как мини сревер (Samba+SQUID+Firewall+ClamAV

[HidX]

имеется маленький филиал одной компании. порядка 7 - и компьютеров, ДОМЕНА НЕТ и он там не нужен.
Обычная сетка. Имеется сервер с двумя сетевухами. И провод от внешнего интернет провадера с реальным ip адресом (без всяких PPPoE).
На сервере необходимо настроить (На любом линуксе, я мог бы поднять на фряхе всё это, но долго...из портов ставится всё. Да и хотелось бы на линухе попробывать что нибудь. Пробовал pfsense но там нельзя поднять файл сервер):

Раздачу инета юзерам по средствам SQUID
Файловый обменник Samba
Dhcp сервер
Ловилку вирусов через SQUID средствами ClamAV
Какуюнибудь читалку трафика и вообще управлялку типа SAMS
Удалённый доступ через ssh
Подскажите, есть ли какиенибудь манулы howto (можно английские), что бы настроить сервер с набором таких функций?

Спасибо

Интересует в частности как настроить маршрутизацию и фаервол.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

ставь фрю.
линуксы - ф топку.

[HidX]

На фре кстати вчера собирал. всё работает всё красиво. Но так как я ещё не имел дело с фряшным фаерволом, Squid у меня раздавал инет и локалке и wan сети... Капаться с ним времени действительно нет, новый год скоро, компания распадается на холдинг...все бегают и паникуют.
Поэтому хотелось бы быстро и без гемороя собрать всё это дело. (( А мана как грамотно всё это дело настроить на фре или линух я тут не нашёл...

[Andy]

ставь линукс.
фрю - в топку.
А если серьезно, то какие у Вас затруднения с установкой набора программ для linux'а, ежели Вы
на FreeBSD можете это сделать? Вас смущает /etc/init.d/ и уровни исполнения? Или iptables?

[Alex Keda]

зобаню нах

[HidX]

Andy программную часть я могу поставить и настроить. А вот фаервол...iptables и прочее я немогу настроить...

[Andy]

Andy программную часть я могу поставить и настроить. А вот фаервол...iptables и прочее я немогу настроить...

Какие сложности в настройке? И что еще не можете настроить?
p.s: Кстати распишите сюда, что Вы хотите от файрвола вообще?

[Andy]

зобаню нах

Лех, так тут же про Linux, здесь и положено так говорить Раздел по FreeBSD - через один наверх.

[HidX]

Andy, трудности именно в настройки iptables. А точнее с правилами.
От фаервола нужно что бы он тупо резал всё что приходит с WAN кроме определённой группы адресов (для администрирования), ну и я так полагаю что бы перенаправлял порты на squid в LAN который будет раздавать инет. Нужно просто дать этим 7 -и человекам в офисе инет и хоть как то обезопасить сервак по WAN интерфейсу. Т.к. там будет ещё и файловая шара samba

lissyara, фряха это наше всё я не спорю )) Но линух по проще и быстрее в настройке. как никак но это факт

[Alex Keda]

та лана?
и в чём выражается ускорение?

[HidX]

та лана?
и в чём выражается ускорение?

Ну если взять как пример Debian, то там из репозитариев можно поставить squid samba apache php mysql минуты за полторы, если не меньше. В то же время FreeBSD будет ставить это всё около получаса.....может меньше.

[Alex Keda]

Откройте для себя

Код: Выделить всё

man pkg_add

и тоже будете ставить за полторы минуты, а то и быстрей.

[HidX]

открывал ))
хорошая штука )

[Andy]

Andy, трудности именно в настройки iptables. А точнее с правилами.
От фаервола нужно что бы он тупо резал всё что приходит с WAN кроме определённой группы адресов (для администрирования), ну и я так полагаю что бы перенаправлял порты на squid в LAN который будет раздавать инет. Нужно просто дать этим 7 -и человекам в офисе инет и хоть как то обезопасить сервак по WAN интерфейсу. Т.к. там будет ещё и файловая шара samba

Вот составлял удаленно недавно. Что бы не зафайрволлить самого себя, старые правила сохраняются и в кроне, раз в 10 минут, подгружаются.
Просили ремотдесктоп снаружи и веб по портам 80, 8080. Если есть вопросы, спрашивайте, постараюсь ответить.
Дока по iptables на русском - http://www.opennet.ru/docs/RUS/iptables/
Загружать так: sh имяфайла

