Настройка Ubuntu-Server 6.06 LTS в качестве межсетевого экрана/шлюза для вашей малой бизнес-среды

Теперь вам нужно отправить каждому реальному пользователю приветственное сообщение, тем самым создавая начальные структуры Maildir в их домашних каталогах, необходимые для входа в их учетные записи. Вы можете использовать модуль postfix в webmin для этого. Нет необходимости отправлять что-либо на их алиасы. Вы можете использовать внешнюю электронную почту для отправки этих приветственных сообщений, однако вам сначала нужно открыть порт 25 в вашем межсетевом экране, как показано на этой странице руководства.

Обратите внимание, что вам также придется отправить сообщение каждому новому пользователю, добавленному после этой первоначальной настройки.

Ваш веб-сервер электронной почты находится по адресу https://your.domain/webmail (сначала отправьте эти сообщения!)

Munin находится по адресу http://your.domain/munin

Webmin находится по адресу https://your.domain:10000

Если вы не настроили никаких доменов, используйте https://192.168.1.1/webmail и т.д.

Проверьте, что вы можете войти в свою веб-почту и действительно отправлять и получать почту в вашей локальной сети. Если вас устраивает, откройте порт 25 на вашем межсетевом экране для входящего tcp-трафика (postfix) и порт 6277 для входящего udp-трафика (dcc). Вы можете сделать ваш веб-сервер электронной почты доступным для ваших пользователей из внешнего мира. Также откройте порт 443 для входящего tcp-трафика (apache ssl). Открытие порта 993 также является хорошей идеей для входящих tcp-соединений, так как это облегчает imaps.

Мои /etc/shorewall/rules теперь выглядят так: (просто для начала, все настройки межсетевого экрана, показанные в этой статье, предназначены только для того, чтобы вы могли начать работу, вы можете настроить эти параметры, когда закончите!)

#############################################################################################################  
#ACTION     SOURCE      DEST        PROTO   DEST    SOURCE      ORIGINAL    RATE        USER/  
#                   PORT    PORT(S) DEST        LIMIT       GROUP  
#                   PORT    PORT(S) DEST        LIMIT   GROUP  
ACCEPT  net $FW tcp 25  
ACCEPT  net $FW tcp 443  
ACCEPT  net $FW tcp 993  
ACCEPT  net $FW udp 6277  
#  
#   Accept DNS connections from the firewall to the network  
#  
DNS/ACCEPT  $FW     net  
ACCEPT  $FW net all  
ACCEPT  $FW loc all  
ACCEPT  loc $FW all  
#  
#   Accept SSH connections from the local network for administration  
#  
SSH/ACCEPT  loc     $FW  
#  
#   Allow Ping from the local network  
#  
Ping/ACCEPT loc     $FW  
#  
# Reject Ping from the "bad" net zone.. and prevent your log from being flooded..  
#  
Ping/REJECT net     $FW  
ACCEPT      $FW loc     icmp  
ACCEPT      $FW net     icmp  
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Перезапустите межсетевой экран:

/etc/init.d/shorewall restart

Далее выполните:

/var/dcc/libexec/updatedcc

Теперь мы настраиваем ваш VPN-сервер.

Отредактируйте /etc/pptpd.conf. Он должен выглядеть так:

###############################################################################  
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $  
#  
# Пример конфигурационного файла Poptop /etc/pptpd.conf  
#  
# Изменения вступают в силу при перезапуске pptpd.  
###############################################################################  
  
# TAG: ppp  
#   Путь к программе pppd, по умолчанию '/usr/sbin/pppd' на Linux  
#  
#ppp /usr/sbin/pppd  
  
# TAG: option  
#   Указывает местоположение файла параметров PPP.  
#   По умолчанию PPP ищет в '/etc/ppp/options'  
#  
option  /etc/ppp/pptpd-options  
  
