SmoothWall Express

[Maikll]

Итак, первый кандидат

SmoothWall Express

Этот управляемый через web-интерфейс дистрибутив по заверениям разработчиков весьма неприхотлив (от i386/64MB RAM/500MB HDD), но весьма функционален. Насколько это правда не скажу, я попусту не смог найти настолько старой железки :bye1: однако имеется полностью рабочий экземпляр на Celeron 433 с 128 Мб RAM и 10Гб HDD. На нем функционирует nat, dhcp, vpn с головным офисом и dns proxy, служит для раздачи интернета на небольшую сеть из 8 машин и обеспечения vpn-канала до головного офиса. Конфигурация полностью перекрывает потребности, до использования swap-а дело даже не доходило, все в оперативке.

1. Установка.

Установка проста и не представляет сложности даже для новичка. Достаточно скачать образ в формате iso, который можно использовать для записи CD. После записи вы получите загрузочный CD, откуда и будет выполняться установка - достаточно просто загрузиться с диска. Если на выбранной машине нет оптического привода, то предусмотрена возможность установки по сети.

Отдельно стоит отметить, что инсталлятор использует всё дисковое пространство, причём автоматически разобьёт его на разделы.

Подробно останавливаться на установке не буду, все очень хорошо расписано в руководстве по установке, причем в картинках, скажу только что для начала работы достаточно выбрать схему сетевых интерфейсов (green+red, green+orange и т.п.), адрес внутренней сетевой и пароли root и admin.

Все остальное можно настроить позднее.

2. Настройка.

Вся настройка выполняется через web-интерфейс. Чтобы попасть в него, в любом браузере набираем https://ip_внутреннего_интерфейса:441

Для входа используем логин admin с паролем, который мы задали во время установки.

Если все сделано правильно, попадаем в главное меню Home

Эта страница позволяет установить/разорвать соединение (если оно коммутируемое) и оценить (численно и визуально) трафик за день, месяц и текущий. Выводятся также ip-адреса всех имеющихся сетевых интерфейсов.

Следующая закладка, About позволит получить информацию о состоянии системы и выполняемых функциях (трафик, полоса пропускания и прочее)

Ключевая для настройки закладка Services.

Здесь определяется состав и функциональность запущенных сервисов.

* web proxy — кэширующий сервер (squid), возможна работа в прозрачном режиме (клиентам не требуется настройка proxy — сервер автоматически перехватывает все http-запросы),

* im proxy кроме кэширования трафика Instant-Messaging клиентов позволяет вести протокол их работы,

* pop3 proxy позволяет сканировать почту, принимаемую по POP3 протоколу (анти-вирус ClamAV входит в состав файрвола),

* sip proxy полезен для управления SIP (Session Initiation Protocol) трафиком,

* dhcp - как и большинство файрволов, SmoothWall может выполнять для локальной сети функции DHCP-сервера с весьма широкими настройками, чем выгодно отличается от большинства аппаратных аналогов,

* dynamic dns - если у вас динамически выделяемый ip-адрес, а доступ "снаружи" иметь всё-таки хотелось бы, то можно воспользоваться одним из DDNS (Dynamic DNS) серверов, коих в предложении SmoothWall — девять,

* static DNS выполняет функции файла hosts, причём, как для самого файрвола, так и для компьютеров локальной сети,

* ids — ни что иное, как snort — монитор попыток проникновения (Intrusion Detection System).

* remote access - SSH-сервер. Настоятельно рекомендуется к включению.

* time - NTP-клиент (выставляем время файрвола по эталонным серверам) и NTP-сервер (предлагаем станциям локальной сети возможность синхронизации времени).

Закладка Networking служит для настройки сетевых интерфейсов и управления правилами трафика.