Код: Выделить всё

#!/bin/sh                       
#iptables rules                 

#path to iptables file
iptables="/usr/sbin/iptables"
#path to modeprobe
modprobe="/sbin/modprobe"
#external interface    
ext_if="eth1"       
#internal interface      
int_if="eth0"       
#external ip    
ext_ip="писать внешний ip"         
#our local network
int_net="192.168.0.0/24"
#our internal ip     
int_ip="192.168.0.98"        

#load necessary modules
$modprobe iptable_nat  
$modprobe nf_conntrack 
$modprobe nf_conntrack_ftp

#delete all rules in all chains
$iptables -F                   

#delete all chains except defaults
$iptables -X                      

#allow connection to host in our network
$iptables -t nat -A PREROUTING -p tcp -m tcp -d $ext_ip --dport 3389 -j DNAT --to-destination $int_ip:3389
$iptables -t nat -A PREROUTING -p tcp -m tcp -d $ext_ip --dport 80 -j DNAT --to-destination $int_ip:80    
$iptables -t nat -A PREROUTING -p tcp -m tcp -d $ext_ip --dport 8080 -j DNAT --to-destination $int_ip:8080

#default policy in chains
$iptables -P INPUT DROP  
$iptables -P FORWARD DROP
$iptables -P OUTPUT DROP 

# pass loopback traffic
$iptables -A INPUT -i lo -j ACCEPT

#allow ssh connection
$iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 22 -j ACCEPT

#allow local traffic
$iptables -A INPUT -i $int_if -p all -s $int_net -j ACCEPT

#allow new connection on local interface
$iptables -A INPUT -i $int_if -m state --state NEW -j ACCEPT

#allow established and related connection
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow input rdp connection from our gate to any machine in local network 
$iptables -A INPUT -p tcp -m tcp -d $int_ip --dport 3389 -j ACCEPT
#allow input rdp connection from our gate to any machine in local network 
$iptables -A INPUT -p tcp -m tcp -d $int_ip --dport 80 -j ACCEPT
#allow input rdp connection from our gate to any machine in local network 
$iptables -A INPUT -p tcp -m tcp -d $int_ip --dport 8080 -j ACCEPT

#allow forward connection on local interface
$iptables -A FORWARD -i $int_if -m state --state NEW  -j ACCEPT
#allow forward established and related connection
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

$iptables -A FORWARD -p tcp -m tcp -d $int_ip --dport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -s $int_ip --dport 3389 -j ACCEPT
#-------------------------------------------------------------------
$iptables -A FORWARD -p tcp -m tcp -d $int_ip --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -s $int_ip --dport 80 -j ACCEPT

$iptables -A FORWARD -p tcp -m tcp -d $int_ip --dport 8080 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -s $int_ip --dport 8080 -j ACCEPT
#-------------------------------------------------------------------
$iptables -A FORWARD -p tcp -m tcp -s $int_ip -m state --state ESTABLISHED,RELATED -j ACCEPT

#allow output connection from our gate
$iptables -A OUTPUT -p tcp -m tcp -d $int_ip --dport 3389 -j ACCEPT
#allow output connection from our gate
$iptables -A OUTPUT -p tcp -m tcp -d $int_ip --dport 80 -j ACCEPT
#allow output connection from our gate
$iptables -A OUTPUT -p tcp -m tcp -d $int_ip --dport 8080 -j ACCEPT

#$iptables -t nat -A OUTPUT -p tcp -m tcp -d $ext_ip --dport 3389 -j DNAT --to-destination $int_ip

#allow output connection
$iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

# allow connection from host in our network to inet on ports 3389,80,8080
$iptables -t nat -A POSTROUTING -p tcp -m tcp -d $int_ip --dport 3389 -j SNAT --to-source $ext_ip
$iptables -t nat -A POSTROUTING -p tcp -m tcp -d $int_ip --dport 80 -j SNAT --to-source $ext_ip
$iptables -t nat -A POSTROUTING -p tcp -m tcp -d $int_ip --dport 8080 -j SNAT --to-source $ext_ip

# allow connection from our network to inet
$iptables -t nat -A POSTROUTING -o $ext_if -j SNAT --to-source $ext_ip

[Alex Keda]

нету там шелла.
тебе ли не знать.

