Ubuntu-Server 6.06 LTS Als Firewall/Gateway Für Ihre Kleine Unternehmensumgebung Einrichten

Jetzt müssen Sie jedem echten Benutzer eine Willkommensnachricht senden, um die erforderlichen initialen Maildir-Strukturen in ihren Home-Verzeichnissen zu erstellen, die benötigt werden, um sich in ihren Konten anmelden zu können. Sie können dafür das Postfix-Modul von Webmin verwenden. Es ist nicht nötig, etwas an ihre Aliase zu senden. Sie möchten möglicherweise ein externes E-Mail-Konto verwenden, um diese Willkommensnachrichten zu senden, jedoch müssen Sie zuerst Port 25 in Ihrer Firewall öffnen, wie auf dieser Seite des Tutorials gezeigt.

Beachten Sie, dass Sie natürlich auch jedem neuen Benutzer, der nach diesem ersten Setup hinzugefügt wird, eine Nachricht senden müssen.

Ihr Webmail-Server befindet sich unter https://your.domain/webmail (senden Sie zuerst diese Nachrichten!)

Munin ist unter http://your.domain/munin

Webmin ist unter https://your.domain:10000

Wenn Sie keine Domains eingerichtet haben, verwenden Sie https://192.168.1.1/webmail usw.

Überprüfen Sie, ob Sie sich in Ihr Webmail einloggen und tatsächlich E-Mails innerhalb Ihres lokalen Netzwerks senden und empfangen können. Wenn Sie zufrieden sind, öffnen Sie Port 25 in Ihrer Firewall für eingehenden TCP-Verkehr (Postfix) und Port 6277 für eingehenden UDP-Verkehr (DCC). Sie möchten möglicherweise Ihren Webmail-Server für Ihre Benutzer aus der Außenwelt verfügbar machen. Öffnen Sie auch Port 443 für eingehenden TCP-Verkehr (Apache SSL). Port 993 zu öffnen ist ebenfalls eine gute Idee für eingehende TCP-Verbindungen, da es IMAPS erleichtert.

Meine /etc/shorewall/rules sieht jetzt so aus: (nur um zu beginnen, alle in diesem Artikel gezeigten Firewall-Einstellungen sind nur dazu gedacht, Sie zum Laufen zu bringen, Sie möchten diese Einstellungen möglicherweise anpassen, sobald Sie fertig sind!)

#############################################################################################################  
#ACTION     SOURCE      DEST        PROTO   DEST    SOURCE      ORIGINAL    RATE        USER/  
#                       PORT    PORT(S)     DEST        LIMIT       GROUP  
#                       PORT    PORT(S) DEST        LIMIT   GROUP  
ACCEPT  net $FW tcp 25  
ACCEPT  net $FW tcp 443  
ACCEPT  net $FW tcp 993  
ACCEPT  net $FW udp 6277  
#  
#   Accept DNS connections from the firewall to the network  
#  
DNS/ACCEPT  $FW     net  
ACCEPT  $FW net all  
ACCEPT  $FW loc all  
ACCEPT  loc $FW all  
#  
#   Accept SSH connections from the local network for administration  
#  
SSH/ACCEPT  loc     $FW  
#  
#   Allow Ping from the local network  
#  
Ping/ACCEPT loc     $FW  
#  
# Reject Ping from the "bad" net zone.. and prevent your log from being flooded..  
#  
Ping/REJECT net     $FW  
ACCEPT      $FW loc     icmp  
ACCEPT      $FW net     icmp  
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Starten Sie die Firewall neu:

/etc/init.d/shorewall restart

Führen Sie als Nächstes aus:

/var/dcc/libexec/updatedcc

Jetzt konfigurieren wir Ihren VPN-Server.

Bearbeiten Sie /etc/pptpd.conf. Es sollte jetzt so aussehen:

###############################################################################  
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $  
#  
# Beispiel Poptop-Konfigurationsdatei /etc/pptpd.conf  
#  
# Änderungen treten in Kraft, wenn pptpd neu gestartet wird.  
###############################################################################  
  
# TAG: ppp  
#   Pfad zum pppd-Programm, standardmäßig '/usr/sbin/pppd' unter Linux  
#  
#ppp /usr/sbin/pppd  
  
# TAG: option  
#   Gibt den Speicherort der PPP-Optionsdatei an.  
#   Standardmäßig sucht PPP in '/etc/ppp/options'  
#  
option  /etc/ppp/pptpd-options  
  