* incoming — настройка туннелей от внешних портов файрвола к портам станций локальной сети,

* outgoing — список протоколов, по которым клиентам локальной сети разрешено обращаться "наружу". Настоятельно рекомендуется открывать их по мере надобности. Именно здесь описывается порт для связи "банк-клиента" и т.п.;

* internal — служит для описания "демилитаризованной" зоны (DMZ),

* external access - указывает по каким портам будет возможен доступ извне к самому фаерволлу, рекомендуется включить TCP/UDP порты 222 (доступ по SSH) и TCP порт 441 (доступ к web-интерфейсу по https). Обратите внимание, что как в первом, так и во втором случае используются не стандартные номера портов. С этого момента доступ к web-интерфейсу администрирования возможен по адресу https://your_firewall_ext_address:441,

* ip block - здесь задается список хостов, адреса которых хотелось бы окончательно "вычеркнуть из жизни", служит для блокирования слишком уж любопытных, пытающихся просканировать вашу сеть извне,

* timed access - дает возможность ограничивать доступ из локальной сети в Интернет временными рамками,

* QoS (Quality of Service) - полоса пропускания. Помимо задания upload/download speed, можно определить максимальный уровень трафика для отдельного клиента (Headroom) и приоритеты протоколов (который из них будет преобладать, если одновременно присутствуют запросы нескольких типов),

* advanced - на этой вкладке есть возможность блокирования ICMP-запросов, UPnP и multicast traffic. Действие по отношению к входящему блокированному трафику рекомендуется выбирать Drop (игнорировать, а не возвращать отправителю (Reject)),

* если для связи с Интернет используется dial-up/ADSL модем или PPPoE (PPP over Ethernet), то настройки ppp-соединения вводятся на странице с одноимённым названием (ppp);

* interfaces - содержит настройки локальных ethernet-соединений. Именно здесь можно переделать настройки red-интерфейса, если они заданы неправильно при инсталляции. Внешний адрес может быть статическим, динамическим или определяемым в ходе PPPoE. PPPtP не поддерживается.

Закладка VPN, служит для создания и управления VPN-каналом между двумя (и более) SmoothWall-машинами, поддерживающими IPSec;

Закладка Logs.

Здесь можно просмотреть журналы работы системы (system), web-, email- и instant messaging-прокси и ids (если соответствующие сервисы запущены, разумеется). И, самое главное, журнал работы файрвола (firewall). По их результатам можно принять решение о степени защищенности сети или вовремя заметить подозрительную активность некоторых станций. А также атаку извне. Подозрительные ip можно стразу "забанить" поместив их в ip block. Обратите внимание, на скрине как раз показан фрагмент лога на котором четко видны попытки просканировать локалку сразу по нескольким портам.

Закладка Tools включает в себя утилиты ping, traceroute и whois, а также возможность открытия в окне браузера консольного сеанса.

Ну и наконец последняя закладка Maintance предлагает возможность проверки наличия и установки update-ов (всё как у "больших"), настройки modem-а, загрузки usb firmware для ADSL-модемов Alcatel, задания паролей для пользователей admin и dial, backup настроек, настройки пользовательского интерфейса и Reboot / Shutdown

Данный обзор не претендует на полноту изложения и ориентирован в первую очередь на тех, кто только решился попробовать свои силы в настройке linux-подобных дистрибутивов и не знает с чего начать.

Комментарии и вопросы приветствуются. :doh:

Продолжение следует...

[Maikll]

Остановимся на некоторых моментах настройки smoothwall подробнее.

3. Форвардинг портов в smoothwall.

Допустим, у нас имеется некое приложение, которому необходим доступ к интернет, работающее на порту tcp 2048.

В данном примере все достаточно просто, все лишь надо разрешить исходящие соединения на этом порту на закладке Networking - outgoing

Итак, самый верхний блок на скрине задает общую модель поведения для фаерволла - параметр "Traffic originating on GREEN is" может принимать 2 вида: все что не разрешено явно запрещено (именно это стоит по-умолчанию) "Blocked with exception" и разрешено все, кроме явно запрещенного "Allowed with exception". Поскольку у нас первая модель, мы должны добавить новое исключение "Add exception" - интерфейс green. поскольку разрешаем из локальной сети - "Application or service(s)" выбираем задаваемый пользователем (User defined) - пишем необходимый порт в поле Port - при необходимости добавляем к правилу описание (Comment), кириллические символы там не поддерживаются и обязательно ставим галочку Enabled, она разрешает правилу работать. Все, жмем на кнопку Add и можем проверять работу приложения.

