Документация (PDF)

1. Об Ideco ICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1 Руководство пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1.1 Как пользоваться документом . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.1.2 Определения и сокращения . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2 Общая информация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.1 О продукте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.2.2 Техническая поддержка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3 Установка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.1 Системные требования . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.2 Подготовка к установке . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.3 Установка Ideco ICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.3.4 Первоначальная настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4 Настройка . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1 Подключение к провайдеру . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1.1 Подключение по Ethernet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1.2 Подключение по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1.3 Подключение по L2TP (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1.4 Подключение по PPTP (VPN) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.1.5 Одновременное подключение к нескольким провайдерам . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2 Управление пользователями . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2.1 Дерево пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2.2 Управление учетными записями пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2.3 Административные учетные записи . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2.4 Настройка учетных записей пользователей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2.5 Интеграция с Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.2.6 Проверка пользователя . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3 Типы авторизации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3.1 Авторизация по IP-адресу . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3.2 Авторизация по PPPoE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3.3 Авторизация по PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3.4 Авторизация через Ideco Agent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3.5 Авторизация через web-интерфейс . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.3.6 NTLM-авторизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.4 Туннельные протоколы VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.4.1 IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.4.2 OpenVPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.4.3 VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5 Службы . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.1 Сервер DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.2 Почтовый сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.3 Сервер FTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.4 Сервер DHCP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.5 Фаервол . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.6 Контент-фильтр . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.7 Сервер Web . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.8 Шейпер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.9 Маршрутизация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.10 Прокси . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.5.10.1 Настройка фильтрации https . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.6 Профили . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.6.1 Профили выхода в Интернет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.6.2 Пулы IP адресов . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.6.3 Редактор правил и сетей . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.4.7 Отчеты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5 Обслуживание . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.1 Активация сервера Ideco ICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.2 Резервное копирование и восстановление данных . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.3 Архивирование и удаление статистики на сервере Ideco . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.4 Режим удаленного помощника . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.5 Удаленный доступ к локальному меню сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.5.6 Обновление сервера . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6 Популярные рецепты . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.1 Что делать если не работает Интернет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.2 Портмаппинг, DNAT, публикация сервера в локальной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.3 Исключить IP-адреса из обработки прокси-сервером . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.4 Настройка почтового релея для сервера в локальной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.5 Использование ics_tune.sh . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.6 Настройка публичного IP-адреса на компьютере в локальной сети . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.7 Подключение к серверу из сети Интернет по VPN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.7.1 Подключение VPN PPTP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.7.2 Подключение по VPN L2TP/IPsec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.8 Особенности подключения через ADLS-модем . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
3
3
3
3
4
5
6
7
7
8
9
15
23
23
23
25
26
28
30
39
39
41
43
43
47
49
50
50
50
51
52
53
54
55
55
57
61
63
63
65
78
80
83
89
95
98
106
113
114
119
119
125
126
127
128
128
129
136
136
138
139
142
142
143
145
147
147
148
150
151
154
161
1.6.9 Установка ICS с USB flash диска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 162
1.6.9 Установка ICS с USB flash диска . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.10 Интеграция Ideco ICS и SkyDNS. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.11 Восстановление пароля администратора. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.12 Выбор аппаратной платформы для ICS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.13 Перенос данных и настроек на другой сервер . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
1.6.14 Доступ в удаленные сети через отдельный роутер в локальной сети. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
162
164
166
168
169
171
Об Ideco ICS
Интернет-шлюз Ideco ICS (Ideco Internet Control Server) – это программное решение, которое позволяет сделать доступ в интернет абсолютно
управляемым, безопасным и надежным.
Защита локальной сети от внешних угроз, приоритизация интернет-трафика и его ограничение, мощный контент-фильтр, встроенный почтовый сервер с
полноценным веб-интерфейсом и система резервного копирования – вот далеко не полный список возможностей и сервисов Ideco ICS.
Интернет-шлюз Ideco ICS создан на базе операционной системы Linux и объединяет в себе более 30 компонентов и служб, которые позволяют быстро и
комфортно решать практически любые задачи управления трафиком: от маршрутизации до шифрования и балансировки нагрузки.
С помощью Ideco ICS большая часть рутинных процессов сетевого администрирования выполняется гораздо быстрее, а общий уровень защищенности,
управляемости и прозрачности сетевой инфраструктуры возрастает во много раз.
Управление всеми процессами и компонентами решения осуществляется через удобный веб-интерфейс.
Руководство пользователя
Документация Ideco Internet Control Server (Ideco ICS) содержит руководство по установке и использованию интернет-шлюза.
Как пользоваться документом
О документе
Руководство пользователя предназначено для оказания помощи при установке и использовании интернет-шлюза Ideco ICS. Для успешной работы
интернет-шлюза необходимо ознакомиться с данным документом. Это облегчит установку продукта, позволит предотвратить ошибки при установке и
настройке, поможет разобраться в непредвиденных ситуациях.
Настоящая документация включает в себя множество компонентов, призванных обеспечить высокую эффективность восприятия материала. Таким
образом, прежде чем перейти к основным разделам, рекомендуется ознакомиться со структурой текста, это поможет максимально быстро разобраться с
техническими особенностями интернет-шлюза Ideco ICS.
Компоненты документации:
основной текст;
важная информация;
примечания;
предупреждения;
примеры конфигурации/кода/интерфейса.
Предупреждения, примечания и важная информация
В настоящем руководстве для привлечения внимания пользователей используется система обозначений, описание которой представлено в таблице
ниже.
Обозначение
Расшифровка
Предупреждение
Предупреждения обращают внимание на критичные моменты, которые могут быть связаны с потерей данных или
простоем в работе предприятия. Предупреждения не стоит игнорировать.
Примечание
Примечания содержат дополнительную информацию, которая носит справочный характер. Примечания носят
рекомендательный характер.
Важная
информация
Важная информация содержит дополнения, касаемые настроек и функционирования системы. Важную информацию
необходимо принять во внимание, так как она поможет оптимизировать работу.
Определения и сокращения
В текущей документации содержатся понятия, которые принадлежат предметной области, ориентированной на информационные системы и технологии.
Возникает необходимость в расшифровке таких понятий и терминов. Определения понятий представлены в таблице ниже.
Понятия
Определения
IP-адрес
Уникальный сетевой адрес узла в компьютерной сети, взаимодействующей по протоколу IP. При связи через сеть Интернет требуется
глобальная уникальность адреса, в случае работы в локальной сети требуется уникальность адреса в пределах сети.
Подробнее
Регулярные
выражения
Регулярные выражения (regular expression, regexp) – современная система поиска текстовых фрагментов в электронных документах,
основанная на специальной системе записи образцов для поиска. Образец (англ. pattern), задающий правило поиска, по-русски также
иногда называют «шаблоном», «маской», или на английский манер «паттерном».
Подробнее
Сетевая
маска
Сетевая маска или маска подсети – битовая маска, определяющая, какая часть IP-адреса узла сети относится к адресу сети, а какая – к
адресу самого узла в этой сети.
Подробнее
Сокращения
Сокращения, используемые в данном руководстве пользователя, сведены в следующую таблицу.
Сокращения
Расшифровка
AD
Active Directory – служба каталогов корпорации Microsoft для операционных систем семейства Windows NT.
GRE
Generic Routing Encapsulation – общая инкапсуляция маршрутов. Протокол туннелирования сетевых пакетов, разработанный
компанией CISCO Systems.
ICMP
Internet Control Message Protocol – межсетевой протокол управляющих сообщений. Cетевой протокол, входящий в стек протоколов
TCP/IP.
IMAP
Internet Message Access Protocol – протокол работы с почтовыми сообщениями. В отличие от POP3 обработка почты ведется на
центральном сервере.
POP3
Post Office Protocol Version 3 – протокол работы с почтовыми сообщениями. В отличие от IMAP все письма загружаются в почтовую
программу, и дальнейшая обработка ведется на рабочей станции.
PPPoE
Point-to-point protocol over Ethernet – сетевой протокол передачи кадров PPP через Ethernet. В основном используется
XDSL-сервисами.
PPTP
Point-to-point tunneling protocol – туннельный протокол типа точка-точка, позволяющий компьютеру устанавливать защищённое
соединение с сервером за счёт создания специального туннеля в стандартной, незащищённой, сети.
P2P
Peer-to-peer – одноранговая, децентрализованная или пиринговая сеть, в которой все участники равноправны. В такой сети
отсутствуют выделенные серверы, а каждый узел (peer) является как клиентом, так и сервером. В отличие от архитектуры
клиент-сервера, такая организация позволяет сохранять работоспособность сети при любом количестве и любом сочетании доступных
узлов.
QoS
Quality of Service – механизм управления пропускной способностью сети.
SSH
Secure SHell – сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и
туннелирование TCP-соединений через защищенный (зашифрованный) канал.
TCP
Transmission Control Protocol – протокол управления передачей. Один из основных сетевых протоколов интернета, предназначенный
для управления передачей данных в сетях и подсетях TCP/IP.
UDP
User Datagram Protocol – протокол пользовательских датаграмм. Транспортный протокол для передачи данных в сетях IP без
установления соединения.
VLAN
Virtual Local Area Network – виртуальная локальная компьютерная сеть, представляет собой группу узлов с общим набором
требований. Имеет те же свойства, что и физическая локальная сеть, но позволяет сгруппировать вместе компьютеры, не
находящиеся в одной физической сети.
Общая информация
Текущий раздел содержит характеристику возможностей интернет-шлюза Ideco ICS, его назначение и применение, а также включает описание
архитектуры и принципа работы интернет-шлюза.
Если у вас возникли проблемы при установке или настройке интернет-шлюза Ideco ICS, обратитесь в службу технической поддержки. Информация о
графике работы службы, способах обращения и другая полезная информация, которая может быть полезной для вас, представлена в данном разделе.
О продукте
Ключевые возможности Ideco ICS
Возможности интернет-шлюза Ideco ICS обеспечивают решение трех основных проблем доступа в интернет, актуальных для любого предприятия
малого и среднего бизнеса:
эффективность;
безопасность;
надежность.
Более подробно вышеперечисленные критерии рассмотрены в таблицах ниже.
Эффективность
Контентная
фильтрация
Надежное средство борьбы с непродуктивным использованием доступа в интернет. Социальные сети, сайты знакомств, форумы –
доступ к ним может быть ограничен в считанные секунды. Поддерживается 18 категорий сайтов, включая ресурсы,
распространяющие вредоносное программное обеспечение. Фильтрация может быть применена к конкретным пользователям или
к группам.
Управление
доступом
Широкий набор инструментов дает возможность гибкого управления доступом пользователей к интернет-ресурсам, включая сети
P2P, системы обмена сообщениями, сетевые игры и многое другое.
Развитая
система
формирования
отчетов
Обеспечивает возможность контроля над сетевой активностью сотрудников. Статистика посещаемых ресурсов, детализированные
отчеты, возможность экспорта и другие инструменты, необходимые для принятия эффективных управленческих решений.
Виртуальные
частные сети
VPN
Высокая мобильность сотрудников, а также возможность объединения удаленных офисов в единое информационное пространство
позволят повысить эффективность бизнес-процессов для территориально распределённых предприятий.
Простота
внедрения и
поддержки
Удобный графический интерфейс делает процесс эксплуатации простым и понятным, повышает преемственность
ИТ-инфраструктуры, позволяя сократить эксплуатационные расходы и обеспечить непрерывность бизнес-процессов.
Дополнительные
службы
Ideco ICS включает в себя сервер электронной почты, а также множество дополнительных служб (web, FTP). Все возможности,
необходимые современному бизнесу, доступны в одном решении.
Безопасность
Встроенные средства
антивирусной защиты
Проверка трафика в режиме реального времени с применением технологий "Лаборатории Касперского", гарантирует
высокую эффективность обнаружения и блокирования вредоносного ПО, проникающего через e-mail или web-ресурсы.
Модуль DLP
Технология предотвращения утечек защитит конфиденциальную информацию предприятия от случайного раскрытия,
например, отправки по электронной почте.
Надежность
Резервирование
интернет-каналов
В Ideco ICS реализована возможность резервирования каналов доступа в интернет. Если один из каналов выйдет из строя,
автоматически будет подключен резервный, что обеспечит непрерывность бизнес-процессов.
Управление
шириной канала
Автоматическое интеллектуальное управление полосой пропускания, в совокупности с возможностью балансировки нагрузки
между несколькими каналами доступа в интернет, гарантирует высокую эффективность передачи критически важного трафика,
например, IP-телефонии.
Ядро Linux
В основе Ideco ICS лежит ядро Linux, традиционно используемое в высоконагруженных системах с повышенными требованиями
к безопасности.
Техническая
поддержка
Техническая поддержка работает в режиме реального времени и поможет своевременно решать возникающие проблемы до того
момента, когда они начнут наносить вред бизнес-процессам.
Архитектура
Ideco ICS устанавливается на границе корпоративной сети и сети Интернет, обеспечивая полный контроль над трафиком, как передаваемым
интернет-ресурсами в локальную сеть, так и наоборот. Классическое размещение Интернет-шлюза представлено на следущей схеме.
Техническая поддержка
Служба технической поддержки
Одним из главных приоритетов компании "Айдеко" является высокий уровень удовлетворенности наших клиентов. Ваше взаимодйествие со службой
технической поддержки может осуществляться в одной из следующих форм:
Базовая – предоставляется бесплатная техническая поддержка для пользователей демонстрационной версии. Не более одного
демонстрационного периода за один год.
Расширенная – предоставляется в период действия подписки. Подписка включена в стоимость лицензии и действует в течение года с момента
приобретения продукта. После окончания срока действия подписка может быть продлена на срок от 1 года и более.
Подробнее о подписке можно почитать на сайте компании "Айдеко".
График работы службы технической поддержки
Техническая поддержка предоставляется 6 дней в неделю, за исключением праздничных дней. График работы представлен ниже.
Дни недели
Время работы (Московское)
понедельник – пятница
07:00 – 18:00
суббота
09:00 – 16:00
воскресенье и праздничные дни
–
Способы обращения в службу
Способы обращения в службу перечислены в следующей таблице.
Способ
Описание
Телефон
+7 (495) 662-87-34
(многоканальный)
Система HelpDesk
http://helpdesk.ideco.ru/
Электронная почта
[email protected]
Форум
http:/forum.ideco.ru/
Почта и форум не являются гарантированными способами обращения, в случае отсутствия ответа – обратитесь по телефону или через
систему HelpDesk.
Правила обращения в службу технической поддержки
Для каждой заявки в службу технической поддержки устанавливается уровень критичности, определяющий время реагирования на неё, а также
приоритет относительно других заявок. Уровни критичности представлены в таблице ниже.
Уровень
критичности
Обычный
Типы заявок
Вопросы, связанные с конфигурированием продукта. Некритичные проблемы, не приводящие к
остановке работы предприятия.
Время реагирования
Базовая
поддержка
Расширенная
поддержка
48 часов
24 часа
8 часов
4 часа
Пример: некорректно отображается содержимое таблицы маршрутизации.
Высокий
Критичные проблемы, приводящие к остановке работы предприятия.
Пример: сервер не загружается или отсутствует доступ в интернет.
Техническая поддержка оказывается по вопросам настройки продуктов компании "Айдеко".
Специалисты службы технической поддержки не занимаются обучением пользователей продуктов.
Специалисты службы технической поддержки могут проконсультировать по вопросам настройки локальной сети, настройки продуктов третьих
компаний.
При обращении будьте готовы предоставить специалистам следующую информацию:
название организации;
регистрационный номер (для расширенной поддержки).
Установка
Текущий раздел содержит информацию о минимальных системных требованиях, описывает процесс установки интернет-шлюза Ideco ICS, включая
подготовительные этапы. Информация, представленная здесь, позволяет произвести первоначальную настройку.
Системные требования
Минимальные системные требования
Минимальные требования, предъявляемые интернет-шлюзом Ideco ICS к оборудованию, представлены ниже в таблице.
Минимальные системные требования
Примечание
Процессор
Intel Pentium/i3/i5/Xeon
Объем
оперативной
памяти
2 ГБ (рекомендуется от 4 Гб).
При установке интернет-шлюза Ideco ICS рекомендуется придерживаться следующего правила: на
каждые 250 активных пользователей требуется один гигабайт оперативной памяти и одно ядро
процессора. Требования могут варьироваться в зависимости от сетевой нагрузки и используемых
сервисов, таких как контентная фильтрация и антивирусы.
Дисковая
подсистема
Жесткий диск объемом 160
ГБ или больше с
интерфейсом SATA, SAS
либо совместимый
аппаратный RAID.
Не поддерживаются программные RAID-контроллеры (интегрированные в чипсет).
При использовании аппаратных RAID-контроллеров настоятельно рекомендуем использовать
плату с установленным аккумулятором, иначе высока вероятность краха RAID-массива.
Сетевые
адаптеры
Два сетевых адаптера.
Рекомендуются сетевые адаптеры, основанные на чипсетах 3Com, Broadcom, Intel или Realtek.
Дополнительно
Системная плата на базе
чипсетов Intel.
DVD-ROM с
интерфейсом SATA или
USB.
Монитор.
Клавиатура.
Для установки и работы Ideco ICS не требуется предустановленная ОС и дополнительное
программное обеспечение. Ideco ICS устанавливается на выделенный сервер с загрузочного CD или
USB-flash, при этом автоматически создается файловая система и устанавливаются все
необходимые компоненты.
В зависимости от интенсивности использования доступа в интернет и продолжительности хранения детализированной статистики может
потребоваться установка дополнительного дискового накопителя. Для хранения данных встроенных служб (FTP, Web-сервер, почтовый
сервер, прокси-сервер и др.) также может потребоваться дополнительное пространство.
Для оптимального выбора аппаратной платформы рекомендуем обратить внимание на рекомендации по подбору оборудования для Ideco ICS
Примеры конфигураций
Примеры нескольких типов конфигураций, зависящие от количества пользователей, представлены ниже в таблице.
Количество пользователей
10
50
100
Модель процессора
Intel Celeron G1820 или совместимый
Intel Pentium G3240 или совместимый
Intel i3, i5, Xeon от 3 ГГц или совместимый
Объем оперативной памяти
2 Гб
4 Гб
8 Гб
Дисковая подсистема
80 Гб
160 Гб
500 Гб
Сетевые адаптеры
Два сетевых адаптера
Подготовка к установке
Варианты установки
Вы можете установить Ideco ICS на отдельный компьютер или на виртуальную машину. Выбор варианта установки зависит от предполагаемой нагрузки
и мощности оборудования.
Установка на отдельный компьютер
Для установки интернет-шлюза Ideco ICS вам необходимо выполнить следующие действия:
1.
2.
3.
4.
Подготовьте оборудование, отвечающее системным требованиям;
Подготовьте чистый CD-R/RW диск;
Получите ссылку на скачивание ISO-образа. Заполните электронную форму;
Скачайте ISO-образ с дистрибутивом Ideco ICS и сохраните его на жестком диске. В целях обеспечения безопасности рекомендуется проверить
контрольные суммы загруженного файла, которые можно найти на странице загрузки Ideco ICS (см. выше);
5. Запишите ISO-образ на чистый CD-R/RW диск;
6. Вставьте записанный компакт-диск в CD/DVD-привод компьютера, на который желаете установить Ideco ICS;
7. В параметрах BIOS компьютера выберите загрузку с CD/DVD-привода и начните загрузку системы. На экране монитора должен появиться
установщик интернет-шлюза Ideco ICS, как проиллюстрировано ниже.
