Настройка сервера · 5 min read · Oct 21, 2025
Настройка Ubuntu-Server 6.10 в качестве межсетевого экрана/шлюза для вашей малой бизнес-среды - Страница 10
Теперь отредактируйте /etc/default/mailscanner. Он должен выглядеть так:
# Это устанавливает, сколько дней файлы будут оставаться в области "карантина" перед
# автоматическим удалением.
#
q_days=7
#
# Это устанавливает, насколько приоритет демона mailscanner должен быть
# снижен (т.е. "nice -X"). Поскольку это пакетная задача,
# она может легко уступить некоторые циклы ЦП более интерактивным
# задачам.
#
run_nice=5
#
# Раскомментируйте эту строку, как только MailScanner будет полностью настроен.
#
run_mailscanner=1Далее отредактируйте /etc/courier/imapd-ssl и измените следующее:
TLS_CERTFILE=/etc/apache2/ssl/apache.pemТеперь сделайте то же самое с вашим /etc/courier/pop3d-ssl.
Далее выполните:
shutdown -r nowи подождите, пока он снова не запустится.
Теперь вам нужно отправить каждому реальному пользователю приветственное сообщение, тем самым создавая структуры Maildir в их домашних директориях, необходимые для входа в их учетные записи. Вы можете использовать модуль postfix webmin для этого.
Нет необходимости отправлять что-либо их псевдонимам.
Ваш сервер веб-почты находится по адресу https://your.domain/webmail (сначала отправьте эти сообщения!).
Munin находится по адресу http://your.domain/munin
Webmin находится по адресу https://your.domain:10000
Если вы не настроили никаких доменов, используйте https://192.168.1.1/webmail и т.д.
Проверьте, что вы можете войти в свою веб-почту и действительно отправлять и получать почту в вашей локальной сети.
Если вы удовлетворены, откройте порт 25 на вашем межсетевом экране для входящего tcp-трафика (postfix) и порт 6277 (dcc) для входящего udp-трафика.
Вы можете захотеть сделать ваш сервер веб-почты доступным для ваших пользователей из внешнего мира.
Откройте порт 443 (apache ssl) для входящего tcp-трафика также. Открытие порта 993 также является хорошей идеей для tcp-соединений, так как это облегчает imaps.
Мои /etc/shorewall/rules теперь выглядят так: (просто для начала, все настройки межсетевого экрана, показанные в этой статье, предназначены только для того, чтобы вы могли начать работу, вы можете настроить эти параметры, когда закончите!)
#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
# PORT PORT(S) DEST LIMIT GROUP
#
# Принимать DNS-соединения от межсетевого экрана к сети
#
ACCEPT net $FW tcp 25
ACCEPT net $FW tcp 443
ACCEPT net $FW udp 6277
DNS/ACCEPT $FW net
#
# Принимать SSH-соединения из локальной сети для администрирования
#
SSH/ACCEPT loc $FW
#
# Разрешить Ping из локальной сети
#
Ping/ACCEPT loc $FW
#
# Отклонить Ping из "плохой" сетевой зоны.. и предотвратить затопление вашего лога..
#
Ping/REJECT net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
#
#ПОСЛЕДНЯЯ СТРОКА -- ДОБАВЬТЕ ВАШИ ЗАПИСИ ПЕРЕД ЭТОЙ -- НЕ УДАЛЯЙТЕПерезапустите межсетевой экран:
/etc/init.d/shorewall restartДалее выполните:
/var/dcc/libexec/updatedccТеперь мы настраиваем ваш VPN-сервер.
Отредактируйте /etc/pptpd.conf. Он должен выглядеть так:
