Zentyal в качестве шлюза: идеальная настройка - Страница 2

3.3. Резервирование

Сервер Zentyal может выполнять резервирование на шлюзах. Если один из шлюзов выходит из строя, это будет обнаружено, и трафик будет перенаправлен через другой. Это гарантирует сбалансированное интернет-соединение (если только оба канала не выйдут из строя одновременно).

Чтобы настроить резервирование, необходимо включить модуль События (в статусе модулей). Также нужно включить WAN Failover в разделе События. Наконец, следует добавить правила проверки подключения. Событие резервирования будет использовать их для определения статуса поврежденного канала (Сеть -> WAN Failover):

Пинг к шлюзу проверяет, работает ли шлюз, а не само интернет-соединение, пинг к внешнему хосту также быстро тестирует подключение, тест разрешения DNS немного медленнее, но также проверяет разрешение DNS, а последний, HTTP-запрос, выполнит полный запрос к веб-странице, он более полный, но также медленнее.

С этой конфигурацией Zentyal будет пинговать 8.8.8.8 каждые 30 секунд. Если два или более пинга не удаются для шлюза, он будет деактивирован. Если шлюз восстанавливается, он будет снова включен. Ни одно из этих событий не повлияет на подключение конечных пользователей. Важно установить правильное время между тестами, рассчитывая максимальную продолжительность теста. В данном случае у нас шесть пингов на два шлюза, которые должны быть выполнены менее чем за 30 секунд.

3.4. Базовая инфраструктура

Чтобы обеспечить базовую инфраструктуру для внутренней сети, необходимо установить модули DNS и DHCP, используя раздел Управление программным обеспечением -> Компоненты Zentyal.

Теперь вам нужно включить эти компоненты в статусе модулей. DNS будет действовать как кэш-сервер, поэтому вы можете настроить Сеть -> DNS на 127.0.0.1, чтобы Zentyal использовал его (если вы настраиваете более одного DNS-сервера, 127.0.0.1 должен быть первым):

DHCP также можно настроить для работы во внутренней сети: он автоматически настроит клиентов на использование Zentyal в качестве шлюза и DNS. Вам нужно только добавить диапазон IP-адресов, который вы хотите для клиентов, 10.0.0.20-10.0.100 в данном случае:

4. Брандмауэр

На этом этапе у вас есть рабочая сеть со всей необходимой базовой сетевой инфраструктурой. Теперь давайте взглянем на брандмауэр Zentyal и как его настроить.

Zentyal по умолчанию безопасен, по умолчанию брандмауэр применяет строгие правила к внешним интерфейсам и разрешает исходящий трафик из внутренней локальной сети. Вы можете найти настроенные правила в Брандмауэр -> Фильтр пакетов:

• Правила фильтрации из внутренних сетей в Zentyal
• Правила фильтрации для внутренних сетей
• Правила фильтрации для трафика, выходящего из Zentyal
• Правила фильтрации из внешних сетей в Zentyal
• Правила фильтрации из внешних сетей во внутренние сети
• Правила, добавленные службами Zentyal (Расширенные)

Все эти таблицы по умолчанию запрещают соединения, если вы хотите разрешить какой-либо вид соединения, вам нужно создать новое правило для этого (правила применяются в порядке). Вот некоторые распространенные примеры:

Разрешить внутренним клиентам использовать некоторые службы, кроме LDAP:

Разрешить весь трафик от клиентов в Интернет:

5. HTTP-прокси

Последний шаг этого руководства - настройка HTTP-прокси. HTTP-прокси Zentyal будет кэшировать веб-навигацию пользователей, значительно уменьшая использование полосы пропускания, а также будет фильтровать контент, запрещая запрещенные сайты или типы контента.

В разделе HTTP-прокси -> Общие вы можете настроить HTTP-прокси как прозрачный, чтобы браузеры клиентов не нужно было перенастраивать, HTTP-запросы (порт 80) будут автоматически перенаправлены через прокси. Вы также можете увеличить размер кэша в зависимости от вашего оборудования и использования.

Наконец, вы можете добавить URL для исключений кэша, чтобы прокси никогда не кэшировал его. Это полезно, если вам нужно всегда получать доступ к веб-странице в ее последней версии.

Установка фильтра в качестве политики по умолчанию заставит запрос проходить через фильтр контента. Теперь вы можете настроить его для разрешения и запрета ваших желаемых страниц. В меню HTTP-прокси -> Профили фильтрации вы найдете определенные профили фильтрации. Вы можете настроить профиль по умолчанию, который будет применяться ко всем пользователям.

Кроме того, здесь вы можете настроить порог фильтрации контента и добавить списки запрещенных доменов. Также, если вы установите модуль антивируса, прокси будет использовать его для фильтрации загрузок вирусов.

Как вы можете видеть, вы заблокировали facebook.com (просто как пример), но имейте в виду, что HTTP-прокси фильтрует только HTTP на порту 80. В этом случае пользователи все еще могут получить доступ к HTTPS-версии страницы, поэтому мы также создаем правило брандмауэра, блокирующее этот трафик. Вам понадобится объект (меню Объекты), содержащий пул адресов facebook.com:

Если его не существует, вы также создаете новую службу для соответствия желаемому трафику. В данном случае HTTPS (TCP с портом назначения 443):

Наконец, вы можете добавить правило брандмауэра для внутренних сетей, блокирующее трафик, соответствующий вашему новому объекту и службе в качестве назначения:

6. Заключение

Мы полностью настроили сервер Zentyal в качестве шлюза с балансировкой нагрузки, резервированием и кэшем HTTP-прокси. Zentyal также будет отвечать за базовую инфраструктуру, предоставляя DHCP и DNS.

О

Zentyal, сервер Linux для малых предприятий, предлагает малым и средним предприятиям инфраструктуру сети уровня предприятия, доступную и простую в использовании. Используя сервер Zentyal, МСП могут улучшить надежность и безопасность своей компьютерной сети и сократить свои IT-инвестиции и операционные расходы. Разработка сервера Zentyal началась в начале 2004 года, и в настоящее время это открытая альтернатива Windows Small Business Server. Zentyal - это универсальный сервер, который может действовать как сетевой шлюз, менеджер унифицированных угроз (UTM), офисный сервер, менеджер инфраструктуры, сервер унифицированных коммуникаций или их комбинация. Сервер Zentyal широко используется в малых и средних предприятиях независимо от сектора, отрасли или местоположения, а также в государственных учреждениях или в образовательном секторе. По оценкам, по всему миру существует более 50 000 активных установок Zentyal.

Автор, Карлос Перес-Арадрос Эрсеке (также известный как exekias), работает разработчиком сервера Zentyal и облака Zentyal.