Проверьте правильность установленных в BIOS значений времени и даты.
Дальнейший процесс установки описан в разделе "Установка".
Установка Ideco ICS
Процесс установки
Этап 1. Режим установки
Теперь, когда вы выполнили подготовительные мероприятия, настало время перейти непосредственно к установке интернет-шлюза. Установщик Ideco
ICS выводит краткую справку, включающую в себя информацию о командах:
memtest – проверка оперативной памяти компьютера;
setup – запуск процесса установки Ideco ICS с использованием стандартного ядра.
В нижней части экрана вы можете обнаружить строку с приглашением для ввода команды, она начинается со слова boot. С помощью этой строки вы
можете отдавать установщику команды. Установщик интернет-шлюза Ideco ICS представлен в подразделе "Подготовка к установке" на Рисунке 2.
Если необходимо проверить работоспособность оперативной памяти, например, когда компьютер периодически зависает по непонятным
причинам, введите команду memtest. Произойдет запуск специальной программы тестирования, которую мы рекомендуем оставить
запущенной на несколько часов.
Приступим к установке интернет-шлюза. Для этого в командной строке введите setup и нажмите клавишу "Enter".
Этап 2. Начало установки
Выбрав режим установки в текстовой консоли загрузчика системы, вы сможете наблюдать на экране процесс запуска мастера установки Ideco ICS.
Иногда может показаться, что компьютер завис, но чаще всего необходимо просто подождать. Результатом ожидания будет появление приветствия
мастера установки интернет-шлюза, который вы можете видеть ниже. Для продолжения нажмите кнопку "Да".
Внимательно прочтите лицензионное соглашение с конечным пользователем на использование программного продукта. Нажатие кнопки "Согласен" буд
ет свидетельствовать о том, что вы согласны со всеми его положениями. Лицензионное соглашение представлено на следующем снимке экрана.
Теперь можно перейти непосредственно к установке системы. В первую очередь необходимо определиться с типом установки. Возможные варианты:
Установка Ideco ICS – первоначальная установка, подходит для большинства пользователей.
Обновление Ideco ICS – предназначена для обновления более старых версий интернет-шлюза.
Восстановление Ideco ICS – предназначен для восстановления работоспособности и требуется в случаях возникновения сбоя, который привел к
неработоспособности интернет-шлюза.
На данном этапе мы рассмотрим только первоначальную установку. Обновление и восстановление будут описаны в соответствующих разделах
документации. Выберем пункт "Установка Ideco ICS" и нажмем кнопку "OK". Меню выбора типа установки показано показано на снимке экрана ниже.
Система предупреждает о том, что при установке будут уничтожены все данные, которые хранятся на жестком диске. Предупреждение об уничтожении
данных изображено на следующем снимке экрана. Рекомендуем вам убедиться в том, что диск не содержит важной информации, так как её
восстановление будет невозможно. Для продолжения нажмите кнопку "Да".
Система произведет необходимые для установки тесты дисковой подсистемы. Создание таблицы разделов и их форматирование будет осуществлено в
автоматическом режиме. Процесс создания файловой системы представлен на очередном снимке экрана. Всё свободное пространство, которое
останется после установки системы, сформирует самостоятельный раздел. Он может использоваться в будущем для подключения дополнительных
компонентов интернет-шлюза.
После завершения создания разделов начнется копирование системных файлов на диск. Этот процесс, отображенный ниже, обычно занимает 10-15
минут. Копирование проходит в автоматическом режиме. После его завершения мастер установки автоматически настроит основные параметры
системы в соответствии с конфигурацией вашего компьютера.
Этап 3. Завершение установки
Если всё прошло успешно, то система предложит вам настроить локальный сетевой интерфейс. Локальным считается интерфейс, к которому будет
подключена локальная сеть вашего предприятия. Для настройки локального интерфейса вам потребуется выбрать сетевой адаптер, к которому
планируется подключить локальную сеть. Второй свободный адаптер будет, соответственно, использован для подключения к сети вашего
интернет-провайдера. Меню настройки локального сетевого интерфейса проиллюстрировано ниже.
При определении локального интерфейса вы можете столкнуться со сложностями идентификации сетевой карты. Иногда у нескольких адаптеров может
быть один и тот же производитель. В этом случае для правильного выбора необходимо будет идентифицировать устройство по его MAC-адресу. Меню
выбора локальной сетевой карты представлено на следующем снимке экрана. Не бойтесь ошибиться, в дальнейшем вы сможете изменить эти настройки.
Когда локальный интерфейс определен, необходимо его настроить. Назначьте IP-адрес и маску сети, используемые для адресации в локальной сети
предприятия. Именно по этим сетевым реквизитам будут доступны службы Ideco ICS, такие как почтовый или web-сервер. Процесс назначения сетевых
реквизитов вы можете увидеть на снимке экрана ниже. После завершения настройки локального сетевого интерфейса нажимите кнопку "Далее".
Поздравляем! Установка успешно завершена. Перед вами информация о реквизитах доступа к интерфейсу администратора Ideco ICS, которая показана
на следующем снимке экрана. По умолчанию в системе присутствует учётная запись аdministrator со стандартным паролем. Используйте её для
дальнейшего управления интернет-шлюзом. Запомните или запишите реквизиты доступа и нажмите кнопку "OK".
Обязательно смените стандартный пароль учетной записи аdministrator сразу после перезагрузки компьютера, на 3 этапе мастера первого
запуска (см. раздел "Первоначальная настройка").
Завершающим шагом является перезагрузка компьютера. Нажмите кнопку "OK". После перезагрузки можно приступать к дальнейшему
конфигурированию Ideco ICS. Этот процесс рассмотрен в разделе "Первоначальная настройка".
Установка Ideco ICS с USB flash носителя
Начиная с версии ICS 5.5.1 систему можно установить с flash-накопителя, записав установочный ISO-образ на него. В этой статье описан процесс
подготовки установочного flash-накопителя для установки Ideco ICS с него.
Первоначальная настройка
Загрузка Ideco ICS
При запуске системы вы увидите на экране меню загрузчика Ideco ICS. В большинстве случаев достаточно просто подождать несколько секунд, и
загрузка системы продолжится автоматически. Меню загрузчика представлено ниже. Оно будет появляться при каждом запуске компьютера.
При успешной загрузке Ideco ICS вы увидите на экране приглашение для ввода пароля. Если приглашение не появилось в течение 3-5 минут, то
рекомендуем вам обратиться в службу технической поддержки.
Теперь, когда процесс загрузки завершился, пришло время перейти к конфигурированию интернет-шлюза. Запустите на любом компьютере локальной
сети интернет-браузер, например Internet Explorer (поддерживаются версии от 8 и выше, рекомендуется использовать IE9), Mozilla Firefox или Google
Chrome, и перейдите по тому локальному IP-адресу, который вы указали при установке в настройках локального сетевого интерфейса.
Chrome, и перейдите по тому локальному IP-адресу, который вы указали при установке в настройках локального сетевого интерфейса.
Так как подключение к web-интерфейсу осуществляется с применением шифрования, интернет-браузер может выдать ошибку о том, что сертификат
безопасности не был выпущен доверенным центром сертификации. В таком случае вам необходимо продолжить соединение, нажав на соответствующую
кнопку. В браузерах, отличных от Google Chrome, ошибка может выглядеть иначе, но принцип её устранения тот же. Процесс подключения к
административному web-интерфейсу Ideco ICS показан ниже.
Если вы все сделали правильно, то в окне интернет-браузера сможете увидеть приглашение для входа в панель управления интернет-шлюзом Ideco ICS.
В качестве имени пользователя используйте administrator, а в качестве пароля – servicemode. Форма для входа в панель управления показана на этом фр
агменте экрана.
При первоначальном входе в панель управления будет запущен мастер настройки сервера, о чем будет свидетельствовать соответствующее приветствие.
Первый шаг мастера настройки интернет-шлюза показан ниже. Первоначальная настройка включает в себя следующие этапы:
1.
2.
3.
4.
5.
6.
Базовая настройка;
Настройка подключения к интернет-провайдеру;
Подключение администратора;
Настройка режима безопасности;
Поиск и подключение компьютеров;
Дополнительные настройки.
Для перехода к первому этапу нажмите кнопку "Далее".
Этап 1. Базовая настройка На этом этапе вы должны определить значения базовых параметров, описанных в следующей таблице. Базовые параметры
Имя сервера
Укажите доменное имя сервера.
Временная зона
Выберите временную зону.
Реквизиты
локального сетевого
интерфейса
Укажите IP-адрес и маску подсети локального сетевого интерфейса. Локальный интерфейс используется для подключения
Ideco ICS к локальной сети предприятия. Также вы можете выбрать сетевой адаптер, который будет определен как локальный.
Базовая настройка представлена на ниже. Для перехода к следующему этапу нажмите кнопку "Далее".
Этап 2. Настройка подключения к интернет-провайдеру На данном этапе вам предстоит определить сетевые реквизиты сетевого адаптера, используемого для подключения к сети вашего интернет-провайдера.
При первоначальной настройке вы можете настроить один из следующих типов подключения к интернет-провайдеру:
прямое Ethernet-подключение;
подключение по протоколу PPPoE;
подключение по технологии VPN (с использованием протокола PPTP).
Выпадающее меню с выбором типа подключения к провайдеру показано на фрагменте экрана ниже. В выпадающем меню выберите соответствующий
пункт.
Рисунок 3.19 — Выбор типа подключения к провайдеру Рассмотрим процесс настройки для каждого из возможных типов подключения. Прямое Ethernet-подключение Данный тип подключения требует настройки параметров, описанных ниже в таблице. Параметры для подключения по Ethernet
Внешний
интерфейс
В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будет
использоваться для подключения к интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на
наименование производителя или MAC-адрес.
IP-адрес и
маска внешнего
интерфейса
Сетевые реквизиты, которые были назначены провайдером внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску в
формате CIDR или четырех октетов.
Шлюз по
умолчанию
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.
DNS-сервер 1
IP-адрес первичного DNS-сервера провайдера.
DNS-сервер 2
IP-адрес вторичного DNS-сервера провайдера.
Если вы желаете осуществить автоматическое конфигурирование внешнего сетевого интерфейса с помощью протокола DHCP (если это поддерживается
вашим провайдером), то отметьте пункт "Получить сетевые реквизиты автоматически с помощью DHCP-сервера провайдера". Настройка прямого
Ethernet-подключения показана на фрагменте экрана ниже.
Подключение по протоколу PPPoE При подключении по протоколу PPPoE необходимо определить параметры, описанные в таблице.
Параметры для подключения по PPPoE
Внешний
интерфейс
В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будет
использоваться для подключения к интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на
наименование производителя или MAC-адрес.
Логин
Имя учетной записи для подключения к провайдеру.
Пароль
Пароль учетной записи для подключения к провайдеру.
IP-адрес и
маска внешнего
интерфейса
Сетевые реквизиты, которые будут назначены внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску в формате CIDR
или четырех октетов. (Этот параметр не является обязательным для работы PPPoE-соединения).
Шлюз по
умолчанию
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.
DNS-сервер 1
IP-адрес первичного DNS-сервера провайдера.
DNS-сервер 2
IP-адрес вторичного DNS-сервера провайдера.
Настройка подключения к сети Интернет по протоколу PPPoE показана на фрагменте ниже.
Подключение по технологии VPN (с использованием протокола PPTP) При подключении по протоколу PPTP необходимо определить параметры, описанные в таблице ниже.
Параметры для подключения по PPTP
Внешний
интерфейс
В случае, если в компьютере установлено более двух сетевых адаптеров, необходимо указать сетевой адаптер, который будет
использоваться для подключения к интернет-провайдеру. Для идентификации адаптера вы можете ориентироваться на
наименование производителя или MAC-адрес.
Логин
Имя учетной записи для подключения к провайдеру.
Пароль
Пароль учетной записи для подключения к провайдеру.
IP-адрес и
маска внешнего
интерфейса
Сетевые реквизиты, которые будут назначены внешнему сетевому интерфейсу. Укажите IP-адрес и сетевую маску в формате CIDR
или четырех октетов. (Этот параметр не является обязательным для работы PPPoE-соединения).
Шлюз
по-умолчанию
Укажите IP-адрес шлюза интернет-провайдера, через который будет осуществляться подключение к сети Интернет.
VPN-сервер
Адрес VPN-сервера провайдера.
Применять
шифрование
MPPE
Поддержка шифрования. Устанавливается в том случае, если этого требует провайдер.
DNS-сервер 1
IP-адрес первичного DNS-сервера провайдера.
DNS-сервер 2
IP-адрес вторичного DNS-сервера провайдера.
Если вы желаете осуществить автоматическое конфигурирование внешнего сетевого интерфейса с помощью протокола DHCP (если это поддерживается
вашим провайдером), то отметьте пункт "Получить IP-адрес, шлюз и DNS через DHCP провайдера". Настройка подключения к сети Интернет по
технологии VPN показана на следующем фрагменте.
После завершения настройки подключения к интернет-провайдеру нажмите кнопку "Далее" для перехода к следующему этапу.
Этап 3. Подключение администратора Главный Администратор системы имеет полный набор прав доступа, необходимый для успешного управления интернет-шлюзом. Этим обусловлено
повышенное внимание к его авторизации. Вам предстоит настроить учетную запись Главного Администратора и определить для него тип авторизации,
который будет использоваться при его подключении из локальной сети. E-mail Администратора – адрес электронной почты, на который будут отправляться оповещения о различных системных событиях, таких как
перезагрузка сервера, недостаток свободного места на диске и т.д. Также можно указать e-mail для отправки SMS, так как все сообщения очень
короткие, и их удобно просматривать на сотовом телефоне. Можно указывать несколько e-mail адресов, разделяя их точкой с запятой. Не
рекомендуется указывать адрес на внутреннем почтовом сервере, так как в случае перехода интернет-шлюза в защищенный режим ("SAFEMO
DE") прием и отправка писем будут невозможны.
Тип подключения администратора – тип подключения (авторизации) компьютера Главного Администратора. Авторизация по IP работает
"прозрачно" и используется по умолчанию. VPN-авторизация – более защищенный тип подключения к серверу. Авторизация по VPN является
предпочтительной, учитывая что Главному Администратору доступны настройки системы Ideco ICS.
IP-адрес компьютера администратора – IP-адрес компьютера, с которого может осуществляться подключение к панели управления. По
умолчанию административный интерфейс доступен с любого IP-адреса. Если политика безопасности требует, чтобы административная часть
была доступна только с конкретного IP-адреса, то вы можете указать его здесь.
Пароль Администратора – по умолчанию главному администратору присвоен пароль servicemode. На этом шаге вы можете его сменить.
Повторите пароль – повторить указанный выше пароль.
Ключевые параметры учетной записи Администратора описаны на фрагменте экрана ниже.
Нажмите кнопку "Далее" для перехода к этапу настройки параметров безопасности.
Этап 4. Настройка режима безопасности На этом этапе вы можете осуществить первичную настройку спам-фильтра и антивируса, а также определить параметры сетевой безопасности. Антивирус и антиспам Включить проверку web-трафика Антивирусом Касперского – включает возможность антивирусной проверки web-трафика и приведет к
автоматическому запуску прокси-сервера с прозрачным кэшированием трафика (при активации данной опции в конце настройки будет
выполнена полная перезагрузка интернет-шлюза).
Включить проверку почты Антивирусом Касперского – включает возможность антивирусной проверки электронной почты, которая
отправляется через встроенный почтовый сервер Ideco.
Включить спам-фильтр Касперского – включает возможность фильтрации спама в электронной почте, которая отправляется через встроенный
почтовый сервер Ideco.
Включить спам-фильтр DSPAM – включает спам-фильтр DSPAM.
Форма настройки спам-фильтра и антивируса представлена на фрагменте экрана ниже.
Безопасность сети Разрешить VPN-соединения из интернет – глобальный параметр, разрешающий подключение удаленных пользователей и подразделений по
VPN. Если параметр не включен, то пользователи с установленным признаком "разрешить удаленное подключение" не смогут подключиться
удаленно.
Блокировать сканеры портов – в случае обнаружения попыток сканирования сетевых портов, интернет-шлюз заблокирует IP-адрес
сканирующего компьютера на несколько минут. Это позволяет блокировать попытки поиска уязвимостей в локальной сети. Если пользователи
вашей локальной сети активно используют p2p-программы (торренты), то опцию рекомендуется отключить.
Ограничить кол-во TCP и UDP сессий с одного адреса – как правило, при работе пользователя в интернете устанавливается не более 150
одновременных соединений. Если происходит превышение этого значения, вероятно, что произошло заражение компьютера пользователя
вирусами или adware программами. Включение данной опции заблокирует интенсивный трафик, вызванный вирусной эпидемией. Опция также
ограничивает использование пиринговых сетей, так как поведение клиентов этих сетей не отличается от вирусных эпидемий. Кроме того,
опция выполняет такую важную функцию как защита от атак типа DDoS.
Макс. количество сессий из интернет – максимальное количество соединений, которое может быть установлено с одного IP-адреса сети
Интернет.
Макс. количество сессий из локальной сети – максимальное количество соединений, которое можно будет произвести с одного IP-адреса
локальной сети (от одного пользователя).
Форма настройки параметров сетевой безопасности изображена на фрагменте экрана ниже.
Автоматическое обновление Включить автоматическое обновление – новые версии Ideco ICS будут автоматически скачиваться с нашего сервера и применяться к текущей
версии, установленной на сервере.
Проверять наличие обновлений – Главному Администратору будут отправляться на адрес электронной почты уведомления о наличии
обновлений.
Форма настройки автоматического обновления представлена на фрагменте экрана ниже.
Перейдем к следующему этапу. Нажмите кнопку "Далее". Этап 5. Поиск и подключение компьютеров На этом этапе вам будет предложено найти компьютеры в локальной сети и создать для них учётные записи. Этот этап не является обязательным и
может быть пропущен. Вы можете определить следующие параметры, которые будут применены для найденных компьютеров. Группа для добавления пользователей – название группы, в которую автоматически будут добавлены учётные записи для найденных
компьютеров. Группа будет создана в корневой групее "Все".
Тип авторизации для группы – тип авторизации, который будет назначен указанной группе. Подробнее с типами авторизации вы сможете
познакомиться в главе "Типы авторизации".
Ежемесячный лимит – ежемесячный денежный лимит на каждого пользователя из группы "Моя организация". Эта сумма сразу же будет
добавлена пользователям.
Форма поиска и подключения компьютеров в локальной сети показана на следующем фрагменте.
После завершения процесса поиска вам будут представлены его результаты. Вы можете добавить учётные записи для всех обнаруженных компьютеров в
указанную группу.
Этап 6. Дополнительные настройки
Предпоследний этап предназначен для настройки дополнительных служб.
Сервер DHCP.
