[Comm] шлюз в корпоротивной сети

[Comm] шлюз в корпоротивной сети

[Игорь]

Здравствуйте, Все.
Пожалуйста, помогите, я только начал постигать Линукс.
Мне надо срочно настроить шлюз, клиенты windows 2000/XP.
соединение с провайдерор через VPN.
Плиз, не отсавляйте новичка, буду благодарен если подскажете
где можно налопатить полезной информации для новичка.
заранее благодарен.
  

-- 
С уважением,
 Игорь                          mailto:egorosh@inbox.ru

[Comm] Re: шлюз в корпоротивной сети

[Michael Shigorin]

[-- Attachment #1.1: Type: text/plain, Size: 951 bytes --]

On Wed, Aug 18, 2004 at 02:43:49PM +0900, Игорь wrote:
> Мне надо срочно настроить шлюз, клиенты windows 2000/XP.
> соединение с провайдерор через VPN.

Постарайтесь как можно оперативнее накатить security updates для
начала, что бы ни устанавливали.

По соединению с ISP -- осмысленно пытать самого ISP, если
контингент на суппорте не в курсе -- требовать дежурного
администратора, если нет -- техдиректора.

По раздаче клиентам -- после подъема соединения с провайдером
сделайте себе NAT (документация гуглится по "rusty three line
masquerading guide"), по вкусу -- proxy (пакет squid); его надо
не забыть НЕ выпускать наружу (см. acl в /etc/squid/squid.conf
и/или файрвол, лучше вместе).

Моя дежурная болванка правил firewall/NAT
(/etc/sysconfig/iptables, соответственно service iptables) --
attached.  См. тж. man iptables.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #1.2: iptables --]
[-- Type: text/plain, Size: 2006 bytes --]

# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A PREROUTING -d _REAL_IP -i eth0 -p tcp -m tcp --dport _EXT_PORT -j DNAT --to-destination _INT_HOST:_INT_PORT
-A POSTROUTING -s 10.0.1.0/24 -d ! 10.0.1.0/24 -j SNAT --to-source _REAL_IP
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
COMMIT
# Completed on Thu Nov 21 21:15:39 2002
# Generated by iptables-save v1.2.6a on Thu Nov 21 21:15:39 2002
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:eth1-in - [0:0]
:eth1-out - [0:0]
:tcprules - [0:0]
-A INPUT -i eth1 -j eth1-in
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -s 10.0.1.0/24 -d 10.0.1.1 -i eth0 -j ACCEPT
-A INPUT -s 10.0.1.0/24 -d _REAL_IP -i eth0 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 25 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 110 -j ACCEPT
-A INPUT -d _REAL_IP -i eth0 -p tcp -m tcp --dport 113 -j REJECT --reject-with tcp-reset
-A INPUT -j tcprules
# block :25 to world (only through 10.0.1.1:25)
-A FORWARD -s 10.0.1.0/24 -p tcp -m tcp --dport 25 -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j tcprules
-A OUTPUT -o eth1 -j eth1-out
-A eth1-in -j RETURN
-A eth1-out -j RETURN
-A tcprules -i eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcprules -i ! eth1 -m state --state NEW -j ACCEPT
-A tcprules -i eth1 -m state --state INVALID,NEW -j DROP
-A tcprules -i eth1 -j REJECT --reject-with icmp-host-unreachable
COMMIT
# Completed on Thu Nov 21 21:15:39 2002

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] шлюз в корпоротивной сети

[Jury Levykin]

Игорь пишет:

>Здравствуйте, Все.
>Пожалуйста, помогите, я только начал постигать Линукс.
>Мне надо срочно настроить шлюз, клиенты windows 2000/XP.
>соединение с провайдерор через VPN.
>Плиз, не отсавляйте новичка, буду благодарен если подскажете
>где можно налопатить полезной информации для новичка.
>заранее благодарен.
>  
>
Если сеть на внутренних IP типа 192.168.xxx.xxx
то нужно NAT настраивать с помощью iptables.

Простейший вариан делается одной командой.

Напишите подробнее, что вам нужно.

Re[2]: [Comm] шлюз в корпоротивной сети

[Игорь]

JL> Если сеть на внутренних IP типа 192.168.xxx.xxx
JL> то нужно NAT настраивать с помощью iptables.

JL> Простейший вариан делается одной командой.

JL> Напишите подробнее, что вам нужно.


Есть сеть, 10 машин, на внутенних IP типа 192.168.xxx.xxx
Есть провайдер который дает доступ по VPN.
задача:
1. Настроить шлюз.
2. Настроить почтовый сервер.
3. Настроить FTP сервер.
4. Настроить WWW сервер.
(все это на одной машине)
в планах на днях получить внешний IP
дистр. AltLinux Master 2.2

Большое спасибо за участие, повторяю я новичек,
т.ч. по возможности проявите терпение, плиз.


