Оригинал материала: https://3dnews.ru./617864

Знакомство с Ideco ICS

В нашей рубрике мы уже знакомились с практически готовыми решениями для поднятия небольшого сервера для SOHO-сегмента (см. трилогию о Zentyal). Ну а в этот раз мы представим вам отечественную разработку — интернет-шлюз Ideco Internet Control Server.

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.

В отличие от того же Zentyal это сугубо коммерческий продукт, в котором в идеальном случае всё работает «из коробки», но нет практически никакой возможности лёгкого расширения функциональности. Например, поддержки DDNS как не было, так до сих пор и нет. К тому же есть ряд ограничений по поддерживаемому оборудованию. Впрочем, даже встроенных возможностей вполне хватит для организации небольшой сети, а простота установки и настройки с лихвой перекрывает почти все недостатки продукта. Мы рассмотрим установку и базовую настройку бесплатной версии Ideco ICS. Есть две разновидности «халявной» лицензии. Одна подходит для малого бизнеса и позволяет обслуживать до пяти пользователей. Вторая предназначена для домашнего использования не более чем десятью пользователями. Расчёт, в общем-то, прост — если продукт понравился, то за дополнительные лицензии и некоторые возможности (антивирусы и так далее) придётся доплачивать.

#Установка

Нам понадобится компьютер с двумя сетевыми интерфейсами, минимум 256 Мбайт RAM, процессором с частотой от 800 МГц и жёстким диском хотя бы на 20 Гбайт, а также оптическим приводом. Список совместимого оборудования можно посмотреть здесь. Затем надо будет скачать ISO-образ дистрибутива и записать его на болванку. Осталось выставить в BIOS загрузку с CD-ROM и перезагрузиться. Процесс установки Ideco ICS предельно прост — в меню загрузчика набираем setup и жмём Enter. Если после загрузки ядра ПК завис или вывел какую-либо ошибку, то можно попробовать выбрать другое ядро (клавиша F1) либо ещё раз проверить, подходит ли ваше оборудование и настройки BIOS (в частности, для SATA-дисков надо выставить режим совместимости).

Дальнейшее участие пользователя в установке сведено к минимуму — надо будет лишь выбрать одну из сетевых карт в качестве интерфейса для локальной сети и её адресацию. Обратите внимание, что при установке жёсткий диск переразбивается, то есть все данные на нём будут потёрты. Процесс установки вряд ли займёт больше 15-20 минут. После этого свежесозданный сервер потребует перезагрузки, а перед этим покажет логин и пароль администратора для входа в систему. По умолчанию это Administrator и servicemode.

Затем к локальному сетевому интерфейсу надо подключить любой другой ПК, в настройках сети которого прописать вручную IP-адрес из выбранной на этапе установки подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).

#Первоначальная настройка

Открываем в браузере адрес https://IP-сервера/ (в нашем примере это будет https://192.168.0.1/) и попадаем в панель управления сервером. (Порядочный браузер, конечно же, ругнётся на неверный SSL-сертификат, но это не страшно.) Авторизуемся с дефолтными логином и паролем и попадаем в мастер базовой настройки Ideco ICS. Здесь нам надо указать имя сервера (любое), выбрать часовой пояс и при необходимости поменять настройки локального сетевого интерфейса. На следующем этапе предлагается настроить подключение к интернет-провайдеру. Ideco ICS поддерживает ручное указание всех параметров сети, получение оных по DHCP, а также подключение через PPTP или PPPoE. Затем надо указать параметры подключения администратора. E-Mail лучше указывать реальный — туда будут сыпаться уведомления и отчёты о работе сервера. Для простоты можно оставить авторизацию по IP. Если не указывать никакой IP-адрес, то подключение к веб-консоли будет возможно с любого локального ПК. Пароль же рекомендуется поменять на свой.

Следующий этап — настройка параметров безопасности. Здесь рекомендуется включить автоматическое обновление и отменить блокировку сканеров портов. Учтите, что антивирусное сканирование и спам-фильтр от Касперского будут бесплатно работать только в течение 30 дней. Да и вообще, первые 30 дней Ideco ICS работает в триальном режиме, а затем часть необязательных для домашних пользователей функций будет отключена. После выбора параметров безопасности нам предложат добавить пользователей. Указываем любое имя для пользовательской группы по умолчанию и выбираем тип авторизации. В нашей маленькой сети достаточно будет авторизации по IP-адресу или связке IP+MAC. Для упрощения настройки можно включить все локальные ПК, вручную прописать на них статические IP-адреса (для 5-10 машин это не так уж долго), а затем просто просканировать сеть — Ideco ICS автоматически найдёт их и сделает все настройки.

Если есть желание, то можно включить встроенный DHCP-сервер. Например, можно прописать вручную IP-адреса у пяти машин, а остальные пять раздавать по DHCP для гостевых устройств, смартфонов и так далее. Настройку почтового сервера мы оставим в стороне, так как для домашних пользователей это не очень актуально, а так называемый малый бизнес вполне может обойтись бесплатными почтовыми сервисами. Прокси-сервер желательно включить, а заодно сделать его прозрачным и скрывать его наличие.

Если вы включили прокси, то можно задать и антивирусное сканирование сетевого трафика на лету. Для нас подойдёт бесплатный антивирус ClamAV — стопроцентной защиты он не даёт (как и все подобные продукты), но от распространённой заразы защитит. Наконец, на последнем этапе ещё раз проверяем все введённые настройки, сохраняем их и ждём перезагрузки сервера.