# TAG: debug  
#   Aktiviert (mehr) Debugging in syslog  
#  
#debug  
  
# TAG: stimeout  
#   Gibt den Timeout (in Sekunden) beim Starten der Steuerverbindung an  
#  
# stimeout 10  
  
# TAG: noipparam  
#   Unterdrückt das Übergeben der IP-Adresse des Clients an PPP, was  
#   standardmäßig sonst erfolgt.  
#  
#noipparam  
  
# TAG: logwtmp  
#   Verwendet wtmp(5), um Clientverbindungen und -trennungen aufzuzeichnen.  
#  
logwtmp  
  
# TAG: bcrelay   
#   Aktiviert das Broadcast-Relay zu Clients von der Schnittstelle   
#  
#bcrelay eth1  
  
# TAG: localip  
# TAG: remoteip  
#   Gibt die lokalen und entfernten IP-Adressbereiche an.  
#  
#   Alle Adressen funktionieren, solange die lokale Maschine sich um die  
#   Routing kümmert. Aber wenn Sie MS-Windows-Netzwerke verwenden möchten, sollten Sie  
#   IP-Adressen aus dem LAN-Adressraum verwenden und die Proxyarp-  
#   Option in der pppd-Optionsdatei verwenden oder bcrelay ausführen.  
#  
#   Sie können einzelne IP-Adressen durch Kommas getrennt angeben oder Sie können  
#   Bereiche angeben, oder beides. Zum Beispiel:  
#  
#       192.168.0.234,192.168.0.245-249,192.168.0.254  
#  
#   WICHTIGE EINSCHRÄNKUNGEN:  
#  
#   1. Zwischen Kommas oder innerhalb von Adressen sind keine Leerzeichen erlaubt.  
#  
#   2. Wenn Sie mehr IP-Adressen als MAX_CONNECTIONS angeben, wird  
#       es am Anfang der Liste beginnen und bis es MAX_CONNECTIONS IPs erhält.  
#   Andere werden ignoriert.  
#  
#   3. Keine Abkürzungen in Bereichen! d.h. 234-8 bedeutet nicht 234 bis 238,  
#       sie müssen 234-238 eingeben, wenn Sie dies meinen.  
#  
#   4. Wenn Sie eine einzelne localIP angeben, ist das in Ordnung - alle lokalen IPs werden  
#       die angegebene sein. Sie MÜSSEN jedoch mindestens eine entfernte  
#   IP für jeden gleichzeitigen Client angeben.  
#  
# (Empfohlen)  
localip 192.168.1.1  
remoteip    192.168.1.10-30  
# oder  
#localip 192.168.0.234-238,192.168.0.245  
#remoteip 192.168.1.234-238,192.168.1.245

Bearbeiten Sie als Nächstes /etc/ppp/options. Es sollte so aussehen:

asyncmap 0  
noauth  
lock  
hide-password  
proxyarp  
lcp-echo-interval 30  
lcp-echo-failure 4  
noipx

Bearbeiten Sie /etc/ppp/pptpd-options. Es sollte so aussehen:

###############################################################################  
# $Id: pptpd-options 4643 2006-11-06 18:42:43Z rene $  
#  
# Beispiel Poptop PPP-Optionsdatei /etc/ppp/pptpd-options  
# Optionen, die von PPP verwendet werden, wenn eine Verbindung von einem Client ankommt.  
# Diese Datei wird durch das /etc/pptpd.conf-Optionsschlüsselwort angesprochen.  
# Änderungen treten bei der nächsten Verbindung in Kraft.  Siehe "man pppd".  
#  
# Sie werden erwartet, dass Sie diese Datei an Ihr System anpassen.  
# Wie verpackt, erfordert es PPP 2.4.2 und das Kernel-MPPE-Modul.  
###############################################################################  
  
# Authentifizierung  
  
# Name des lokalen Systems zu Authentifizierungszwecken   
# (muss mit dem zweiten Feld in den /etc/ppp/chap-secrets-Einträgen übereinstimmen)  
name pptp-vpn  
  
# Optional: Domainname zur Verwendung für die Authentifizierung  
# domain mydomain.net  
  
# Entfernen Sie das Domain-Präfix vom Benutzernamen vor der Authentifizierung.  
# (gilt, wenn Sie pppd mit dem chapms-strip-domain-Patch verwenden)  
#chapms-strip-domain  
  