Сервер электронной почты.
Сервер электронной почты.
Прокси-сервер.
Форма для настройки дополнительных служб представлена на фрагменте ниже. Для каждой службы предусмотрен соответствующий мастер,
позволяющий осуществить её настройку в считанные секунды. Для запуска мастера нажмите кнопку "Запустить".
Для завершения первоначальной настройки нажмите "Далее". После этого будет показан итоговый отчёт о проведённых ранее настройках. Если всё
верно, нажмите "Применить". Итоговый отчет показан на следующем фрагменте.
После применения настроек потребуется перезагрузка сервера. На этом первоначальная настройка интернет-шлюза успешно завершена, и можно
переходить к главе "Настройка".
Настройка
Раздел включает в себя информацию об основных этапах настройки Ideco ICS.
Подключение к провайдеру
Существует несколько типов подключения к провайдеру посредством различных протоколов, описанных в текущем подразделе.
Подключение по Ethernet
Прямое подключение по Ethernet является наиболее распространённым. Для настройки подключения в web-интерфейсе необходимо перейти в меню Се
рвер -> Интерфейсы. Вы увидите перечень существующих сетевых интерфейсов, представленный на фрагменте экрана ниже. Для корректной работы
интернет-шлюза необходимо, как минимум, два Ethernet-интерфейса.
Для подключения к интернет-провайдеру используется внешний интерфейс, в то время как внутренний необходим для подключения к локальной сети
предприятия.
Ручная настройка
Выберите в списке внешний Ethernet-интерфейс. Ниже на экране появятся его параметры, которые вам необходимо определить. Перечень параметров
можно увидеть в следующей таблице. Как правило, вся необходимая информация содержится в договоре с вашим интернет-провайдером.
Параметр
Описание
Имя
интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP.
Включен
Отметьте для того, чтобы активировать интерфейс.
Роль
Выберите "External".
Сетевая карта
Выберите из списка сетевой адаптер, который будет использоваться для подключения к интернет-провайдеру.
IP-адреса
Вы можете назначить на интерфейс несколько IP-адресов. Для этого укажите IP-адрес, маску сети и нажмите кнопку "Добавить". Как
минимум, должен быть указан хотя бы один IP-адрес.
Шлюз по
умолчанию
Укажите IP-адрес шлюза по умолчанию.
DNS-сервер 1
Укажите IP-адрес первичного DNS-сервера.
DNS-сервер 2
Укажите IP-адрес вторичного DNS-сервера.
Основной
Отметьте для того, чтобы сделать интерфейс основным.
Интерфейс, помеченный как основной, используется по умолчанию для обработки трафика пользователей. Это нужно в случае, когда в
интернет-шлюзе Ideco ICS создано несколько Ethernet-интерфейсов с ролью External.
Настройки внешнего Ethernet-интерфейса показаны ниже.
Автоматическая настройка
Если ваш интернет-провайдер поддерживает возможность автоматической настройки Ethernet-интерфейса с помощью протокола DHCP, то вы можете
воспользоваться ей. Для этого выберите в списке внешний Ethernet-интерфейс, параметры которого появятся ниже. Эти параметры вы можете видеть на
фрагменте ниже. Нажмите кнопку "Дополнительные настройки" и отметьте пункт "Автоматическая конфигурация через DHCP-сервер".
После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана верно, нажмите кнопку "Сохранить
" для завершения настройки подключения к интернет-провайдеру.
Подключение по PPPoE
Подключение с применением протокола PPPoE традиционно используется провайдерами, предлагающими подключение через xDSL. Для настройки
такого подключения в web-интерфейсе необходимо перейти в меню Сервер -> Интерфейсы. Создайте новый интерфейс. Для этого в списке сетевых
интерфейсов нажмите кнопку "Добавить". В появившемся меню выберите тип интерфейса "PPPoE - подключение по PPPoE" и нажмите кнопку "Создат
ь". Меню выбора подключения по PPPoE представлено ниже на фрагменте экрана.
Обратите внимание на то, что в списке интерфейсов появился интерфейс PPPoE, выберите его. Теперь нам предстоит определить все параметры,
необходимые для подключения к интернет-провайдеру по протоколу PPPoE. Перечень параметров представлен в таблице ниже.
Параметр
Описание
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_PPPoE.
Включен
Отметьте для того, чтобы активировать интерфейс.
Роль
Выберите "External".
Логин
Укажите имя пользователя для подключения по PPPoE.
Пароль
Укажите пароль.
Сервис
Укажите идентификатор сервиса. Если вы не знаете, что указывать, оставьте поле пустым.
Концентратор
Укажите идентификатор концентратора. Если вы не знаете, что указывать, оставьте поле пустым.
Основной
Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда у вас несколько интерфейсов с ролью "
External".
Переподключение
Укажите часы, в которые необходимо принудительно произвести подключение к интернет-провайдеру.
Использовать DNS
провайдера
При подключении получить адреса DNS сервера, обязательно поставьте эту галочку при настройке РРРоЕ.
Доменное имя
При заполнении этого поля в HOSTS создаётся запись, ассоциирующая адрес интерфейса с указанным именем.
Проверка связи
Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для
настройки резервирования каналов.
Номер резервного
интерфейса
Выберите в этом поле интерфейс на который должно произойти переключение при обрыве.
MTU
Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство подключений проходят при
стандартном размере MTU).
Настройки подключения по PPPoE показаны ниже.
После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана правильно, нажмите кнопку "Сохра
нить". Для завершения настройки подключения требуется выполнение мягкой перезагрузки Ideco ICS.
Внешний интерфейс Ethernet в данной схеме подключения нужен только для управления модемом, поэтому если вы не хотите чтобы
веб-интерфейс модема был доступен из локальной сети, то отключите Внешний интерфейс Ethernet.
Обратите внимание на статью Особенности подключения через ADSL-модем
Для отслеживания состояния соединения перейдите в меню "Пользователи". В групее "Все" вы обнаружите, что была создана учетная запись, имя
которой совпадает с именем созданного интерфейса. Также в имени учетной записи указывается состояние подключения.
UP – интерфейс подключен.
GOING UP – производится подключение.
DOWN – подключение отсутствует.
Подключение по L2TP (VPN)
Подключение с применением протокола L2TP иногда используется интернет-провайдерами в целях обеспечения более надёжой авторизации. Для
настройки такого подключения в web-интерфейсе необходимо перейти в меню Сервер -> Интерфейсы. Создадим новый интерфейс. Для этого в списке
сетевых интерфейсов нажмите кнопку "Добавить". В появившемся меню выберите тип интерфейса "L2TP - подключение по L2TР" и нажмите кнопку
"Создать". Меню выбора подключения по PPTP представлено на фрагменте экрана ниже.
Обратите внимание на то, что в списке интерфейсов появился интерфейс L2TP: выберите его. Теперь нам предстоит определить все параметры,
необходимые для подключения к интернет-провайдеру по протоколу PPTP. Перечень параметров сведен в таблицу ниже.
необходимые для подключения к интернет-провайдеру по протоколу PPTP. Перечень параметров сведен в таблицу ниже.
Параметр
Описание
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_L2TP.
Включен
Отметьте для того, чтобы активировать интерфейс.
L2TP-сервер
Укажите IP-адрес или доменное имя L2TP-сервера.
Через интерфейс
Выберите интерфейс через который должно проходить подключение.
Логин
Укажите имя пользователя для подключения по L2TP.
Пароль
Укажите пароль.
Основной
Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда у вас несколько интерфейсов с ролью "E
xternal".
Переподключение
Укажите часы, в которые необходимо принудительно произвести подключение к интернет-провайдеру.
Доменное имя
При заполнении этого поля в HOSTS создаётся запись, ассоциирующая адрес интерфейса с указанным именем.
Проверка связи
Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для
настройки резервирования каналов.
Номер резервного
интерфейса
Выберите в этом поле интерфейс на который должно произойти переключение при обрыве.
MTU
Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство подключений проходят при стандартном
размере MTU).
Настройки подключения по PPTP показаны ниже.
После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана правильно, нажмите кнопку "Сохра
нить". Для завершения настройки подключения требуется выполнение мягкой перезагрузки Ideco ICS.
Для отслеживания состояния соединения перейдите в меню "Пользователи". В корневой папке вы обнаружите, что была создана учетная запись, имя
которой совпадает с именем созданного интерфейса. Также в имени учетной записи указывается состояние подключения. UP – интерфейс подключен.
UP – интерфейс подключен.
GOING UP – производится подключение.
DOWN – подключение отсутствует.
Подключение по PPTP (VPN)
Подключение с применением протокола PPTP иногда используется интернет-провайдерами в целях обеспечения более надёжой авторизации. Для
настройки такого подключения в web-интерфейсе необходимо перейти в меню Сервер -> Интерфейсы. Создадим новый интерфейс. Для этого в списке
сетевых интерфейсов нажмите кнопку "Добавить". В появившемся меню выберите тип интерфейса "PPTP - подключение по VPN" и нажмите кнопку "С
оздать". Меню выбора подключения по PPTP представлено на фрагменте экрана ниже.
Обратите внимание на то, что в списке интерфейсов появился интерфейс PPTP: выберите его. Теперь нам предстоит определить все параметры,
необходимые для подключения к интернет-провайдеру по протоколу PPTP. Перечень параметров приведен ниже в таблице.
Параметр
Описание
Имя интерфейса
Укажите любое имя, с помощью которого вы будете в дальнейшем идентифицировать интерфейс, например ISP_PPTP.
Включен
Отметьте для того, чтобы активировать интерфейс.
Роль
Выберите "External".
VPN-сервер
Укажите IP-адрес VPN-сервера.
Логин
Укажите имя пользователя для подключения по PPTP.
Пароль
Укажите пароль.
Шифрование MPPE
Отметьте, если интернет-провайдер требует шифровать передаваемый трафик.
Основной
Отметьте для того, чтобы сделать интерфейс основным. Это нужно в случае, когда у вас несколько интерфейсов с ролью "
External".
Переподключение
Укажите часы, в которые необходимо принудительно произвести подключение к интернет-провайдеру.
Использовать DNS
провайдера
При подключении получить адреса DNS сервера, обязательно поставьте эту галочку при настройке РРTP.
Доменное имя
При заполнении этого поля в HOSTS создаётся запись, ассоциирующая адрес интерфейса с указанным именем.
Проверка связм
Укажите в этом поле адрес любого популярного внешнего ресурса (например, 8.8.8.8), этот адрес нужно только для
настройки резервирования каналов.
Номер резервного
интерфейса
Выберите в этом поле интерфейс на который должно произойти переключение при обрыве.
MTU
Задайте размер MTU (по умолчанию этого делать не надо поскольку большинство подключений проходят при
стандартном размере MTU).
Настройки подключения по PPTP показаны ниже.
После заполнения всех полей ещё раз убедитесь в корректности введённых значений. Если вся информация указана правильно, нажмите кнопку "Сохра
нить". Если адрес РРТР-сервера не входит в сеть на внешнем интерфейсе, через который должно идти подключение, то необходимо добавить маршрут. Этим
маршрутом мы описываем, что адрес VPN сервера находится за шлюзом на внешнем физическом интерфейсе. Перейдите в меню Сервер -> Сетевые
параметры web-интерфейса и выберите вкладку "Маршруты", далее нажмем кнопку "Добавить" и заполним поля, определяющие назначение маршрута.
Перечень параметров для описания маршрута представлен в таблице ниже. Параметр
Описание
SRC/маска:порт
Адрес источника. В данном случае оставьте пустым.
DST/маска:порт
Адрес назначения. Укажите здесь IP-адрес РРТР-сервера с маской /32 или /255.255.255.255.
Шлюз, IP/Интерфейс Укажите IP-адрес шлюза физического интерфейса, через который должно проходить подключение.
Протокол
Оставьте поле пустым.
%
Оставьте поле пустым.
FORCE
Оставьте поле пустым.
SNAT
Оставьте поле пустым.
Если предположить, что IP-адрес шлюза на интерфейсе, через который должно проходить подключение 10.0.0.1, то в результате должен получиться
маршрут как проиллюстрировано ниже.
Для завершения настройки подключения требуется выполнение мягкой перезагрузки Ideco ICS.
Для отслеживания состояния соединения перейдите в меню "Пользователи". В корневой папке вы обнаружите, что была создана учетная запись, имя
которой совпадает с именем созданного интерфейса. Также в имени учетной записи указывается состояние подключения. UP – интерфейс подключен.
GOING UP – производится подключение.
DOWN – подключение отсутствует.
Одновременное подключение к нескольким провайдерам
Возникают ситуации, когда требуется наличие нескольких подключений к интернет-провайдерам. Вот некоторые из них:
Необходимое настроить резервирование основного канала, чтобы при его отключении весь трафик перекидывался на резервный канал.
Необходимо снизить нагрузку на основное подключение к интернет-провайдеру за счет распределения трафика между несколькими
подключениями. При этом часть пользователей локальной сети будет выходить в сеть Интернет через неосновной канал связи с провайдером.
Использование более скоростного и дорогостоящего подключения к интернет-провайдеру для доступа в интернет сотрудников, чья трудовая
деятельность чувствительна к качеству интернет-соединения, в то время как все остальные сотрудники могут использовать менее скоростное и
более дешевое соединение.
Необходимо снизить нагрузку на основное подключение к интернет-провайдеру за счет распределения трафика между несколькими
подключениями. При этом сессии будут поочередно перенаправляется на основной и дополнительный Интернет-канал одновременно от всех
пользователей.
Подготовка
Создайте дополнительное подключение к интернет-провайдеру. Процесс создания подключений описан в разделе Подключение к провайдеру. Таким
образом, у вас на сервере должно быть минимум два подключения к сети Интернет.
Необходимо понимать, что для работы с трафиком в Ideco ICS надо учитывать 2 момента: это маршрутизация и NAT. Это касается и балансировки и
резервирования, подробнее рассмотрим на конкретных примерах.
Ситуация 1: резервирование каналов
Нам потребуется пройти несколько шагов:
настроить резервный профиль выхода в сеть Интернет;
настроить резервирование между сетевыми интерфейсами.
Шаг 1. Создание и редактирование профилей
Нам предстоит создать профиль выхода в сеть Интернет с использованием резервного подключения. Для этого необходимо в веб-интерфейсе перейти в
меню Профили -> Профили выхода в интернет. Для создания профиля нажмите кнопку "Создать профиль". В появившемся окне укажите значения
следующих параметров.
следующих параметров.
Название – укажите название нового профиля, который будет использоваться для выхода в интернет в случае обрыва на основном канале.
Интерфейс – выберите резервное подключение к интернет-провайдеру.
Резервный профиль - это ключевые поле; при настройке резервного профиля тут мы выбираем основной профиль (мы сейчас говорим про
профили, а не про интерфейсы!), а при настройке основного указываем резервный, таким образом мы задаём условие для переключения NAT в
случае обрыва и при восстановлении связи на основном канале.
Начальный и конечный NAT-адрес – поле заполняется только в том случае, если на сетевом интерфейсе дополнительного подключения к
интернет-провайдеру назначено несколько IP-адресов. В таком случае необходимо указать тот IP-адрес, который должен использоваться для
исходящего трафика. Если вы желаете использовать для трансляции исходящего трафика диапазон IP-адресов сетевого интерфейса, то в
качестве начального NAT-адреса укажите первый IP-адрес диапазона, а в качестве конечного NAT-адреса – последний. Если же у вас всего
один адрес, то оставьте в этих полях нулевые адреса!
Форма создания профиля представлена на следующем фрагменте экрана.
Нажмите кнопку "Сохранить". Новый профиль будет создан и доступен в списке профилей. Далее в новом профиле полностью продублируйте правила
основного профиля. На этом настройка профилей закончена, перейдём к настройке сетевых интерфейсов.
Шаг 2. Настройка резервирования между сетевыми интерфейсами
Для переключения между интерфейсами мы должно отредактировать настройки основного и резервного интерфейса, для этого переходим в раздел
веб-интерфейса Сервер -> Интерфейсы. Нас интересуют всего 2 поля:
Проверка связи – укажите адрес публичного ресурса с высоким показателем отказоустойчивости (для этих целей хорошо подходит адрес
Google DNS 8.8.8.8, который показан в примере).
Номер резервного интерфейса – выберите номер интерфейса, на который должно произойти переключения в случае обрыва и восстановления;
в настройках основного интерфейса мы указываем номер резервного, а настройках резервного номер основного.
Форма редактирования основного интерфейса показана на фрагменте экрана ниже.
После того как оба интерфейса отредактированы сделайте мягкую перезагрузку Ideco ICS.
Ситуация 2: распределение нагрузки по нескольким подключениям, статическая балансировка
В описываемой схеме часть пользователей локальной сети будет иметь доступ к сети Интернет или другим внешним сетям через дополнительный канал
связи. Вам потребуется создать отдельный профиль выхода в сеть Интернет для этих пользователей, в соответствии с которым будет осуществляться
трансляция адресов (NAT). Также нужно будет выделить пользователей в отдельную подсеть и создать маршрут, согласно которому трафик от них будет
направлен в нужный интерфейс. Если в вашей сети используется прокси-сервер, обратите внимание на расположенный в конце этой главы раздел,
посвященный настройке прокси-сервера для работы с данной схемой.
Для удобства дальнейшей работы мы рекомендуем создать специальную группу пользователей. Для этой группы будут настроены параметры,
определяющие правила выхода в сеть Интернет с использованием нескольких подключений. Таким образом, при добавлении новых учетных записей
пользователей в группу им будут автоматически присвоены значения данных параметров. Этот шаг не является обязательным.
Далее нам потребуется пройти несколько шагов:
настроить профиль выхода в сеть Интернет;
добавление сети на локальном интерфейсе;
настроить маршрутизацию трафика;
настроить пользовательские компьютеры и их учётные записи в веб-интерфейсе Ideco ICS.
Шаг 1. Создание профиля
В данном примере мы можем использовать профиль выхода в интернет, который создавался при настройке резервирования.
Шаг 2. Добавление сети на локальном интерфейсе
Прежде чем настраивать маршрутизацию мы должно выделить пользователей, которые будут работать через дополнительного провайдера в отдельную
локальную сеть. Это может быть дополнительный физический интерфейс, но можем обойтись добавлением сети существующем локальном интерфейсе.
Давайте предположим, что все пользователи находились в локальной сети 192.168.0.0/24, на локальном интерфейсе был прописан адрес 192.168.0.1/24.
Давайте предположим, что все пользователи находились в локальной сети 192.168.0.0/24, на локальном интерфейсе был прописан адрес 192.168.0.1/24.
Нам надо на локальный интерфейс добавить адрес 192.168.50.1/24, для этого переходим в разделе Сервер -> Интерфейсы, открываем настройки
локального интерфейса в поле IP адреса прописываем 192.168.50.1/24 и нажимаем кнопку Добавить, в итоге получим следующие настройки:
Этот шаг не является обязательным. Если вам нужно перенаправить всего двух или трёх пользователей на дополнительного провайдера, то
проще прописать 2 или 3 маршрута. Примеры таких маршрутов вы можете посмотреть в статье по маршрутизации.
