Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 80
Текст из файла (страница 80)
Для этого строку:$proxy= "proxy.your-domain";замените на:$proxy= "bastion.und";а строку:$proxymaster = "operator\@your-domain";замените на:$proxymaster = "administrator\@domain.ru";ЗАМЕЧАНИЕ Использование скрипта squidGuard.cgi имеет смысл только на этапе отладки вновьустановленного шлюза. Выдаваемые им сообщения о причинах отказа в доступе к Web- ресурсам могут бытьиспользованы для корректировки фильтров. После отладки, с целью сокращения загрузки Web-сервера, переадресацию лучше осуществлять на статическую html-страницу информационно-воспитательного содержания.Запуск и тестирование SquidGuardШаг 1Перезапустите Squid:[root@bastion /]# /etc/init.d/squid restartОстанавливается squid:[ОК]Запускается squid:[ОК]Шаг 2Проверьте доступность URL, на который осуществляется переадресация.Шаг 3Проверьте доступность Web-ресурсов, обычно используемых пользователями вашей локальной сети.Шаг 4347Глава 25.
SquidGuard – программное обеспечение для настройки SquidПроверьте недоступность блокируемых Web-ресурсов, наиболее популярных среди пользователейвашей сети.Шаг 5В случае необходимости проведите соответствующую корректировку фильтров, после чего перейдитек шагу 1.Оптимизация SquidGuardКаждый раз при обработке запроса к внешним Web-ресурсам из локальной сети SquidGuard долженпросматривать достаточно большое количество текстовых файлов. Если процесс настройки фильтров на вашей системе завершен, то имеет смысл преобразовать текстовые файлы в файлы баз данных, что позволитповысить производительность шлюза.Шаг 1Преобразуйте текстовые файлы в файлы баз данных:[root@bastion /]# cd /var/spool/squid/squidGuard[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –C[root@bastion squidGuard]# /usr/bin/squidGuard –Cads/domainsads/urlsaggressive/domainsaggressive/urlsaudio-video/domainsaudio-video/urlsdrugs/domainsdrugs/urlsgambling/domainsgambling/urlshacking/domainshacking/urlsmail/domainsporn/domainsporn/urlsproxy/domainsproxy/urlsviolence/domainsviolence/urlswarez/domainswarez/urlsЗАМЕЧАНИЕ Файл /var/spool/squid/squidGuard/expressions не может быть преобразован вфайл баз данных.Шаг 2Отредактируйте файл /etc/squid/squidGuard:#Path declarations#Укажите путь к корневому каталогу с фильтрами.dbhome /var/spool/squid/squidGuard#Укажите путь к корневому каталогу с файлами регистрации.logdir /var/log/squid/squidGuard#Time space declarations#В данном примере доступ разрешен по рабочим дням с 09:00 до 18:15time workhours {weekly mtwhf 09:00 - 19:15}#Source group declarations# Описание локальной сети.src internal {ip192.168.1.1/24}#Destination group declarations#Описание ресурсов доступ, к которым запрещен.dest ads {domainlistads/domains.db348Часть 6.
Программное обеспечение для организации шлюзаurllistads/urls.db}dest aggressive {domainlistaggressive/domains.dburllistaggressive/urls.db}dest audio-video {domainlistaudio-video/domains.dburllistaudio-video/urls.db}dest drugs {domainlistdrugs/domains.dburllistdrugs/urls.db}dest gambling {domainlistgambling/domains.dburllistgambling/urls.db}dest hacking {domainlisthacking/domains.dburllisthacking/urls.db}dest mail {domainlistmail/domains.db}dest porn {domainlistporn/domains.dburllistporn/urls.dbexpressionlist porn/expressions}dest proxy {domainlistproxy/domains.dburllistproxy/urls.db}dest violence {domainlistviolence/domains.dburllistviolence/urls.db}dest varez {domainlistwarez/domains.dburllistwarez/urls.db}#Rewrite rule group declarations#Авторы не рекомендуют использовать этот раздел.#Access Control Lists#Списки контроля доступа (ACCESS CONTROL LISTS)##Разрешите доступ со всех машин в локальной сети#в рабочие дни и рабочее время#ко всем ресурсам, кроме перечисленных в фильтре.acl {internal within workhours {pass !ads !aggressive !audio-video !drugs !gambling!hacking !mail !porn !proxy !violence !warezall}#Запрет и переадресация всех остальных запросов.default {passnoneredirect redirect http://bastion.und/cgibin/squidGuard.cgi?clientaddr=%a&clientname=%n&clientuser=%i&clientgroup=%s&targetgroup=%t&url=%uГлава 25.
SquidGuard – программное обеспечение для настройки Squid349}}Шаг 3Протестируйте работоспособность SquidGuard в соответствии с вышеприведенными рекомендациями.350Часть 6. Программное обеспечение для организации шлюзаГлава 26Виртуальные частные сети, VPNВ этой главе:1. VPN-cервер FreeS/WAN2. Ограничения и допущения3.