# Verschlüsselung  
# Debian: auf Systemen mit einem Kernel, der mit dem Paket  
# kernel-patch-mppe >= 2.4.2 und Verwendung von ppp >= 2.4.2, ...  
# {{{  
refuse-pap  
refuse-chap  
refuse-mschap  
# Erfordert, dass der Peer sich mit MS-CHAPv2 [Microsoft  
# Challenge Handshake Authentication Protocol, Version 2] authentifiziert.  
require-mschap-v2  
# Erfordert MPPE 128-Bit-Verschlüsselung  
# (beachten Sie, dass MPPE die Verwendung von MSCHAP-V2 während der Authentifizierung erfordert)  
require-mppe-128  
# }}}  
  
# Netzwerk und Routing  
  
# Wenn pppd als Server für Microsoft Windows-Clients fungiert,  
# ermöglicht diese Option pppd, ein oder zwei DNS (Domain Name Server)  
# Adressen an die Clients bereitzustellen.  Die erste Instanz dieser Option  
# gibt die primäre DNS-Adresse an; die zweite Instanz (falls angegeben)  
# gibt die sekundäre DNS-Adresse an.  
# Achtung! Diese Informationen werden möglicherweise von einem Windows-  
# client nicht berücksichtigt. Siehe KB311218 in der Microsoft-Wissensdatenbank für weitere Informationen.  
#ms-dns 10.0.0.1  
ms-dns 192.168.0.1  
  
# Wenn pppd als Server für Microsoft Windows oder "Samba"  
# Clients fungiert, ermöglicht diese Option pppd, ein oder zwei WINS (Windows  
# Internet Name Services) Serveradressen an die Clients bereitzustellen.  Die erste  
# Instanz dieser Option gibt die primäre WINS-Adresse an; die zweite Instanz (falls angegeben)  
# gibt die sekundäre WINS-Adresse an.  
#ms-wins 10.0.0.3  
ms-wins 192.168.0.1  
  
# Fügen Sie einen Eintrag in die ARP [Address Resolution Protocol]  
# Tabelle dieses Systems mit der IP-Adresse des Peers und der Ethernet-Adresse dieses  
# Systems hinzu.  Dies hat zur Folge, dass der Peer für andere  
# Systeme so aussieht, als wäre er im lokalen Ethernet.  
# (Sie benötigen dies nicht, wenn Ihr PPTP-Server für das Routing  
# von Paketen zu den Clients verantwortlich ist -- James Cameron)  
proxyarp  
  
# Debian: Ersetzen Sie die Standardroute nicht  
nodefaultroute  
  
# Protokollierung  
  
# Aktivieren Sie die Debugging-Funktionen für Verbindungen.  
# (siehe Ihre syslog-Konfiguration, wohin pppd sendet)  
#debug  
  
# Geben Sie alle gesetzten Optionswerte aus.  
# (oft von Mailinglisten angefordert, um Optionen zu überprüfen)  
#dump  
  
# Verschiedenes  
  
# Erstellen Sie eine UUCP-ähnliche Sperrdatei für das pseudo-tty, um exklusiven  
# Zugriff sicherzustellen.  
lock  
  
# Deaktivieren Sie die BSD-Compress-Kompression  
nobsdcomp   
auth

Bearbeiten Sie als Nächstes /etc/ppp/chap-secrets. Es sollte so aussehen:

# Geheimnisse für die Authentifizierung mit CHAP
# client    server  secret      IP-Adressen
user  pptp-vpn  abcdefg  "*"

Führen Sie jetzt aus:

/etc/init.d/pptpd restart

Sie sollten jetzt in der Lage sein, eine VPN-Verbindung zu Ihrem neuen Server von innerhalb Ihrer Firewall als “user” mit dem Passwort “abcdefg” (ohne Anführungszeichen) einzurichten. Ändern Sie diesen initialen Benutzernamen und das Passwort und fügen Sie einige Benutzer hinzu, wenn Sie möchten. Möglicherweise müssen Sie einige Maschinen neu starten, um es zum Laufen zu bringen.

Öffnen Sie jetzt Ihre Firewall für eingehende VPN-Verbindungen. Dazu setzen Sie Ihre /etc/shorewall/rules wie gezeigt.