Шаг 3. Создание маршрута
Для маршрутизации трафика пользователей через разные каналы доступа в интернет на основе их принадлежности к IP-сетям перейдите в меню Сервер
-> Сетевые параметры веб-интерфейса и выберите вкладку "Маршруты". Создадим маршрут для сети 192.168.50.0/24. Для этого нажмем кнопку "Добав
ить" и заполним поля, определяющие назначение маршрута:
SRC/MASK - Адрес источника с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
SRC PORT - Порт источника (прописывается только если выбран протокол TCP или UDP)
DST/MASK - Адрес назначения с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
DST PORT - Порт назначения (прописывается только если выбран протокол TCP или UDP)
Шлюз/интерфейс - Куда перенаправить трафик.
Если маршрутизация осуществляется на Ethernet интерфейс то всегда указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальных
интерфейсов (РРТР, РРРоЕ, CIPE, OpenVPN, IPsec) всегда указывается интерфейс.
Протокол - Возможные значения: TCP, UDP, GRE, ICMP.
% - Вероятность срабатывания, например, 50%. Используется только при настройке балансировки трафика между несколькими внешними
интерфейсами.
интерфейсами.
FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически если в этом есть необходимость, вручную лучше не
устанавливать!
SNAT - Ключ, указывающий что маршрутизируемый трафик должен подвергаться трансляции адресов от IP-адреса того интерфейса сервера, на
который перенаправляется трафик.
Ключ SNAT работает только если в маршруте в поле SRC/MASK прописан IP-адрес компьютера пользователя или IP-адрес локальной сети.
Для подсети 192.168.50.0/24 и адреса шлюза дополнительного провайдера 66.77.88.1 получится такой маршрут:
Шаг 4. Настройка пользовательских компьютеров и учётных записей в веб-интерфейсе Ideco ICS
После того как создали профили, дополнительный адрес на локальном интерфейсе и маршрут надо настроить пользовательские компьютеры и их
учётные записи:
На компьютерах пользователей, которые будут работать через дополнительное подключение прописываем адрес из сети 192.168.50.0/24 и в
качестве шлюза и DNS указываем адрес 192.168.50.1.
В веб-интерфейсе находим этих пользователей или группу (если вы воспользовались советом и перенесли этих пользователей в отдельную
группу) и применяем созданный ранее профиль.
Там же в веб-интерфейсе у каждого пользователя, работающего через дополнительное подключение, прописываем те адреса из сети
192.168.50.0/24, которые в данный момент прописаны на их компьютерах. Обратите внимание на следующий снимок экрана, профиль теперь
наследуется от вышестоящей группы.
Эта инструкция написана с учётом авторизации пользователей по IP. Далее в зависимости от типа авторизации и способа получения IP-адреса
будет несколько разных инструкций:
Авторизация по VPN PPTP или РРРоЕ - прописывать адрес на локальном интерфейсе необязательно. Можно выбрать любую
неиспользуемую сеть серых адресов, прописывать для этой сети такой же маршрут как и в рассмотренном примере и на учётных
записях пользователей применить адреса из этой серой сети.
Авторизация через Ideco Agent или веб-интерфейс (пользователи получают IP-адреса по DHCP) - в этом случае мы должны будем
подключить к Ideco ICS дополнительный интерфейс, на нём настроить новую сеть и задать новый диапазон в DHCP, далее, как и в
описанном ранее примере, создаём маршрут, перемещаем пользователей в группу, с уже применённым профилем и просто
авторизуем пользователей. При каждой авторизации текущий адрес будет прописываться в настройках учётных записей
пользователей.
Авторизация через Ideco Agent или веб-интерфейс (адреса статические) - инструкция будет та же, что и в описанном ранее примере.
Если вы используете прокси-сервер По умолчанию прокси-сервер работает с веб-трафиком только через основной интерфейс, вне зависимости от того, какие дополнительные каналы
провайдеров настроены. Для корректной маршрутизации и учета веб-трафика необходимо перенаправить трафик на дополнительный интернет-канал в
настройках прокси-сервера. Перейдем в меню Сервер -> Прокси и контент-фильтр, выберем вкладку "Расширенные" и укажем правило маршрутизации в поле "Перенаправлять
разных пользователей в разные каналы" для работы с веб-трафиком сети внешнего ресурса через IP-адрес интерфейса дополнительного провайдера.
Формат правила проиллюстрирован ниже.
Правило маршрутизации, которое вы указываете в настройках прокси-сервера позволяет определить подсеть, которой принадлежат пользователи, а
также внешний IP-адрес, назначенный на дополнительный интернет-канал. Именно через этот канал и будет передаваться трафик пользователей из
указанной подсети. В нашем примере определено правило, согласно которому трафик пользователей из сети 192.168.50.0/24 будет направлен в сеть
Интернет через дополнительный интернет-канал с IP-адресом 66.77.88.56. Ситуация 3: доступ к разным ресурсам сети Интернет через определенные каналы связи, статическая балансировка Такая схема подключения к нескольким интернет-провайдерам часто применяется в случае, когда некоторые ресурсы в сети Интернет тарифицируются
дешевле через другого интернет-провайдера, или в случае доступа к внутренним сетям дополнительного провайдера, минуя основной канал связи. Перейдите в меню Сервер -> Сетевые параметры веб-интерфейса и выберите вкладку "Маршруты". Создадим маршрут для каждого ресурса внешней
сети. Для этого необходимо нажать кнопку "Добавить" и заполнить поля, определяющие назначение маршрута:
SRC/MASK - Адрес источника с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
SRC PORT - Порт источника (прописывается только если выбран протокол TCP или UDP)
DST/MASK - Адрес назначения с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
DST PORT - Порт назначения (прописывается только если выбран протокол TCP или UDP)
Шлюз/интерфейс - Куда перенаправить трафик.
Если маршрутизация осуществляется на Ethernet интерфейс то всегда указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальных
интерфейсов (РРТР, РРРоЕ, CIPE, OpenVPN, IPsec) всегда указывается интерфейс.
Протокол - Возможные значения: TCP, UDP, GRE, ICMP.
% - Вероятность срабатывания, например, 50%. Используется только при настройке балансировки трафика между несколькими внешними
интерфейсами.
FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически если в этом есть необходимость, вручную лучше не
устанавливать!
SNAT - Ключ, указывающий что маршрутизируемый трафик должен подвергаться трансляции адресов от IP-адреса того интерфейса сервера, на
который перенаправляется трафик.
Ключ SNAT работает только если в маршруте в поле SRC/MASK прописан IP-адрес компьютера пользователя или IP-адрес локальной сети.
В этом примере мы не можем прописать профиль у пользователей, так как у одного и того же пользователя трафик пойдёт в сторону целевой сети через
доп. провайдера, а до остальных ресурсов через основного провайдера, поэтому мы должны поменять NAT в самом маршруте при помощи ключа SNAT.
При наличии ключа SNAT мы должны так же задать сеть источника, пусть это будет основная сеть 192.168.0.0/24, в качестве внешнем целевой сети
пропишем 217.24.176.0/24 и перенаправим трафик на адрес шлюза дополнительного провайдера 66.88.88.1, получится такой маршрут:
Если в целевой сети вас интересуют веб-ресурсы, то всю сеть лучше исключить из обработки прокси сервером.
Ситуация 4: распределение нагрузки по нескольким подключениям, динамическая балансировка
В описываемой схеме мы будем переадресовывать на дополнительный канал связи не конкретных пользователей, а сетевые сессии от всех пользователей
одновременно. Вам потребуется создать маршрут, согласно которому трафик от пользователей будет направлен в нужный интерфейс в процентном
соотношении. Это правило не распространяется на веб-трафик при включенном прокси, поскольку прокси-сервер работает независимо от правил
маршрутизации.
Для создания маршрута перейдите в раздел веб-интерфейса Сервер -> Сетевые параметры -> Маршруты. Нажмите кнопку "Добавить" и заполнить поля,
определяющие назначение маршрута:
SRC/MASK - Адрес источника с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
SRC PORT - Порт источника (прописывается только если выбран протокол TCP или UDP)
DST/MASK - Адрес назначения с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
DST PORT - Порт назначения (прописывается только если выбран протокол TCP или UDP)
Шлюз/интерфейс - Куда перенаправить трафик.
Если маршрутизация осуществляется на Ethernet интерфейс то всегда указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальных
интерфейсов (РРТР, РРРоЕ, CIPE, OpenVPN, IPsec) всегда указывается интерфейс.
Протокол - Возможные значения: TCP, UDP, GRE, ICMP.
% - Вероятность срабатывания, например, 50%. Используется только при настройке балансировки трафика между несколькими внешними
интерфейсами.
FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически если в этом есть необходимость, вручную лучше не
устанавливать!
SNAT - Ключ, указывающий что маршрутизируемый трафик должен подвергаться трансляции адресов от IP-адреса того интерфейса сервера, на
который перенаправляется трафик.
Ключ SNAT работает только если в маршруте в поле SRC/MASK прописан IP-адрес компьютера пользователя или IP-адрес локальной сети.
В этом примере мы опять же не можем прописать профиль у пользователей, так как у одного и того же пользователя трафик пойдёт поочерёдно через
В этом примере мы опять же не можем прописать профиль у пользователей, так как у одного и того же пользователя трафик пойдёт поочерёдно через
основной и дополнительный интерфейс, поэтому мы должны поменять NAT в самом маршруте при помощи ключа SNAT. При наличии ключа SNAT мы
должны так же задать сеть источника, пусть это снова будет основная сеть 192.168.0.0/24, сеть назначения не указывается так как трафик пойдёт в
любом направлении, перенаправим трафик на адрес шлюза дополнительного провайдера 66.88.88.1 с 50% вероятностью, получится такой маршрут:
Управление пользователями
В этом разделе описаны основновные инструменты для управления группами и учетными записями пользователей. Вы узнаете о том, какие типы
пользователей существуют в Ideco ICS, о том как создавать/удалять учетные записи и другое.
Дерево пользователей
Пользователи в интерфейсе управления Ideco ICS отображаются в виде дерева. Пользователи могут быть организованы в группы. Уровень вложенности
групп не ограничен. Дерево учетных записей пользователей доступно в разделе "Пользователи".
Древовидная структура легко отражает реальную структуру предприятия с подразделениями, отделами, офисами и позволяет облегчить управление
большим количеством пользователей, назначая администраторов для отдельных групп. Такие администраторы групп могут управлять доступом
пользователей в интернет, создавать внутри своих групп других пользователей, группы и администраторов для нижележащих групп.
В Ideco ICS реализован принцип наследования, что позволяет легко задавать и изменять общие для пользователей параметры, определяя их для
родительской группы – профиль, пул IP-адресов, параметры ограничений и разрешений. Принцип наследования очень удобен для выполнения операций
управления, осуществляемых по отношению ко всем пользователями группы.
Дерево пользователей показано ниже.
В зависимости от установленных для пользователей параметров различают несколько типов пользователей, представленных в таблице ниже.
Обозначения типов
пользователей
Описание
Пользователь, успешно прошедший процедуру авторизации.
Пользователь, для которого не установлен признак "NAT". Как правило, это учетные записи, созданные для
серверов.
Пользователь с установленным признаком "Администратор технический".
Пользователь с установленным признаком "Главный администратор".
Пиктограмма пользователя может быть окрашена в разные цвета. В следующей таблице на примере пиктограммы обычного пользователя дается
описание каждого цвета.
Состояние учетной записи
пользователя
Описание
В данный момент времени пользователь прошел процедуру авторизации, и ему был предоставлен доступ в
интернет.
Проверка учетной записи пользователя завершается с отрицательным результатом (см. подробнее "Проверка
пользователя").
В данный момент времени пользователь не прошел процедуру авторизации, и ему не был предоставлен доступ
в интернет.
Учетная запись пользователя отключена.
При удалении пользователя или группы пользователей, удаляемый объект попадает в специальный контейнер дерева пользователей - "Корзина".
Пользователи находящиеся в Корзине не могут быть авторизованы, но сохраняют все свои свойства. Например IP адрес уже назначенный пользователю,
находящемуся в Корзине, не может быть назначен дркгому пользователю. Таким образом объекты находящиеся в Корзине не удалены из Ideco ICS
полностью, их можно восстановить из корзины в любой момент. Для полного удаления пользователя или группы пользователей из Ideco ICS нужно
удалить их из Корзины.
Помещенные в Корзину пользователи хранятся в ней в соответствии с иерархией в которой они находились в дереве пользователей до помещения в
Корзину. Полностью перемещенные в корзину группы пользователей со всеми пользователями и подгруппами внутри помечены значком "корзины".
Корзину. Полностью перемещенные в корзину группы пользователей со всеми пользователями и подгруппами внутри помечены значком "корзины".
Такие группы готовы к полному удалению с сервера. Группы, часть пользователей которых находится в Корзине, а часть по прежнему присутствует в
дереве пользователей, не отмечены таким значком.
Типичная структура Корзины пользователей показана ниже.
Управление учетными записями пользователей
Для управления группами и учетными записями пользователей в дереве пользователей есть несколько иконок, расположенных над деревом. Каждая из
пиктограмм отвечает за определенное действие. Элементы управления учетными записями описаны в таблице ниже.
Элементы управления учетными записями
Создать учетную запись пользователя.
Создать группу.
Удалить учетную запись пользователя или группу.
Создание учетной записи пользователя
Чтобы создать учетную запись в определенной группе, выберите эту группу. Вы увидите в заголовке группы несколько элементов управления. Пример
выбора группы проиллюстрирован ниже.
Попробуем создать учетную запись пользователя в группе нажатием на соответствующую иконку. Перед вами появится окно создания учетной записи
пользователя, в котором нам нужно определить ряд параметров. В следующей таблице представлен перечень параметров учетной записи.
Параметры для создания учетной записи пользователя
Пользователь
Укажите имя пользователя, для которого создается учетная запись, например, Иванов Иван.
Логин
Укажите логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах Ideco ICS.
Логин необходимо вводить латинскими символами с соблюдением регистра, например: i.ivanov
Пароль
Укажите пароль. Пароль необходимо вводить латинскими символами с соблюдением регистра.
Повторите
пароль
Повторно укажите пароль для проверки.
Форма создания учетной записи пользователя показана ниже.
Логин и пароль используются для авторизации и для подключения к web-интерфейсу Ideco ICS, если пользователь является администратором. Для
учетных записей, импортированных из MS Active Directory (AD), проверка пароля осуществляется средствами AD.
Посмотреть или восстановить пароль учетной записи пользователя нельзя, допускается только его изменение. Также рекомендуется
напоминать пользователям о том, чтобы они обязательно сразу сменили пароль через web-интерфейс.
Теперь, когда вы определили все параметры, нажмите кнопку "Добавить". Произойдет добавление учетной записи, у которой автоматически будут
установлены значения следующих параметров:
1. адрес NAT;
2. IP-адрес – автоматически установливается из пула, выбирается первый свободный IP-адрес.
Создание группы
Выберите ту группу, в которой вы предполагаете создать новую (вы можете создать как группу в корне дерева, так и дочернюю). Вы увидите в заголовке
группы несколько элементов управления, среди которых необходимо нажать на кнопку добавления группы. Появится окно, в котором вам нужно будет
указать название новой группы. Окно добавления группы показано на следующем фрагменте экрана.
Удаление учетной записи пользователя или группы
Для удаления учетной записи пользователя необходимо выбрать ее в дереве пользователей и нажать на кнопку удаления. Появится окно с требованием
подтверждения удаления, нажмите кнопку "ОК".
Удаление группы осуществляется аналогичным образом.
При удалении учетной записи, она перемещается в папку "Корзина", из которой может быть впоследствии восстановлена. При удалении
группы, в корзину перемещается вся группа, включая учетные записи пользователей, входящие в неё. Также необходимо учитывать
следующие особенности.
1. При проведении операции "Закрытие периода" осуществляется окончательное удаление учетной записи, включая статистику из баз
данных;
2. У учетной записи, находящейся в корзине, невозможно изменять параметры.
Восстановление учетной записи пользователя или группы
Чтобы восстановить учетную запись пользователя из корзины, выберите вкладку "Корзина" в корневой папке "Все". В ней выделите нужную для
Чтобы восстановить учетную запись пользователя из корзины, выберите вкладку "Корзина" в корневой папке "Все". В ней выделите нужную для
восстановления учетную запись и нажмите соответствующую кнопку "Восстановить", расположенную справа от имени учетной записи.
Перемещение учетной записи пользователя или группы
Чтобы переместить учетную запись пользователя в другую группу, выделите этого пользователя в веб-интерфейсе, на вкладке "Общие" найдите поле "В
группе" и из выпадающего списка выбирите группу куда надо переместить пользователя.
Административные учетные записи
В Ideco ICS существует два типа административных учетных записей. Они описаны в этой таблице.
Административные учетные записи
Главный
администратор
Учетная запись с максимальными полномочиями в Ideco ICS. Эта запись присутствует в системе изначально и называется "Главный
Администратор". Эта учетная запись может существовать только в единственном экземпляре и не может быть удалена.
Технический
администратор
Учетная запись, имеющая возможность управления учетными записями своей группы и дочерних групп.
Создание Технических администраторов позволяет достичь высокой гибкости управления учетными записями пользователей. Это особенно полезно для
крупных предприятий, когда существует необходимость в делегировании полномочий по управлению доступом в интернет рабочих групп. В небольших
предприятиях обычно достаточно одного администратора.
Главный администратор имеет следующие полномочия, которые не имеет Технический администратор.
1.
2.
3.
4.
5.
Редактирование пулов IP-адресов;
Редактирование профилей пользователей;
Редактирование правил межсетевого экрана;
Переопределение вручную следующих параметров учетной записи пользователя: IP-адрес, пул, адрес NAT;
Управление службами Интернет-шлюза.
Технические администраторы, находящиеся в корневой группе, в отличие от Технических администраторов других групп, имеют дополнительные
возможности.
1. Смена профиля учетной записи пользователя;
2. В случае необходимости могут вручную исправлять баланс пользователей и групп.
Все Технические администраторы, кроме Главного администратора, имеют следующие ограничения:
1. Не имеют возможности изменять параметры группы, в которой находятся сами;
2. Не имеют возможности изменять учетные записи Технических администраторов одного уровня с собой, то есть находящихся непосредственно
в этой же группе.
В целях обеспечения высокого уровня информационной безопасности все действия, выполняемые от административных учетных записей,
журналируются и доступны в разделе Меню -> Аудит событий.
Настройка учетных записей пользователей
Настройка пользователей осуществляется в разделе "Пользователи". Чтобы определить параметры учетной записи пользователя, выберите её в дереве
пользователей нажатием мышью. В правой части экрана появятся параметры выделенной учетной записи. В случае, если вы желаете изменить
параметры всех пользователей, входящих в группу, вам нужно выделить в дереве пользователей соответствующую группу.
Все настраиваемые пар аметры разделены по нескольким категориям, которые вы можете видеть в таблице ниже.
Категории параметров учетной записи пользователя
Общие
Основные параметры.
Почта
Параметры, отвечающие за создание и управление почтовым ящиком.
Ограничения
Параметры, отвечающие за управление доступом пользователя к сети Интернет. Здесь определяются параметры сетевого фильтра и
контент-фильтра.
