Первоначальная настройка
Подключение к веб-интерфейсу Ideco UTM
Подключение к веб-интерфейсу Ideco UTM
После успешной установки Ideco UTM можно переходить к его первичной настройке.
Запустите на любом компьютере локальной сети интернет-браузер, например Mozilla Firefox или Google Chrome (Internet Explorer не поддерживается), введите в адресной строке локальный IP-адрес, указанный при установке в настройках локального сетевого интерфейса и порт 8443, на котором работает веб-интерфейс в формате: IP-адрес:порт.
Пример: 192.168.100.2:8443
Так как подключение к web-интерфейсу осуществляется с применением шифрования, интернет-браузер может выдать ошибку, что сертификат безопасности не был выпущен доверенным центром сертификации. В таком случае вам необходимо продолжить соединение, нажав на соответствующую кнопку в нижней части окна.
Пример ошибки в браузере Google Chrome:
После того как вы перешли на сайт по IP-адресу, в окне браузера должно появиться окно авторизации в веб-интерфейс Ideco UTM. Введите логин и пароль от учетной записи администратора, созданной на этапе установки Ideco UTM.
Чтобы ошибка больше не появлялась, импортируйте корневой сертификат UTM в браузер. Сертификат можно скачать тремя способами:
1. В разделе Сервисы -> Сертификаты, нажав на иконку
Скачать:
2. В разделе Правила трафика -> Контент-фильтр -> Настройки:
3. Также корневой сертификат можно скачать, зайдя в личный кабинет Ideco UTM под учетной записью одного из имеющихся пользователей:
После первого входа в веб-интерфейс вы увидите несколько уведомлений, которые подскажут вам, что для корректной работы Ideco UTM необходимо настроить подключение к провайдеру и зарегистрировать сервер.
Настройка подключения к интернет-провайдеру
Настройка подключения к интернет-провайдеру
Для настройки подключения к провайдеру перейдите в раздел Сервисы — Сетевые интерфейсы.
Настройка Ethernet-подключения
Настройка Ethernet-подключения
Данный тип подключения требует настройки параметров, описанных ниже в таблице.
Параметр |
Примечание |
---|---|
Сетевая карта |
Необходимо указать сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на наименование производителя или MAC-адрес |
IP-адрес и маска |
Сетевые реквизиты, которые были назначены провайдером. Укажите IP-адрес и сетевую маску в формате CIDR или четырех октетов |
Шлюз по умолчанию |
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет |
Если ваш провайдер поддерживает автоматическое конфигурирование внешнего сетевого интерфейса с помощью протокола DHCP, то отметьте пункт Автоматическая конфигурация через DHCP.
Для настройки Ethernet-подключения выполните следующие шаги:
1. Нажмите на иконку
в правом верхнем углу и выберите пункт Внешний Ethernet.
Если вы выберете пункт Локальный Ethernet и настроите его как Внешний Ethernet, доступ в сеть Интернет будет отсутствовать.
2. Выберите подходящую сетевую карту.
3. Заполните следующие поля, они являются обязательными:
-
Шлюз (или установите флаг в строке Автоматическая конфигурация через DHCP);
4. Проверьте правильность введенных данных и нажмите кнопку Сохранить.
Настройка других типов подключений
Настройка других типов подключений
Если ваш провайдер использует другой тип подключения, то ознакомиться с остальными инструкциями по настройке вы можете по следующим ссылкам:
Шлюз безопасности Ideco UTM — многофункциональное решение для организации защищенного доступа в Интернет в корпоративных и ведомственных сетях.
Компания «Айдеко» образована в 2005-ом году и является российским производителем программных продуктов для построения сетей и развития сетевых инфраструктур любого уровня сложности.
Ideco UTM входит в Единый реестр российских программ для электронных вычислительных машин и баз данных под номером 329. Вы можете обратиться к одному из наших менеджеров и узнать дополнительную информацию по программе импортозамещения и миграции с продуктов других производителей по телефону 8 800 555 3340.
Документация: руководство администратора. Регламент работы службы технической поддержки. Скачать дистрибутив можно по ссылке.
95% угроз к нам приходит из сети интернет и поэтому стоит внимательно относиться к тому, какими сайтами пользуются сотрудники компании, чтобы запрещать доступ к зловредным, да и вообще иметь возможность фильтровать трафик, который идет в вашу сеть.