Теперь усложним задачу: нашему приложению нужно не только выходить в интернет, но и принимать входящие соединения извне.

Первый шаг останется без изменений, нужно добавить правило для исходящего трафика, но теперь еще нужно разрешить и входящий.

Здесь есть 2 пути: сделать портфорвардинг или открыть порт по аналогии с virtual servers. Я предпочитаю первый.

Правила портфорвардинга создаются на вкладке Networking - incoming. Добавим новое правило (Add a new rule) - здесь уже можно выбрать, какой протокол нас интересует, tcp или udp и задать при необходимости конкретный ip или подсеть, из которой будем принимать соединения ( External source IP (or network)) Если вы не знаете, какой адрес вам нужен или хотите принимать от всех - оставьте это поле пустым.

Указываем какие порты будем перенаправлять (Source port or range)- выбираем заданный пользователем (User defined), кстати, если нужно задать не обин порт а диапазон, граничные значения должны быть указаны через двоеточие ":" - указываем адрес вкомпьютера во внутренней сети на который мы будем перенаправлять трафик (Destination IP)- при необходимости можно указать перенаправлять входящие на порт во внутренней сети, отличный от прослушиваемого (Destination port), если оставить пустым то будет такой же, как и входящий - добавляем к правилу если надо описание (Comment), кириллические символы там не поддерживаются и обязательно ставим галочку Enabled, она разрешает правилу работать. Жмем на Add и идем пить кофе :bye1:

Процесс создания правила на вкладке internal практически идентичен описанному, за той лишь разницей, что нельзя указать порт для получателя отдельно.

Каким способом пользоваться - на ваше усмотрение.

[Maikll]

4. Настройка smoothwall для поднятия ipsec-vpn между сетями.

Одной из привлекательных особенностей smoothwall является сразу "из коробки" доступная возможность настройки канала связи между несколькими удаленными сетями через интернет.

Перед описанием настроек сразу упомяну о нескольких моментах, призванных устранить возможные проблемы, связанные с провайдерами, стихийными бедствиями, инопланетянами и пр..

Подразумевается, что:

а). Каждый из настраиваемых роутеров имеет внешний "белый" ip-адрес.

б). В сетях используются разные диапазоны адресов. В описываемом примере одна сеть имеет адреса вида 192.168.0.x а другая 192.168.10.x

в). Сам по себе роутер настроен и работает :)

Итак, настройки.

Новое соединение создается на закладке VPN - connections. Добавляем новое соединение (Add a new connection) - Имя (Name) произвольное, но русских букв не терпит - ставить или нет галочку компрессии трафика (Compression) нужно вычислять экспериментально, в некоторых случаях скорость может повысится, в некоторых - наоборот, понизится.

Основные параметры - Left, сказываем внешний адрес удаленного роутера к которому хотим соединится, Left subnet - используемая адресация в удаленной подсети в CIDR-формате. Кто не знает, что такое CIDR - курят вики. По аналогии указываем собственный внешний адрес и адресацию (Righ и Right subnet). Secret и Again - здесь необходимо ввести секретный ключ, который будет использоваться для шифрования трафика в канале, вводим одинаковые комбинации знаков :).

При желании можно добавить комментарий (Comment) и не забываем поставить галку включения (Enabled). На второй машине необходимо сделать аналогичные настройки, но в зеркальном отображении (поменять местами Left и Right).

После чего идем на закладку Control и видим зелёненькое слово "OPEN" напротив созданного канала.