Пакеты4. Компиляция, оптимизация и инсталляция FreeS/WAN5. Конфигурирование FreeS/WAN6. Тестирование FreeS/WAN7. Подключение к MS WINDOWS NT VPN-серверу c помощью PPTP-клиента8. Ограничения и допущения9. Пакеты10. Инсталляция MPPE и PPTP-клиента11. Конфигурирование PPTP-клиента12. Тестирование подключения к MS WINDOWS NT VPN-серверу c помощью PPTP-клиентаГлава 26.
Виртуальные частные сети, VPN351Виртуальные частные сети (Virtual Private Network) – по своей сути довольно широкий термин, не определяющий определенного типа сетей или протоколов, но вцелом, предполагающий использование «туннельной» пересылки конфиденциальных данных по сетям общего пользования.
В настоящей главе рассмотрены два метода формирования туннелей:• по протоколу IPSec (Internet Protocol Security);• и достаточно уязвимый и устаревший протокол PPTP (Point-To-Point Tunneling Protocol), по непонятным для авторов причинам широко используемый провайдерами для предоставления доступа в Интернетчерез так называемые широкополосные сети.Протокол IPSec, реализованный в рамках проекта FreeS/WAN, обычно используют для объединенияфрагментов корпоративных сетей с помощью сетей общего пользования.
При этом данные, передаваемые изодной сети в другую, инкапсулируются в пакеты другого типа, шифруются исходящим шлюзом при передаче через сети общего пользования и преобразуются в исходный вид принимающим шлюзом. В настоящеевремя нет достоверной информации о безопасности этого протокола.Уязвимость протокола PPTP в реализации Microsoft, используемого провайдерами для передачи посетям общего пользования информации от шлюза в Интернет к своим клиентам, описана в работах БрюсаШнейера (Bruce Shneier) и Петера Муджа (Peter Mudge), опубликованных на http://www phrack.com.Учитывая типичность ситуации, когда в качестве шлюза в Интернет используется VPN-сервер на базе MSWindows NT, и единственной возможностью подключить Linux-систему является использование PPTP, вэтой главе также рассматривается установка и конфигурирование пакетов Microsoft Point-To-PointEncryption и PPTP Client, реализующих такое соединение.ЗАМЕЧАНИЕ В случае, если ваши учетные данные при подключении по протоколу PPTP к MS WindowsNT VPN-серверу провайдера будут использованы злоумышленниками, а счет за услуги будет выставлен вам,всегда можно грамотно предъявить претензии своему провайдеру, сославшись на широко известную уязвимость этого протокола в реализации Microsoft.VPN-cервер FreeS/WANFreeS/WAN – очень специфичный программный продукт, исходные коды которого состоят из двухчастей – патча для исходных кодов ядра и файлов, устанавливаемых на системе обычным образом.
Обновления кода ядра выходят гораздо чаще, чем обновления кодов FreeS/WAN, поэтому не все версии ядер иFreeS/WAN совместимы. Сведения о совместимости различных версий ядра и FreeS/WAN могут быть получены с http://www.freeswan.ca/download.php#contact, кроме того, авторы протестировали работоспособность FreeS/WAN версии 1.99 с версиями ядер 2.4.18 и 2.4.19, исходные коды которых были модифицированы патчем Grsecurity.FreeS/WAN использует три протокола:• протокол аутентификации (Authentication Header, AH);• протокол шифрования (Encapsulation Security Payload, ESP);• протокол обмена ключами (Internet Key Exchange, IKE).Функции по поддержанию защищенного канала распределяются между этими протоколами следующим образом:• протокол AH используется для контроля целостности и проверки подлинности данных;• протокол ESP предназначен для шифрования данных, но он может также контролировать аутентификацию и целостность данных;• протокол IKE предназначен для автоматического предоставления конечным точкам канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.Ядро IPSec – KLIPS (Kernel IPSec) реализует протоколы AH и ESP и взаимодействие пакетов с ядром.Демон pluto реализует через протокол IKE взаимодействие с другими системами.Схема типового варианта построения виртуальной частной сети, объединяющей локальные сети двухофисов с использованием сетей общего пользования, представлена на рис.26.1.Ограничения и допущенияИсходные коды находятся в каталоге /usr/src.Все операции выполняются пользователем с учетной записью root.Используется дистрибутив ASPLinux 7.3 (Vostok).Используется ядро версии 2.4.18 или 2.4.19, собранное из исходных кодов в соответствии с рекомендациями главы 6.
К исходным кодам ядер возможно применение патча Grsecurity.Требуется перекомпиляция ядра.Процедуры, описанные в этой главе, могут оказаться применимыми для других версий ядра и дистрибутивов Linux, но авторы это не проверяли.352Часть 6. Программное обеспечение для организации шлюзаЛокальная сеть 192.168.1.0/24Офис в г. МосквеКонцентраторVPN-серверeth1 IP 192.168.1.35eth0 IP 212.45.28.123Роутер212.111.78.1ИнтернетРоутер62.117.82.145Офис в г. ЮбилейномVPN-серверeth0 IP 212.111.80.21eth1 IP 192.168.1.105Локальная сеть 192.168.1.0/24КонцентраторРис. 26.1. Схема типового варианта построения виртуальной частной сети.Глава 26.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
