Сегодня 25 декабря 2024
18+
MWC 2018 2018 Computex IFA 2018
реклама
Мастерская

«Интернет Контроль Сервер», или При чём здесь «Звёздные войны»

⇣ Содержание

Напоминаем, что попытки повторить действия автора могут привести к потере гарантии на оборудование и даже к выходу его из строя. Материал приведен исключительно в ознакомительных целях. Если же вы собираетесь воспроизводить действия, описанные ниже, настоятельно советуем внимательно прочитать статью до конца хотя бы один раз. Редакция 3DNews не несет никакой ответственности за любые возможные последствия.

«Интернет Контроль Сервер» (калька с английского?) обладает ровно теми же достоинствами и недостатками, что и рассмотренный ранее Ideco ICS, — простота установки и лёгкость настройки на пару с невозможностью расширения функциональности. Конечно, за определённую сумму вам добавят недостающие опции, а маститые профессионалы и самостоятельно могут влезть внутрь системы. Обычным же пользователям, для которых вся работа шайтан-машины сводится к описанию «У ней внутре неонка», придётся довольствоваться тем, что есть. По возможностям ИКС очень близок к Ideco ICS и, судя по всему, в back-end у них крутятся одни и те же демоны. Правда, ИКС построен на базе FreeBSD, а не Linux, что может выйти боком — в обеих системах довольно туго с драйверами для некоторого оборудования. Список совместимых устройств совпадает с таковым для восьмой ветки FreeBSD. Естественно, в будущем сервере должно быть хотя бы два сетевых интерфейса, жёсткий диск от 40 Гбайт (можно и меньше, в зависимости от ваших задач) и оптический привод.

#Установка

Мы рассмотрим бесплатную Lite-версию ИКС — она обеспечивает ровно те же возможности, что и полная версия продукта, но только для восьми пользователей. В течение 35 дней доступна демоверсия без каких-либо ограничений.

Скачайте ISO-образ системы, запишите его на болванку, выставьте в BIOS загрузку с оптического привода и приступайте к установке. Процесс инсталляции разработчики максимально упростили. Выбираем язык установщика, указываем сетевой интерфейс, который будет локальным (если не знаете какой, то выбирайте любой), и вводим параметры локальной сети. Если в списке сетевых адаптеров у вас отображается только один или вообще ничего не показывается, то стоит попробовать перезагрузить ПК и ещё раз запустить инсталлятор. Если же и в этом случае в списке не появилось второго адаптера, то, скорее всего, либо он не включен, либо несовместим.

В конце нас попросят ввести имя хоста в формате FQDN.

Затем надо выбрать жёсткий диск, куда будет установлен ИКС, выставить время и часовой пояс, а затем дождаться окончания базовой установки системы. После перезагрузки начнётся установка модулей ИКС, которая займёт ещё некоторое время. Суммарно на инсталляцию уйдёт не более получаса. В самом конце установщик сообщит адрес веб-интерфейса ИКС, а также логин и пароль администратора, которые по умолчанию равны root и 00000 (пять нолей). Не забудьте нажать в этом «окне» кнопку ОК, иначе необходимые сервисы не запустятся.

Затем к локальному сетевому интерфейсу надо подключить другой компьютер и в настройках сети вручную указать IP-адрес из выбранной во время инсталляции подсети. В нашем примере это была подсеть 192.168.0.0 с маской 255.255.255.0 (24).

#Настройка

Итак, авторизуемся с логином и паролем администратора. Как обычно, предлагается произвести базовую настройку системы с помощью специального мастера, заполнив перед этим карточку с данными о вашей организации и запросив лицензию на Lite-версию. Если мастер не запустился или вы потом ещё раз захотите всё перенастроить, то его можно запустить из раздела «Обслуживание» → «Система». В мастере крайне рекомендуется поменять пароль администратора и заполнить или изменить остальные параметры по своему усмотрению.

Следующим нашим шагом будет настройка сетевых интерфейсов и подключение к интернет-провайдеру. Поддерживаются и столь любимые нашими операторами PPTP/PPPoE. Также можно настроить подключение сразу к нескольким провайдерам в различных вариациях. Ещё одна приятная фишка — использование сторонних DNS-сервисов, а значит и дополнительный уровень надёжности и/или фильтрации и защиты. Имеется и поддержка DDNS-сервисов dyndns и no-ip. Чтобы включить её, после завершения работы мастера в подразделе «Провайдеры и сети» надо выбрать нужного провайдера и кликнуть на «Подробнее». Для локального интерфейса лучше всего включить DHCP-сервер. После окончания настройки убедитесь, что запущен межсетевой экран. К нему мы ещё вернёмся.