Чтобы при разрыве связи не приходилось вручную поднимать vpn, на этой же закладке поставьте в разделе Global settings галочку Enabled

Настройка завершена, можно попробовать пропинговать из одной сети компьютеры другой или попробовать зайти на них через расшаренные ресурсы.

Изменено 3 августа, 2009 пользователем Maikll

[chaiNIX]

Приветствую уважаемые Гуру.

Помогите, пожалуйста, разобраться в настройке SmoothWall Express 3. Установил мод Advanced Proxy и хочу сделать авторизацию пользователей через домен Active Directory. В консоли управления MMC создаю пользователя, например, ldapbind, (все как в документе smoothwall3-advproxy-en.pdf) теперь ему надо делегировать управление, и вот тут у меня возникло затруднение. У нас стоит русифицированный сервер 2003 R2 и настройки там несколько отличаются от приведенных в мануале. Выбираю «Создать особую задачу для делегирования» -> «Делегировать управление: только следующим объектам в этой папке:» и вот тут я что-то тормознул. Вроде бы надо выбрать «Пользователь объектов», но почему-то гложут сомнения, так ли это в действительности. На рисунке в мануале это самый нижний пункт списка, а у меня еще штук 5 пунктов. Если не трудно, то еще про настройки в самом SW3, а то я пока еще новичок в Linux и мне немного сложновато, особенно с моим знанием языков.

[Maikll]

chaiNIX: Все верно, в русской редакции перевод звучит как «Пользователь объектов», хотя правильнее было бы просто "пользователи".

Если не трудно, то еще про настройки в самом SW3, а то я пока еще новичок в Linux и мне немного сложновато, особенно с моим знанием языков.

Собственно, добавить что-то к мануалу сложновато, он настолько подробен и снабжен иллюстрациями, что даже плохое знание английского не помешает. Там всего-то не больше десятка параметров.

Единственно что, есть сомнения, что advproxy будет работать, если в доменных именах используется кириллица. Если не трудно, отпишитесь о результате.

[chaiNIX]

Мда, получилось несколько не то, что я ожидал... Работать то оно работает, но не так, как мне хотелось. Во-первых, я думал, что будет «прозрачная» авторизация, т.е. если пользователь зарегистрировался на рабочей станции, то авторизоваться в браузере ему будет не нужно. Ан нет, авторизация требуется, более того, если пользователь запускает еще один экземпляр IE, то авторизация потребуется еще раз, что совсем уж не гут. А во-вторых, и это самое плохое, в логах Squid-а фигурируют не имена пользователей, как я ожидал, а IP адреса рабочих станций. Теперь не знаю что мне делать.

[Andrey_al]

в логах Squid-а фигурируют не имена пользователей, как я ожидал, а IP адреса рабочих станций

там должна быть функция привязки IP и/или MAC к именам, несколько неудобно, потому что, насколько я понял, это придется делать руками

[chaiNIX]

Где это хотя бы искать то? В мануале я вроде такого не видел.

[Maikll]

Во-первых, я думал, что будет «прозрачная» авторизация, т.е. если пользователь зарегистрировался на рабочей станции, то авторизоваться в браузере ему будет не нужно. Ан нет, авторизация требуется, более того, если пользователь запускает еще один экземпляр IE, то авторизация потребуется еще раз, что совсем уж не гут.

Решается, скорее всего, правкой конфигов сквида вручную. Можно взять за основу вот эту статью - http://www.opennet.ru/base/net/win_squid.txt.html

А во-вторых, и это самое плохое, в логах Squid-а фигурируют не имена пользователей, как я ожидал, а IP адреса рабочих станций.

Как вариант, воспользоваться SARG, он есть и под SW.

[Andrey_al]

Где это хотя бы искать то?

прошу прощения, ввел тебя в заблуждение, на самом деле такой фишки в Smooth не нашел, в IPCop такая возможность существует, а так как они очень похожи, предположил, что и в этом они одинаковы... в IPCop это выглядит так:

но, как я и говорил, это не совсем удобно, так как придется забивать все вручную...