-- 
С уважением,
 Игорь                          mailto:egorosh@inbox.ru

[Comm] Re: шлюз в корпоротивной сети

[Michael Shigorin]

On Wed, Aug 18, 2004 at 06:00:44PM +0900, Игорь wrote:
> Большое спасибо за участие, повторяю я новичек,
> т.ч. по возможности проявите терпение, плиз.

А пройдитесь пока по opennet.ru, там замечательные статьи
водятся.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] шлюз в корпоротивной сети

[Jury Levykin]

Игорь пишет:

>Есть сеть, 10 машин, на внутенних IP типа 192.168.xxx.xxx
>Есть провайдер который дает доступ по VPN.
>задача:
>1. Настроить шлюз.
>2. Настроить почтовый сервер.
>3. Настроить FTP сервер.
>4. Настроить WWW сервер.
>(все это на одной машине)
>в планах на днях получить внешний IP
>дистр. AltLinux Master 2.2
>
Что сейчас не получается, сервер подключен к интернету через VPN?
Если нет то читайте "Руководство администратора" из комплекта ALM 2.2
там подробно описано как это сделать.

У шлюза два интерфейса или один c внутренним IP ?

Re[2]: [Comm] шлюз в корпоротивной сети

[Игорь]

Здравствуйте, Jury Levykin.

Вы писали 18 августа 2004 г., 18:36:26:


JL> Что сейчас не получается, сервер подключен к интернету через VPN?
JL> Если нет то читайте "Руководство администратора" из комплекта ALM 2.2
JL> там подробно описано как это сделать.

JL> У шлюза два интерфейса или один c внутренним IP ?

Кароче ситуация такая, я только установил на машину Linux, и почти все
пакеты, (наверное зря, просто не знал, что мне понадобиться а что нет)
В сети есть машина с W2k которая является шлюзом и подключена на тот
самый VPN. Мне нужно все это дело перекинуть на Linux.
На машину я воткнул 2 интерфейса.
Ща буду читать "Руководство администратора" может разберусь :)
Спасибо за помощь.

-- 
С уважением,
 Игорь                          mailto:egorosh@inbox.ru

Re: [Comm] Re: шлюз в корпоротивной сети

[Игорь]

Здравствуйте, Michael.

Вы писали 18 августа 2004 г., 17:38:07:

MS> ...

MS> Моя дежурная болванка правил firewall/NAT
MS> (/etc/sysconfig/iptables, соответственно service iptables) --
MS> attached.  См. тж. man iptables.

Спасибо, Михаил, за помощь, честно сказать мне трудно
дается ваша терменалогия, надеюсь что скоро она станет
и моей.
Постараюсь понять что вы мне написали :).


-- 
С уважением,
 Игорь                          mailto:egorosh@inbox.ru

[Comm] Re: шлюз в корпоротивной сети

[Michael Shigorin]

On Thu, Aug 19, 2004 at 10:07:28AM +0900, Игорь wrote:
> Спасибо, Михаил, за помощь, честно сказать мне трудно дается
> ваша терменалогия, надеюсь что скоро она станет и моей.

Вообще-то она "термИнология". :)

> Постараюсь понять что вы мне написали :).

Welcome.  Как порешаете горячие задачи -- не пытайтесь решать и
далее наскоком, лучше месяца два-три почитать книжки и поизучать
систему спокойно, чтоб потом не краснеть за сделанное, по своему
опыту говорю.

Из книжек классически рекомендуется "UNIX: руководство системного
администратора" Эви Немет сотоварищи, оно же "Красная книга".

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: шлюз в корпоротивной сети

[Mike Lykov]

В сообщении от Четверг 19 Август 2004 10:41 Michael Shigorin написал:

> > ваша терменалогия, надеюсь что скоро она станет и моей.
> Вообще-то она "термИнология". :)

Терменология - изучение изобретений Льва Сергеевича Термена?

 %)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [Comm] Re: шлюз в корпоротивной сети

[Nizamov Shavkat]

>
> Из книжек классически рекомендуется "UNIX: руководство системного
> администратора" Эви Немет сотоварищи, оно же "Красная книга".
>

а в электронном виде она существует ?

PS со своей стороны порекомендую rute

Re: [Comm] Re: шлюз в корпоротивной сети

[Myroslav M Rozum]

Привет, Михаил!