И в данном видео мы рассмотрим работу межсетевого экрана нового поколения IDECO UTM, который обладает мощным модулем контентной фильтрации для защиты от веб-угроз и антивирусной проверкой трафика.
Хотите получать свежие новости через ВК? Не вопрос, жми по ссылке: IT-Skills | Запишись в ИТ качалку
Изначально хотелось бы сказать, что разработчики данного решения позаботились о тестировании безопасности и создали сервис http://security.ideco.ru благодаря которому вы можете проверить насколько эффективна используемая вами система защиты.
В конечном итоге мы реализуем следующую систему. Поднимем виртуальный сервер IDECO UTM и интегрируем его с Active Directory, в результате чего пользователи домена будут получать доступ в интернет через сетевой экран. А уже через веб-интерфейс мы сможем мониторить всю сетевую активность и настраивать различные правила фильтрации.
Для начала нам потребуется скачать дистрибутив программы на сайте разработчиков https://utm.ideco.ru Кстати, вот эта анимация предельно просто и понятно объясняет суть работы программы, защита сети от внешних угроз, и блокировка трафика от посещения не связанных с работой сайтов.
Выбираем ссылку «Скачать» Заполняем форму регистрации Получаем доступ к личному кабинету на сайте, а уже оттуда загружаем дистрибутив + там же мы получаем ключ активации на 30 дней или до 40 активных пользователей.
Системные требования
Стоит учесть определенные системные требования:
Операционная система у нас будет: Linux Centos 6, 64 bit, так что при создании виртуальной машины нужно будет указать данный тип ОС.
HDD: 64Гб и более
ОЗУ: 4 Гб минимум, но желательно 8 Гб, чтобы система работала наиболее эффективно
2 сетевые карты: локальная сеть и интернет
Установка межсетевого экрана IDECO UTM
Процесс установки довольно простой, поэтому я его покажу на скриншотах + на эту тему есть подробное руководство в справочном центре (ссылка в описании)
Монтируем образ Выбираем пункт Установка Указываем часовой пояс и текущее время, важно установить правильно, для корректной работы Выбираем интерфейс локальной сети Назначаем IP и маску Перезагружаем Задаем пароль для root пользователя Попадаем в основное меню сервера.
Но, работать мы с ним будем через веб-интерфейс, поэтому заходим на какую-нибудь рабочую станцию в локальной сети и в браузере вводим IP адрес сервера IDECO UTM. Стоит учесть, что браузеры internet Explorer и Microsoft Edge не поддерживаются
Вводим логин и пароль по умолчанию administrator servicemode и появляется окно с первоначальными настройками.
Смена пароля администратора
Сменим стандартный пароль администратора на свой (Правила доступа Администратры Администратор Управление Замок (сменить пароль) Новый пароль Сохранить)
Настройка внешнего интерфейса
Тут нам потребуется настроить интерфейс, через который будем выходить в интернет (Сервисы Интерфейсы Свободные интерфейсы Настроить Роль: Внешний, Основной Название: Интернет Автоматическая конфигурация через DHCP, так как в моем случае я получаю интернет через коммутатор, можете указать вручную, если он у вас статический Сохранить Применить конфигурацию Перезагрузка Сервисы, проверяем что настройки корректны)
Активация сервера
Теперь активируем наш сервер, ключом, который генерируется в личном кабинете, и тут есть 2 варианта: если вы тестируете в сети где более 40 компьютеров будут подключаться к серверу, то выбираем лицензию demo, если менее, то можно лицензию SMB, она уже не имеет ограничения по времени, лишь по количеству рабочих станций. Подробности так же в личном кабинете (Перейти на страницу лицензии Ввести токен сервера)
Если у вас возникают какие-то проблемы или вопросы, то здесь есть подробная инструкция по каждому разделу программы (Документация)
Настройка авторизации пользователей
IDECO UTM не выпустит ни одного пользователя в интернет, пока он не будет авторизован на UTM сервере. Так как в моей ситуации сервер находится в доменной сети, то я буду авторизовать пользователей через Active Directory, если у вас не доменная сеть, то можно создать пользователей вручную. Как это сделать есть текстовая и видео инструкции.