Статистика
Статистика по потреблению пользователем интернет-трафика.
Финансы
Модуль управления финансами. Используется для установки квот.
Общие настройки
Раздел общих настроек включает в себя множество основных параметров, определяющих статус учетной записи пользователя. Общие настройки
Раздел общих настроек включает в себя множество основных параметров, определяющих статус учетной записи пользователя. Общие настройки
разделены на базовые и дополнительные. Начнем с рассмотрения базовых параметров, описанных в следующей таблице.
Общие настройки (базовые параметры)
Пользователь
Имя пользователя, для которого создается учетная запись, например, Иванов Иван.
Логин
Логин, который будет применяться пользователем для прохождения процедуры авторизации в различных службах Ideco ICS. Логин
необходимо вводить латинскими символами с соблюдением регистра, например, i.ivanov.
Пароль
Функция изменения пароля для учетной записи пользователя.
В группе
Группа, в которую входит данный пользователь.
IP-адрес
IP-адрес, который закреплен за данной учетной записью.
MAC-адрес
MAC-адрес сетевого адаптера, которому назначен IP-адрес, закрепленный за учетной записью.
Авторизация
Тип авторизации. Подробнее см. в разделе "Типы авторизации".
Профиль
Профиль для учета стоимости трафика пользователя.
NAT
Использование технологии NAT для предоставления пользователю доступа в сеть Интернет.
Пул
Пул IP-адресов, из которого учетной записи будет присваиваться IP-адрес.
Форма базовых параметров показана ниже.
Теперь обратим ванимание на множество дополнительных параметров, описанных в следующей таблице.
Общие настройки (дополнительные параметры)
Запретить вход
Запретить пользователю авторизоваться на интернет-шлюзе Ideco ICS. Это означает, что он не сможет пользоваться
ресурсами сети Интернет.
Разрешить VPN из интернет
Разрешить подключаться к серверу Ideco ICS по VPN из интернета. Подробнее см. в разделе "VPN".
Администратор технический
Присвоить пользователю статус Администратора технического. Подробнее см. в разделе "Административные
учетные записи".
Включить контроль утечек
информации
Включить защиту от утечек информации с помощью модуля DLP для данной учетной записи пользователя.
Постоянно подключен
Параметр, который позволяет включить постоянную статическую авторизацию, работает только в случае
авторизации по IP-адресу.
Разрешить переподключение
Разрешить переподключение пользователя с другого сетевого устройства, например, в случае смены рабочего места.
Не может быть применено к группе.
Синхронизация c LDAP/AD
Групповой параметр. Позволяет синхронизировать пользователей в группе с Active Directory.
Форма дополнительных параметров показана далее.
Почта В этом разделе находятся параметры, с помощью которых для учетной записи может быть предоставлен доступ к работе с почтовым сервером. В
следующей таблице представлен перечень параметров для настройки почтового сервера. Настройки почты
Почтовый ящик пользователя
Этот параметр позволяет задать пользователю название почтового ящика, отличное от его логина.
E-mail для уведомлений
Адрес электронной почты, на который будут отправляться уведомления от сервера.
Разрешить почту
Автоматически создаёт аккаунт на Почтовом сервере. Подробнее см. в разделе "Почтовый сервер".
Переадресовать почту
Переадресовать входящую почту на E-mail, указанный для уведомлений.
Доступ к почте из интернета
Разрешить доступ к почтовому ящику из сети Интернет. Подробнее см. в разделе "Почтовый сервер".
Автоответчик для почты
Активирует автоответчик на почтовом ящике.
Ограничения
Раздел включает в себя различные наборы правил, ограничивающих доступ пользователя в сеть Интернет. В таблице ниже представлено описание
каждого из наборов.
Настройки ограничений
Ограничения
пользовательского
сетевого фильтра
Назначение предопределенных групп правил пользовательского сетевого фильтра на учетную запись или группу.
Процесс управления правилами пользовательского сетевого фильтра подробно описан в разделе "Фаервол".
Ограничения
контент-фильтра
Запрет доступа к определенным категориям web-ресурсов с помощью контент-фильтра.
Ограничение
возможности авторизации
Запрет (разрешение) авторизации с указанного диапазона IP-адресов (предназначен для всех видов авторизации, кроме
авторизации по IP).
Ограничения по времени
подключения
Установление интервалов времени, в которые авторизация разрешена (запрещена).
Меню настроек ограничений доступа пользователя в интернет показано на этом фрагменте экрана.
Статистика
Строго говоря, этот раздел не предназначен для настройки. Его задача – предоставление статистики потребления трафика по конкретной учетной
записи пользователя или по группе. Вам необходимо определить критерии, которые будут использованы для вывода статистической информации. В
таблице ниже представлен перечень основных критериев, а также дополнительных, доступ к которым вы сможете получить, нажав на ссылку "Дополнит
ельно".
Критерии для вывода статистических данных
Дата от
Дата начала периода, за который необходимо вывести статистику.
Дата до
Дата конца периода, за который необходимо вывести статистику.
Группировка
Разбить данные о трафике по пользователям, которые его генерировали.
Отдельно по пользователям
Разбить данные о трафике по пользователям, которые его генерировали.
Отдельно по подсетям
Разбить данные о трафике по правилам в профилях.
Src-порт
Диапазон сетевых портов источника трафика.
Dst-порт
Эквивалент МБ трафика в усновных единицах.
Стоимость
Эквивалент МБ трафика в усновных единицах.
Объем
Количество МБ трафика за указанный период.
Протокол
Сетевой протокол.
Направление
Направление трафика, входящий или исходящий.
Тариф
Профиль, определяющий стоимость МБ трафика.
Подсеть
Категория трафика, определённая в профиле.
Меню с настройками вывода статистических данных показано ниже.
Финансы Раздел "Финансы" предлагает гибкий инструмент, который может быть использован для решения двух задач. Несмотря на то, что настройки
предназначены для предоставления доступа в интернет на платной основе, основная задача данного раздела – управление персональными и групповыми
квотами на потребляемый трафик. Здесь вы можете встретить большое количество различных параметров, каждый из которых описан в этой таблице.
Настройки персональных и групповых квот
Период
Период, на который устанавливается квота.
Выделить на период
Количество условных единиц трафика, выделяемых пользователю на период.
Предупреждать при
остатке
Когда баланс достигнет указанного значения, отправлять пользователю уведомление на почту или на Ideco Agent.
Просмотр
ограничений
родителя
Разрешить пользователю просматривать ближайшее ограничение баланса вышестоящих групп.
Администратор
финансовый
Разрешить пользователю изменять финансовые параметры пользователей в своей группе и подгруппах.
Порог отключения
Когда баланс достигнет указанного значения, пользователю будет заблокирован доступ к сетям, отмеченным в профиле
флажком "Блокировать при превышении лимита".
Абонентская плата
Автоматическое списание суммы со счета пользователя за каждый период, совпадающий с периодом автоматического
обнуления баланса.
Обнуление баланса,
дата
Позволяет обнулить баланс пользователя в указанный день, в дальнейшем баланс будет обнуляться с заданной
периодичностью. При этом поля "Остаток", "Расход" и "Оплата" тоже обнуляются.
Отключить по дате
После указанной даты запретить пользователю авторизацию.
Интеграция с Active Directory
В Ideco ICS реализована возможность односторонней синхронизации с контроллером домена на базе Microsoft Active Directory. При этом
импортируются только учетные записи, исключая пароли. Это означает, что при прохождении пользователем процедуры аутентификации, проверка
будет осуществляться средствами Active Directory.
Подготовка
Во-первых, чтобы настроить синхронизацию с контроллером домена, вам необходимо перейти в меню Сервер -> Сетевые параметры. В этом разделе
вам необходимо активировать следующие пункты, показанные на фрагменте экрана ниже.
Включить авторизацию через LDAP/AD;
Включить авторизацию VPN/PPPoE через домен.
Выполните мягкую перезагрузку Ideco ICS.
Теперь приступим к импорту пользователей из Active Directory.
1. Создайте новую группу пользователей;
2. В настройках группы установите признак "Синхронизация с LDAP/AD".
Ввод Ideco ICS в домен
После этого появится кнопка "Настройки LDAP/AD", нажмите её. Теперь вам предстоит ввести Ideco ICS в домен. Для этого в появившемся окне
необходимо указать значения нескольких параметров, описанных в таблице ниже.
Ввод в домен
IP-адрес сервера AD
Укажите IP-адрес, по которому доступен сервер Active Directory.
Имя домена
Укажите имя домена.
Логин администратора домена
Укажите логин администратора домена.
Пароль администратора домена
Укажите пароль от учетной записи администратора домена.
Форма включения сервера Ideco ICS в домен Windows показана ниже.
В логине и пароле администратора домена не должно быть спец. символов и кириллицы.
После заполнения всех полей нажмите кнопку "Ввести в домен". Если все было сделано правильно, то вскоре вы увидите окно импорта пользователей.
Если при вводе сервера в домен появилось сообщение "Сервер не отвечает", то перейдите в Сервер -> DNS-сервер и настройте forward-зону с
полным именем вашего домена (например office.local) и IP-адресом вашего контроллера домена.
Импорт учетных записей
Теперь, когда Ideco ICS введен в домен, приступим к импорту учетных записей пользователей. В появившемся после ввода в домен окне вам
необходимо указать значения следующих параметров, описанных в таблице ниже. Значительная часть параметров будет заполнена автоматически. Импорт учетных записей из AD
IP-адрес сервера AD
Укажите IP-адрес, по которому доступен сервер Active Directory.
Имя домена
Укажите имя домена.
LDAP группа
LDAP группа сервера Active Directory, в которой хранятся учетные записи пользователей.
Кавычки (и спецсимволы) в названии OU группы недопустимы!
Логин администратора домена
Укажите логин администратора домена.
Пароль администратора домена
Укажите пароль от учетной записи администратора домена.
Форма настройки LDAP/AD показана ниже.
Нажмите кнопку "Импортировать пользователей", и в появившемся дереве пользователей Active Directory отметьте те группы и учетные записи
пользователей, которые вы желаете импортировать в Ideco ICS. Дерево LDAP/AD проиллюстрировано ниже.
пользователей, которые вы желаете импортировать в Ideco ICS. Дерево LDAP/AD проиллюстрировано ниже.
Завершив выбор, нажмите кнопку "Импортировать".
Если вы импортируете пользователей из стандартной группы Users, то для успешного импорта надо вручную отредактировать
Запрос (basedn) и вместо OU=Users написать CN=Users.
По умолчанию одним запросом с контроллеров домена на базе Windows можно забрать не более 1000 пользователей чтобы обойти
это ограничение можно импортировать пользователей частями в разные группы из разных ОU, либо воспользоваться
рекомендациями на сайте компании Microsoft:
http://support.microsoft.com/kb/315071
http://support.microsoft.com/kb/2009267
Возможные проблемы с AD
Если группа, импортированная из AD, перестала синхронизироваться с доменом, либо при повторной синхронизации вы получаете пустой список
пользователей, либо вы получаете ошибку подключения к домену, то надо:
1. Провести повторный ввод группы в домен нажав кнопку "Настройки LDAP/AD" в свойствах группы.
2. Если эта процедура не помогает, значит что-то пошло не так и нужно по новой ввести Ideco ICS в домен. Для этого надо:
a. Удалить все импортированные группы из Ideco ICS и из корзины. Внимание, все настройки связанные с учетными записями (правила
фаервола, контент-фильтра) будут утрачены!
b. Произвести мягкую перезагрузку Ideco ICS.
c. Создать новую группу в Ideco ICS и заново настроить для нее синхронизацию с AD.
Проверка пользователя
Возможность учетной записи авторизоваться и подключиться к серверу, а также получить доступ в сеть Интернет зависит от большого количества
параметров: как от ее собственных, так и от настроек родительских групп. Не удивительно, что иногда случаются ситуации, когда, казалось бы, при
корректных настройках пользователь все же не может получить доступ в сеть.
Для того, чтобы проверить правильность настройки или определить причину, по которой пользователь не может подключиться или выйти в интернет, в
Ideco ICS реализована функция "Проверка возможности подключения и работы в интернет". Она позволяет быстро определить причину, избавляя
системного администратора от рутинной работы по проверке всех параметров вручную.
Для проверки учетной записи выберите ее и нажмите на ссылку "Проверить возможность подключения". Доступные действия с учетной записью
пользователя показаны ниже.
В результате работы функции проверки будет выдано одно из следующих сообщений, рассмотренных в этой таблице.
Сообщение
Описание
Пользователь отключен
Учетная запись пользователя деактивирована. Вы можете включить ее в разделе настроек учетной записи.
Отключен один из
родителей
Группа, которой принадлежит учетная запись пользователя, деактивирована. Вы можете включить ее в разделе настроек
учетной записи.
В ветке нет
финансово-ответственного
При настроенном контроле финансовых пользователей в каждой ветке должен присутствовать пользователь финансовый администратор, полномочия которого распрстраняются на все подгруппы. Используется провайдерами,
ведущими работу с отчетными документами по предоставлению трафика клиентам. Ошибка возникает при наличии
группы (ветви) без финансового администратора. Пользователь ветви в таком случае авторизованы не будут.
Параметры указаны верно,
превышен лимит
Все параметры учетной записи пользователя указаны корректно. Отсутствие доступа в интернет вызвано превышением
установленного лимита трафика.
Все параметры
пользователя указаны
верно
Все параметры учетной записи пользователя указаны корректно. Доступен выход в сеть Интернет.
Пользователь не
существует
Учетная запись пользователя не существует.
Пользователь удален
Учетная запись пользователя была удалена.
Структура пользователей
нарушена
Нарушены связи в древовидной структуре списка пользователей и групп в базе данных. Как правило, это связано с
серьезными нарушениями в структуре БД и требует вмешательства службы технической поддержки.
Нет профиля
Пользователю не назначен профиль.
Профиль отключен
Профиль, назначенный на учетную запись пользователя, деактивирован.
Пул IP-адресов отключен
Пул IP-адресов, назначенный на учетную запись пользователя, деактивирован.
Типы авторизации
Процесс авторизации – необходимое условие для доступа пользователя в сеть Интернет. Существует несколько способов авторизации, с которыми вы
можете ознакомиться в текущем подразделе.
Все виды авторизации на Ideco ICS являются IP-based (работают на основе IP адреса хоста) и любая сессия авторизации привязана к IP хоста с которого
она установлена.
Поэтому, при любом типе авторизации, авторизоваться одновременно под одной учетной записью с нескольких хостов не получится.
Авторизация по IP-адресу
Данный тип авторизации предполагает, что авторизация пользователя будет осуществляться только по его IP-адресу и/или MAC-адресу.
Прежде всего убедитесь в том, что в разделе Сервер -> Сетевые параметры активирован пункт "Включить авторизацию по IP", показанный ниже.
Чтобы включить авторизацию по IP-адресу, перейдите в общие настройки соответствующей учетной записи и включите авторизацию по IP. Также
необходимо назначить IP-адрес устройству, с которого пользователь будет получать доступ в сеть Интернет. Это можно сделать вручную или
воспользоваться возможностью автоматического выбора из пула адресов (в случае, если пул адресов указан), нажав на соответствующую кнопку в
web-интерфейсе. Форма назначения IP-адреса устройства представлена ниже.
Для включения дополнительной привязки по MAC-адресу его также необходимо указать в соответствующем поле. Вы можете сделать это вручную или
автоматически. Учтите, что для автоматического получения MAC-адреса сетевое устройство должно быть включено.
Авторизация по PPPoE
Авторизация по протоколу PPPoE предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и сервером.
Аутентификация пользователя осуществляется по связке Логин/Пароль. При данном типе авторизации не требуется назначение IP-адреса рабочей
Аутентификация пользователя осуществляется по связке Логин/Пароль. При данном типе авторизации не требуется назначение IP-адреса рабочей
станции, так как IP-адрес будет автоматически назначен в случае успешной аутентификации и создания защищенного сетевого туннеля.
Прежде всего убедитесь, что в меню Сервер -> Сетевые параметры активирован пункт "Включить PPPoE сервер", показанный далее.
Теперь вы можете настроить авторизацию пользователей по протоколу PPPoE. Перейдите в общие настройки соответствующей учетной записи и
включите пункт "Авторизация по VPN PPTP, PPPoE", показанный ниже.
Также необходимо убедиться в том, что для учетной записи указаны логин и пароль, которые пользователь будет использовать для аутентификации.
Форма для логина и пароля проиллюстрирована ниже.
Дополнительно необходимо указать IP-адрес. Он будет назначаться устройству, с которого осуществляется аутентификация пользователя. Вы можете
указать IP-адрес вручную или воспользоваться функцией автоматического выбора из пула адресов (в случае если выбран пул), нажав на
соответствующую кнопку в web-интерфейсе. Форма для назначения IP-адреса показана ниже.
Авторизация по PPTP
Данный тип предполагает авторизацию по защищенному сетевому туннелю между сетевым устройством пользователя и интернет-шлюзом Ideco ICS.
Для аутентификации пользователя применяется связка логин/пароль. Для авторизации по протоколу PPTP необходимо назначить IP-адрес сетевому
устройству, а также настроить на нем подключение по протоколу PPTP с указанием IP-адреса интернет-шлюза Ideco ICS в качестве адреса
PPTP-сервера. При успешной аутентификации и установлении сетевого туннеля сетевому устройству будет автоматически назначен дополнительный
IP-адрес для получения доступа к ресурсам сети Интернет. Использование авторизации по PPTP никак не отражается на возможности доступа сетевого
устройства к ресурсам локальной сети.
Прежде всего убедитесь, что в меню Сервер -> Сетевые параметры активирован пункт "Включить PPTP сервер", представленный ниже.
Теперь вы можете настроить авторизацию пользователей по протоколу PPPoE. Перейдите в общие настройки соответствующей учетной записи и
включите пункт "Авторизация по VPN PPTP, PPPoE", показанный далее.
Также необходимо убедиться в том, что для учетной записи указаны логин и пароль, которые пользователь будет использовать для аутентификации.
Форма для логина и пароля приведена ниже.
Дополнительно необходимо прописать IP-адрес. Он будет назначаться устройству, с которого осуществляет аутентификацию пользователь. Вы можете
указать его вручную или воспользоваться функцией автоматического выбора из пула адресов (в случае, если выбран пул), нажав на соответствующую
кнопку в web-интерфейсе. Форма для назначения IP-адреса приведена на фрагменте экрана ниже.
Авторизация через Ideco Agent
Для управления доступом в интернет пользователей, у которых установлен способ авторизации "Ideco Agent" либо "Ideco Agent + IP", используется
специализированная программа-агент. Доступ будет обеспечен только в то время, когда пользователь авторизован с помощью этой программы.
Программа должна быть установлена на рабочей станции пользователя или запускаться с удаленного сервера при входе в систему, что возможно в
случае использования в сети домена Active Directory.
Программа-агент не влияет на другие механизмы авторизации. В случае применения последних ее можно использовать для просмотра состояния
баланса и приема сообщений.
