Configura Ubuntu-Server 6.10 come firewall/gateway per l'ambiente delle piccole imprese 

Include:Shorewall, NAT, Caching NameServer, Server DHCP, Server VPN, Webmin, Munin, Apache (abilitazione SSL), Squirrelmail, Configurazione Postfix con domini virtuali, Courier imap imaps pop3 pop3s, autenticazione sasl per road warrior, MailScanner as un wrapper per SpamAssassin, Razor, ClamAV, ecc. Samba installato, non configurato.

Richiede pochissima manutenzione ed è estensibile oltre la tua più sfrenata immaginazione. Tutto a seconda dell'hardware utilizzato, ovviamente.

Questo è un manuale COPIA&INCOLLA. Per info usa la rete. L'ho fatto... Comunque, contributi e suggerimenti sono sempre i benvenuti! So che questo può essere fatto meglio, quindi sentiti libero.

Se qualcuno di voi riesce a trovare il tempo per aggiungere una buona installazione e configurazione per snort AND snortsam, incluso un pannello di controllo completo, gli sarei molto grato.

Ambito:creazione di un firewall/gateway (postale) per una piccola rete (diciamo da 10 a 15 utenti o giù di lì su un PIII 450 MHz, 512 MB di RAM e due schede di interfaccia di rete identiche, connessione a banda larga, con funzionalità complete, per un ambiente bussines). Specifiche migliori del tuo hardware (in particolare la quantità di ram) migliorerà significativamente le prestazioni del tuo server.Le specifiche menzionate sono un minimo indispensabile per i clienti non così esigenti, solo per indicare che se lo desideri davvero, può essere fatto davvero (necessario qualche ritocco in seguito però).

Pubblico previsto:(inizio) sysop.

Questo tutorial porta verso un solido sistema 'pronto all'uso'. La parte divertente, credo, (modifica, messa a punto, ecc.) inizia quando hai finito. Potresti voler ispezionare i tuoi registri per trovare indizi su dove dovrebbe iniziare la messa a punto. Anche Munin potrebbe dirti molto.

Buon divertimento!

Innanzitutto, esegui un'installazione pulita utilizzando Ubuntu-Server 6.10. Durante l'installazione, le impostazioni corrette per eth0 verranno rilevate automaticamente. Se non riesce, cambia i cavi di rete e riprova. C'è una possibilità molto piccola che il tuo ISP non esegua un server DHCP (mai visto che è successo), o potrebbe semplicemente essere inattivo (visto che un bel po' di volte, inoltre potrebbero rovinare il loro DNS ogni tanto), in quale caso sei sul tuo, meglio aspettare che abbiano finito di risolverlo.

Quindi iniziamo con un indirizzo assegnato da DHCP per eth0. Questo è solo un modo semplice per capire quale NIC è effettivamente eth0. Se sai già quale è meglio iniziare con un indirizzo statico per eth0. Se il tuo ISP non è scadente, hai le impostazioni corrette per questo.

Ora procedi e accetta tutte le impostazioni predefinite (ma potresti voler fare il tuo partizionamento) Alla fine del processo ti verrà chiesto se vuoi installare pacchetti extra. Seleziona "LAMPADA" e termina.

Ora accedi come nuovo utente che hai appena creato e fai:

sudo passwd

Ora inserisci di nuovo la tua password. Quindi inserisci la nuova password per l'utente "root" e conferma. Quindi abbiamo abbandonato la brutta esperienza sudo (un po' strano su un server, non è vero?) Ora disconnetti e accedi di nuovo come root con la nuova password di root.

Fai:

apt-get install vim

Usando vim (o il tuo editor preferito) modifica /etc/apt/sources.list Commenta il repository cd. Successivamente aggiungi "universe" (senza virgolette) a tutte le righe che non sono commentate. Salva il file.

Ora fai:

apt-get update

apt-get install openssh-server

Modifica /etc/network/interfaces e aggiungi quanto segue in fondo:

auto eth1
iface eth1 inet static
	address		192.168.1.1
	netmask	        255.255.255.0
	broadcast	192.168.1.255
	network		192.168.1.0

Nota che il resto di questo tutorial presuppone che tu abbia effettivamente effettuato le impostazioni per eth1 come mostrato.