Ввод сервера в домен
Для интеграции с Active Directory необходимо ввести сервер IDECO UTM в домен, из которого мы будем импортировать пользователей (Сервисы Active Directory Добавить домен Имя домена: office.loc DNS сервер домена Имя сервера IDECO UTM логин и пароль учетки имеющей права на присоединение компьютеров к домену Присоединить к домену Авторизация по логам: Разрешить)
Импорт пользователей из Active Directory
Теперь мы импортируем пользователей из активного каталога (Пользователи Добавить группу: AD Active Directory office.loc Группа безопасности AD Пользователи домена Сохранить). Видим, что все пользователи домена были импортированы. Каждый 15 минут сервер будет автоматически синхронизировать пользователей, так что нет необходимости повторять данную процедуру в дальнейшем.
Авторизация пользователей
Для наиболее быстрой и прозрачной авторизации пользователей настроим авторизацию по логам безопасности контроллера, причем данный функционал является уникальным среди российских решений:
1) Разрешить правило брандмауэра Удаленное управление журналом событий RPC (Панель управления Брандмауэр Дополнительные параметры Правила входящих подключений Удаленное управление журналом событий RPC ПКМ Включить)
2) Добавить сервер UTM в группу Читатели журнала событий (Диспетчер сервера Средства Пользователи и компьютеры AD Компьютеры idecoutm Член группы Добавить Читатели журнала событий)
3) Перезапустим службу авторизации по логам (IDECO UTM Сервисы Active Directory Авторизация по логам Убрать и поставить галочку: Разрешить)
4) Так как у меня раньше компьютеры выходили в интернет через контроллер домена, то нужно изменить шлюз в настройках сетевых подключений компьютеров, если у вас все раздается через DHCP, то изменим запись основного шлюза (Диспетчер серверов Средства DHCP server ipv4 Область Параметры области Маршрутизатор 192.168.0.22 Добавить Старый удалить Применить)
Тестирование работы межсетевого экрана
Запускаем рабочие станции, если они уже работали, то нужно перезагрузить, чтобы применились настройки DHCP сервера. Проверяем изменился ли адрес шлюза по умолчанию на адрес сервера UTM. Выполняем вход под разными учетными записями и попробуем выйти в интернет.
В разделе мониторинг, мы видим, какие пользователи у нас сейчас вышли в интернет, через отчеты можем посмотреть где пользователи «гуляли».
Допустим мы видим, что пользователь заходил на сайт одноклассники (m.ok.ru). Давайте заблокируем доступ к этому сайту
Блокировка доступа к ресурсам
Создадим правило контент фильтра (Правила доступа Контент фильтр Правила Черный список Редактировать Категории сайтов Социальные сети Сохранить) Пробуем зайти в одноклассники через компьютер пользователя и у нас выдается «Доступ к ресурсу заблокирован»
Если у вас есть какой-то сайт, на который вы не хотите, чтобы пользователи заходили, но его нет в запрещенных категориях, можно добавить его в черный список вручную (Пользователи и категории Черный список Редактировать URL *sys-team-admin.ru + Сохранить)
Другие функции программы IDECO UTM
Контроль приложений — можно запрещать доступ на уровне приложений TOR, TeamViewer
Ограничивать скорость интернета — чтобы пользователи не перетягивали на себя весь трафик
Анализ веб-трафика антивирусными решениями
Система предотвращения вторжений злоумышленниками
Ограничение квотами трафика и многое другое
Через сервис тотже сервис security.ideco.ru можете проверить, на сколько у вас изменилась ситуация по безопасности, после внедрения IDECO UTM
Благодаря IDECO UTM вы можете мониторить все, что у вас происходит при взаимодействии с внешним миром. Причем функционал позволяет создать уникальную конфигурацию, позволяющую удовлетворить ваши потребности.
Кроме того, сервисом предоставляются как текстовые, так и видео инструкции.
Zip File, бородатые любители роутеров и управляемых коммутаторов. Каждый, сколь бы то ни было опытный сисадмин, замороченный на безопасности своей сетки, мечтает о так называемой волшебной коробке, которая обеспечит решение всех проблем. Такой коробкой среди шарящих членов комьюнити принято считать различные UTM решения. Сам термин родом прямиком из лохматых двухтысячных и в дословном переводе означает объединённое управление угрозами. Т.е. это действительно инструмент, по сути, защищающий вас по всем основным направлениям. В современные UTM входит контент-фильтрация для защиты от веб-угроз.
Ибо, давно понятно, что самой большой угрозой являются сами пользователи. И как бы вы не огородили технически сеть от утечек их данных, они сами зайдут на фишинговый сайт, сами введут все пароли и как миленькие скачают эксплоит на рабочую станцию.
