Zentyal come gateway:la configurazione perfetta
1. Introduzione
Zentyal è il Linux Small Business Server, ti permette di gestire tutti i tuoi servizi di rete attraverso un'unica piattaforma. È un gateway di rete, nonché un'infrastruttura, UTM (Unified Threat Manager), Office e Communications Server. Tutte queste funzionalità sono completamente integrate e facili da configurare, aiutano davvero a far risparmiare tempo agli amministratori di sistema.
In questo tutorial vedrai come configurare un server Zentyal che funga da gateway in uno scenario molto comune. Zentyal fornirà l'infrastruttura di rete di base, bilanciamento del carico tra due provider Internet, firewall e cache proxy HTTP e filtro dei contenuti. Tutti questi passaggi sono ben spiegati nella Documentazione Zentyal, che è una lettura davvero consigliata. Viene utilizzato il seguente layout di rete di esempio:
2. Installazione
Zentyal viene eseguito in cima alla pagina dell'hardware certificato Ubuntu per ulteriori informazioni. Esistono due modi per installare Zentyal:
- Utilizzo del programma di installazione Zentyal che puoi scaricare dal sito Web del progetto. Questa è la scelta consigliata, include tutte le dipendenze del pacchetto per l'installazione offline e fa anche alcune configurazioni personalizzate.
- Installa su un server Ubuntu funzionante, puoi trovare informazioni dettagliate e URL per il repository nella Guida all'installazione di Zentyal.
Se installi Zentyal usando il programma di installazione, vedrai questa schermata all'avvio da CD-ROM e un paio di procedure guidate ti guideranno attraverso il processo. Puoi scegliere le impostazioni predefinite in tutti loro.
Zentyal fornisce un'interfaccia di amministrazione web, dopo l'installazione apparirà un browser Firefox che ti consentirà di accedervi (puoi accedere a Zentyal anche da qualsiasi browser client digitando:https://zentyal_server_ip). Utente e password sono gli stessi che hai inserito durante l'installazione.
Ora puoi selezionare i pacchetti desiderati da installare, per questo tutorial dovresti installare il pacchetto Gateway. Successivamente verranno installati anche i moduli DHCP e DNS utilizzando il modulo Gestione software.
Dopo questo passaggio tutti i pacchetti necessari sono installati, ora il setup ti guiderà attraverso le procedure guidate di configurazione per i moduli installati, in questo caso Rete e Utenti. Per ora possiamo saltare la configurazione di rete, quindi se avvii questo tutorial da uno Zentyal già installato puoi comunque seguirlo.
Zentyal Server è ora installato. Seguendo i passaggi successivi configurerai ogni modulo.
3. Rete
Come mostrato nello scenario, è necessario configurare tre interfacce di rete, due router esterni e uno per la rete interna. Zentyal bilancerà il traffico tra le due connessioni Internet.
3.1. Interfacce
Vai su Rete -> Interfacce e configura ogni interfaccia introducendo il suo IP e la maschera di rete. Non dimenticare di contrassegnare le interfacce esterne perché Zentyal utilizza queste informazioni nelle regole del firewall. Nella prossima immagine puoi vedere la configurazione per una delle interfacce esterne e quella interna.
3.2. Gateway e bilanciamento del carico
Ora devi configurare entrambi i gateway nella tabella dei gateway (Rete -> Gateway):
Vai su Rete -> Bilancia traffico per abilitare il bilanciamento del carico tra i gateway.
Zentyal come gateway:la configurazione perfetta - Pagina 2
In questa pagina
- 3.3. Failover
- 3.4. Infrastruttura di base
3.3. Failover
Zentyal Server può eseguire il failover sui gateway. Se uno dei gateway si guasta, verrà rilevato e il traffico passerà attraverso l'altro. Ciò garantisce una connessione Internet bilanciata (a meno che entrambi i collegamenti non si interrompano contemporaneamente).
Per configurare il failover, il modulo Events deve essere abilitato (in Module Status). È inoltre necessario abilitare il failover WAN nella sezione Eventi. Infine, dovresti aggiungere regole di controllo della connettività. L'evento di failover li utilizzerà per rilevare lo stato del collegamento interrotto (Rete -> Failover WAN):
Il ping sul gateway verifica se il gateway è attivo, non la connessione Internet stessa, il ping su un host esterno verifica anche la connettività in modo rapido, il test della risoluzione DNS è un po' più lento ma controlla anche la risoluzione DNS e l'ultimo, HTTP request eseguirà una richiesta completa a una pagina web, è più completa ma anche più lenta.
Con questa configurazione Zentyal eseguirà il ping di 8.8.8.8 ogni 30 secondi. Se due o più ping falliscono per un gateway, verrà disattivato. Se il gateway viene ripristinato, verrà nuovamente abilitato. Nessuno di questi eventi influirà sulla connettività degli utenti finali. È importante impostare un tempo corretto tra i test, calcolando i tempi di durata massima del test. In questo caso abbiamo sei ping x due gateway, che dovrebbero essere eseguiti in meno di 30 secondi.
3.4. Infrastruttura di base
Per fornire un'infrastruttura di base per la rete interna è necessario installare i moduli DNS e DHCP utilizzando Gestione software -> sezione Componenti Zentyal.