###############################################################################
# $Id: pptpd.conf 4255 2004-10-03 18:44:00Z rene $
#
# Пример конфигурационного файла Poptop /etc/pptpd.conf
#
# Изменения вступают в силу при перезапуске pptpd.
###############################################################################
# TAG: ppp
# Путь к программе pppd, по умолчанию '/usr/sbin/pppd' на Linux
#
#ppp /usr/sbin/pppd
# TAG: option
# Указывает расположение файла параметров PPP.
# По умолчанию PPP ищет в '/etc/ppp/options'
#
option /etc/ppp/options.pptpd
# TAG: debug
# Включает (более) отладку в syslog
#
#debug
# TAG: stimeout
# Указывает тайм-аут (в секундах) при запуске управляющего соединения
#
# stimeout 10
# TAG: noipparam
# Подавляет передачу IP-адреса клиента в PPP, что
# по умолчанию делается иначе.
#
#noipparam
# TAG: logwtmp
# Используйте wtmp(5) для записи соединений и отключений клиентов.
#
# logwtmp ## закомментируйте это!! сломанный deb пакет!!
# TAG: bcrelay
# Включает широковещательную ретрансляцию для клиентов с интерфейса
#
#bcrelay eth1
# TAG: localip
# TAG: remoteip
# Указывает диапазоны локальных и удаленных IP-адресов.
#
# Любые адреса работают, пока локальная машина заботится о
# маршрутизации. Но если вы хотите использовать сетевое окружение MS-Windows, вы должны
# использовать IP-адреса из пространства адресов LAN и использовать опцию proxyarp
# в файле параметров pppd или запустить bcrelay.
#
# Вы можете указывать отдельные IP-адреса, разделенные запятыми, или вы можете
# указывать диапазоны, или и то, и другое. Например:
#
# 192.168.0.234,192.168.0.245-249,192.168.0.254
#
# ВАЖНЫЕ ОГРАНИЧЕНИЯ:
#
# 1. Пробелы не допускаются между запятыми или внутри адресов.
#
# 2. Если вы укажете больше IP-адресов, чем MAX_CONNECTIONS, он начнет
# сначала со списка и будет продолжать, пока не получит
# MAX_CONNECTIONS IP-адресов. Остальные будут проигнорированы.
#
# 3. В диапазонах не допускаются сокращения! т.е. 234-8 не означает 234 до 238,
# вы должны ввести 234-238, если имеете в виду это.
#
# 4. Если вы укажете один локальный IP, это нормально - все локальные IP будут
# установлены на указанный. Вы ДОЛЖНЫ все равно указать хотя бы один удаленный
# IP для каждого одновременного клиента.
#
# (Рекомендуется)
localip 192.168.1.1
remoteip 192.168.1.90-99
# или
#localip 192.168.0.234-238,192.168.0.245
#remoteip 192.168.1.234-238,192.168.1.245
speed 115200Далее отредактируйте /etc/ppp/options. Он должен выглядеть так:
lockТеперь выполните:
touch /etc/ppp/options.pptpdТеперь отредактируйте /etc/ppp/options.pptpd. Он должен выглядеть так:
lock
ms-dns 192.168.1.1
ms-wins 192.168.1.1
domain your.domain.here
debug
name pptp-vpn
auth
proxyarp
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
chapms-strip-domain
lcp-echo-failure 10
lcp-echo-interval 30
nobsdcompДалее отредактируйте /etc/ppp/chap-secrets. Он должен выглядеть так:
# Секреты для аутентификации с использованием CHAP
# клиент сервер секрет IP-адреса
user pptp-vpn abcdefg "*"Теперь выполните:
/etc/init.d/pptpd restartТеперь вы должны иметь возможность установить vpn-соединение изнутри вашего межсетевого экрана как “user” с паролем “abcdefg” (без кавычек). Измените это начальное имя пользователя и пароль и добавьте несколько пользователей, если хотите. Возможно, вам придется перезагрузить некоторые машины, чтобы это заработало.
Теперь откройте ваш межсетевой экран для vpn-соединений. Для этого настройте ваш /etc/shorewall/rules, как показано.
Мои /etc/shorewall/rules на данный момент:
#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
# PORT PORT(S) DEST LIMIT GROUP
#
# Принимать DNS-соединения от межсетевого экрана к сети
#
ACCEPT net $FW tcp 25
ACCEPT net $FW tcp 443
ACCEPT net $FW tcp 993
ACCEPT net $FW udp 6277
DNAT net loc:192.168.1.1 tcp 1723
DNAT net loc:192.168.1.1 47
DNS/ACCEPT $FW net
#
# Принимать SSH-соединения из локальной сети для администрирования
#
SSH/ACCEPT loc $FW
#
# Разрешить Ping из локальной сети
#
Ping/ACCEPT loc $FW
#
# Отклонить Ping из "плохой" сетевой зоны.. и предотвратить затопление вашего лога..
#Чтобы завершить этот шаг, выполните:
/etc/init.d/shorewall restartТеперь ваши клиенты смогут выполнять свою работу дома.
Обратите внимание, что это имеет смысл только в том случае, если ваш сервер имеет надежное широкополосное соединение с интернетом, что в Нидерландах является де-факто стандартом, даже для очень маленьких офисов и большинства домашних адресов. В этом отношении мы значительно опережаем остальной мир.
Get new posts in your inbox
No spam. Unsubscribe anytime.