В общем, проверка web-трафика, это святое. Помимо этого, качественный UTM должен уметь фильтровать пакеты и выступать в качестве прокси-сервера для устройств ЛВС.
Его можно назначить в качестве шлюза по умолчанию и установить на границе корпоративной сети, отгородившись тем самым от опасностей внешнего мира, словно щитом.
А опасностей, там мягко скажем не мало. Особенно учитывая нынешнюю напряжённую ситуацию, в которой все государственные и окологосударственные учреждения обязали отключить по максимуму все обновления операционок и софта с внешних серверов.
Подобное нововведение делает вопрос безопасности всё более актуальным и ставит в приоритет процесс импортозамещения. Именно поэтому в данном видео мы будем разбирать не какую-то забугорную разработку, а наше, родное, отечественное решение от Российской компании из славного Екатеринбурга.
Если вам интересно, на что способна самая современная версия межсетевого экрана от ведущей компании в области производства продуктов для фильтрации трафика и безопасности сетевых структур любого уровня сложности, тогда устраивайтесь по удобней.
Наливайте себе прохладительный морс, откидывайтесь по максимуму в пропуканом кресле, и приготовьтесь слушать тру стори про один из самых инновационных продуктов для защиты вашей сети. Погнали.
Загрузка и установка Ideco UTM 13
Первым делом заходим на официальный сайт компании Айдеко и жмём по большой оранжевой кнопке для скачивания последней версии UTM.
Попав на страницу входа проходим несложный процесс регистрации, либо логинимся под имеющимся аккаунтов в одном из представленных сервисов.
И наконец переходим к загрузке заветного образа. Обращаю ваше внимание, что версии обновляется регулярно и на в вашем случае она может отличаться от той, что я использую на момент записи данного видеоролика.
После загрузки записываем образ на флешку, либо закидываем его в любой гипервизор и создаём виртуальную машину под эту историю на базе Федоры. Тут важно учесть пару нюансов. Ideco UTM в обязательно порядке требует включить для работы поддержку EFI. Т.е. старый добрый BIOS не катит.
Также потребуется отключить режим Legacy загрузки (он же CSM) и деактивировать опцию Secure Boot. Для нормальной работы нужно минимум 60 свободных гигов на винте и 8 в оперативе. Без этого минимала дистрибутив просто не начнёт установку.
После того, как мы разобрались с датой и временем, инсталлятор просит создать аккаунт администратора защищённый пассвордом.
Логинимся под этой учёткой.
Указываем сетевую карту, смотрящую в вашу локальную сеть и задаём для неё параметры в виде маски и IP адреса.
На этом процесс установки Ideco закончен. Как видите, ничего сложного. Для удобства дальнейшей настройки можно отправить тачку в ребут и после включения заломиться уже непосредственно по айпишнику в Web-интерфейс.
Для этого вводим в адресной строке IP адрес и порт 8443. Сама админка работает по протоколу HTTP, это нормально. Поэтому не стоит пугаться этих предупреждений.
Браузер предложит ввести данные для входа, указанные при установке Ideco. Вводим их, и проваливаемся панель управления.
Если же вам вдруг по каким-то причинам не хочется пока устанавливать данный UTM на гипервизор или реальный компьютер, можно воспользоваться демонстрационной версией перейдя по соответствующей ссылке в своём кабинете.
Базовая настройка Ideco UTM 13
После того, как мы попали в админ-панель, следует сразу настроить внешний сетевой интерфейс, смотрящий в глобальную сеть. Для этого переходим на вкладку «Сервисы» и нажав на плюсик выбираем пункт «Внешний Ethernet».
Далее выбираем сетевуху, смотрящую в интернет.
Вводим данные IP-адреса, маску и шлюз. DNS можно оставить по умолчанию. Либо можно воспользоваться возможностями DHCP, если у вас не статика в этой истории. Сохраняем.
Видим, что на созданном интерфейсе значок с планетой горит зелёным, а значит доступ в Инет на сервере появился.
Далее необходимо зарегистрировать лицензию сервера. Для этого на вкладке «Лицензия» кликаем по соответствующему пункту.
И авторизовавшись в личном кабинете, регистрируем созданный сервер присваивая ему статус полнофункциональной демонстрационной лицензии на 40 дней с возможностью подключить до 10 000 пользователей.
