как мини сревер (Samba+SQUID+Firewall+ClamAV
Модератор: weec
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
как мини сревер (Samba+SQUID+Firewall+ClamAV
имеется маленький филиал одной компании. порядка 7 - и компьютеров, ДОМЕНА НЕТ и он там не нужен.
Обычная сетка. Имеется сервер с двумя сетевухами. И провод от внешнего интернет провадера с реальным ip адресом (без всяких PPPoE).
На сервере необходимо настроить (На любом линуксе, я мог бы поднять на фряхе всё это, но долго...из портов ставится всё. Да и хотелось бы на линухе попробывать что нибудь. Пробовал pfsense но там нельзя поднять файл сервер):
Раздачу инета юзерам по средствам SQUID
Файловый обменник Samba
Dhcp сервер
Ловилку вирусов через SQUID средствами ClamAV
Какуюнибудь читалку трафика и вообще управлялку типа SAMS
Удалённый доступ через ssh
Подскажите, есть ли какиенибудь манулы howto (можно английские), что бы настроить сервер с набором таких функций?
Спасибо
Интересует в частности как настроить маршрутизацию и фаервол.
Обычная сетка. Имеется сервер с двумя сетевухами. И провод от внешнего интернет провадера с реальным ip адресом (без всяких PPPoE).
На сервере необходимо настроить (На любом линуксе, я мог бы поднять на фряхе всё это, но долго...из портов ставится всё. Да и хотелось бы на линухе попробывать что нибудь. Пробовал pfsense но там нельзя поднять файл сервер):
Раздачу инета юзерам по средствам SQUID
Файловый обменник Samba
Dhcp сервер
Ловилку вирусов через SQUID средствами ClamAV
Какуюнибудь читалку трафика и вообще управлялку типа SAMS
Удалённый доступ через ssh
Подскажите, есть ли какиенибудь манулы howto (можно английские), что бы настроить сервер с набором таких функций?
Спасибо
Интересует в частности как настроить маршрутизацию и фаервол.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
ставь фрю.
линуксы - ф топку.
линуксы - ф топку.
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
На фре кстати вчера собирал. всё работает всё красиво. Но так как я ещё не имел дело с фряшным фаерволом, Squid у меня раздавал инет и локалке и wan сети... Капаться с ним времени действительно нет, новый год скоро, компания распадается на холдинг...все бегают и паникуют.
Поэтому хотелось бы быстро и без гемороя собрать всё это дело. (( А мана как грамотно всё это дело настроить на фре или линух я тут не нашёл...
Поэтому хотелось бы быстро и без гемороя собрать всё это дело. (( А мана как грамотно всё это дело настроить на фре или линух я тут не нашёл...
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
ставь линукс.
фрю - в топку.
А если серьезно, то какие у Вас затруднения с установкой набора программ для linux'а, ежели Вы
на FreeBSD можете это сделать? Вас смущает /etc/init.d/ и уровни исполнения? Или iptables?
фрю - в топку.
А если серьезно, то какие у Вас затруднения с установкой набора программ для linux'а, ежели Вы
на FreeBSD можете это сделать? Вас смущает /etc/init.d/ и уровни исполнения? Или iptables?
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Andy программную часть я могу поставить и настроить. А вот фаервол...iptables и прочее я немогу настроить...
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Какие сложности в настройке? И что еще не можете настроить?HidX писал(а):Andy программную часть я могу поставить и настроить. А вот фаервол...iptables и прочее я немогу настроить...
p.s: Кстати распишите сюда, что Вы хотите от файрвола вообще?
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Лех, так тут же про Linux, здесь и положено так говорить Раздел по FreeBSD - через один наверх.lissyara писал(а):зобаню нах
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Andy, трудности именно в настройки iptables. А точнее с правилами.