Теперь займёмся группами пользователей в разделе «Пользователи и статистика». Первым делом нам надо создать новую группу. Проще всего кликнуть на иконку волшебной палочки в верхней строке для запуска мастера. Для группы нам надо выделить набор IP-адресов из локальной подсети. Не забываем, что у нас ограничение всего в восемь клиентских машин.

После создания группы выберите её в списке и снова запустите мастер, на этот раз для добавления пользователя. Выберите для него логин и пароль, а также IP-адрес из того диапазона, который ранее мы указали для нашей группы.

С помощью логина и пароля пользователь может авторизоваться в веб-интерфейсе ИКС и, в зависимости от назначенной роли, просто посмотреть свою статистику или отредактировать параметры других пользователей. С их же помощью можно удалённо подключаться к офисной сети посредством VPN. Настройку соединения на клиентской машине мы уже рассматривали не раз. В самом ИКС в разделе «Сеть» → VPN надо запустить VPN-службы, выбрать авторизацию по логину и паролю, а также отметить галочками тех пользователей, которым будет доступно подключение к серверу.

Теперь займёмся локальной сетью. Для начала привяжем IP-адреса наших пользователей к MAC-адресам, чтобы каждый из клиентов всегда получал один и тот же IP. Делается это, например, в разделе «Сеть» → «ARP-таблица». В первый раз можно вручную прописать на каждом ПК нужный IP-адрес, подключить его к локальной сети, а затем связать IP и MAC и выставить на ПК получение параметров по DHCP. Либо просто положиться на встроенный в ИКС DHCP-сервер, который будет выдавать клиентам IP в порядке очереди.

Полезно будет включить и встроенный прокси-сервер для кеширования и фильтрации трафика. В его настройках надо включить авторизацию по логину и паролю, выбрать в порядке авторизации пункт «Только по IP» и отметить галочкой пункт «Использовать прозрачный прокси». По желанию можно изменить размер кеша на диске и включить антивирусное сканирование. В нашем случае лучше выбрать бесплатный ClamAV, а DrWeb вообще отключить.

Перейдём к самому важному — правилам доступа и всему, что с ними связано. Сами правила определяют, куда можно пользователю/группе «ходить», а куда нельзя. Правила можно объединять в наборы (профили) для упрощения работы с ними и массового применения к группам пользователей. Пользовательские правила делятся на две категории — обычные и прокси. Обычные позволяют фильтровать обращения к определённым хостам (сайтам, IP-адресам и так далее) и портам или их диапазонам. Правила прокси же работают только с HTTP(S). В самом ИКС уже встроены так называемые категории трафика — наборы определённых URL-адресов и их частей для выявления обращения к какому-либо виду контента (порно, зловреды, баннеры и так далее). Все правила позволяют задать источник (ПК, с которого идёт запрос) и время действия. Заметьте, что разрешающие правила всегда применяются перед запрещающими. В остальном порядок их добавления не играет особой роли.

Также в пользовательских правилах можно включить ограничение скорости доступа или, наоборот, выделить под какой-то конкретный ресурс определённую полосу пропускания (например, для просмотра потокового видео), добавить маршрут и выделить пользователю определённый объём доступного трафика. В общем и целом система правил только на первый взгляд кажется запутанной и сложной, но на деле она достаточно простая для понимания и при этом очень гибкая.

А теперь вернёмся к межсетевому экрану. В нём тоже есть наборы правил, которые работают с целыми сетями или отдельными узлами. Помимо стандартных разрешающих и запрещающих правил, маршрутов и ограничений скорости, экран также позволяет выставлять приоритеты для трафика и настраивать перенаправления портов. Если вы не уверены в своих действиях, то лучше межсетевой экран вообще не трогать. В нём уже есть несколько преднастроенных наборов правил по умолчанию, которые обеспечивают необходимую защиту и в то же время не мешают нормальной работе.