Для авторизации с помощью программы-агента необходимо загрузить программу с локального web-сайта и сохранить ее в произвольный каталог. Для
скачивания программы-авторизатора Ideco Agent выберите пункт меню "Авторизация", расположенный справа от панели управления на странице
авторизации при входе в систему. Стартовое меню представлено на следующем фрагменте экрана.
Далее вашему вниманию будет предложено описание различных способов доступа в интернет. Нас интересует авторизация с помощью IdecoAgent,
поэтому выбираем следующую ссылку на скачивание "Программа-авторизатор IdecoAgent.exe", показанную на ниже. После нажатия на ссылку начнется
автоматическое скачивание программы.
Необходимым условием успешной авторизации с помощью IdecoAgent является указание в настройках сетевой карты в качестве шлюза и в качестве
сервера DNS локального адреса интернет-шлюза Ideco ICS. При необходимости нужно разрешить в межсетевом экране подключение на сетевой порт
800/TCP из внутренней сети.
После запуска программы необходимо ввести логин и пароль пользователя. Состояние авторизации отображается иконкой в системном лотке.
Возможные состояния представлены в следующей таблице.
Индикация статуса соединения в Ideco-агент
Программа не активна
Идет подключение к серверу
Доступ в интернет разрешен
Сработал лимит предупреждения
Сработал лимит отключения
Произошла ошибка. Доступ в интернет запрещен.
В контекстном меню иконки доступны пункты, описанные в таблице ниже.
Пункт меню
Значение
Подключить
Отображение диалога подключения.
Отключить
Отключиться от сервера.
Информация
Отобразить информацию о подключении к интернет – баланс, порог отключения и т.д.
Запускаться при входе в систему
Установить автоматический запуск программы при входе в Windows.
О программе
Вывод информации о программе авторизации.
При использовании Ideco Agent в домене AD рекомендуется расположить IdecoAgent.exe на общем сетевом ресурсе и установить в
политике входа в домен запуск приложения IdecoAgent.exe с ключом domain. Таким образом, запуск агента будет централизован, и
не потребуется его установка на каждый компьютер.
При смене локального адреса Ideco ICS обязательно нужно повторно скачать Ideco Agent с сайта, поскольку локальный адрес сервера
встраивается в приложение при скачивании.
При использовании VPN-соединения с сервером для авторизации Ideco Agent работает, но его функциональность ограничена только
просмотром статистики и отображением сообщений. Сам Ideco Agent VPN-соединение не устанавливает.
Для использования Ideco Agent при других типах авторизации для просмотра баланса убедитесь, что в профиле, который назначен
пользователю, не запрещен трафик локальной сети при превышении баланса. Для этого в web-интерфейсе сервера перейдите в
раздел Профили -> Профили выхода в интернет -> Профиль, указанный у пользователя -> Локальная сеть -> Редактировать
(пиктограмма "Карандаш", расположенная в пункте "Действия") -> Блокировать при превышении лимита. Убедитесь, что этот пункт
не отмечен. Результат представлен на фрагменте ниже.
Авторизация через web-интерфейс
Данный тип авторизации предполагает, что любой запрос неавторизованного пользователя, сделанный через web-браузер, будет перенаправляться на
специальную страницу авторизации Ideco ICS. Для этого типа авторизации в качестве шлюза по умолчанию и DNS-сервера обязательно должен быть
указан IP-адрес локального сетевого интерфейса Ideco ICS.
Убедитесь в том, что в разделе Сервер -> Сетевые параметры активированы следующие пункты: "Включить другие способы авторизации" и "Авторизаци
я через web-интерфейс", представленный ниже.
Установите для соответствующей учетной записи пользователя тип авторизации "Через web". Теперь при попытке пользователя открыть с помощью
web-браузера какой-либо ресурс в сети Интернет запрос будет переадресован на страницу авторизации. Процесс выхода пользователя в интернет
представлен на фрагменте ниже.
После прохождения пользователем web-авторизации доступ в сеть Интернет будет предоставлен до тех пор, пока авторизация не будет принудительно
отменена. Для этого пользователю необходимо открыть в браузере web-интерфейс Ideco ICS и нажать кнопку "Отключить". Процесс отключения
авторизации вы можете увидеть ниже.
Одновременная работа авторизации через веб-интерфейс и NTLM-аутентификации невозможна.
В настройках пользователя в Ideco так же доступен тип авторизации "IP+Web", отличие которого от Web авторизации заключается в возможности
авторизации по логину и паролю только с хоста сети имеющего IP-адрес указанный у учетной записи этого пользователя. С других хостов авторизация
под этой учетной записью будет невозможна даже при правильно введенной связке логин/пароль в браузере.
NTLM-авторизация
Данный тип авторизации является разновидностью авторизации через web-интерфейс. Он разработан специально для авторизации учетных записей,
которые были импортированы из Active Directory. В таблице ниже описаны два типа NTLM-авторизации.
NTLM-авторизация
Принудительная
Требует ручного ввода логина и пароля в специальном окне web-браузера.
Прозрачная
Если пользователь операционной системы Windows ранее осуществил вход в домен, то в этом случае web-браузер попытается
осуществить авторизацию автоматически с использованием введенных ранее реквизитов. Этот тип авторизации работает только с
web-браузером Internet Explorer. Большинство других распространенных браузеров не поддерживают технологию
NTLM-авторизации, поэтому при их использовании придётся вручную ввести логин и пароль.
Принудительная NTLM-авторизация
Убедитесь в том, что в разделе Сервер -> Сетевые параметры активированы следующие пункты: "Включить другие способы авторизации" и "NTLM-ауте
нтификация через Active Directory", представленные на фрагменте ниже.
Одновременная работа авторизации через веб-интерфейс и NTLM-аутентификации невозможна.
Теперь необходимо настроить учетную запись пользователя. Перейдите в общие настройки соответствующей учетной записи и включите авторизацию
типа "Через Web". Теперь, при попытке пользователя открыть с помощью web-браузера какой-либо ресурс в сети Интернет, появится специальное окно
для ввода логина и пароля.
Прозрачная NTLM-авторизация
Для настройки прозрачной NTLM-авторизации откройте в web-браузере Internet Explorer меню Свойства обозревателя -> Безопасность. В появившемся
меню выберите зону "Интернет" и нажмите на кнопку "Другой". В появившемся окне найдите параметры Проверка подлинности пароля -> Вход и
выберите "Автоматический вход в сеть с текущим именем пользователя и паролем". Настройка прозрачной NTLM-авторизации показана ниже:
Эти опции наследуются и другими установленными в системе браузерами, поэтому для доступа в интернет вы можете использовать,
например, Mozilla Firefox или Google Chrome.
Туннельные протоколы VPN
В текущем подразделе рассматривается технологии построения защищенных каналов связи.
IPsec
Данный тип соединения позволяет объединять локальные сети нескольких серверов шлюзом в которых является Ideco ICS (site-to-site vpn), а также
подключать устройства, поддерживающие L2TP/IPsec: компьютеры, мобильные устройства и сетевое оборудование (client-to-site).
Настройка подключения сетевого оборудования к шлюзу Ideco ICS по L2TP/IPsec для организации site-to-site подключений м/у локальными сетями
описана в разделе Подключение удалённых пользователей.
Особенности реализации технологии IPsec в Ideco ICS предполагают две роли использования Ideco ICS.
Главный офис: Ideco ICS может иметь публичный адрес в сети Интернет и принимать подключения от других шлюзом Ideco ICS (Филиалы),
сетевого оборудования, рабочих станций по сети Интернет (Удаленные пользователи)
Филиал: Ideco ICS подключающийся к главному офису и, как правило, не имеющий публичного адреса в сети Интернет. С другой стороны если
филиал имеет публичный адрес, то к нему тоже можно подключать любые устройства.
Удалёнными пользователими могут быть любые устройства, поддерживающие подключения по протоколу L2TP/IPsec: компьютеры, мобильные
устройства, сетевое оборудование. Они могут подключаться как к главным офисам, так и к филиалам, если у последних есть публичный адрес в сети
Интернет.
Настройка подключения между Филиалом и Главным офисом
Добавление Главных офисов и Филиалов производится на вкладке Настройки в подразделах IPsec главный офис и IPsec филиалы раздела Сервер.
Добавление Главных офисов и Филиалов производится на вкладке Настройки в подразделах IPsec главный офис и IPsec филиалы раздела Сервер.
Перед тем как создавать подключение между филиалом и главным офисом убедитесь, что в каждой из подключаемых сторон
правильно настроена временная зона и включена синхронизация времени по интернет. Без этого установить подключение
невозможно.
Перед настройкой IPsec нужно учесть, что для его работы все IP-подсети, участвующие в соединениях, включая сети главного офиса
и всех филиалов, не должны пересекаться, и тем более, не должны совпадать.
Если на Ideco ICS в филиале настроено несколько локальных подсетей, для каждой подсети на данный момент нужно создать
отдельное подключение к Главному офису.
Перед настройкой соединения нужно убедиться в том, что один из серверов имеет публичный ("белый") IP-адрес от
интернет-провайдера. Если окажется, что главный офис не имеет публичного IP-адреса, а филиал имеет такой адрес, то роли
серверов для этого соединения следует поменять местами.
Шаг 1. Создание подключения в Филиале
Сделать следующие настройки на Ideco ICS расположенной в филиале:
1. Открыть раздел Сервер -> IPsec филиалы -> Настройки в веб-интерфейсе филиала.
2. Нажать кнопку Добавить главный офис.
3. Заполнить поля:
- Название главного офиса.
- Внешний адрес главного офиса: доменное имя или внешний IP-адрес Главного офиса выданный провайдером.
- Локальная сеть филиала: Введите IP-адрес подсети филиала, которая будет доступна пользователям в главном офисе в формате
192.168.0.0/24.
4. Нажать кнопку Сохранить.
5. Скопировать содержимое поля Настройки филиала и передать его в главный офис, к которому производится подключение.
Шаг 2. Создание подключения в главном офисе
Сделать следующие настройки на Ideco ICS расположенной в главном офисе, к которому производится подключение:
Открыть раздел Сервер -> IPsec главный офис -> Настройки.
Нажать кнопку Добавить филиал.
Заполнить предлагаемые поля:
- Название филиала.
- Настройки филиала: вставьте в это поле настройки полученные из Филиала после выполнения шага 1.
- Локальная сеть главного офиса: Введите IP-адрес подсети филиала, которая будет доступна пользователям в главном офисе в формате
192.168.0.0/24.
Нажать кнопку Сохранить.
Скопировать содержимое поля Настройки главного офиса и передать его в филиал, к которому производится подключение.
Шаг 3. Окончательная настройка филиала
1.
2.
3.
4.
5.
Открыть раздел Сервер -> IPsec филиалы -> Настройки.
Выбрать нужный главный офис, нажать кнопку Редактировать.
Вставить в поле Настройки главного офиса текст настроек, полученный из Главного офиса.
Нажать кнопку Сохранить.
Открыть раздел Сервер -> IPsec филиалы -> Подключения, убедиться что подключение к главному офису установлено.
Управление подключениями
На вкладке Подключения выводится статус настроенных подключений и кнопка для переподключения.
Нажатие кнопки Разорвать подключение в главном офисе приведёт к разрыву существующего соединения, при этом филиал сразу же
автоматически произведёт переподключение.
Нажатие кнопки "Переподключение" в филиале - разрывает существующее подключение к главному офису и открывает новое.
Подключение удалённых пользователей
Если у вас возникнут вопросы по подключению сетевого оборудования с помощью L2TP/IPsec, вы можете обратиться в отдел технической поддержки.
Разрешить подключение удалённых пользователей по протоколу L2TP/IPsec
1. Перейдите в раздел Сервер -> IPsec пользователи.
2. Отметьте чекбокс Разрешить подключения пользователей. Снятие галочки отключает всех подключенных по L2TP/IPsec пользователей и
2. Отметьте чекбокс Разрешить подключения пользователей. Снятие галочки отключает всех подключенных по L2TP/IPsec пользователей и
делает их подключение невозможным.
3. Смените PSK по умолчанию. Pre-shared key - это строка, которую необходимо будет вводить в настройках подключения по L2TP/IPsec на
оконечных устройствах.
При смене Pre-shared key все подключённые в данный момент удалённые пользователи будут отключены и подключиться более не смогут.
Для восстановления возможности подключиться – укажите PSK который был настроен у удалённых пользователей.
Для каждого удалённого устройства требуется добавить пользователя в Ideco ICS
1. Зайти в веб-интерфейс и создать пользователя для удалённого подключения.
2. Задать пользователю логин, пароль, выбрать тип авторизации VPN.
Настройка устройств
1.
2.
3.
4.
Создать новое VPN-подключение.
Выбрать тип подключения L2TP/IPsec.
Ввести PSK сконфигурированный в Ideco ICS, к которому производится подключение.
Ввести логин и пароль пользователя, созданного в Ideco ICS для удалённого подключения.
Ideco ICS для подключения стороннего оборудования по IPsec поддерживает следущие алгоритмы шифрования между клиентом и
сервером: AES, Blowfish, Camellia, Serpent, Twofish, 3DES.
Выбор алгоритма шифрования производится автоматически в процессе установки связи м/у клиентом и сервером. Будет выбран
самый надежный и оптимальный алгоритм шифрования. В деле выбора алгоритма шифрования стоит довериться выбору сервера и
стараться не переопределять алгоритм самостоятельно. Поэтому по возможности следует настраивать автоматический выбор
алгоритма шифрования на клиентском оборудовании.
Если автовыбор невозможен, то советуем выбирать AES-шифрование, как самое популярное, надежное, зачастую имеющие апп.
поддержку в процессорах различного оборудования и серверов.
Во вторую очередь советуем останавливать выбор на тех алгоритмах шифрования (из списка поддерживаемых нашим сервером
выше) которые имеют аппаратную поддержку на стороне клиентского оборудования, если таковая вообще есть.
В последнюю очередь советуем использовать 3DES шифрование как самое ненадежное. Но в ряде случаев, на старом или бюджетном
оборудовании, случается что только этот алгоритм шифрования доступен для использования.
В случае невозможности установить IPsec подключение клиентского оборудования к Ideco ICS нужно смотреть логи на клиентском
оборудовании и на сервере ICS. На ICS логи касательно процесса установки IPsec/L2TP подключения смотреть тут : /var/log/strongswan/charon.log /var/log/ppp/ppp.log
При установке IPsec туннеля м/у серверами Ideco ICS (Филиалом и Главным офисом) всегда используется 256-битное
AES-шифрование, как очень надежное и распространенное.
OpenVPN
Эта технология построения защищенных каналов связи часто применяется в корпоративных сетях для связи территориально удаленных офисов
предприятия в единую информационную инфраструктуру, обеспечивая обмен информацией между объединяемыми сетями. Возможна настройка
шифрованного туннеля с использованием сертификата сервера и публичного ключа для подключения клиентов.
Сервер Ideco может подключаться по открытому ключу, загруженному на него с другого сервера, или авторизовывать клиентов, используя открытые
ключи, созданные им самим. Таким образом, возможна как выдача сервером собственных публичных ключей, так и подключение к удаленным
серверам, используя сгенерированный ими публичный ключ. В настройке туннеля участвуют два сервера, как правило, являющиеся шлюзами в сеть
Интернет из локальной сети предприятия. Инициировать создание туннеля по технологии OpenVPN может любая из сторон, аутентификация
соединения при этом происходит на сервере путем проверки предоставленного клиентом ключа с сертификатом сервера.
Перед настройкой сетевых интерфейсов нужно убедиться в том, что оба сервера имеют публичный IP-адрес от интернет-провайдера.
Туннель может быть организован как между двумя серверами Ideco ICS, так и между Ideco ICS и другим сетевым устройством, поддерживающем
OpenVPN с аутентификацией по публичным ключам.
Организация туннеля между двумя серверами Ideco ICS
Рассмотрим настройки интерфейса для сервера в центральном офисе, к которому будут подключаться устройсва из других офисов. Для настройки
туннеля перейдите в меню Сервер -> Интерфейсы и создайте новый интерфейс нажатием на кнопку "Добавить". Выберите тип интерфейса "OpenVPN".
Меню выбора подключения по OpenVPN представлено на фрагменте экрана ниже.
После создания интерфейса необходимо его настроить. Для этого нам предстоит определить все параметры, описанные в этой таблице.
Параметр
Описание
Имя
интерфейса
Кратко опишите назначение интерфейса в инфраструктуре вашей сети.
Включен
Отметьте для того, чтобы активировать интерфейс.
Внешний
IP-адрес
Укажите внешний публичный адрес этого сервера.
Локальный
порт
Укажите UDP-порт для установления OpenVPN на стороне этого сервера.
Удалённая
локальная
сеть
Укажите адрес локальной сети удалённого сервера. В зависимости от этого адреса автоматически пропишется маршрут.
Удаленный
внешний
IP-адрес
Укажите публичный IP-адрес удаленного сервера, с которым нужно организовать защищенный канал связи.
Удалённый
порт
Укажите UDP-порт для установления OpenVPN на стороне удалённого сервера.
Удалённый
туннельный
IP-адрес
Укажите защищённый адрес удалённого сервера. По умолчанию это 10.128.0.0, защищённый адрес на удалённом Ideco ICS должен
отличаться от защищённого адреса на этом сервере.
Сгенерировать
ключ
Сгенерируйте публичный ключ, если удаленные сервера должны подключаться к этому серверу. Как правило, центральный офис
предоставляет публичные ключи для подключения удаленных офисов к нему по этому ключу, а удаленные офисы используют ключ
главного сервера для подключения к серверу по этому ключу.
RSA-ключ в
текстовой
форме
Позволяет скопировать содержимое ключа в текстовой форме и отправить его администратору удалённого сервера по ICQ, почте и
т.д.
Скачать ключ
Позволяет сохранить публичный ключ этого сервера на локальной машине для дальнейшей передачи на удаленный сервер. В
дальнейшем удаленный сервер будет подключаться к этому серверу по выданному ему ключу. Как правило, используется в
центральном офисе. Выгрузите ключ для дальнейшей передачи его на сервер в удаленном филиале.
Отправить
ключ
Используется для помещения публичного ключа удаленного сервера на этот сервер для дальнейшего подключения к удаленной
стороне по этому ключу. Как правило, используется в филиалах. Так как мы настраиваем подключение в головном офисе, то мы не
сохраняем на него сторонние ключи, предназначенные для подключения клиентов.
Форма настройки интерфейса для сервера в центральном офисе показана ниже.
Сохраняем настройки интерфейса в головном офисе, нажав кнопку "Сохранить".
Настройки интерфейса OpenVPN на сервере в удаленном офисе будут отличаться тем, что значения параметров локальной сети и параметров удаленной
сети нужно будет симметрично поменять местами, а также поместить на удаленный сервер публичный ключ, сгенерированный на сервере головного
офиса ранее. Форма настройки интерфейса для сервера в удаленном офисе представлена на фрагменте ниже.
После сохранения настроек необходимо сделать мягкую перезагру обоих серверов, в результате туннель между ними должен установиться.
Также для корректного функционирования OpenVPN-туннеля необходимо настроить некоторые параметры. Для этого в web-интерфейсе перейдите в
меню Безопасность -> Дополнительные настройки и выполните следующие действия:
включите маршрутизацию между локальными интерфейсами;
отключите проверку обратного пути (RP_FILTER).