В случае, если у вас уже куплен вариант для коммерческого использования – можно воспользоваться соответствующей кнопкой для добавления уникального токена.
Добавление пользователей и авторизация
Самое время разобраться с вопросом авторизации пользователей на сервере. Для этого прежде всего следует создать им учётки. Переходим во вкладку «Пользователи», «Учётные записи» и добавляем нового юзверя.
Задаём ему имя, присваиваем логин с паролем и дополнительно задаём IP-адрес, т.к. в рамках локальной сети, проще всего авторизацию осуществлять по нему.
Включаем постоянную авторизацию по IPшнику и на этом этапе уже можно смело проверять появился ли интернет на клиенте. Главное не забудьте прописать данные сервера Ideco в качестве адреса дефолтного шлюза и DNS на рабочей машине.
Если же способ с авторизацией по IP вас не вполне устраивает ввиду постоянно растущего парка машин и используемого в сети DHCP-сервера, можно использовать вариант аутентификацией посредством веб-интерфейса. Пользователи либо будет сами вводить комбинацию логина и пароля, либо, если у вас путная сеть, эти данные будут автоматически подтягиваться из AD.
Нововведения в Ideco UTM 13
Такие дела малята. Это что касается наиболее популярных вариантов авторизации. Если же в вашей организации есть сотрудники трудящиеся на удалёнке, то для них можно включить двухфакторную аутентификацию по VPN.
Также, в новой версии шлюза Ideco разработчики внедрили маршрутизацию BGP типа. Т.е. можно скачать и использовать все доступные Интернет-маршруты.
Помимо этого, кардинальные изменения претерпела система отчётов. В ней значительно увеличилась скорость работы БД, что особенно актуально в сетях с большим числом пользователей и огромными потоками трафика.
Более подробно об этом, а также других нововведениях в 13 версии вы можете узнать, ознакомившись с часовым вебинаром на официальном канале Айдеко. Ссылку на него, я само собой, закреплю в описании.
Ну а на сим нынче всё. Обязательно напишите, какой инструмент для распределения и фильтрации трафика лично вы используете в своей рабочей сети и с какими головняками сталкиваетесь на постоянной основе.
Очень надеюсь, что обзор оказался полезным и вы отлично провели время. С вами, как обычно, был Денчик. В заключении, по традиции желаю всем досмотревшим до этой минуты удачи, успеха и самое главное, отличного настроения.
Берегите себя и свои сети, пользуйтесь только надёжными, проверенными решениями. Поддерживайте отечественных разработчиков. И будет вам счастье. До новых встреч, мои кайфные друже. Всем пока.
В нашей рубрике мы уже знакомились с практически готовыми решениями для поднятия небольшого сервера для SOHO-сегмента (см. трилогию о Zentyal). Ну а в этот раз мы представим вам отечественную разработку — интернет-шлюз Ideco Internet Control Server.
Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.
В отличие от того же Zentyal это сугубо коммерческий продукт, в котором в идеальном случае всё работает «из коробки», но нет практически никакой возможности лёгкого расширения функциональности. Например, поддержки DDNS как не было, так до сих пор и нет. К тому же есть ряд ограничений по поддерживаемому оборудованию. Впрочем, даже встроенных возможностей вполне хватит для организации небольшой сети, а простота установки и настройки с лихвой перекрывает почти все недостатки продукта. Мы рассмотрим установку и базовую настройку бесплатной версии Ideco ICS. Есть две разновидности «халявной» лицензии. Одна подходит для малого бизнеса и позволяет обслуживать до пяти пользователей. Вторая предназначена для домашнего использования не более чем десятью пользователями. Расчёт, в общем-то, прост — если продукт понравился, то за дополнительные лицензии и некоторые возможности (антивирусы и так далее) придётся доплачивать.
⇡#Установка
Нам понадобится компьютер с двумя сетевыми интерфейсами, минимум 256 Мбайт RAM, процессором с частотой от 800 МГц и жёстким диском хотя бы на 20 Гбайт, а также оптическим приводом. Список совместимого оборудования можно посмотреть здесь. Затем надо будет скачать ISO-образ дистрибутива и записать его на болванку. Осталось выставить в BIOS загрузку с CD-ROM и перезагрузиться. Процесс установки Ideco ICS предельно прост — в меню загрузчика набираем setup и жмём Enter. Если после загрузки ядра ПК завис или вывел какую-либо ошибку, то можно попробовать выбрать другое ядро (клавиша F1) либо ещё раз проверить, подходит ли ваше оборудование и настройки BIOS (в частности, для SATA-дисков надо выставить режим совместимости).
