3. Системні вимоги до обладнання: Процесор P4 і вище, пам'ять 512 мб, HDD не менше 20 GB.

установка сервера

розмітка диска

  1. / Boot ext2 nodev, noatime 200 Mb
  2. swap розмір ОЗУ * 2
  3. / Ext4 defaults 3 Gb
  4. / Usr ext4 defaults 2 gb
  5. / Tmp ext4 nodev, nosuid, 2 Gb
  6. / Home ext4 nodev, nosuid, 1 Gb
  7. / Var ext4 nodev, nosuid все, що залишився простір

установка ПО

  • На етапі установки поставити тільки openssh

Налаштування сервера

Значення деяких параметрів описуваної системи, які ви повинні # 92; можете замінити на свої під час установки і настройки інтернет-шлюзу:

Внутрішня мережа яка знаходиться за шлюзом тут і далі по тексту - 192.168.1.0 з маскою 24 біта (255.255.255.0)

Внутрішній інтерфейс шлюзу (дивиться у внутрішню мережу) - eth0

Зовнішній інтефейс шлюзу (дивиться в публічну мережу, наприклад Інтернет) - eth1 (в вашому випадку це може бути Ethernet інтерфейс з іншим порядковим номером, наприклад eth1, або ppp інтерфейс, наприклад ppp0 подключаемості по PPPoE)

Налаштування мережі

Налаштування інтерфейсів

Налаштування інтерфейсів проводиться шляхом редагування файлу / etc / network / interfaces, приклад:

Якщо зовнішній інтерфейс pppoe то налаштовується за допомогою майстра pppoeconf (відповідаємо на всі питання, не забуваємо вказати щоб інтерфейс порушувалося під час завантаження)

Налаштування брандмауера

Насамперед після підключення сервера до Інтернет необхідно включити міжмережевий екран (фаєрвол, firewall)

Перед включенням брандмауера потрібно залишити собі доступ по SSH, для подальшої настройки сервера. Наступна команда відкриє порт SSH для всіх:

Однак краще залишити порт відкритим тільки для внутрішньої мережі:

Включимо політику блокувати все інше

Включаємо в файервол форвардного пакетів - необхідно, щоб наш шлюз міг пересилати пакети з внутрішньої мережі в інтернет і назад. Для цього відредагуємо файл / etc / default / ufw

Цей параметр так само можна змінити у файлі /etc/ufw/sysctl.conf, він застосується при включенні UFW. В останньому випадку синтаксис трохи відрізняється (замість крапок Слеш) net / ipv4 / ip_forwarding. Включена настройка в /etc/ufw/sysctl.conf перекриває настройки задані в /etc/sysctl.conf.

Додамо дозвіл для внутрішньої мережі:

Для більш тонкої настройки безпеки рекомендується обмежити так само доступ з внутрішньої мережі тільки до необхідних портів.

Ставимо havp + clamav

Встановлюємо антивірусний проксі havp і антивірус clamav

оновлюємо бд антивіруса

Прив'язуємо havp до всіх інтерфейсів, для цього в конфіги /etc/havp/havp.config BIND_ADDRES закоментіруем. перезапускаємо havp

встановлюємо Squid

Встановлюємо кешуючий проксі сервер Squid

Перед налаштуванням на всякий випадок робимо резервну комп конфігурації за замовчуванням:

Налаштовуємо сквид редагуючи файл /etc/squid/squid.conf. Шукаємо і міняємо параметр cache_dir на

цифра 100 - розмір в мегабайтах під кеш, змініть її під свої реалії.

Налаштовуємо на використання havp в якості верхнього проксі

Забороняємо ходити по http в обхід антивіруса:

ставимо sams

Встановлюємо необхідні для роботи пакети

Переходимо в папку зі викачаними deb пакетами sams і встановлюємо:

Створюємо БД sams yourpassword слід замінити на свій придуманий або згенерований пароль

Створюємо структуру таблиць БД sams

редагуємо файл /etc/sams.conf встановлюємо в наступні змінні дані з минулого кроку:

Редагуємо /etc/init.d/sams міняємо SAMS_ENABLE з «false» на «true»

Запускаємо службу SAMS

Включаємо редиректор sams в налаштуваннях сквіду:

або (в більш ранніх версіях Squid)

Налаштування SAMS

друге перевірити доступність порту 80 в налаштуваннях фаервола.

Входимо з паролем за замовчуванням (admin: qwerty) і відразу міняємо пароль в веб інтерфейсі на щось менш підбирається.

Включаємо українську мову в розділі Web-interface settings

Додаємо користувачів по IP клікнувши по розділу «Користувачі» потім по кнопці з плюсик в нижній панелі.

Після додавання всіх користувачів необхідно застосувати настройки до squid. Для цього в дереві вибрати розділ squid, потім в нижній панелі натиснути кнопку «реконфигурироваться squid»

Без SAMS - повний доступ всій мережі

Якщо ви не хочете прописувати окремо кожного користувача, вам не потрібна детальна статистика і можливість обмеження які надає SAMS то ви можете видати доступ відразу всієї внутрішньої мережі. При цьому ви так само можете обмежити доступ тих чи інших користувачам використовуючи інші засоби, наприклад редиректор sarg або rejik.

Для надання доступу всієї внутрішньої мережі 192.168.1.0 налаштуваннях squid прописати

Включення прозорого проксінг

Прозоре проксінг - це коли на клієнті (в браузері клієнта) не описує проксі сервер, проте на шлюзі відбувається перенаправлення запитів клієнта на порт проксі і таким чином передаються дані по протоколу HTTP проходять через кешуючий і антивірусний проксі сервера в будь-якому випадку.

Щоб включити прозорий проксі в файлі конфігурації Squid /etc/squid/squid.conf відредагувати рядок:

Разкоментіровать в конфіги фаервола /etc/ufw/before.rules описану вище рядок:

установка DHCP

Установка DHCP сервера:

Правимо файл конфігурації /etc/dhcp3/dhcpd.conf

Перезапустити сервіс командою:

Установка і настройка локального кешуючого DNS-сервера

Редагуємо конфігураційний файл /etc/bind/named.conf.options

висновок

Корисні посилання