# TAG: debug  
#   Включает (больше) отладку в syslog  
#  
#debug  
  
# TAG: stimeout  
#   Указывает тайм-аут (в секундах) при запуске управляющего соединения  
#  
# stimeout 10  
  
# TAG: noipparam  
#   Подавляет передачу IP-адреса клиента в PPP, что  
#   по умолчанию происходит иначе.  
#  
#noipparam  
  
# TAG: logwtmp  
#   Используйте wtmp(5) для записи подключений и отключений клиентов.  
#  
logwtmp  
  
# TAG: bcrelay   
#   Включает широковещательную ретрансляцию для клиентов с интерфейса   
#  
#bcrelay eth1  
  
# TAG: localip  
# TAG: remoteip  
#   Указывает диапазоны локальных и удаленных IP-адресов.  
#  
#   Любые адреса работают, пока локальная машина заботится о  
#   маршрутизации. Но если вы хотите использовать сетевое взаимодействие MS-Windows, вам следует  
#   использовать IP-адреса из пространства адресов LAN и использовать опцию proxyarp  
#   в файле параметров pppd или запустить bcrelay.  
#  
#   Вы можете указать отдельные IP-адреса, разделенные запятыми, или вы можете  
#   указать диапазоны, или и то, и другое. Например:  
#  
#       192.168.0.234,192.168.0.245-249,192.168.0.254  
#  
#   ВАЖНЫЕ ОГРАНИЧЕНИЯ:  
#  
#   1. Пробелы не допускаются между запятыми или внутри адресов.  
#  
#   2. Если вы укажете больше IP-адресов, чем MAX_CONNECTIONS, это  
#   начнется с начала списка и продолжится, пока не получит  
#   MAX_CONNECTIONS IP-адресов. Остальные будут проигнорированы.  
#  
#   3. В диапазонах не допускаются сокращения! т.е. 234-8 не означает 234 до 238,  
#   вы должны ввести 234-238, если имеете в виду это.  
#  
#   4. Если вы укажете один локальный IP, это нормально - все локальные IP будут  
#   установлены на указанный. Вы ДОЛЖНЫ все равно указать хотя бы один удаленный  
#   IP для каждого одновременного клиента.  
#  
# (Рекомендуется)  
localip 192.168.1.1  
remoteip    192.168.1.10-30  
# или  
#localip 192.168.0.234-238,192.168.0.245  
#remoteip 192.168.1.234-238,192.168.1.245

Далее отредактируйте /etc/ppp/options. Он должен выглядеть так:

asyncmap 0  
noauth  
lock  
hide-password  
proxyarp  
lcp-echo-interval 30  
lcp-echo-failure 4  
noipx

Отредактируйте /etc/ppp/pptpd-options. Он должен выглядеть так:

###############################################################################  
# $Id: pptpd-options 4643 2006-11-06 18:42:43Z rene $  
#  
# Пример файла параметров PPP Poptop /etc/ppp/pptpd-options  
# Параметры, используемые PPP, когда соединение поступает от клиента.  
# Этот файл указывается ключевым словом option в /etc/pptpd.conf.  
# Изменения вступают в силу при следующем соединении.  См. "man pppd".  
#  
# Вы должны изменить этот файл в соответствии с вашей системой.  Как  
# упаковано, он требует PPP 2.4.2 и модуля ядра MPPE.  
###############################################################################  
  
# Аутентификация  
  
# Имя локальной системы для целей аутентификации   
# (должно совпадать со вторым полем в записях /etc/ppp/chap-secrets)  
name pptp-vpn  
  
# Необязательно: доменное имя для использования при аутентификации  
# domain mydomain.net  
  
# Удалить доменный префикс из имени пользователя перед аутентификацией.  
# (применяется, если вы используете pppd с патчем chapms-strip-domain)  
#chapms-strip-domain  
  