Michael Shigorin пишет:

>Welcome.  Как порешаете горячие задачи -- не пытайтесь решать и
>далее наскоком, лучше месяца два-три почитать книжки и поизучать
>систему спокойно, чтоб потом не краснеть за сделанное, по своему
>опыту говорю.
>
>  
>
Эхе-хех, оно-то лучше, но если ему толстый шеф сказал - "#!$! Шоб всё 
було через 2 недели!" то тут придется решать наскоком :(

PS - сорри, что в личку, но не для коммунити это :) а на talk-room я не 
плдписан

-- 
Best regards,
Myroslav M Rozum
e-mail: rmyroslav@mail.ru
ICQ UIN: 143704188
JID: mirik@jabber.ru
YahooID: myroslav_rozum

Re: [Comm] шлюз в корпоротивной сети

[Jury Levykin]

Игорь пишет:

>Здравствуйте, Jury Levykin.
>
>Вы писали 18 августа 2004 г., 18:36:26:
>
>
>JL> Что сейчас не получается, сервер подключен к интернету через VPN?
>JL> Если нет то читайте "Руководство администратора" из комплекта ALM 2.2
>JL> там подробно описано как это сделать.
>
>JL> У шлюза два интерфейса или один c внутренним IP ?
>
>Кароче ситуация такая, я только установил на машину Linux, и почти все
>пакеты, (наверное зря, просто не знал, что мне понадобиться а что нет)
>  
>
Зря !! Гораздо лучше поставить минимум всего и инсталлировать пакеты
при возникновении в них необходимости. X на сервер лучше всего вообще
не ставить. Сервер будет более легким и меньше возможных дырок в безопасности.
Если сервер пока не рабочий можно попробовать и переставить систему :)

>В сети есть машина с W2k которая является шлюзом и подключена на тот
>самый VPN. Мне нужно все это дело перекинуть на Linux.
>На машину я воткнул 2 интерфейса.
>Ща буду читать "Руководство администратора" может разберусь :)
>Спасибо за помощь.
>  
>
Если W2k на VPN-е наверно она не имеет внешнего IP.
поэтотму подключение через VPN по pptp пригодиться в случае без внешнего IP.

А когда будет внешний IP на одном интерфейсе, а внутренний на другом
NAT можно сделать одной командой:
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

только здесь MASQUERADE - по моему не лучший выбор есть параметр
( SNAT / DNAT ) - меня должны поправить.

Но приведенная команда точно работает и вполне надежно.

Re: [Comm] шлюз в корпоротивной сети

[Nizamov Shavkat]

> Зря !! Гораздо лучше поставить минимум всего и инсталлировать пакеты
> при возникновении в них необходимости. X на сервер лучше всего вообще
> не ставить. Сервер будет более легким и меньше возможных дырок в
> безопасности.
> Если сервер пока не рабочий можно попробовать и переставить систему :)

зачем же так кардинально ? можно просто попользовать aptitude и снести все
что не нужно


> А когда будет внешний IP на одном интерфейсе, а внутренний на другом
> NAT можно сделать одной командой:
> /sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
>
> только здесь MASQUERADE - по моему не лучший выбор есть параметр
> ( SNAT / DNAT ) - меня должны поправить.

SNAT

Re: [Comm] шлюз в корпоротивной сети

[Jury Levykin]

Nizamov Shavkat пишет:

>>Зря !! Гораздо лучше поставить минимум всего и инсталлировать пакеты
>>при возникновении в них необходимости. X на сервер лучше всего вообще
>>не ставить. Сервер будет более легким и меньше возможных дырок в
>>безопасности.
>>Если сервер пока не рабочий можно попробовать и переставить систему :)
>>    
>>
>
>зачем же так кардинально ? можно просто попользовать aptitude и снести все
>что не нужно
>  
>
Для этого нужно знать, что не нужно.

Re: [Comm][JT] Re: шлюз в корпоротивной сети

[Andrey Rahmatullin]

[-- Attachment #1: Type: text/plain, Size: 315 bytes --]

On Thu, Aug 19, 2004 at 10:11:32AM +0300, Myroslav M Rozum wrote:
>PS - сорри, что в личку
Ню-ню.

-- 
WBR, wRAR (ALT Linux Team)
Powered by the ALT Linux fortune(8):

[...] я не верю, что те, у кого серверы на Sisyphus, сделали
это нечаянно.  Иногда это взвешенный и оцененный риск.
		-- mike in devel@

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [Comm] Re: шлюз в корпоротивной сети

[Jury Levykin]

Игорь пишет:

>Постараюсь понять что вы мне написали :).
>  
>
Мне помогла вот эта книжка:
http://www.books.ru/shop/books/83881

Книга Эви Немет - только по линуксу:
http://www.books.ru/shop/books/82348
еще у нее есть классическая книга по UNIX,
которую порекомендовал Михаил Шигорин.