Изменено 14 сентября, 2009 пользователем Andrey_al

[chaiNIX]

Насколько я понимаю, SARG всего лишь генератор отчетов для Squid-а, поэтому если в логах отсутствует информация о пользователе, а есть только IP адрес (а это именно так), то эта штука мне не поможет. Неужели без прикручивания самбы никак невозможно сопоставлять имена IP адресам? Я бы даже закрыл глаза на авторизацию. В конце концов, запрашивает же Squid у контроллера домена данные для авторизации! Неужели этим никак нельзя воспользоваться?

[chaiNIX]

Прошу прощения, что ввел вас в заблуждение. Это от моей недостаточной грамотности по части nix систем. Спасибо Maikll за статью, благодаря которой все встало на свои места. Я просто не там смотрел имена пользователей, а в лог они все-таки заносятся. Поставил сегодня SARG, но есть небольшая проблемка – на странице logs -> sarg выбираю отчет (например, daily), начинает открываться страница https://192.168.10.1:441/sarg/daily, но вылетает сообщение «Невозможно отобразить страницу». Но в то же время зайти через https://192.168.10.1:441/sarg/ можно, хотя и не очень удобно. В какую сторону копать?

[Maikll]

chaiNIX: Этот вопрос к создателю мода под SW. Попробуйте спросить (или может будет достаточно прочитать всю тему) на сайте сообщества, там в шапке есть очень интересный абзац.

1. You may/will have to add your smoothie's address and hostname to the hosts file on windows machines for proper name resolution. (For me it's still unclear why that is necessary but I have noticed browsing to https://<your smoothie's IP>:441/sarg invariably fails if you don't).

[Игорь Иваненко]

Пожалуйста, помогите чем сможете - проблема следующая: в сети стоит и без проблем работает SmoothWall. Вернее работал без проблем, а сейчас проблема такая, что снаружи он видится без проблем, а внутри на него не получается выйти, очень большие потери пингов, и интернета тоже нет. Что может быть?

[Yezhishe]

А через него сеть работает?

Впрочем, первичные рекомендации - стандартны.

Перезагрузить машину с SWE.

Найти того человека, что его ставил и настраивал (ибо мало ли что в конфигах прописано, от дефолтного отличающееся)

Если удастся зайти в управление - перепроверить все настройки, привести их в соответствие с данными от провайдера и конфигурации локальной сети.

Проверить (в настройках же) - как ведутся логи.

Последний пункт потому, что вспоминается собственный косяк многолетней давности - стоял Kerio Winroute Firewall, и по умолчанию велось логирование работы всех служб и сервисов, мониторинг любой активности, и всё это складывалось без ограничения на размер лог-файлов. В итоге за пару месяцев винчестер чуть ли не трещал, потому что оставались считанные килобайты свободного места и, натурально, ни ОС, ни KWF нормально работать не могли.

[Timba]

Пожалуйста, помогите чем сможете - проблема следующая: в сети стоит и без проблем работает SmoothWall. Вернее работал без проблем, а сейчас проблема такая, что снаружи он видится без проблем, а внутри на него не получается выйти, очень большие потери пингов, и интернета тоже нет. Что может быть?

Вопрос конечно не очень корректно задан и не рассказано, в каком состоянии сеть.

Главное, что в локальной сети ДО SW? Может там банально кабель поврежден или порт на сетевом оборудовании?

Хотелось бы услышать о результатах проверки. А так странно конечно. SmoothWall обычно работает как часы, с чего ему вдруг в локальной сети не видеться? Пока больше ничего не скажу, пока не ясен вопрос с обычным сетевым подключением и пингами. На другой порт пробовали вешать интерфейс? Кабель прозванивали? Пробовали заменить сетевую карту, смотрящую внутрь сети?...

И т. п., но только после этого можно грешить и разбираться с "Белым медведем".