# Шифрование  
# Debian: на системах с ядром, собранным с пакетом  
# kernel-patch-mppe >= 2.4.2 и использующим ppp >= 2.4.2, ...  
# {{{  
refuse-pap  
refuse-chap  
refuse-mschap  
# Требовать, чтобы партнер аутентифицировал себя с использованием MS-CHAPv2 [Microsoft  
# Challenge Handshake Authentication Protocol, Version 2] аутентификации.  
require-mschap-v2  
# Требовать MPPE 128-битного шифрования  
# (обратите внимание, что MPPE требует использования MSCHAP-V2 во время аутентификации)  
require-mppe-128  
# }}}  
  
# Сеть и маршрутизация  
  
# Если pppd выступает в качестве сервера для клиентов Microsoft Windows, этот  
# параметр позволяет pppd предоставить один или два DNS (сервер доменных имен)  
# адреса клиентам.  Первая инстанция этого параметра  
# указывает основной DNS-адрес; вторая инстанция (если указана)  
# указывает вторичный DNS-адрес.  
# Внимание! Эта информация может не учитываться клиентом Windows. См. KB311218 в базе знаний Microsoft для получения дополнительной информации.  
#ms-dns 10.0.0.1  
ms-dns 192.168.0.1  
  
# Если pppd выступает в качестве сервера для клиентов Microsoft Windows или "Samba"  
# этот параметр позволяет pppd предоставить один или два WINS (Windows  
# Internet Name Services) адреса серверов клиентам.  Первая  
# инстанция этого параметра указывает основной WINS-адрес;  
# вторая инстанция (если указана) указывает вторичный WINS-адрес.  
#ms-wins 10.0.0.3  
ms-wins 192.168.0.1  
  
# Добавьте запись в таблицу ARP [протокол разрешения адресов] этой системы  
# с IP-адресом партнера и Ethernet-адресом этой  
# системы. Это приведет к тому, что партнер будет казаться другим  
# системам находящимся в локальной сети.  
# (вам это не нужно, если ваш PPTP-сервер отвечает за маршрутизацию  
# пакетов к клиентам -- Джеймс Кэмерон)  
proxyarp  
  
# Debian: не заменять маршрут по умолчанию  
nodefaultroute  
  
# Логирование  
  
# Включить средства отладки соединений.  
# (см. вашу конфигурацию syslog, куда pppd отправляет)  
#debug  
  
# Вывести все значения параметров, которые были установлены.  
# (часто запрашивается в списке рассылки для проверки параметров)  
#dump  
  
# Разное  
  
# Создайте файл блокировки в стиле UUCP для псевдо-tty, чтобы обеспечить эксклюзивный  
# доступ.  
lock  
  
# Отключить сжатие BSD-Compress  
nobsdcomp   
auth

Далее отредактируйте /etc/ppp/chap-secrets. Он должен выглядеть так:

# Секреты для аутентификации с использованием CHAP
# клиент    сервер  секрет      IP-адреса
user  pptp-vpn  abcdefg  "*"

Теперь выполните:

/etc/init.d/pptpd restart

Теперь вы должны иметь возможность установить VPN-соединение с вашим новым сервером изнутри вашего межсетевого экрана как “user” с паролем “abcdefg” (без кавычек). Измените это начальное имя пользователя и пароль и добавьте несколько пользователей, если хотите. Возможно, вам придется перезагрузить некоторые машины, чтобы это сработало.

Теперь откройте ваш межсетевой экран для входящих VPN-соединений. Для этого установите ваш /etc/shorewall/rules, как показано.