[Andy]

нету там шелла.
тебе ли не знать.

Код: Выделить всё

[root@unit1 tftpboot]# ls -lahi /bin/ | grep sh
15975204 -rwxr-xr-x  1 root root 718K лЮИ 25  2008 bash
15975255 lrwxrwxrwx  1 root root    4 яЕМ 30 15:00 csh -> tcsh
15975199 -rwxr-xr-x  1 root root 980K лЮИ 24  2008 ksh
15975173 lrwxrwxrwx  1 root root    4 яЕМ 30 14:57 sh -> bash
15975182 -rwxr-xr-x  1 root root 338K лЮП 15  2007 tcsh
[root@unit1 tftpboot]#

А что это, собственно, меняет? Стоит симлинк на bash, но это в CentOS, а в другом дистрибутиве он вполне может оказаться.

[HidX]

спасибо. Вечером поковыряю.
Щас правдо с утра начал всётаки фряху рыть...

[HidX]

Andy - тоесть я ставлю ubuntu или debian. Настраиваю сеть, создаю этот файлик и ставлю выполняться раз в 10 минут в крон? Так?

Я просто неочень понимаю принцип работы. В FreeBSD например в rc.conf просто указываешь параметр firewall_script = путь до скрипта. А тут...непонятно...

[Andy]

Andy - тоесть я ставлю ubuntu или debian.

Неееет, только не это. Дебилиан и его мутированный форк.

Настраиваю сеть, создаю этот файлик и ставлю выполняться раз в 10 минут в крон? Так?

Не эти правила, а те которые все разрешают, ибо если ты удаленно правишь правила файрволла, можешь себя зафайрить.
Тогда будет необходимо бежать к консольке и открывать доступ извне.

Я просто неочень понимаю принцип работы. В FreeBSD например в rc.conf просто указываешь параметр firewall_script = путь до скрипта. А тут...непонятно...

У iptables есть очень полезные команды iptables-save и iptables-restore, которыми можно сохранять и загружать правила.
Загружаешь правила так: iptables-restore < /home/hidx/fwrules.txt. Мои так не загрузятся, ибо они в виде скрипта сделаны, но если шапку отрезать,
то правила можно будет через iptables-restore загружать.

[HidX]

И они будут после перезагрузки сохранятся?
а почему не дебиан? ))

[Andy]

И они будут после перезагрузки сохранятся?

Нет, после перезагрузки будут грузиться дефолтные, я точно не помню где их
надо сохранять. Я думаю, man тебе ответит на этот вопрос.

[HidX]

спасибо, будем рыть.

Никогда не думал что настроить фаервол ручками так проблематично... Казалось бы синтаксис правил я боле менее знаю, но не знаю куда их вписывать Как было бы удобно скачать из репозитариев фаервол, подредактировать его единственный конфиг с правилами и запустить...а если ещё и веб интерфейс. сказка.

[Andy]

спасибо, будем рыть.

Не за что.

Никогда не думал что настроить фаервол ручками так проблематично... Казалось бы синтаксис правил я боле менее знаю, но не знаю куда их вписывать

Никаких проблем не вижу.

Как было бы удобно скачать из репозитариев фаервол, подредактировать его единственный конфиг с правилами и запустить...а если ещё и веб интерфейс. сказка.

Веб интерфейс к файрволу? Зачем?

[abix]

У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235, надо поднять SQUID, чтобы обрезат в отделах траффик, до этого вообще админом не работал в это все и упирается, кто сможет помогите,.


P.S. Если можно напишите все настройки как здесь http://www.lissyara.su/?id=1026 тока для LINUX

[Andy]

У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235, надо поднять SQUID, чтобы обрезат в отделах траффик, до этого вообще админом не работал в это все и упирается, кто сможет помогите,.
P.S. Если можно напишите все настройки как здесь http://www.lissyara.su/?id=1026 тока для LINUX

Конфиг копипастить пробовал?