[HooliganStas]

Народ кто нить ставил сего зверя на сервак? У меня в канторке валяется старенький сервачок 2004 года рождения, до сих пор жив. Решил на нём развернуть эту чудо программку но вот беда там стоит райд контролер и при установке прога не видит дисков. Как мне заставить увидеть мои диски собраные в райде или как в эту прогу дрова засунуть для этого контролера?

[Yezhishe]

Несколькими постами выше была ссылка на Installation Guide. Про RAID-контроллеры там (и, соответственно, подцепленные к ним HDD) - ни слова. Упоминаются только IDE и SCSI жёсткие диски.

И, кстати, как-то мне не верится, что там только один-разъединственный RAID-контроллер. Скорее всего, там есть и IDE-порт (раз уж речь о машинке 2004 года). Опять-таки, даже и в те времена RAID-контроллеры позволяли рассматривать подцепленные к ним диски как отдельные устройства.

Соответственно - go ahead в настройки контроллера... Или скормите инсталлятору дискету с драйвером контроллера (если инсталлятор умеет подобное, как ОС, например). Или цепляйте один винчестер в IDE-порт. Не думаю, что это так уж сильно отразится на быстродействии...

[HooliganStas]

Народ есть возможность настроить vpn таким образом чтоб я из дома мог удалённо мог рулить сеткой на работе? у меня дома нет статического адреса и инетик крутится на адсл модеме.

[Timba]

Народ есть возможность настроить vpn таким образом чтоб я из дома мог удалённо мог рулить сеткой на работе? у меня дома нет статического адреса и инетик крутится на адсл модеме.

Можно. Если использовать технологии Microsoft то это будет РРТР-клиент для вашего сервера на работе.

Из бесплатных шлюзов, VPN-концентраторов и прочих, я бы посоветовал http://www.pfsense.org/

Наиболее адекватный РРТР-сервер из беспдатных.

Работает стабильно, ресурсов не потребляет (хватит компа 6-детней давности).

Главное, чтобы у него (у сервера) был статический IP.

P.S. Smoothwall этого не умеет, увы.

Есть еще аппаратные решения, но что выбрать решать вам.

Изменено 11 сентября, 2012 пользователем Timba

[Yezhishe]

Гм... Чем не устраивает TeamViewer?

[Timba]

Гм... Чем не устраивает TeamViewer?

То, о чем мы говорим, это разные вещи.

TeamViewer - это для взаимодействия двух пользователей, и система должна быть загружена.

Это для общения и помощи хорошо.

А доступ в корпоративную сеть по РРТР (L2TP, OpenVPN) - это совсем другое.

И никакой тимвьювер тут не помощник.

Ты имеешь доступ в сеть, но к какой станции ты будешь подключаться?

И надо ли? Может надо поправить политики?

Может надо просто перегрузить конкретный сервер?

Может надо завести новую учетную запись?

Проверить каналы связи в другие регионы?

Да много задач может быть.

Какой там тимвьювер? Он просто не предназначен для этого.

Хотя удобен для суппорта.

[Yezhishe]

Эм-м-м... Сказано же было -

удалённо мог рулить сеткой на работе

Соответственно - это либо доступ ко всем рабочим машинкам (ежели одноранговая сеть), либо доступ к контроллеру домена. И чем плох TeamViewer?

[Andrey_al]

есть возможность настроить vpn таким образом чтоб я из дома мог удалённо мог рулить сеткой на работе?

на SmoothWall поднимаешь VPN сервер, тот, который там есть, допустим IPSec, а потом цепляешься к нему любым IPSec клиентом (например, таким)... оказавшись в сети, тебе доступны все способы администрирования (SSH, telnet, RDP и пр.)

[HooliganStas]

Может я затупок, но не могу найти там в графических настройках как поднять vpn сервер. Там есть вкладка connections где надо прописать статический адрес другого устройства и какая за ним под сеть. Подскажите как на нём развернуть то о чём вы написали выше. Заранее благодарен!