#Дополнительные возможности

В этом разделе мы рассмотрим некоторые приятные дополнения к основной функциональности шлюза и немного изменим часть параметров. Во-первых, в ИКС встроена удобная система создания файловых хранилищ и управления ими. В разделе, который так и называется, надо добавить папки, которые вы собираетесь расшарить, и открыть к ним доступ по FTP, SMB или HTTP. Только не забудьте распределить права доступа между пользователями.

Во-вторых, в ИКС есть, наверное, не самая хорошая с моральной точки зрения, но порой крайне полезная опция сниффинга ICQ. Попросту говоря, вы можете легко читать переписку ваших сотрудников, общающихся с помощью этого всё ещё популярного в некоторых странах протокола.

В-третьих, ИКС в удобном виде собирает разнообразную статистику практически по каждому из своих разделов, журналирует все действия, занимается постоянным мониторингом различных параметров и представляет всё это в сравнительно удобоваримом виде с возможностью генерации отчётов и их экспорта.

Чтобы всё это барахло (старые логи) не занимало лишнего места на винчестере, полезно включить автоматическую очистку в разделе «Обслуживание» → «Система». Либо же вам придётся периодически вычищать его вручную.

Также не забудьте включить автоматическое обновление ИКС и активировать резервное копирование данных и настроек.

Заключение

Дальнейшее знакомство с ИКС лучше всего начать с официальной документации. Впрочем, веб-интерфейс изобилует всевозможными всплывающими подсказками с примерами вводимых данных. В целом настройка ИКС видится чуть более простой, чем настройка Ideco ICS. Но это, конечно, субъективное мнение. Оба продукта очень похожи по возможностям. Кстати, в ИКС тоже есть консоль для изменения и просмотра некоторых параметров. Пароль по умолчанию — recovery. Непосредственно в консоли его надо поменять и, самое главное, не забыть. Удачной вам настройки!

И напоследок: так при чём здесь всё-таки «Звёздные войны»? Просто взгляните на логотип ИКС!

 
 
⇣ Содержание
Если Вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Вечерний 3DNews
Каждый будний вечер мы рассылаем сводку новостей без белиберды и рекламы. Две минуты на чтение — и вы в курсе главных событий.

window-new
Soft
Hard
Тренды 🔥
Apple хочет самостоятельно защищать свои интересы в антимонопольном расследовании против Google 3 ч.
Гладко было на бумаге: забагованное ПО AMD не позволяет раскрыть потенциал ускорителей Instinct MI300X 9 ч.
На Nintendo Switch выйдет подражатель Black Myth: Wukong, который позиционируется как «одна из важнейших игр» для консоли 11 ч.
Датамайнеры нашли в файлах Marvel Rivals следы лутбоксов — NetEase прокомментировала ситуацию 12 ч.
Надёжный инсайдер раскрыл, когда в Game Pass добавят Call of Duty: World at War и Singularity 13 ч.
Лавкрафтианские ужасы на море: Epic Games Store устроил раздачу рыболовного хоррора Dredge, но не для российских игроков 14 ч.
VK запустила инициативу OpenVK для публикации ПО с открытым кодом 15 ч.
CD Projekt Red объяснила, почему оставила мужскую версию Ви за бортом кроссовера Fortnite и Cyberpunk 2077 16 ч.
Открытое ПО превратилось в многомиллиардную индустрию 17 ч.
Слухи: в вакансиях Blizzard нашли намёки на Diablo V 17 ч.
Марсианские орбитальные аппараты прислали фото «зимней сказки» на Красной планете 45 мин.
IT International Telecom получила от Vard судно-кабелеукладчик IT Infinity 2 ч.
Новая статья: Обзор MSI MAG Z890 Tomahawk WiFi: материнская плата с загадками 9 ч.
Новая статья: Больше кубитов — меньше ошибок? Да, но торопиться не надо… 10 ч.
xAI одобрили 150-МВт подключение к энергосети, хотя местные жители опасаются роста цен и перебоев с поставками электричества 13 ч.
В Южной Корее задумались о создании KSMC — конкурента TSMC с господдержкой 13 ч.
«Гравитон» выпустил первый GPU-сервер на российском процессоре для ИИ и НРС 14 ч.
МТС представила российское SD-WAN-решение для корпоративных сетей 14 ч.
Электрический человекоподобный робот Boston Dynamics Atlas в костюме Санта-Клауса впервые сделал сальто назад 14 ч.
NASA отложило запуск важной миссии по изучению космической погоды 15 ч.