Meine /etc/shorewall/rules zu diesem Zeitpunkt:

#############################################################################################################  
#ACTION     SOURCE      DEST        PROTO   DEST    SOURCE      ORIGINAL    RATE        USER/  
#                       PORT    PORT(S)     DEST        LIMIT       GROUP  
#                       PORT    PORT(S) DEST        LIMIT   GROUP  
ACCEPT  net $FW tcp 25  
ACCEPT  net $FW tcp 443  
ACCEPT  net $FW tcp 993  
ACCEPT  net $FW udp 6277  
DNAT    net fw:192.168.1.1  tcp 1723  
DNAT    net fw:192.168.1.1  47  
#  
#   Accept DNS connections from the firewall to the network  
#  
DNS/ACCEPT  $FW     net  
ACCEPT  $FW net all  
ACCEPT  $FW loc all  
ACCEPT  loc $FW all  
#  
#   Accept SSH connections from the local network for administration  
#  
SSH/ACCEPT  loc     $FW  
#  
#   Allow Ping from the local network  
#  
Ping/ACCEPT loc     $FW  
#  
# Reject Ping from the "bad" net zone.. and prevent your log from being flooded..  
#  
Ping/REJECT net     $FW  
ACCEPT      $FW loc     icmp  
ACCEPT      $FW net     icmp  
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Um diesen Schritt abzuschließen, führen Sie aus:

/etc/init.d/shorewall restart

Jetzt können Ihre Kunden ihre (netzwerkbezogenen) Arbeiten auch von zu Hause aus erledigen.

Beachten Sie, dass dies nur sinnvoll ist, wenn Ihr Server eine zuverlässige Breitbandverbindung zum Internet hat, was in den Niederlanden der De-facto-Standard ist, selbst für sehr kleine Büros und die meisten Wohnadressen. In dieser Hinsicht sind wir dem Rest der Welt weit voraus.

Bearbeiten Sie jetzt Ihre /etc/MailScanner/spam.assassin.prefs.conf und fügen Sie die folgenden Zeilen am Ende hinzu:

score RCVD_IN_SORBS_WEB 10  
score RCVD_IN_WHOIS_INVALID 10  
score RCVD_IN_WHOIS_BOGONS 10  
score RCVD_IN_NJABL_PROXY 10  
score RCVD_IN_DSBL 10  
score RCVD_IN_XBL 10  
score RCVD_IN_BL_SPAMCOP_NET 10  
score RCVD_IN_SORBS_DUL 10  
score SARE_LWSYMFMT 3  
score SARE_MLB_Stock4 3  
score SARE_BAYES_5x8 3  
score SARE_BAYES_6x8 3  
score URIBL_SC_SURBL 10  
score URIBL_WS_SURBL 10  
score URIBL_PH_SURBL 10  
score URIBL_OB_SURBL 10  
score URIBL_AB_SURBL 10  
score URIBL_JP_SURBL 10  
score URIBL_SBL 10  
score ALL_TRUSTED 0

Jetzt reinigen Sie Ihr /root-Verzeichnis. Dort sind alle Downloads gelandet.

Samba ist installiert. Da jede Samba-Konfiguration einzigartig ist, kann ich Ihnen dabei nicht helfen. Wissen Sie nicht, wie man es macht? Das ist ein guter Ausgangspunkt.

Um das alles abzuschließen, führen Sie aus:

/etc/init.d/mailscanner restart

Jetzt beobachten Sie die Spam-Berichte in den Headern eingehender E-Mails (aber stellen Sie sicher, dass Ihre Benutzer dem zustimmen, da Sie möglicherweise einige Post- und andere Gesetze verletzen) um die letzte Bearbeitung anzupassen (und einige hinzuzufügen), um es so zu gestalten, wie Sie es möchten. Besonders falsche Negative und noch mehr falsche Positive sollten Ihre Aufmerksamkeit erregen. Wenn Sie fertig sind, möchten Sie möglicherweise den meisten Spam, wenn nicht sogar allen, nach /dev/null senden.

Machen Sie diesen Spionagejob einfach: Erstellen Sie ein spezielles Konto, an das Sie eine Kopie aller von Ihrem Server bearbeiteten E-Mails senden. Angenommen, Sie erstellen diesen Benutzer und nennen ihn “spy” (ohne Anführungszeichen) und Sie haben spy eine Zeile in /etc/postfix/virtual gegeben (wie “[email protected] spy”, ohne Anführungszeichen). Führen Sie als Nächstes aus:

postmap /etc/postfix/virtual

Jetzt senden Sie spy eine Willkommensnachricht, als Faustregel, und überprüfen Sie, ob das Konto von spy voll funktionsfähig ist. Führen Sie als Nächstes aus:

postconf -e 'always_bcc = spy'

FERTIG!

Ubuntu-Server 6.06 LTS Als Firewall/Gateway Für Ihre Kleine Unternehmensumgebung Einrichten - Seite 8

Erhalte neue Beiträge in deinem Posteingang.