Дальнейшее участие пользователя в установке сведено к минимуму — надо будет лишь выбрать одну из сетевых карт в качестве интерфейса для локальной сети и её адресацию. Обратите внимание, что при установке жёсткий диск переразбивается, то есть все данные на нём будут потёрты. Процесс установки вряд ли займёт больше 15-20 минут. После этого свежесозданный сервер потребует перезагрузки, а перед этим покажет логин и пароль администратора для входа в систему. По умолчанию это Administrator и servicemode.
Затем к локальному сетевому интерфейсу надо подключить любой другой ПК, в настройках сети которого прописать вручную IP-адрес из выбранной на этапе установки подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).
⇡#Первоначальная настройка
Открываем в браузере адрес https://IP-сервера/ (в нашем примере это будет https://192.168.0.1/) и попадаем в панель управления сервером. (Порядочный браузер, конечно же, ругнётся на неверный SSL-сертификат, но это не страшно.) Авторизуемся с дефолтными логином и паролем и попадаем в мастер базовой настройки Ideco ICS. Здесь нам надо указать имя сервера (любое), выбрать часовой пояс и при необходимости поменять настройки локального сетевого интерфейса. На следующем этапе предлагается настроить подключение к интернет-провайдеру. Ideco ICS поддерживает ручное указание всех параметров сети, получение оных по DHCP, а также подключение через PPTP или PPPoE. Затем надо указать параметры подключения администратора. E-Mail лучше указывать реальный — туда будут сыпаться уведомления и отчёты о работе сервера. Для простоты можно оставить авторизацию по IP. Если не указывать никакой IP-адрес, то подключение к веб-консоли будет возможно с любого локального ПК. Пароль же рекомендуется поменять на свой.
Следующий этап — настройка параметров безопасности. Здесь рекомендуется включить автоматическое обновление и отменить блокировку сканеров портов. Учтите, что антивирусное сканирование и спам-фильтр от Касперского будут бесплатно работать только в течение 30 дней. Да и вообще, первые 30 дней Ideco ICS работает в триальном режиме, а затем часть необязательных для домашних пользователей функций будет отключена. После выбора параметров безопасности нам предложат добавить пользователей. Указываем любое имя для пользовательской группы по умолчанию и выбираем тип авторизации. В нашей маленькой сети достаточно будет авторизации по IP-адресу или связке IP+MAC. Для упрощения настройки можно включить все локальные ПК, вручную прописать на них статические IP-адреса (для 5-10 машин это не так уж долго), а затем просто просканировать сеть — Ideco ICS автоматически найдёт их и сделает все настройки.
Если есть желание, то можно включить встроенный DHCP-сервер. Например, можно прописать вручную IP-адреса у пяти машин, а остальные пять раздавать по DHCP для гостевых устройств, смартфонов и так далее. Настройку почтового сервера мы оставим в стороне, так как для домашних пользователей это не очень актуально, а так называемый малый бизнес вполне может обойтись бесплатными почтовыми сервисами. Прокси-сервер желательно включить, а заодно сделать его прозрачным и скрывать его наличие.
Если вы включили прокси, то можно задать и антивирусное сканирование сетевого трафика на лету. Для нас подойдёт бесплатный антивирус ClamAV — стопроцентной защиты он не даёт (как и все подобные продукты), но от распространённой заразы защитит. Наконец, на последнем этапе ещё раз проверяем все введённые настройки, сохраняем их и ждём перезагрузки сервера.
После перезагрузки снова авторизуемся под аккаунтом администратора и попадаем в веб-интерфейс консоли управления. В разделе «О программе» можно сразу же зарегистрировать свою копию Ideco.
⇡#Базовая настройка
Ideco ICS вырос, по сути, из биллинговой системы, поэтому логика работы поначалу может быть не совсем привычна тем, кто знаком с домашними роутерами или различными дистрибутивами для подобных задач. Одни из основных элементов интернет-шлюза — это профили (в девичестве тарифы), пулы IP-адресов и сетей. Пулы адресов — это наборы подсетей, из которых будут выдаваться IP-адреса клиентам. Правила также включают в себя наборы подсетей, но служат для своего рода разделения типа трафика. Наконец, профили нужны для тарификации данных и ограничения скорости. В нашем примере помимо основного профиля мы добавили ещё один, с лимитом скорости. На основе этих же правил можно задать, например, и ограничения по объёму трафика.