От фаервола нужно что бы он тупо резал всё что приходит с WAN кроме определённой группы адресов (для администрирования), ну и я так полагаю что бы перенаправлял порты на squid в LAN который будет раздавать инет. Нужно просто дать этим 7 -и человекам в офисе инет и хоть как то обезопасить сервак по WAN интерфейсу. Т.к. там будет ещё и файловая шара samba
lissyara, фряха это наше всё я не спорю )) Но линух по проще и быстрее в настройке. как никак но это факт
От фаервола нужно что бы он тупо резал всё что приходит с WAN кроме определённой группы адресов (для администрирования), ну и я так полагаю что бы перенаправлял порты на squid в LAN который будет раздавать инет. Нужно просто дать этим 7 -и человекам в офисе инет и хоть как то обезопасить сервак по WAN интерфейсу. Т.к. там будет ещё и файловая шара samba
lissyara, фряха это наше всё я не спорю )) Но линух по проще и быстрее в настройке. как никак но это факт
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
та лана?
и в чём выражается ускорение?
и в чём выражается ускорение?
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Ну если взять как пример Debian, то там из репозитариев можно поставить squid samba apache php mysql минуты за полторы, если не меньше. В то же время FreeBSD будет ставить это всё около получаса.....может меньше.lissyara писал(а):та лана?
и в чём выражается ускорение?
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Откройте для себя
и тоже будете ставить за полторы минуты, а то и быстрей.
Код: Выделить всё
man pkg_add
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
открывал ))
хорошая штука )
хорошая штука )
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Вот составлял удаленно недавно. Что бы не зафайрволлить самого себя, старые правила сохраняются и в кроне, раз в 10 минут, подгружаются.HidX писал(а):Andy, трудности именно в настройки iptables. А точнее с правилами.
От фаервола нужно что бы он тупо резал всё что приходит с WAN кроме определённой группы адресов (для администрирования), ну и я так полагаю что бы перенаправлял порты на squid в LAN который будет раздавать инет. Нужно просто дать этим 7 -и человекам в офисе инет и хоть как то обезопасить сервак по WAN интерфейсу. Т.к. там будет ещё и файловая шара samba
Просили ремотдесктоп снаружи и веб по портам 80, 8080. Если есть вопросы, спрашивайте, постараюсь ответить.
Дока по iptables на русском - http://www.opennet.ru/docs/RUS/iptables/
Загружать так: sh имяфайла
Код: Выделить всё
#!/bin/sh
#iptables rules
#path to iptables file
iptables="/usr/sbin/iptables"
#path to modeprobe
modprobe="/sbin/modprobe"
#external interface
ext_if="eth1"
#internal interface
int_if="eth0"
#external ip
ext_ip="писать внешний ip"
#our local network
int_net="192.168.0.0/24"
#our internal ip
int_ip="192.168.0.98"
#load necessary modules
$modprobe iptable_nat
$modprobe nf_conntrack
$modprobe nf_conntrack_ftp
#delete all rules in all chains
$iptables -F
#delete all chains except defaults
$iptables -X
#allow connection to host in our network
$iptables -t nat -A PREROUTING -p tcp -m tcp -d $ext_ip --dport 3389 -j DNAT --to-destination $int_ip:3389
$iptables -t nat -A PREROUTING -p tcp -m tcp -d $ext_ip --dport 80 -j DNAT --to-destination $int_ip:80
$iptables -t nat -A PREROUTING -p tcp -m tcp -d $ext_ip --dport 8080 -j DNAT --to-destination $int_ip:8080
#default policy in chains
$iptables -P INPUT DROP
$iptables -P FORWARD DROP
$iptables -P OUTPUT DROP
# pass loopback traffic
$iptables -A INPUT -i lo -j ACCEPT
#allow ssh connection
$iptables -A INPUT -p tcp -m tcp -m state --state NEW --dport 22 -j ACCEPT
#allow local traffic