После перезагрузки снова авторизуемся под аккаунтом администратора и попадаем в веб-интерфейс консоли управления. В разделе «О программе» можно сразу же зарегистрировать свою копию Ideco.

#Базовая настройка

Ideco ICS вырос, по сути, из биллинговой системы, поэтому логика работы поначалу может быть не совсем привычна тем, кто знаком с домашними роутерами или различными дистрибутивами для подобных задач. Одни из основных элементов интернет-шлюза — это профили (в девичестве тарифы), пулы IP-адресов и сетей. Пулы адресов — это наборы подсетей, из которых будут выдаваться IP-адреса клиентам. Правила также включают в себя наборы подсетей, но служат для своего рода разделения типа трафика. Наконец, профили нужны для тарификации данных и ограничения скорости. В нашем примере помимо основного профиля мы добавили ещё один, с лимитом скорости. На основе этих же правил можно задать, например, и ограничения по объёму трафика.

В разделе «Пользователи» можно управлять группами и пользователями. Все пользователи, добавленные в ту или иную группу, по умолчанию наследуют все её параметры. Если вы решили добавить ещё одного клиента, то просто скопируйте все основные настройки из уже имеющихся. Естественно, надо поменять IP-адрес, MAC-адрес (если нужно) и задать прочие параметры. После добавления надо нажать на иконку со значком i, чтобы проверить правильность настроек. По клику на значок с ключами задаётся пользовательский пароль. Кстати, по умолчанию уже добавлено несколько групп пользователей — их лучше всего удалить, нажав на значок корзины в меню слева.

Чтобы трафик не «считался», укажите нулевую цену за мегабайт в профилях, а также отключите предупреждения об остатке и пороге отключения в свойствах группы пользователей.

В Ideco ICS есть довольно развесистая система фильтрации трафика. Настраивается она в разделе «Безопасность». Первым делом меняем параметры антивируса ClamAV — включаем автоматическое обновление баз, выбираем типы проверяемых объектов и их максимальный объём. Затем займёмся настройкой системного файрволла. Тут, в общем, всё не так уж сложно. Для начала создаём или редактируем группу правил для более удобного управления ими. Затем наполняем группу нужными правилами. Здесь довольно много опций — ограничение скорости, запрет/разрешение доступа, проброс портов и так далее. Статические маршруты прописываются в разделе «Сервер» → «Сетевые параметры» → «Маршруты».

Можно также отредактировать группы ключевых слов (в том числе и части URL или расширения файлов), по которым будет вестись фильтрация трафика. Отдельно выделены правила для пользовательского файрволла — от системных они отличаются тем, что их можно применить к группе пользователей или к какому-то конкретному клиенту. Добавляются эти правила как раз в настройках групп.

После настройки всех нужных сетевых правил переходим в раздел «Сервер» → «Дополнительно». Здесь можно отключить проверку дисков для ускорения загрузки сервера, задействовать синхронизацию времени с NTP-сервером, настроить автоматическую очистку старых файлов статистики для экономии места на диске, а также добавить в раздел «Полезные файлы» дистрибутивы каких-нибудь программ, документы, ссылки и так далее.

Эти самые полезные файлы будут показываться на заглавной странице веб-интерфейса Ideco ICS. Там же любой из обычных пользователей может авторизоваться и посмотреть, например, свою статистику потребления трафика.

Более подробную статистику, да и вообще информацию о том, что происходит с сервером и пользователями, можно в реальном времени посмотреть в разделе «Монитор».

Если вам не нужны некоторые сервисы, то их можно отключить на вкладке. Среди первых кандидатов на вылет PPTP/PPPoE-сервера, Jabber, SNMP/MRTG, неиспользуемые варианты авторизации, встроенные почта и веб-сервер, ну и так далее. Впрочем, часть из них может оказаться полезной. Например, FTP- или PPTP-сервер. Если провайдер предоставляет вам статический внешний IP-адрес (напоминаем, что DDNS нет), можно организовать удалённое подключение к локальной сети из Интернета. Для этого у нужных пользователей надо установить галочку «Разрешить VPN из Интернет», а на удалённой машине (ноутбуке чаще всего) создать новое PPTP-подключение. Мы уже рассматривали процесс его создания в данной статье. Конечно, в качестве адреса сервера надо указать наш внешний IP-адрес Ideco ICS и не забыть отключить в настройках соединения вход в домен, а также требование обязательного шифрования MPPE.

Дальнейшее «допиливание» интернет-шлюза под свои нужды можно сделать уже самостоятельно, внимательно изучив прилагаемую к дистрибутиву документацию. Благо большинство опций там расписано достаточно подробно. Обратите внимание также на то, что часть настроек доступна только из локальной консоли сервера. Оттуда, например, можно произвести ручное обновление компонентов Ideco ICS с перезагрузкой сервера. Пароль для входа тот же, что и для аккаунта администратора. На этом всё. Удачной вам настройки!

Напоследок — маленький тизер. В следующий раз мы познакомимся с ещё одним отечественным программным интернет-шлюзом с удивительно похожим на Ideco ICS названием, но построенным на базе FreeBSD, а не Linux.



Оригинал материала: https://3dnews.ru./617864