Проверить это можно по индикатору состояния OpenVPN интерфейса. Маршруты между локальными сетями настраиваются автоматически если
правильно заполнено поле "Удалённая локальная сеть" на обоих серверах.
Если на одном конце нет внешнего публичного адреса, то подключение возможно, но для его настройки надо:
- на сервере с внешним публичным адресом оставить пустым поле Удаленный внешний IP-адрес
- на сервере, где нет внешнего публичного адреса, оставить пустым поле Внешний IP-адрес
При настройке OpenVPN между Ideco ICS 4 и Ideco ICS 5 необходимо использовать стандартный порт 1194, поскольку в Ideco ICS 4
его нельзя менять.
К одному Ideco ICS 5 можно подключить несколько серверов по OpenVPN, но в этом случае на каждом новом соединении надо
менять порты. Соответственно, между Ideco ICS 4 и Ideco ICS 5 можно настроить только один туннель.
менять порты. Соответственно, между Ideco ICS 4 и Ideco ICS 5 можно настроить только один туннель.
VPN
Вы можете объединить в единую сеть удаленные офисы и филиалы предприятия. Для этого в каждом офисе должен быть установлен интернет-шлюз
Ideco ICS, между которыми устанавливаются VPN-соединения с применением протокола PPTP. Процесс настройки включает в себя два следующих
этапа:
Подготовка интернет-шлюза и конфигурирование локальных сетей;
Создание VPN-туннелей и настройка маршрутизации.
Подготовка интернет-шлюза и конфигурирование локальных сетей
Для объединения локальных сетей офисов вам необходимо обеспечить в них уникальность пространства IP-адресов. В каждом офисе должна быть своя
уникальная сеть. В противном случае, при создании VPN-туннеля вы можете столкнуться с некорректной работой подсистемы маршрутизации.
В нашем примере мы рассмотрим объединение сетей двух офисов. Настройте вашу сеть и интернет-шлюз Ideco ICS в соответствии с данными,
описанными в таблице ниже.
Параметр
Офис №1
Офис №2
Пространство IP-адресов
IP-адрес: 192.168.0.0
Маска сети: 255.255.255.0
IP-адрес: 192.168.1.0
Маска сети: 255.255.255.0
Локальный IP-адрес сервера Ideco ICS
IP-адрес: 192.168.0.1
Маска сети: 255.255.255.0
IP-адрес: 192.168.1.1
Маска сети: 255.255.255.0
Защищенный IP-адрес сервера Ideco ICS
IP-адрес:10.128.0.0 (защищенный адрес Ideco ICS по умолчанию)
IP-адрес: 10.129.0.0
Также для корректного функционирования VPN-соединения необходимо настроить некоторые параметры. Для этого в web-интерфейсе перейдите в
меню Безопасность -> Дополнительные настройки и выполните следующие действия:
включите маршрутизацию между локальными интерфейсами;
разрешите VPN-соединения из интернета;
отключите проверку обратного пути (RP_FILTER).
Форма настройки параметров VPN-соединения показана ниже.
После настройки нажмите кнопку "Сохранить" и выполните мягкую перезагрузку интернет-шлюза.
Создание VPN-туннелей и настройка маршрутизации
Настройка интернет-шлюза Ideco ICS в офисе №1
Необходимо выполнить следующие действия:
Создать учетную запись пользователя, например office2, от имени которой сервер Ideco ICS в офисе №2 будет осуществлять подключение к
серверу Ideco ICS в офисе №1.
Разрешить созданной учетной записи удаленное подключение из интернета, а также убедиться в том, что ей назначен IP-адрес из адресного
пространства офиса №1 (например, 10.128.0.10).
Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перейдите в меню Сервер -> Сетевые параметры -> Маршруты и
нажмите кнопку "Добавить". На экране появится форма добавления маршрута, которая приведена на фрагменте ниже. Укажите необходимые
значения и нажмите кнопку "Сохранить". Нам необходимо добавить следующие маршруты:
192.168.1.0/255.255.255.0 10.128.0.10
10.129.0.0/255.255.0.0 10.128.0.10
Настройка интернет-шлюза Ideco ICS в офисе №2
Необходимо выполнить следующие действия:
Создать новый интерфейс типа PPTP. В качестве роли используйте Local, а в качестве внешнего IP-адреса – внешний адрес интернет-шлюза
Ideco ICS в офисе №1. В качестве логина используйте имя учетной записи, которая была создана на сервере в офисе №1 (в нашем примере –
office2). Обязательно установите галочку "Шифрование MPPE". Далее представлены настройки интернет-шлюза.
Добавить маршруты в таблицу маршрутизации. Для этого в web-интерфейсе перейдите в меню Сервер -> Сетевые параметры -> Маршруты и
нажмите кнопку "Добавить". На экране появится форма добавления маршрута, которая показана на фрагменте ниже. Укажите необходимые
значения и нажмите кнопку "Сохранить". Нам необходимо добавить следующие маршруты:
192.168.0.0/255.255.255.0 4
10.128.0.0/255.255.0.0 4
Где 4 – идентификатор созданного PPTP-интерфейса (в вашем случае он может быть другим).
После добавления маршрута необходимо выполнить мягкую перезагрузку сервера Ideco ICS.
Службы
В текущем подразделе описываются различные службы, оптимизирующие работу интернет-шлюза Ideco ICS.
Сервер DNS
Сервер DNS играет одну из важнейших ролей в работе сети Интернет: он преобразует человеко-читаемые имена серверов в IP-адреса. В состав Ideco
ICS входит полнофункциональный DNS-сервер не требующий дополнительной настройки для работы базовой функциональности. В частности, если
провайдер не выдал DNS-серверы вашему шлюзу, или они не работают, или вас не устраивает их работа, то разрешение доменных имен в сети Интернет
будет возможно даже в случае если DNS-сервера не указаны в настройках Ideco ICS.
Служба DNS на сервере Ideco ICS служит для нескольких целей и настраивается в одном разделе веб-интерфейса: Сервер -> DNS-сервер. Помимо
основного своего назначения, создания и обслуживания DNS-зон доменов (Вкладка Master-зоны), служба DNS позволяет задать DNS-серверы во
внешних сетях, через которые принудительно будут разрешаться все имена в сети Интернет (Вкладка Внешние DNS-серверы) запрашиваемые
клиентами локальных сетей обслуживаемых Ideco ICS. Традиционно мы предоставляем возможность указывать hosts-записи на сервере Ideco ICS
доступные всем клиентам Ваших локальных сетей (Вкладка Записи hosts). Так же функциональность DNS-сервера была расширена возможностью
указывать сторонние DNS-серверы (в локальных или внешних сетях относительно Ideco ICS) с указанием конкретных DNS-зон, которые эти сервера
обслуживают (Вкладка Forward-зоны). Перечисленные возможности DNS-сервера не являются взаимоисключающими, дополняют друг друга и могут
использоваться совместно, в зависимости от поставленных перед Вами задач. Рассмотрим все возможные стороны конфигурации службы DNS
подробнее.
Внешние DNS-серверы (с версии 5.6.0)
Для нормальной работы резолвинга имен в сети Интернет через Ideco ICS указывать DNS-серверы в этом разделе не требуется. Сервер будет разрешать
имена в сети Интернет используя корневые DNS-серверы при наличии подключения к Интернет. Или администратор может указать DNS-серверы
провайдера в этом разделе. DNS-серверы полученные от провайдера автоматически отображаются в подразделе DNS-серверы, выданные подключению.
DNS-серверы, требующие явного указания, можно прописать в подразделе DNS-серверы, заданные вручную. С другой стороны иногда, вне зависимости
от полученных от провайдера DNS-серверов, возникает необходимость использовать для резолвинга имен ресурсов сети Интернет только определенные
DNS-сервера, игнорируя все остальные. Это может быть полезным при использовании фильтрации контента в сети Интернет на основе безопасных
DNS-сервисов, например SkyDNS или SafeDNS. Так же в случае недоверия или некачественной работы DNS-сервров выданных провайдером вы можете
там же указать сторонний DNS-сервер, через который будут разрешаться имена в Интернет в принудительном порядке.
В будущем станет возможно предотвращение попыток клиентами локальной сети обойти блокировки русурсов настроенные администратором сети
используя сторонние DNS-сервера, указав сторонний DNS-сервер через который будут разрешаться имена в Интернет в принудительном порядке.
Master-зоны DNS
С помощью DNS-сервера Ideco ICS вы можете создавать master-зоны для вашей внутренней инфраструктуры. Master-зоны с настроенными в них
DNS-записями позволят вам использовать Ideco ICS как сервер имен внутри вашей сетевой инфраструктуры для обращения к IP-адресам хостов в сети
по доменным именам. Создавая, например, зону .office на сервере Ideco ICS и наполняя ее DNS-записями соответствия имен хостов в зоне .local их
IP-адресам вы получите полнофункциональный DNS-сервер разрешающий имена (например printer.office) в IP-адреса сетевых устройств в локальной
сети (например: 192.168.1.10).
DNS-сервер на Ideco ICS может выступать держателем master-зоны для вашего публичного домена, полученного у регистратора. Для этого вам нужно
сослаться на внешний публичный IP-адрес Ideco ICS (сервер ICS должен быть доступен в сети Интернет по публичному адресу) в настройках вашего
домена у регистратора с помощью записи "NS". За подробностями по настройке NS-записи обратитесь к регистратору вашего публичного домена. После
делегирования управления master-зоной Вашего публичного домена серверу Ideco ICS вы можете создать master-зону по имени Вашего публичного
домена (например example.com) и начать настраивать имена устройств в вашем домене в разделе master-зоны. Имейте ввиду что мы не рекомендуем
держать master-зоны для публичных доменов на собственных серверах и рекомендуем доверить этот сервис компаниям, специализирующимся на этом и
гарантирующим постоянную доступность DNS-сервера обсуживающего Ваш публичный домен в сети Интернет.
Forward зоны (с версии 5.6.0)
В этом разделе можно явно задать DNS-сервер для разрешения имен конкретной DNS-зоны. Указав DNS-сервер доступный в сети и зону которую он
обслуживает клиенты сети Ideco ICS получают возможность обращаться к ресурсам этой зоны по именам домена, обслуживаемого ей. Например,
провайдер предоставляет ресурсы для своих клиентов в зоне ".provider" под именами "mediahosting.provider, fileserver.provider" и использует для этого
провайдер предоставляет ресурсы для своих клиентов в зоне ".provider" под именами "mediahosting.provider, fileserver.provider" и использует для этого
DNS-сервер 82.82.82.82. Для возможности доступа к этим ресурсам по доменным именам укажите forward-зону провайдера как provider и далее задайте
DNS-сервер 82.82.82.82 в подразделе DNS-серверы, заданные вручную.
Записи hosts
Не создавая master-зоны, можно в индивидуальном порядке переопределить соответствие IP-адресов хостов желаемым доменным именам. Работает
аналогично одноименной технологии в операционных системах Linux и Windows за тем исключениям, что доменные имена, указанные для хостов здесь,
будут доступны всем клиентам сети использующим Ideco ICS в качестве DNS-сервера. Может быть полезно для блокировки отдельных ресурсов в сети
Интернет, переопределяя их доменное имя тут или для возможности обращения к некоторым хостам внутри сети по доменным именам.
Почтовый сервер
В Ideco ICS встроен полноценный почтовый сервер. При этом мы постарались предоставить максимальную гибкость в его настройке. В данном разделе
приводится инструкция по настройке почтовой службы, а также по применению дополнительных возможностей, таких как web-почта, автоматический
ответчик и другие.
Для удобства мы выделим несколько основных этапов настройки и разберем отдельно каждый из них.
Подготовка к настройке
Настройка почтового сервера
Общие настройки
Безопасность
Расширенные настройки
Ручная настройка
Автоматизированная настройка
Настройка почтовой программы для работы с сервером
Настройка почтовой программы при работе из локальной сети
Настройка почтовой программы при работе из Интернет
Рекомендации по защите сервера
Web-почта
Web-почта
Дополнительные возможности
Настройка Ideco ICS в качестве релея для почтового сервера в локальной сети
Синхронизация с удаленным почтовым сервером в Интернете с помощью Fetchmail
Почтовые правила для переадресации почты
Почтовые правила для ограничения почты
Подготовка к настройке
Для создания почтового сервера вам потребуется доменное имя. Вы можете зарегистрировать его либо у интернет-провайдера, предоставляющего вам
услуги доступа в интернет, либо напрямую у регистратора, например, в RUcenter. После того, как вы зарегистрируете доменное имя, вам потребуется
внести изменения в описание зоны на DNS-сервере.
1. Нужно добавить ресурсную запись типа MX, указывающую на внешний IP-адрес интернет-шлюза Ideco ICS (убедитесь, что на внешний
интерфейс у вас назначен публичный адрес, доступный из сети Интернет). Запись типа MX указывает на сетевой узел, который занимается
обработкой почтовых сообщений для домена. Она должна ссылаться на доменное имя почтового сервера, а не на IP-адрес.
2. Также обязательно добавьте запись типа PTR. Эта запись должна быть прописана в файле обратной зоны. Эти изменения может внести ваш
интернет-провайдер. Обратитесь к нему с просьбой прописать ресурсную запись для вашего IP-адреса, которая должна ссылаться на вашу
запись типа MX.
Настройка почтового сервера
Для настройки почтового сервера в web-интерфейсе необходимо перейти в меню Сервер -> Почтовый сервер. В этом разделе находятся все ключевые
параметры, влияющие на функционирование почтовой службы.
Все настраиваемые параметры разделены по нескольким категориям, которые описаны в ниже.
Категории параметров почтового сервера
Общие
Основные параметры.
Безопасность
Параметры, отвечающие за обеспечение безопасности почтового сервера, а также позволяющие настроить пересылку писем в службу
безопасности компании.
Расширенные
Расширенные параметры, такие как автоматическая очистка корзины или общие IMAP-папки.
Антивирус
Настройки антивируса для проверки сообщений, обрабатываемых почтовым сервером.
Антиспам
Настройки спам-фильтра для проверки сообщений, обрабатываемых почтовым сервером.
Общие настройки
Раздел общих настроек включает в себя множество основных параметров, которые представлены в таблице ниже.
Общие настройки
Включить
встроенную почту
(POP3) Включает возможность работы с почтовыми ящиками сервера по протоколу POP3 из локальной сети.
Разрешить доступ из
интернет(POP3s)
Включает возможность работы с почтовыми ящиками сервера по защищенному протоколу POP3S (POP3 с шифрованием),
подключаясь из интернета.
Включить
встроенную почту
(IMAP) Включает возможность работы с почтовыми ящиками сервера по протоколу IMAP из локальной сети.
Разрешить доступ из
интернета (IMAPs)
Включает возможность работы с почтовыми ящиками сервера по защищенному протоколу IMAPS (IMAP с шифрованием),
подключаясь из интернета.
Почтовый домен
Указывает серверу на его почтовый домен, для которого он должен принимать и обрабатывать письма. Все ящики
пользователей будут принадлежать этому домену. От имени этого домена вы будете вести переписку с корреспондентами.
Максимальный
размер почтового
ящика
Ограничение на максимальный размер почтового ящика в байтах.
Максимальный
размер письма
Ограничение на максимальный размер формируемого сервером письма в байтах.
Включить web-почту
на локальном адресе
Включает SSL web-интерфейс почтового клиента для доступа к почте на сервере. Задействует возможность подключения на
локальный адрес сервера для клиентов, авторизованных по IP и находящихся в локальной сети.
Включить web-почту
на внешнем адресе
Включает SSL web-интерфейс почтового клиента для доступа к почте на сервере. Задействует возможность подключения на
внешний адрес сервера для подключения к почтовым ящикам извне.
Форма общих настроек показана на фрагменте ниже.
Безопасность
Настройки безопасности определяют не только защиту самого почтового сервера, но и позволяют выполнять некоторые требования внутренней
политики безопасности предприятия. Настройки безопасности приведены в перечне ниже.
Настройки безопасности
Включить поддержку SASL
для аутентификации
SMTP-клиентов
Подключившись к почтовому ящику из интернета, отправить письмо, используя SMTP сервер Ideco, можно будет
только пройдя авторизацию по логину и паролю, заданному для этой учетной записи пользователя на сервере.
Включить поддержку TLS
для SMTP
Задействует возможность защищенной передачи учетных данных для аутентификации почтового клиента на
SMTP-сервере.
Принимать почту от
клиентов только через TLS
Помимо учетных данных (при авторизации) весь дальнейший почтовый трафик, поступающий от клиента также будет
передаваться по защищенному соединению с шифрованием данных.
Разрешить аутентификацию
только через TLS
Запрещает незащищенную передачу учетных данных клиента при аутентификации на SMTP сервере.
Включить защиту от
DOS-атак
Задействует возможность автоматической блокировки агрессивных, нелегитимных и подозрительных пакетов,
направленных на почтовый сервер как из локальной сети, так и извне.
Перенаправлять всю
входящую почту на СБ
Вся входящая почта будет попадать на указаный почтовый ящик службы безопасности (СБ). Только после проверки
письма сотрудником СБ и помещения его в папку "Отправленные" ( или OUTBOX ) письмо будет доставлено
оригинальному адресату.
Перенаправлять всю
исходящую почту на СБ
Вся исходящая почта будет попадать на указаный почтовый ящик службы безопасности. Только после проверки
письма сотрудником СБ и помещения его в папку "Отправленные" ( или OUTBOX ) письмо будет доставлено
оригинальному адресату.
Перенаправлять всю
локальную почту на СБ
Вся переписка, которая ведется только между абонентами вашего почтового домена, будет дублироваться на
указанный почтовый ящик СБ.
Белый список доменов и
IP-адресов
Почта, приходящая с этих хостов и сетей, не будет проверяться предварительным спам-фильтром.
Relay-домены
Почтовые домены, на которые разрешается пересылка корреспонденции через этот почтовый сервер.
Доверенные сети
Авторизация на сервере для доступа к почтовому ящику не требуется при попытке доступа из этих сетей.
Указываются IP-сети и хосты в нотации CIDR или с префиксом сети, например: 10.0.0.5/255.255.255.255 или
192.168.0.0/16.
Форма настроек безопасности показана на фрагменте ниже.
Расширенные настройки
Электронная почта является важнейшей составляющей деловых процессов предприятия. Часто случается так, что базовых настроек оказывается
недостаточно, и требуется более тонкая настройка, описанная в таблице ниже. В этом разделе описываются дополнительные параметры, которые вы
можете определить в Ideco ICS.
Расширенные настройки
Разрешить
неправильный
HELO
Понижает уровень безопасности сервера. Может потребоваться в случае необходимости приема почты сервром Ideco от других
неправильно настроенных почтовых серверов или серверов с устаревшими неоптимальными настройками безопасности.
Не проверять
адрес
получателя
Если не включено, письма от пользователей Ideco ICS на несуществующие, невалидные почтовые ящики не будут отправляться.
Если включено, любые письма пользователей Ideco ICS будут безусловно отправляться указанным адресатам, но в случае
невозможности доставки почтовый сервер направит отправителю письма сообщение о недоставке.