В разделе «Пользователи» можно управлять группами и пользователями. Все пользователи, добавленные в ту или иную группу, по умолчанию наследуют все её параметры. Если вы решили добавить ещё одного клиента, то просто скопируйте все основные настройки из уже имеющихся. Естественно, надо поменять IP-адрес, MAC-адрес (если нужно) и задать прочие параметры. После добавления надо нажать на иконку со значком i, чтобы проверить правильность настроек. По клику на значок с ключами задаётся пользовательский пароль. Кстати, по умолчанию уже добавлено несколько групп пользователей — их лучше всего удалить, нажав на значок корзины в меню слева.
Чтобы трафик не «считался», укажите нулевую цену за мегабайт в профилях, а также отключите предупреждения об остатке и пороге отключения в свойствах группы пользователей.
В Ideco ICS есть довольно развесистая система фильтрации трафика. Настраивается она в разделе «Безопасность». Первым делом меняем параметры антивируса ClamAV — включаем автоматическое обновление баз, выбираем типы проверяемых объектов и их максимальный объём. Затем займёмся настройкой системного файрволла. Тут, в общем, всё не так уж сложно. Для начала создаём или редактируем группу правил для более удобного управления ими. Затем наполняем группу нужными правилами. Здесь довольно много опций — ограничение скорости, запрет/разрешение доступа, проброс портов и так далее. Статические маршруты прописываются в разделе «Сервер» → «Сетевые параметры» → «Маршруты».
Можно также отредактировать группы ключевых слов (в том числе и части URL или расширения файлов), по которым будет вестись фильтрация трафика. Отдельно выделены правила для пользовательского файрволла — от системных они отличаются тем, что их можно применить к группе пользователей или к какому-то конкретному клиенту. Добавляются эти правила как раз в настройках групп.
После настройки всех нужных сетевых правил переходим в раздел «Сервер» → «Дополнительно». Здесь можно отключить проверку дисков для ускорения загрузки сервера, задействовать синхронизацию времени с NTP-сервером, настроить автоматическую очистку старых файлов статистики для экономии места на диске, а также добавить в раздел «Полезные файлы» дистрибутивы каких-нибудь программ, документы, ссылки и так далее.
Эти самые полезные файлы будут показываться на заглавной странице веб-интерфейса Ideco ICS. Там же любой из обычных пользователей может авторизоваться и посмотреть, например, свою статистику потребления трафика.
Более подробную статистику, да и вообще информацию о том, что происходит с сервером и пользователями, можно в реальном времени посмотреть в разделе «Монитор».
Если вам не нужны некоторые сервисы, то их можно отключить на вкладке. Среди первых кандидатов на вылет PPTP/PPPoE-сервера, Jabber, SNMP/MRTG, неиспользуемые варианты авторизации, встроенные почта и веб-сервер, ну и так далее. Впрочем, часть из них может оказаться полезной. Например, FTP- или PPTP-сервер. Если провайдер предоставляет вам статический внешний IP-адрес (напоминаем, что DDNS нет), можно организовать удалённое подключение к локальной сети из Интернета. Для этого у нужных пользователей надо установить галочку «Разрешить VPN из Интернет», а на удалённой машине (ноутбуке чаще всего) создать новое PPTP-подключение. Мы уже рассматривали процесс его создания в данной статье. Конечно, в качестве адреса сервера надо указать наш внешний IP-адрес Ideco ICS и не забыть отключить в настройках соединения вход в домен, а также требование обязательного шифрования MPPE.
Дальнейшее «допиливание» интернет-шлюза под свои нужды можно сделать уже самостоятельно, внимательно изучив прилагаемую к дистрибутиву документацию. Благо большинство опций там расписано достаточно подробно. Обратите внимание также на то, что часть настроек доступна только из локальной консоли сервера. Оттуда, например, можно произвести ручное обновление компонентов Ideco ICS с перезагрузкой сервера. Пароль для входа тот же, что и для аккаунта администратора. На этом всё. Удачной вам настройки!
Напоследок — маленький тизер. В следующий раз мы познакомимся с ещё одним отечественным программным интернет-шлюзом с удивительно похожим на Ideco ICS названием, но построенным на базе FreeBSD, а не Linux.
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.