$iptables -A INPUT -i $int_if -p all -s $int_net -j ACCEPT
#allow new connection on local interface
$iptables -A INPUT -i $int_if -m state --state NEW -j ACCEPT
#allow established and related connection
$iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow input rdp connection from our gate to any machine in local network
$iptables -A INPUT -p tcp -m tcp -d $int_ip --dport 3389 -j ACCEPT
#allow input rdp connection from our gate to any machine in local network
$iptables -A INPUT -p tcp -m tcp -d $int_ip --dport 80 -j ACCEPT
#allow input rdp connection from our gate to any machine in local network
$iptables -A INPUT -p tcp -m tcp -d $int_ip --dport 8080 -j ACCEPT
#allow forward connection on local interface
$iptables -A FORWARD -i $int_if -m state --state NEW -j ACCEPT
#allow forward established and related connection
$iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -d $int_ip --dport 3389 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -s $int_ip --dport 3389 -j ACCEPT
#-------------------------------------------------------------------
$iptables -A FORWARD -p tcp -m tcp -d $int_ip --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -s $int_ip --dport 80 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -d $int_ip --dport 8080 -j ACCEPT
$iptables -A FORWARD -p tcp -m tcp -s $int_ip --dport 8080 -j ACCEPT
#-------------------------------------------------------------------
$iptables -A FORWARD -p tcp -m tcp -s $int_ip -m state --state ESTABLISHED,RELATED -j ACCEPT
#allow output connection from our gate
$iptables -A OUTPUT -p tcp -m tcp -d $int_ip --dport 3389 -j ACCEPT
#allow output connection from our gate
$iptables -A OUTPUT -p tcp -m tcp -d $int_ip --dport 80 -j ACCEPT
#allow output connection from our gate
$iptables -A OUTPUT -p tcp -m tcp -d $int_ip --dport 8080 -j ACCEPT
#$iptables -t nat -A OUTPUT -p tcp -m tcp -d $ext_ip --dport 3389 -j DNAT --to-destination $int_ip
#allow output connection
$iptables -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# allow connection from host in our network to inet on ports 3389,80,8080
$iptables -t nat -A POSTROUTING -p tcp -m tcp -d $int_ip --dport 3389 -j SNAT --to-source $ext_ip
$iptables -t nat -A POSTROUTING -p tcp -m tcp -d $int_ip --dport 80 -j SNAT --to-source $ext_ip
$iptables -t nat -A POSTROUTING -p tcp -m tcp -d $int_ip --dport 8080 -j SNAT --to-source $ext_ip
# allow connection from our network to inet
$iptables -t nat -A POSTROUTING -o $ext_if -j SNAT --to-source $ext_ip
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
нету там шелла.
тебе ли не знать.
тебе ли не знать.
Убей их всех! Бог потом рассортирует...
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
lissyara писал(а):нету там шелла.
тебе ли не знать.
Код: Выделить всё
[root@unit1 tftpboot]# ls -lahi /bin/ | grep sh
15975204 -rwxr-xr-x 1 root root 718K лЮИ 25 2008 bash
15975255 lrwxrwxrwx 1 root root 4 яЕМ 30 15:00 csh -> tcsh
15975199 -rwxr-xr-x 1 root root 980K лЮИ 24 2008 ksh
15975173 lrwxrwxrwx 1 root root 4 яЕМ 30 14:57 sh -> bash
15975182 -rwxr-xr-x 1 root root 338K лЮП 15 2007 tcsh
[root@unit1 tftpboot]#
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
спасибо. Вечером поковыряю.
Щас правдо с утра начал всётаки фряху рыть...
Щас правдо с утра начал всётаки фряху рыть...
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Andy - тоесть я ставлю ubuntu или debian. Настраиваю сеть, создаю этот файлик и ставлю выполняться раз в 10 минут в крон? Так?
Я просто неочень понимаю принцип работы. В FreeBSD например в rc.conf просто указываешь параметр firewall_script = путь до скрипта. А тут...непонятно...