Мои /etc/shorewall/rules на данный момент:

#############################################################################################################  
#ACTION     SOURCE      DEST        PROTO   DEST    SOURCE      ORIGINAL    RATE        USER/  
#                   PORT    PORT(S) DEST        LIMIT       GROUP  
#                   PORT    PORT(S) DEST        LIMIT   GROUP  
ACCEPT  net $FW tcp 25  
ACCEPT  net $FW tcp 443  
ACCEPT  net $FW tcp 993  
ACCEPT  net $FW udp 6277  
DNAT    net fw:192.168.1.1  tcp 1723  
DNAT    net fw:192.168.1.1  47  
#  
#   Accept DNS connections from the firewall to the network  
#  
DNS/ACCEPT  $FW     net  
ACCEPT  $FW net all  
ACCEPT  $FW loc all  
ACCEPT  loc $FW all  
#  
#   Accept SSH connections from the local network for administration  
#  
SSH/ACCEPT  loc     $FW  
#  
#   Allow Ping from the local network  
#  
Ping/ACCEPT loc     $FW  
#  
# Reject Ping from the "bad" net zone.. and prevent your log from being flooded..  
#  
Ping/REJECT net     $FW  
ACCEPT      $FW loc     icmp  
ACCEPT      $FW net     icmp  
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Чтобы завершить этот шаг, выполните:

/etc/init.d/shorewall restart

Теперь ваши клиенты смогут выполнять свою (связанную с компьютерной сетью) работу дома.

Обратите внимание, что это имеет смысл только тогда, когда ваш сервер имеет надежное широкополосное соединение с интернетом, что в Нидерландах является де-факто стандартом, даже для очень маленьких офисов и большинства домашних адресов. В этом отношении мы значительно опережаем остальной мир.

Теперь отредактируйте ваш /etc/MailScanner/spam.assassin.prefs.conf и добавьте следующие строки внизу:

score RCVD_IN_SORBS_WEB 10  
score RCVD_IN_WHOIS_INVALID 10  
score RCVD_IN_WHOIS_BOGONS 10  
score RCVD_IN_NJABL_PROXY 10  
score RCVD_IN_DSBL 10  
score RCVD_IN_XBL 10  
score RCVD_IN_BL_SPAMCOP_NET 10  
score RCVD_IN_SORBS_DUL 10  
score SARE_LWSYMFMT 3  
score SARE_MLB_Stock4 3  
score SARE_BAYES_5x8 3  
score SARE_BAYES_6x8 3  
score URIBL_SC_SURBL 10  
score URIBL_WS_SURBL 10  
score URIBL_PH_SURBL 10  
score URIBL_OB_SURBL 10  
score URIBL_AB_SURBL 10  
score URIBL_JP_SURBL 10  
score URIBL_SBL 10  
score ALL_TRUSTED 0

Теперь очистите ваш каталог /root. Именно туда ушли все загрузки.

Samba установлен. Поскольку каждая настройка Samba уникальна, я не могу вам помочь. Не знаете, как это сделать? Это хорошая отправная точка.

Чтобы завершить все это, выполните:

/etc/init.d/mailscanner restart

Теперь следите за отчетами о спаме в заголовках входящей почты (но убедитесь, что ваши пользователи согласны с этим, так как вы будете нарушать некоторые почтовые и, возможно, другие законы), чтобы отредактировать последнее изменение (и добавить некоторые), чтобы это работало так, как вам нравится. Особенно ложные отрицательные и еще больше ложных положительных должны привлечь ваше внимание. Когда вы закончите, вы можете захотеть отправить большинство спама, если не весь, в /dev/null.

Упростите эту шпионскую работу: создайте специальную учетную запись, на которую вы отправляете копию всей почты, обрабатываемой вашим сервером. Предположим, вы создаете этого пользователя и называете его “spy” (без кавычек), и вы дали spy строку в /etc/postfix/virtual, (например, “[email protected] spy”, без кавычек). Далее выполните:

postmap /etc/postfix/virtual

Теперь отправьте spy приветственное сообщение, как правило, и проверьте, что учетная запись spy полностью функционирует. Далее выполните:

postconf -e 'always_bcc = spy'

ГОТОВО!

Настройка Ubuntu-Server 6.06 LTS в качестве межсетевого экрана/шлюза для вашей малой бизнес-среды - Страница 8

Get new posts in your inbox