Ora devi abilitare questi componenti in Module Status. Il DNS fungerà da server di memorizzazione nella cache, quindi puoi configurare Rete -> DNS su 127.0.0.1 per farlo utilizzare a Zentyal (se imposti più di un server DNS, 127.0.0.1 dovrebbe essere il primo):
DHCP può anche essere configurato per servire nella rete interna:configurerà automaticamente i client per utilizzare Zentyal come gateway e DNS. Devi solo aggiungere un intervallo predefinito di IP che desideri per i client, 10.0.0.20-10.0.100 in questo caso:
4. Firewall
A questo punto hai una rete funzionante, con tutta l'infrastruttura di rete di base necessaria. Ora, diamo un'occhiata al Firewall di Zentyal e a come configurarlo.
Zentyal è sicuro per impostazione predefinita, per impostazione predefinita il firewall applica regole rigorose sulle interfacce esterne e consente il traffico in uscita dalla LAN interna. Puoi trovare le regole configurate in Firewall -> Filtro pacchetti:
- Regole di filtraggio dalle reti interne a Zentyal
- Regole di filtraggio per le reti interne
- Regole di filtraggio del traffico in uscita da Zentyal
- Regole di filtraggio da reti esterne a Zentyal
- Regole di filtraggio da reti esterne a reti interne
- Regole aggiunte dai servizi Zentyal (Avanzati)
Tutte queste tabelle vietano le connessioni per impostazione predefinita, se si desidera consentire un qualche tipo di connessione è necessario creare una nuova regola per questo (le regole vengono applicate in ordine). Ecco alcuni esempi comuni:
Consenti ai client interni di utilizzare alcuni servizi tranne LDAP:
Consenti tutto il traffico dai client a Internet:
5. Proxy HTTP
L'ultimo passaggio di questo tutorial è la configurazione del proxy HTTP. Il proxy HTTP di Zentyal memorizzerà nella cache gli utenti della navigazione Web diminuendo davvero l'utilizzo della larghezza di banda e filtrerà anche i contenuti, non consentendo siti o tipi di contenuto vietati.
Da HTTP Proxy -> Generale puoi configurare il proxy HTTP come trasparente, in modo che i browser dei client non debbano essere riconfigurati, le richieste HTTP (porta 80) verranno reindirizzate automaticamente tramite il proxy. Puoi anche aumentare le dimensioni della cache in base all'hardware e all'utilizzo.
Infine, puoi aggiungere un URL per memorizzare nella cache le eccezioni, in modo che il proxy non lo memorizzerà mai nella cache. Questo è utile se devi accedere alla pagina web sempre nella sua versione più recente.
L'impostazione del filtro come criterio predefinito imporrà alla richiesta di passare attraverso il filtro del contenuto. Ora puoi configurarlo per consentire e non consentire le pagine desiderate. Nel menu Proxy HTTP -> Filter Profiles troverai i profili di filtraggio definiti. Puoi configurare quello predefinito, che si applicherà a tutti gli utenti.
Inoltre, qui puoi configurare la soglia del filtro dei contenuti e aggiungere elenchi di domini vietati. Inoltre, se installi un modulo antivirus, il proxy lo utilizzerà per filtrare i download di virus.
Come puoi vedere hai bloccato facebook.com (solo come esempio) ma tieni presente che HTTP Proxy filtra solo HTTP sulla porta 80. In questo caso gli utenti possono comunque raggiungere la versione HTTPS della pagina, quindi creiamo anche una regola firewall di blocco quel traffico. Avrai bisogno di un oggetto (menu Oggetti) contenente il pool di indirizzi di facebook.com:
Se non esiste crei anche un nuovo servizio che corrisponda al traffico desiderato. In questo caso HTTPS (TCP con porta di destinazione 443):
Infine puoi aggiungere la regola del firewall per le reti interne che bloccano il traffico corrispondente al tuo nuovo oggetto e servizio come destinazione:
6. Conclusioni
Abbiamo completamente configurato Zentyal Server come gateway con bilanciamento del carico, failover e cache proxy HTTP. Zentyal sarà anche responsabile dell'infrastruttura di base che serve DHCP e DNS.
Informazioni su
Zentyal, Linux Small Business Server, offre alle piccole e medie imprese un'infrastruttura di rete di livello enterprise, conveniente e facile da usare. Utilizzando il server Zentyal, le PMI sono in grado di migliorare l'affidabilità e la sicurezza della propria rete di computer e di ridurre gli investimenti IT ei costi operativi. Lo sviluppo del server Zentyal è stato avviato all'inizio del 2004 e attualmente è l'alternativa open source a Windows Small Business Server. Zentyal è un server all-in-one che può fungere da gateway di rete, Unified ThreatManager (UTM), Office Server, Infrastructure Manager, UnifiedCommunications Server o una combinazione di essi. Il server Zentyal è ampiamente utilizzato nelle piccole e medie imprese indipendentemente dal settore, dall'industria o dall'ubicazione, nonché nelle pubbliche amministrazioni o nel settore dell'istruzione. Si stima che ci siano oltre 50.000 installazioni Zentyal attive in tutto il mondo.
L'autore, Carlos Pérez-Aradros Herce (alias exekias), lavora come sviluppatore di Zentyal Server e Zentyal Cloud.