Zentyal Come Gateway: La Configurazione Perfetta - Pagina 2

3.3. Failover

Zentyal Server può gestire il failover sui gateway. Se uno dei gateway fallisce, verrà rilevato e il traffico passerà attraverso l’altro. Questo garantisce una connessione Internet bilanciata (a meno che entrambi i collegamenti non falliscano contemporaneamente).

Per configurare il failover, il modulo Eventi deve essere abilitato (in Stato Modulo). È inoltre necessario abilitare il Failover WAN nella sezione Eventi. Infine, dovresti aggiungere regole di controllo della connettività. L’evento di failover le utilizzerà per rilevare lo stato del collegamento interrotto (Rete -> Failover WAN):

Il ping al gateway verifica se il gateway è attivo, non la connessione Internet stessa, il ping a un host esterno testa anche la connettività in modo rapido, il test di risoluzione DNS è un po’ più lento ma controlla anche la risoluzione DNS, e l’ultimo, la richiesta HTTP, eseguirà una richiesta completa a una pagina web, è più completa ma anche più lenta.

Con questa configurazione Zentyal eseguirà un ping a 8.8.8.8 ogni 30 secondi. Se due o più ping falliscono per un gateway, verrà disattivato. Se il gateway si riprende, verrà riattivato. Nessuno di questi eventi influenzerà la connettività degli utenti finali. È importante impostare un tempo corretto tra i test, calcolando i tempi massimi di durata del test. In questo caso abbiamo sei ping x due gateway, che dovrebbero essere eseguiti in meno di 30 secondi.

3.4. Infrastruttura di base

Per fornire un’infrastruttura di base per la rete interna è necessario installare i moduli DNS e DHCP utilizzando la sezione Gestione Software -> Componenti Zentyal.

Ora devi abilitare questi componenti in Stato Modulo. Il DNS agirà come server di caching, quindi puoi configurare Rete -> DNS su 127.0.0.1 per far utilizzare a Zentyal (se hai impostato più di un server DNS, 127.0.0.1 dovrebbe essere il primo):

DHCP può anche essere configurato per servire nella rete interna: configurerà automaticamente i client per utilizzare Zentyal come gateway e DNS. Devi solo aggiungere un intervallo predefinito di IP che desideri per i client, 10.0.0.20-10.0.100 in questo caso:

4. Firewall

A questo punto hai una rete funzionante, con tutta l’infrastruttura di rete di base necessaria. Ora, diamo un’occhiata al Firewall di Zentyal e a come configurarlo.

Zentyal è sicuro per impostazione predefinita, il firewall per impostazione predefinita applica regole rigorose sulle interfacce esterne e consente il traffico in uscita dalla LAN interna. Puoi trovare le regole configurate in Firewall -> Filtro Pacchetti:

• Regole di filtraggio dalle reti interne a Zentyal
• Regole di filtraggio per le reti interne
• Regole di filtraggio per il traffico in uscita da Zentyal
• Regole di filtraggio dalle reti esterne a Zentyal
• Regole di filtraggio dalle reti esterne alle reti interne
• Regole aggiunte dai servizi Zentyal (Avanzato)

Tutte queste tabelle vietano le connessioni per impostazione predefinita, se desideri consentire qualche tipo di connessione, devi creare una nuova regola per questo (le regole vengono applicate in ordine). Ecco alcuni esempi comuni:

Consenti ai client interni di utilizzare alcuni servizi tranne LDAP:

Consenti tutto il traffico dai client a Internet:

5. Proxy HTTP

L’ultimo passo di questo tutorial è la configurazione del Proxy HTTP. Il Proxy HTTP di Zentyal memorizzerà nella cache la navigazione web degli utenti riducendo notevolmente l’uso della larghezza di banda e filtrerà anche i contenuti, vietando siti o tipi di contenuto vietati.

Da Proxy HTTP -> Generale puoi configurare il Proxy HTTP come trasparente, in modo che i browser dei client non debbano essere riconfigurati, le richieste HTTP (porta 80) verranno automaticamente reindirizzate attraverso il proxy. Puoi anche aumentare la dimensione della cache a seconda dell’hardware e dell’uso.

Infine, puoi aggiungere un URL alle eccezioni della cache, in modo che il proxy non lo memorizzi mai nella cache. Questo è utile se hai bisogno di accedere alla pagina web sempre nella sua ultima versione.

Impostare il Filtro come politica predefinita forzerà la richiesta a passare attraverso il filtro dei contenuti. Ora puoi configurarlo per consentire e vietare le pagine desiderate. Nel menu Proxy HTTP -> Profili di Filtro troverai profili di filtraggio definiti. Puoi configurare quello predefinito, che si applicherà a tutti gli utenti.

Inoltre, qui puoi configurare la soglia del filtro dei contenuti e aggiungere elenchi di domini vietati. Inoltre, se installi il modulo antivirus, il proxy lo utilizzerà per filtrare i download di virus.

Come puoi vedere hai bloccato facebook.com (solo come esempio) ma tieni presente che il Proxy HTTP filtra solo HTTP sulla porta 80. In questo caso, gli utenti possono comunque raggiungere la versione HTTPS della pagina, quindi creiamo anche una regola del firewall che blocca quel traffico. Avrai bisogno di un oggetto (menu Oggetti) contenente il pool degli indirizzi di facebook.com:

Se non esiste, puoi anche creare un nuovo servizio per corrispondere al traffico desiderato. In questo caso HTTPS (TCP con porta di destinazione 443):

Infine puoi aggiungere la regola del firewall per le reti interne bloccando il traffico che corrisponde al tuo nuovo oggetto e servizio come destinazione:

6. Conclusioni

Abbiamo configurato completamente Zentyal Server come gateway con bilanciamento del carico, failover e cache del proxy HTTP. Zentyal sarà anche responsabile dell’infrastruttura di base che serve DHCP e DNS.

Informazioni

Zentyal, il Server Linux per Piccole Imprese, offre alle piccole e medie imprese un’infrastruttura di rete a livello aziendale, conveniente e facile da usare. Utilizzando il server Zentyal, le PMI possono migliorare l’affidabilità e la sicurezza della propria rete informatica e ridurre i propri investimenti IT e i costi operativi. Lo sviluppo del server Zentyal è iniziato all’inizio del 2004 e attualmente è l’alternativa open source al Windows Small Business Server. Zentyal è un server all-in-one che può fungere da Gateway di Rete, Gestore Unificato delle Minacce (UTM), Server per Ufficio, Gestore dell’Infrastruttura, Server per Comunicazioni Unificate o una combinazione di essi. Il server Zentyal è ampiamente utilizzato nelle piccole e medie imprese, indipendentemente dal settore, dall’industria o dalla posizione, così come nelle amministrazioni pubbliche o nel settore dell’istruzione. Si stima che ci siano oltre 50.000 installazioni attive di Zentyal in tutto il mondo.

L’autore, Carlos Pérez-Aradros Herce (alias exekias), lavora come sviluppatore di Zentyal Server e Zentyal Cloud.