Ubuntu server

Ми не будемо детально зупинятися на установці системи і призначення тих чи інших компонентів, про це досить сказано в вихідному матеріалі, а приділимо основну увагу відмінностям в сучасних версіях Ubuntu Server і настроюються пакетах.

Налаштування мережі

Наведемо його до наступного вигляду (настройки зовнішнього інтерфейсу наведені виключно для прикладу):

Для вказівки DNS-серверів тепер використовується директива dns-nameservers. якщо серверів кілька, вони вказуються в один рядок, через пробіл.

Якщо ви отримуєте мережеві настройки від провайдера по DHCP, то настройки матимуть вигляд:

Останньою рядком йде автоматичне завантаження правил iptables з файлу / etc / nat. який ми створимо пізніше.

Якщо все зроблено правильно, на сервері повинен з'явитися інтернет. Після чого слід оновити пакети на сервері і встановити необхідний мінімум утиліт для адміністрування:

Налаштування NAT і брандмауера

Залежно від політики мережевої безпеки існують різні підходи до налаштування брандмауера. Ми вважаємо за краще ставити тільки базові правила, виходячи з принципу, все що не заборонено - дозволено. Це дозволяє вільно працювати будь-яким мережевим службам у внутрішній мережі і забезпечувати достатній рівень безпеки в зовнішній, при цьому адміністратор повинен контролювати, які служби працюють на зовнішньому інтерфейсі, так як доступ до відкритого назовні порту буде дозволений за замовчуванням.

Створимо файл настройок:

і внесемо в нього наступне вміст:

Збережемо зміни і дамо нашому файлу права на виконання:

Тепер якщо вручну задати мережеві настройки для робочої станції, вказавши в якості шлюзу наш роутер і будь-який доступний DNS-сервер, то не їй повинен з'явитися доступ в інтернет.

Налаштування DHCP і кешуючого DNS

В принципі ми вже можемо використовувати наш роутер за призначенням, проте ручне вказівку мережевих налаштувань, це навіть не вчорашній, а позавчорашній день, тому DHCP-сервер є невід'ємною частиною мереж будь-якого розміру. Також має сенс налаштувати власний кешуючий DNS-сервер, який не тільки знизить навантаження на вищі сервера і зменшить час відгуку, але також дозволить створювати власні записи для хостів внутрішньої мережі, що може виявитися корисним при розгортанні інших мережевих сервісів.

Всі ці функції реалізовані в одному пакеті dnsmasq. який гранично простий в установці і настройці:

Після чого хости внутрішньої мережі будуть отримувати всі мережеві настройки автоматично.

Налаштування кешуючого проксі-сервера Squid3

На зорі свого розвитку основним призначенням проксі-сервера Squid було кешування трафіку, сьогодні, коли безлімітний інтернет став нормою життя, ці можливості відходять на другий план, але залишаються досить актуальними.

Squid підтримує кешування двох типів, в оперативній пам'яті і на диску. Сьогодні можна зустріти рекомендації відмовитися від дискового кешу, мовляв простіше скачати об'єкт заново, ніж шукати його на диску. Однак ми вважаємо, що розумний розмір дискового кешу при великій кількості клієнтів дозволяє ефективно використовувати канал за рахунок зберігання в кеші статичних елементів: картинок, скриптів, CSS-файлів для часто відвідуваних ресурсів.

Відразу застережемо від поширеної помилки - використання для зберігання кешу старих повільних дисків і виділення під кеш значного простору. В цьому випадку ефект буде прямо протилежний очікуванням, час пошуку об'єкта на диску при великому навантаженні буде займати значно більше часу, ніж його повторне скачування.

Але всі переваги Squid розкриваються тоді, коли з'являється необхідність тонкої фільтрації трафіку, тут багаті можливості дозволяють реалізовувати найрізноманітніші схеми, які просто неможливо розглянути в рамках одного матеріалу, отримати всі матеріали по даній темі ви можете скориставшись пошуком роботи по тегу squid.

Для установки squid виконайте команду:

Ubuntu server
Потім, спускаючись далі по конфігураційному файлу знайдемо секцію відповідає за правила доступу і переконаємося, що вона містить такі правила:

Ubuntu server
Дана секція дозволяє доступ для клієнтів локальної мережі, власне сервера і забороняє всім іншим.

Тепер зазначимо порт, інтерфейс і режим роботи проксі-сервера.

Параметр intercept вказує, що проксі працює в прозорому режимі, тобто не вимагає прямої вказівки проксі на клієнтах.

Перейдемо до вказівкою параметрів кеша. Задамо місця доступно і вкажемо максимальний обсяг кешованого об'єкта в пам'яті:

При завданні цих параметрів виходите з доступної пам'яті сервера, але врахуйте, що кеш в пам'яті починає ефективно працювати тільки після "прогріву" і буде скинутий при перезавантаженні або виключенні сервера.

Після чого вкажемо розмір дискового кешу і його розташування:

Наступний параметр задає максимальний розмір об'єкта в дисковому кеші:

Далі по файлу вкажемо місце зберігання логів і кількість ротацій:

У нашому випадку логи зберігаються 31 день, вказуючи це значення виходите з розмірів балки і вільного місця на диску, в будь-якому випадку цей параметр можна завжди змінити.

Увага! В Ubuntu Server 12.04 (Squid 3.1) зазначена вище рядок повинна мати вигляд: access_log /var/log/squid3/access.log squid

Інші параметри залишаємо без змін, зберігаємо файл настройок.

Перед тим як перезапускати службу виконаємо перевірку файлу конфігурації:

Якщо команда відпрацьовує без виведення - помилок немає, в іншому випадку вивчаємо висновок і виправляємо допущені помилки. Після цього перезапустити службу, щоб застосувати внесені зміни.

У тому випадку, коли були змінені параметри кешу слід його перебудувати:

Потім в / etc / nat додаємо правило загортають http-трафік на squid:

Зберігаємо зміни, перезавантажуємо сервер.

Звертаємо вашу увагу, що squid3 в прозорому режимі, на відміну від попередньої версії, не приймає з'єднання, якщо в настройках прямо вказано використання проксі.

Ubuntu server
В цьому випадку ви отримаєте повідомлення, що доступ заборонений:

Додаткові матеріали: