Configura Ubuntu-Server 6.10 come firewall/gateway per l'ambiente delle piccole imprese
Include:Shorewall, NAT, Caching NameServer, Server DHCP, Server VPN, Webmin, Munin, Apache (abilitazione SSL), Squirrelmail, Configurazione Postfix con domini virtuali, Courier imap imaps pop3 pop3s, autenticazione sasl per road warrior, MailScanner as un wrapper per SpamAssassin, Razor, ClamAV, ecc. Samba installato, non configurato.
Richiede pochissima manutenzione ed è estensibile oltre la tua più sfrenata immaginazione. Tutto a seconda dell'hardware utilizzato, ovviamente.
Questo è un manuale COPIA&INCOLLA. Per info usa la rete. L'ho fatto... Comunque, contributi e suggerimenti sono sempre i benvenuti! So che questo può essere fatto meglio, quindi sentiti libero.
Se qualcuno di voi riesce a trovare il tempo per aggiungere una buona installazione e configurazione per snort AND snortsam, incluso un pannello di controllo completo, gli sarei molto grato.
Ambito:creazione di un firewall/gateway (postale) per una piccola rete (diciamo da 10 a 15 utenti o giù di lì su un PIII 450 MHz, 512 MB di RAM e due schede di interfaccia di rete identiche, connessione a banda larga, con funzionalità complete, per un ambiente bussines). Specifiche migliori del tuo hardware (in particolare la quantità di ram) migliorerà significativamente le prestazioni del tuo server.Le specifiche menzionate sono un minimo indispensabile per i clienti non così esigenti, solo per indicare che se lo desideri davvero, può essere fatto davvero (necessario qualche ritocco in seguito però).
Pubblico previsto:(inizio) sysop.
Questo tutorial porta verso un solido sistema 'pronto all'uso'. La parte divertente, credo, (modifica, messa a punto, ecc.) inizia quando hai finito. Potresti voler ispezionare i tuoi registri per trovare indizi su dove dovrebbe iniziare la messa a punto. Anche Munin potrebbe dirti molto.
Buon divertimento!
Innanzitutto, esegui un'installazione pulita utilizzando Ubuntu-Server 6.10. Durante l'installazione, le impostazioni corrette per eth0 verranno rilevate automaticamente. Se non riesce, cambia i cavi di rete e riprova. C'è una possibilità molto piccola che il tuo ISP non esegua un server DHCP (mai visto che è successo), o potrebbe semplicemente essere inattivo (visto che un bel po' di volte, inoltre potrebbero rovinare il loro DNS ogni tanto), in quale caso sei sul tuo, meglio aspettare che abbiano finito di risolverlo.
Quindi iniziamo con un indirizzo assegnato da DHCP per eth0. Questo è solo un modo semplice per capire quale NIC è effettivamente eth0. Se sai già quale è meglio iniziare con un indirizzo statico per eth0. Se il tuo ISP non è scadente, hai le impostazioni corrette per questo.
Ora procedi e accetta tutte le impostazioni predefinite (ma potresti voler fare il tuo partizionamento) Alla fine del processo ti verrà chiesto se vuoi installare pacchetti extra. Seleziona "LAMPADA" e termina.
Ora accedi come nuovo utente che hai appena creato e fai:
sudo passwd
Ora inserisci di nuovo la tua password. Quindi inserisci la nuova password per l'utente "root" e conferma. Quindi abbiamo abbandonato la brutta esperienza sudo (un po' strano su un server, non è vero?) Ora disconnetti e accedi di nuovo come root con la nuova password di root.
Fai:
apt-get install vim
Usando vim (o il tuo editor preferito) modifica /etc/apt/sources.list Commenta il repository cd. Successivamente aggiungi "universe" (senza virgolette) a tutte le righe che non sono commentate. Salva il file.
Ora fai:
apt-get update
apt-get install openssh-server
Modifica /etc/network/interfaces e aggiungi quanto segue in fondo:
auto eth1 iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 network 192.168.1.0
Nota che il resto di questo tutorial presuppone che tu abbia effettivamente effettuato le impostazioni per eth1 come mostrato.
Il mio completo/etc/network/interfaces è simile a questo:
# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). # The loopback network interface auto lo iface lo inet loopback # The primary network interface auto eth0 iface eth0 inet dhcp auto eth1 iface eth1 inet static address 192.168.1.1 netmask 255.255.255.0 broadcast 192.168.1.255 network 192.168.1.0
Come puoi vedere, il mio eth0 ottiene le sue impostazioni usando DHCP.
Salva il file. Avanti:
/etc/init.d/networking restart
Puoi fare il resto di questo tutorial dalla tua workstation, Linux o l'altra (deve avere stucco), quindi puoi effettivamente copiare e incollare. Accedi a 192.168.1.1 come root e vai avanti.
Assicurati che le impostazioni di rete della tua workstation corrispondano alle impostazioni di eth1
del tuo serverSe sei confuso qui, prima configura e avvia il tuo server DHCP come mostrato in questo articolo (pagina 9) e lascia che la tua workstation rilevi automaticamente le impostazioni corrette.
Configura Ubuntu-Server 6.10 come firewall/gateway per il tuo ambiente di piccole imprese - Pagina 2
Avanti:
cd /root
I numeri di versione nei comandi successivi si applicano all'ultima fonte stabile al momento della stesura di questo articolo. Regola secondo necessità.
wget http://surfnet.dl.sourceforge.net/sourceforge/clamav/clamav-0.88.7.tar.gz
Come prima, scegli uno specchio vicino a te.
groupadd clamav
useradd -g clamav -s /bin/false -c "Clam Antivirus" clamav
tar -zxvf clamav-0.88.7.tar.gz
cd clamav-0.88.7
./configure --sysconfdir=/etc
make
make install
touch /var/log/freshclam.log
chmod 600 /var/log/freshclam.log
chown clamav /var/log/freshclam.log
Ora modifica /etc/clamd.conf. Commenta "ESEMPIO" (senza virgolette). Quindi fai lo stesso in/etc/freshclam.conf.
Avanti:
/usr/local/bin/freshclam
Ora rendilo un lavoro cron ed eseguilo ogni ora. Preferibilmente non durante l'ora o nelle vicinanze, poiché i server clamav verranno allagati quando tutti lo faranno. Scegli un momento intelligente per questo lavoro. Il servizio è assolutamente GRATUITO! Manteniamolo così.
/etc/init.d/mailscanner restart
Ora voglio fare alcuni lavori perl. Se utilizzi effettivamente l'hardware antico che ho utilizzato per realizzare questo tutorial, tieni presente che ci vorrà del tempo.
Nota che puoi farne a meno, per cominciare. Potresti voler programmare questo lavoro ovunque presto. Se lo scegli, lo sei
FATTO!
In alternativa, vai fino in fondo adesso e fai:
perl -MCPAN -e shell
Accetta tutte le impostazioni predefinite, ad eccezione della domanda in cui puoi rispondere "UNINST=1" (senza virgolette). Penso che sia meglio fare effettivamente UNINST=1.
Ora fai:
install ExtUtils::CBuilder
reload cpan
Il comando "reload cpan" dovrebbe essere dato subito dopo ogni passaggio nella shell cpan. Meglio prevenire che curare. Ne parlo solo una volta.
install ExtUtils::MakeMaker
Come risultato dei prossimi comandi ti verranno poste alcune domande. Premi semplicemente "invio" in tutti i casi.
install Bundle::CPAN
install Bundle::LWP
install Mail::ClamAV
Ora lascia la shell cpan:
q
/etc/init.d/mailscanner restart
Ora pulisci la tua directory /root. Ecco dove sono finiti tutti i download.
Avvertimento!!! Non installare Mail::SpamAssassin da cpan insieme al pacchetto ubuntu spamassassin poiché interromperà il tuo sistema. Niente più regole del giorno, e le regole, amici miei, è di questo che si tratta principalmente!
Se vuoi davvero Mail::SpamAssassin da cpan, dovrai eliminare il tuo pacchetto spamassassin e compilarlo, installarlo e configurarlo dall'ultimo sorgente stabile, che al momento della scrittura è la versione 3.1.7.
Samba è installato. Poiché ogni configurazione di Samba è unica, non posso aiutarti qui. Non sai come farlo? Questo è un buon punto di partenza.