Я просто неочень понимаю принцип работы. В FreeBSD например в rc.conf просто указываешь параметр firewall_script = путь до скрипта. А тут...непонятно...
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Неееет, только не это. Дебилиан и его мутированный форк.HidX писал(а):Andy - тоесть я ставлю ubuntu или debian.
Не эти правила, а те которые все разрешают, ибо если ты удаленно правишь правила файрволла, можешь себя зафайрить.HidX писал(а):Настраиваю сеть, создаю этот файлик и ставлю выполняться раз в 10 минут в крон? Так?
Тогда будет необходимо бежать к консольке и открывать доступ извне.
У iptables есть очень полезные команды iptables-save и iptables-restore, которыми можно сохранять и загружать правила.HidX писал(а):Я просто неочень понимаю принцип работы. В FreeBSD например в rc.conf просто указываешь параметр firewall_script = путь до скрипта. А тут...непонятно...
Загружаешь правила так: iptables-restore < /home/hidx/fwrules.txt. Мои так не загрузятся, ибо они в виде скрипта сделаны, но если шапку отрезать,
то правила можно будет через iptables-restore загружать.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
И они будут после перезагрузки сохранятся?
а почему не дебиан? ))
а почему не дебиан? ))
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Нет, после перезагрузки будут грузиться дефолтные, я точно не помню где ихHidX писал(а):И они будут после перезагрузки сохранятся?
надо сохранять. Я думаю, man тебе ответит на этот вопрос.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- мл. сержант
- Сообщения: 84
- Зарегистрирован: 2008-05-27 11:31:23
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
спасибо, будем рыть.
Никогда не думал что настроить фаервол ручками так проблематично... Казалось бы синтаксис правил я боле менее знаю, но не знаю куда их вписывать Как было бы удобно скачать из репозитариев фаервол, подредактировать его единственный конфиг с правилами и запустить...а если ещё и веб интерфейс. сказка.
Никогда не думал что настроить фаервол ручками так проблематично... Казалось бы синтаксис правил я боле менее знаю, но не знаю куда их вписывать Как было бы удобно скачать из репозитариев фаервол, подредактировать его единственный конфиг с правилами и запустить...а если ещё и веб интерфейс. сказка.
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Не за что.HidX писал(а):спасибо, будем рыть.
Никаких проблем не вижу.HidX писал(а):Никогда не думал что настроить фаервол ручками так проблематично... Казалось бы синтаксис правил я боле менее знаю, но не знаю куда их вписывать
Веб интерфейс к файрволу? Зачем?HidX писал(а): Как было бы удобно скачать из репозитариев фаервол, подредактировать его единственный конфиг с правилами и запустить...а если ещё и веб интерфейс. сказка.
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104
-
- рядовой
- Сообщения: 13
- Зарегистрирован: 2008-12-04 16:41:09
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235, надо поднять SQUID, чтобы обрезат в отделах траффик, до этого вообще админом не работал в это все и упирается, кто сможет помогите,.
P.S. Если можно напишите все настройки как здесь http://www.lissyara.su/?id=1026 тока для LINUX
P.S. Если можно напишите все настройки как здесь http://www.lissyara.su/?id=1026 тока для LINUX
-
- ст. лейтенант
- Сообщения: 1117
- Зарегистрирован: 2007-03-04 7:48:58
- Откуда: Mytischi
Re: как мини сревер (Samba+SQUID+Firewall+ClamAV
Конфиг копипастить пробовал?abix писал(а):У меня ситуация как описанная в начале, только стоит openSuse 9.1 и кол-во компов не 7 а 235, надо поднять SQUID, чтобы обрезат в отделах траффик, до этого вообще админом не работал в это все и упирается, кто сможет помогите,.
P.S. Если можно напишите все настройки как здесь http://www.lissyara.su/?id=1026 тока для LINUX
Jul 16 19:37:15 freebsd sshd[4152]: Invalid user idiot from 210.75.200.104