Il mio completo/etc/network/interfaces è simile a questo:

# This file describes the network interfaces available on your system
# and how to activate them. For more information, see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet dhcp
auto eth1
iface eth1 inet static
	address		192.168.1.1
	netmask		255.255.255.0
	broadcast	192.168.1.255
	network		192.168.1.0

Come puoi vedere, il mio eth0 ottiene le sue impostazioni usando DHCP.

Salva il file. Avanti:

/etc/init.d/networking restart

Puoi fare il resto di questo tutorial dalla tua workstation, Linux o l'altra (deve avere stucco), quindi puoi effettivamente copiare e incollare. Accedi a 192.168.1.1 come root e vai avanti.

Assicurati che le impostazioni di rete della tua workstation corrispondano alle impostazioni di eth1

del tuo server

Se sei confuso qui, prima configura e avvia il tuo server DHCP come mostrato in questo articolo (pagina 9) e lascia che la tua workstation rilevi automaticamente le impostazioni corrette.

Configura Ubuntu-Server 6.10 come firewall/gateway per il tuo ambiente di piccole imprese - Pagina 2

Avanti:

cd /root

I numeri di versione nei comandi successivi si applicano all'ultima fonte stabile al momento della stesura di questo articolo. Regola secondo necessità.

wget http://surfnet.dl.sourceforge.net/sourceforge/clamav/clamav-0.88.7.tar.gz

Come prima, scegli uno specchio vicino a te.

groupadd clamav

useradd -g clamav -s /bin/false -c "Clam Antivirus" clamav

tar -zxvf clamav-0.88.7.tar.gz

cd clamav-0.88.7

./configure --sysconfdir=/etc

make

make install

touch /var/log/freshclam.log

chmod 600 /var/log/freshclam.log

chown clamav /var/log/freshclam.log

Ora modifica /etc/clamd.conf. Commenta "ESEMPIO" (senza virgolette). Quindi fai lo stesso in/etc/freshclam.conf.

Avanti:

/usr/local/bin/freshclam

Ora rendilo un lavoro cron ed eseguilo ogni ora. Preferibilmente non durante l'ora o nelle vicinanze, poiché i server clamav verranno allagati quando tutti lo faranno. Scegli un momento intelligente per questo lavoro. Il servizio è assolutamente GRATUITO! Manteniamolo così.

/etc/init.d/mailscanner restart

Ora voglio fare alcuni lavori perl. Se utilizzi effettivamente l'hardware antico che ho utilizzato per realizzare questo tutorial, tieni presente che ci vorrà del tempo.

Nota che puoi farne a meno, per cominciare. Potresti voler programmare questo lavoro ovunque presto. Se lo scegli, lo sei

FATTO!

In alternativa, vai fino in fondo adesso e fai:

perl -MCPAN -e shell

Accetta tutte le impostazioni predefinite, ad eccezione della domanda in cui puoi rispondere "UNINST=1" (senza virgolette). Penso che sia meglio fare effettivamente UNINST=1.

Ora fai:

install ExtUtils::CBuilder

reload cpan

Il comando "reload cpan" dovrebbe essere dato subito dopo ogni passaggio nella shell cpan. Meglio prevenire che curare. Ne parlo solo una volta.

install ExtUtils::MakeMaker

Come risultato dei prossimi comandi ti verranno poste alcune domande. Premi semplicemente "invio" in tutti i casi.

install Bundle::CPAN

install Bundle::LWP

install Mail::ClamAV

Ora lascia la shell cpan:

q

/etc/init.d/mailscanner restart

Ora pulisci la tua directory /root. Ecco dove sono finiti tutti i download.

Avvertimento!!! Non installare Mail::SpamAssassin da cpan insieme al pacchetto ubuntu spamassassin poiché interromperà il tuo sistema. Niente più regole del giorno, e le regole, amici miei, è di questo che si tratta principalmente!

Se vuoi davvero Mail::SpamAssassin da cpan, dovrai eliminare il tuo pacchetto spamassassin e compilarlo, installarlo e configurarlo dall'ultimo sorgente stabile, che al momento della scrittura è la versione 3.1.7.

Samba è installato. Poiché ogni configurazione di Samba è unica, non posso aiutarti qui. Non sai come farlo? Questo è un buon punto di partenza.

Fatto!