кажется вот эти тоже хорошие:
http://www.books.ru/shop/books/160358
http://www.books.ru/shop/books/156124

Re: [Comm][JT] Re: шлюз в корпоротивной сети

[Myroslav M Rozum]

Andrey Rahmatullin пишет:

> Ню-ню.

промазал.

-- 
Best regards,
Myroslav M Rozum
e-mail: rmyroslav@mail.ru
ICQ UIN: 143704188
JID: mirik@jabber.ru
YahooID: myroslav_rozum

[Comm] Re: шлюз в корпоротивной сети

[Michael Shigorin]

On Thu, Aug 19, 2004 at 12:00:12PM +0500, Nizamov Shavkat wrote:
> > Из книжек классически рекомендуется "UNIX: руководство
> > системного администратора" Эви Немет сотоварищи, оно же
> > "Красная книга".
> а в электронном виде она существует ?

Понятия не имею.  Наверное...

> PS со своей стороны порекомендую rute

rute.sf.net?  Угу, тот еще труд.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[Comm] Re: шлюз в корпоротивной сети

[Michael Shigorin]

On Thu, Aug 19, 2004 at 11:38:52AM +0400, Jury Levykin wrote:
> только здесь MASQUERADE - по моему не лучший выбор есть
> параметр ( SNAT / DNAT ) - меня должны поправить.

Ну, MASQUERADE не надо указывать, на какой IP маскарадить, но и
сессии обрывов внешнего линка при этом не переживают AFAIR.

SNAT хорош при строго постоянном адресе, а также когда надо
использовать не просто маскарад под один IP, а именно network
address translation -- e.g. 1000 хостов за 8 IP упрятать.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] шлюз в корпоротивной сети

[Michael Shigorin]

On Thu, Aug 19, 2004 at 12:42:56PM +0500, Nizamov Shavkat wrote:
> > Если сервер пока не рабочий можно попробовать и переставить
> > систему :)
> зачем же так кардинально ? можно просто попользовать aptitude и
> снести все что не нужно

*.rpmsave / *.rpmorig кучка останется, плюс левые
псевдопользователи, плюс еще чего нагенерено в %post[un]...

Да и перед переустановкой полезно почитать Partition-HOWTO,
способствует сохранности волос при прочтении _после_
переразбивки.  :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Comm] Re: шлюз в корпоротивной сети

[Игорь]

MS> Из книжек классически рекомендуется "UNIX: руководство системного
MS> администратора" Эви Немет сотоварищи, оно же "Красная книга".

Привет всем, нарыл книгу "Руководство системного администратора",
Ура, буду изучать. Только вот вопрос, в книге написано, что там
рассматриваеться шесть ОП.
Среди них нет Linux, это ничего???

-- 
С уважением,
 Игорь                          mailto:egorosh@inbox.ru

Re: [Comm] Re: шлюз в корпоротивной сети

[Alexey Morsov]

Игорь wrote:
> MS> Из книжек классически рекомендуется "UNIX: руководство системного
> MS> администратора" Эви Немет сотоварищи, оно же "Красная книга".
> 
> Привет всем, нарыл книгу "Руководство системного администратора",
> Ура, буду изучать. Только вот вопрос, в книге написано, что там
> рассматриваеться шесть ОП.
> Среди них нет Linux, это ничего???
до известной степени ничего - unix-овые вещи похожи - в 
принципиальном плане... но вообще я где-то в инете видел именно 
РСА Linux
Может даже в Lib.ru


-- 
Всего наилучшего,
Системный Администратор ЗАО "ИК "РИКОМ-ТРАСТ"
Алексей Морсов
ICQ: 196766290
Jabber: Samurai@jabber.ru
http://www.ricom.ru
http://www.fondmarket.ru

Re[2]: [Comm] Re: шлюз в корпоротивной сети

[Игорь]

AM> до известной степени ничего - unix-овые вещи похожи - в 
AM> принципиальном плане... но вообще я где-то в инете видел именно 
AM> РСА Linux
AM> Может даже в Lib.ru


да в Lib.ru есть пару книг, спасибо.


-- 
С уважением,
 Игорь                          mailto:egorosh@inbox.ru

[Comm] Re: шлюз в корпоротивной сети

[Michael Shigorin]

On Fri, Aug 20, 2004 at 04:31:16PM +0900, Игорь wrote:
> рассматриваеться шесть ОП.  Среди них нет Linux, это ничего???

Абсолютно нормально.  Почитаете, как люди раньше жили, потом и
дышать веселее будет, подмечая, как в Linux то и то сделано
удобнее... ну, иногда, порой, мелочами, и нет. :)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/