Использовать
файл кэша для
почты
Ускоряет дисковую подсистему сервера при работе с объемными почтовыми ящиками пользователей. Ведет к усложнению
конфигурации почтовой системы. Не рекомендуется включать без явной необходимости.
Размер
почтового кэша
Размер файла кэша на диске в байтах.
Внешний
SMTP-Relay
Вся исходящая почта будет отправляться на указанный адрес. Используется, например, в случае, если почта должна проходить
через вышестоящий сервер провайдера перед отправкой в интернет.
Удалять из
корзины письма
старее
Удаляются письма старше указанного количетва дней из IMAP папок "Удаленные" и "Спам".
IP-адрес почты
для
пользователей
Предписывает почтовому серверу Ideco ICS принимать соединения с IP-адреса, отличного от IP-адреса локального интерфейса.
Это может потребоваться в том случае, если у вас настроено несколько адресов на локальном интерфейсе. Позволяет удобно
отделять почтовый трафик от остального при тарификации и просмотре проходящего трафика.
Копировать всю
исходящую с
домена почту
Вся исходящая почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайней
необходимости.
Копировать всю
входящую на
домен почту
Вся входящая почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайней
необходимости.
Копировать всю
почту
Вся почта будет дублироваться на указанный почтовый ящик. Рекомендуется включать только при крайней необходимости.
Дополнительные
почтовые
домены
Список дополнительных доменов, почта которых будет обрабатываться почтовым сервером Ideco ICS.
Загрузка почты
с удаленных
серверов
(fetchmail)
Правила сбора почты с внешних ящиков и ее перенаправления на ящики пользователей сервера.
Записываются в соответствии с синтаксисом fetchmail, например: pop3.mymail.ru:pop3 user pass [email protected]
Интервал между
проверкой
почты
(fetchmail)
Интервал в минутах между проверкой доступности новых сообщений на внешних ящиках пользователей для сбора почты с них по
правилам fetchmail, указанным выше.
Общие IMAP
папки
Указанные папки будут созданы на сервере и доступны всем пользователям.
Включить
возможность
автоответа
Разрешает отправлять автоответ пользователей на входящие сообщения. Также необходимо активировать автоответчик и у
конкретного пользователя во вкладке "Почта".
Форма расширенных настроек показана ниже.
Зная назначение каждого параметра, мы можем приступить к непосредственной активации почтового сервера и его последующему конфигурированию.
Эти процессы могут быть осуществлены в двух вариантах: ручном и автоматизированном с помощью мастера.
Ручная настройка
Для активации почтового сервера выберите в меню те протоколы доступа к почте, которые вы планируете использовать. Поддерживаются POP3 и
IMAP4, а также их версии с применением шифрования (POP3s, IMAP4s) для защиты трафика от несанкционированного доступа. Краткое описание
каждого из протоколов вы можете получить в разделе "Основные определения".
Если вы планируете подключаться к почтовому серверу из сети Интернет, то обязательно включите протоколы POP3s и IMAPs. В целях
безопасности в Ideco ICS запрещено подключение из недоверенных сетей без применения шифрования трафика.
Нажмите кнопку "Сохранить" и перезапустите почтовый сервер.
Автоматизированная настройка
Запустите мастер настройки нажатием на соответствующую кнопку в веб-интерфейсе – "Запустить мастер настройки почтового сервера". Мастер
включает в себя 7 шагов, выполняйте его указания. После завершения работы мастера нажмите кнопку "Сохранить" и перезапустите почтовый сервер.
Настройка почтовой программы для работы с сервером
Перед настройкой почтового клиента убедитесь, что у целевого пользователя стоит галочку Разрешить почту на вкладке Почта:
Настройка почтовой программы при работе из локальный сети и из сети Интернет отличается, поэтому рассмотрим эти случаи отдельно:
Настройка почтовой программы при работе из локальной сети
При подключении почтовым клиентом из локальной сети:
1. Сервер входящей почты работает на 110 TCP порту (РОР3) и на 143 TCP порту (IMAP) без шифрования с обычной авторизацией через логин и
пароль.
a. в качестве логина прописывается логин от учётной записи пользователя либо полностью название почтового ящика если тот прописан
в поле Почтовый ящик пользователя на вкладке Почта у настраиваемого пользователя.
b. в качестве пароля всегда прописывается пароль от учётной записи пользователя, сделать отдельный пароль на почту нельзя.
2. Сервер исходящей почты работает без авторизации и без шифрования на 25 TCP порту.
Настройка почтовой программы при работе из Интернет
При подключении почтовым клиентом из сети Интернет:
1. Убедитесь, что у целевого пользователя в веб-интерфейсе стоит галочку Доступ к почте из Интернет на вкладке Почта:
2. Сервер входящей почты работает на 995 TCP порту (POP3S) и на 993 TCP порту (IMAPS), шифрование обязательно. В зависимости от
выбранного почтового клиента это может быть шифрование SSL или TLS.
a. в качестве логина прописывается логин от учётной записи пользователя либо полностью название почтового ящика если тот прописан
в поле Почтовый ящик пользователя на вкладке Почта у настраиваемого пользователя.
b. в качестве пароля всегда прописывается пароль от учётной записи пользователя, сделать отдельный пароль на почту нельзя.
3. Сервер исходящей почты работает только с авторизацией и шифрованием. Тип шифрования, логин и пароль указываются аналогично серверу
входящей почты.
Рекомендации по защите сервера
Ideco ICS даже с настройками по умолчанию уже содержит необходимые правила для безопасной работы почтового сервера. Но тут надо понимать, что
защитить вас от DDoS-атаки или флудового трафика не сможет не один сервер, это решается на вышестоящем оборудовании или вообще на стороне
провайдера.
Есть основной совет для всех администраторов, которые хотят держать почтовый сервер на шлюзе - если все пользователи в вашей локальной сети
работают только с вашим почтовым сервером или веб-почтой в Интернет и подключение почтовыми программами к внешним почтовым серверам
запрещено политиками безопасности, то лучше заблокировать порт 25 TCP для всех пользователей. Делается это через системный Фаервол, правило
будет выглядеть так:
При наличии такого правила если пользователи в локальной сети подцепят вирус и почтового бота, который будет напрямую слать почту в Интернет, то
этот трафик будет блокироваться и вы не попадёте в спам-листы публичных ресурсов.
Web-почта
Почтовый веб-интерфейс в нашем продукте может работать как на локальном так и на внешнем интерфейсе, для его работы необходимо поставить
галочку Сервер -> Почтовый сервер -> Включить Веб-почту на локальном адресе для веб-почты на локальной интерфейсе и Сервер -> Почтовый сервер
-> Включить Веб-почту на внешнем адресе для работы веб-почты на внешнем интерфейсе.
Далее чтобы пользователь мог подключиться из локальной сети к почтовому веб-интерфейсу на локальном адресе в его настройках должна стоять
галочка Разрешить почту на вкладке Почта:
Чтобы пользователь мог подключиться из сети Интернет к почтовому веб-интерфейсу на внешнем адресе в его настройках так же должна стоять галочка
Доступ к почте из Интернет на вкладке Почта:
В качестве логина прописывается логин от учётной записи пользователя либо полностью название почтового ящика если тот прописан в поле П
очтовый ящик пользователя на вкладке Почта у настраиваемого пользователя
В качестве пароля всегда прописывается пароль от учётной записи пользователя, сделать отдельный пароль на почту нельзя.
Когда все настройки сделаны из локальной сети в браузере наберите https://192.168.0.1/mail, где 192.168.0.1 - адрес локального интерфейса; из Интернет
наберите в браузере https://66.77.88.99/mail, где 66.77.88.99 - адрес внешнего интерфейса.
Введите логин и пароль и можете пользоваться почтой.
Дополнительные возможности
Настройка Ideco ICS в качестве релея для почтового сервера в локальной сети
Подробно описана в специальной статье в разделе Популярные рецепты.
Синхронизация с удаленным почтовым сервером в Интернете с помощью Fetchmail
Для того чтобы собирать почту с удаленного почтового сервера на сервер Ideco ICS используем сборщик почты fetchmail настройка которого доступна в
веб-интерфейсе Сервер -> Почтовый сервер -> Расширенные настройки почты -> Загрузка почты с удалённых серверов (fetchmail). Для каждого
почтового ящика создается отдельное правило.
Предположим:
Почтовый домен в Интернете на котором у вас зарегистрирован почтовый ящик: maildomain.ru, его IP-адрес: 10.20.30.40
Почтовый ящик, зарегистрированный на этом сервере имеет логин: petrov
Пароль от этого ящика: petrovpasswd
Почтовый домен Ideco ICS: mydomain.ru
Почта должна быть направлена в ящик пользователя [email protected]
Тогда правило будет выглядеть так:
10.20.30.40:pop3 aka maildomain.ru petrov petrovpasswd [email protected]
Если нужно не удалять загруженные письма с удалённого почтового сервера используем ключ keep:
10.20.30.40:pop3 aka maildomain.ru petrov petrovpasswd [email protected] keep
Если нужно собирать почту с сервера по защищённому каналу используем ключ ssl:
10.20.30.40:pop3 aka maildomain.ru petrov petrovpasswd [email protected] ssl
После добавления всех правил и сохранения конфигурации правила начинают действовать незамедлительно и начнется сбор почты с учетных записей
удаленного сервера и сортировка писем по почтовым ящикам на сервере Ideco ICS.
Почтовые правила для переадресации почты
Для того чтобы создавать и редактировать почтовые правила переадресации (алиасы) перейдите в раздел Сервер -> Почтовые правила -> Переадресация
:
Почтовые алиасы отличаются от почтовых ящиков тем что не требуют логинов и паролей, они закрепляются за ящиком и служат его копией с другим
именем, или, в случае назначения алиаса нескольким почтовым ящикам, можно сказать что алиас это группа почтовых ящиков или группа рассылки.
Поступающая на алиас почта автоматически пересылается на все реальные почтовые ящики связанные с этим алиасом. Часть адреса @yourdomain.com м
ожно не указывать при создании правил если ящик расположен на почтовом сервере Ideco ICS. Если перенаправление делается на какой либо ящик в
другом домене в интернете, то ящик, прописываемый в графе "Получатель" должен реально существовать.
Примеры:
Создать алиас [email protected] для ящика менеджера вашей компании для связи с клиентами и партнерами, у которого существующий
почтовый ящик имеет имя [email protected]:
почтовый ящик имеет имя [email protected]:
Создать корпоративный алиас для отдела продаж [email protected] чтобы почта пересылалась на всех сотрудников этого отдела:
Создать временный алиас для переадресации почты сотрудника, который находится в отпуске [email protected] на ящик его коллеги
[email protected] с сохранением почты на ящике [email protected]:
Создать алиас [email protected], который будет перенаправлять почты на реальный ящик [email protected]:
Сами алиасы создаются автоматически при создании правил. После создания всех правил у нас получился вот такой список:
Опишем как будем работать почта при таких правилах переадресации:
Письма приходящие на несуществующий ящик (алиас) [email protected] будут попадать на реальный [email protected], далее есть
алиас для отдела продаж [email protected], который по сути служит ящиком для рассылки почты, на нём самом ни одного письма не попадает,
это полезно если есть информация для отдела продаж, которую надо распространить на каждого сотрудника, всё тоже самое можно сделать если просто
указать в письме всех получателей, но использовать алиас намного удобнее. Так же сотрудник с почтой [email protected] сейчас находится в
отпуске и вся приходящая к нему почту попадает на его ящик и дублируется на [email protected] Последнее правило позволяет директору
получать почту не на корпоративный ящик, а на его единую почту на Яндексе.
Имейте ввиду, что:
На алиас нельзя подключиться почтовым клиентом используя логин и пароль, как в обычном почтовом аккаунте. Таким образом
создание алиасов не увеличивает максимально возможное количество реальных почтовых аккаунтов на Ideco ICS, которое равно
количеству пользовательских аккаунтов в купленной вами лицензии.
Так же если вам просто нужно чтобы адрес ящика пользователя отличался от его логина, то не обязательно создавать алиас, можно
просто прописать желаемое имя ящика в поле Почтовый ящик пользователя в свойствах пользователя. Запись должна иметь вид: pos
[email protected] именно с доменной частью после символа "@".
Почтовые правила для ограничения почты
Перейдя в раздел Сервер -> Почтовые правила -> Правила, заданные вручную, вы увидите интерфейс написания регулярных выражения (regexp)
почтового сервера (в нашем случае postfix).
Давайте для начала разберёмся, что такое регулярные выражения:
Регуля́рные выраже́ния (англ. regular expressions) — формальный язык поиска и осуществления манипуляций с подстроками в тексте, основанный на
использовании метасимволов. По сути это строка-образец (англ. pattern, по-русски её часто называют «шаблоном», «маской»), состоящая из символов
и метасимволов и задающая правило поиска.
В нашем случае при помощи регулярных выражений мы находим в письмах интересующие нас слова или символы после чего разрешаем или запрещаем
такую почту.
В Ideco ICS мы предоставляем интерфейс для написания регулярных выражений с парой простейших примеров. Составление регулярных
выражений - это обязанность администратора. Техническая поддержка не консультирует пользователей по этим вопросам.
Regexp можно написать:
1.
2.
3.
4.
По адресу отправителя.
По адресу получателя.
По заголовку письма.
По тексту письма.
Однако фактически regexp стоит писать только с использованием латинских символом и цифр, поскольку используется кодировка ASCII, поэтому
почтовые правила будут эффективны только в ограничения доменов, почтовых адресов. В качестве контент-фильтрации по ключевым словам из
кириллических символов они будут неэффективны.
Сервер FTP
В Ideco ICS есть возможность настройки FTP-сервера в локальной сети и организации к нему доступа из интернета. Основная задача FTP-службы –
решение сервисных задач по обслуживанию самого сервера, автоматическое копирование резервных копий системы и содержимого некоторых
системных каталогов для обеспечения доступа к ним системного администратора. Существует возможность настройки анонимного доступа к файловому
хранилищу, который не требует указания пароля, но в таком случае доступ извне следует запретить.
Вы можете настроить службу FTP в качестве файлового сервера для пользователей предприятия, но возможность гибкой настройки структуры
каталогов сервера и прав доступа на них в продукте отсутсвует. Вам придется использовать преднастроенную структуру каталогов с ограниченными
возможностями по ее изменению.
В этой статье мы рассмотрим несколько типичных ситуаций настройки службы FTP.
Настройка службы на анонимный доступ к файлам и каталогам в хранилище
При такой ситуации любой пользователь может подключиться к FTP-серверу, используя логин "anonymous" и пустой пароль. При этом у пользователя
будут полные права на чтение, модифицирование и удаление информации из файлового хранилища в том случае, если файлы не были созданы
неанонимным пользователем. На файлы, созданные от имени неанонимных FTP-пользователей, при анонимном доступе существует только право на
чтение. Чтобы настроить такую схему, необходимо перейти в меню Сервер -> FTP-сервер и активировать следующие пункты:
Включить FTP-сервер;
Разрешить доступ к FTP из локальной сети;
Разрешить анонимный вход;
Разрешить запись файлов для анонимных пользователей;
Разрешить удаление файлов для анонимных пользователей.
Форма настройки FTP-сервера на анонимный доступ к файлам и каталогам в хранилище представлена на фрагменте ниже.
Пункт "Разрешить удаление файлов для анонимных пользователей" можно не включать, тогда пользователи смогут добавлять контент, но не
смогут удалять файлы.
Важно понимать, что при настройке анонимного доступа нельзя разрешать подключения на сервер извне, так как третьи лица могут
использовать ваш сервер в своих целях.
Использование учетных записей пользователей FTP-сервера для разграничения прав доступа на файлы и каталоги файлового
хранилища
Учетные записи пользователей надо создавать отдельно в локальном меню. В web-интерфейсе сервера эта возможность на данный момент не
реализована. Эти учетные записи никак не связаны с базой данных пользователей сервера, их настройки хранятся отдельно в конфигурационных файлах
службы FTP. В Ideco ICS права для пользователей заданы так: каждый пользователь имет право создавать и удалять файлы и директории в корневом
каталоге FTP-сервера. В созданных им каталогах пользователь имеет полные права на доступ к информации. При этом доступ в каталоги, созданные
другими пользователями, у него отсутствует. Это поведение строго задано на сервере, и изменить политику предоставления прав пользователям
невозможно. Поэтому, если вы планируете использовать службу FTP как файловый сервер для нужд работы сотрудников предприятия, то вам нужно
исходить из этих возможностей.
При создании FTP пользователя в локальном меню вы заполняете такие параметры как учетные данные для доступа пользователя к файловому серверу
и домашний каталог с полными правами доступа относительно корневого каталога FTP-сервера. При входе на сервер пользователь будет помещен в
свой домашний каталог и сможет работать только в нем. Доступ к соседним каталогам пользователей у него при этом отсутствует. Пользователь будет
"заперт" в своем домашнем каталоге без возможности выхода из него.
Если домашним каталогом пользователя назначить корневой каталог службы – /var/ftp/, то при входе на сетевой экран в хранилище пользователь будет
иметь возможность просматривать все каталоги хранилища, в том числе и домашние каталоги других пользователей, но создавать и изменять файлы
сможет только в предварительно созданных каталогах private и pub службы FTP, находящихся в корне файлового хранилища. Таким образом, эти
пользователи имеют приоритет в доступе к информации на хранилище по сравнению с пользователями, чей домашний каталог указан явно
относительно корневого каталога хранилища.
Указание корневого каталога службы в качестве домашнего каталога для нескольких пользователей позволяет организовать простой файловый сервер
для обмена информацией в рамках предприятия. Напротив, задание определенного домашнего каталога для каждого пользователя позволит настроить
более строгое разделение ресурсов хранилища.
Эта схема предоставления прав доступа к каталогам пользователей, как было отмечено выше, не подлежит изменению.
Наравне с доступом из локальной сети можно разрешить доступ к файловому хранилищу из сети Интернет, включив пункт "Разрешить доступ к FTP из
интернет". Имейте ввиду, что анонимный доступ при этом нужно отключить.
Важно отметить, что передача ключа по протоколу FTP осуществляется в открытом виде.
Вариант настройки службы FTP для анонимного доступа из сети Интернет
Это может понадобиться для предоставления возможности скачивания файлов с хранилища большому количеству людей, не работающих
Это может понадобиться для предоставления возможности скачивания файлов с хранилища большому количеству людей, не работающих
непосредственно в вашем офисе. Чтобы настроить сервер таким образом, включите возможность внешнего достука к FTP-серверу и разрешите
анонимный вход на сервер. При этом нужно обязательно отключить возможность управления файлами для анонимных пользователей.
Даже при таких настройках эта схема достаточно опасна и может привести к заполнению всего доступного места на жестком диске сервера. Следите за
ресурсами файловой системы, если решили настроить такую схему. Также в случае одновременных подключений большого числа пользователей
возможно проведение атак типа DDOS или непланомерное расходование вычислительных ресурсов сервера, приводящие к неработоспособности
службы или сильной загруженности всего сервера и его медленной работе. Как правило, такую схему настраивают в определенных случаях и закрывают
доступ всем внешним подсетям, кроме доверенных (дом, офис партнеров) через сетевой экран.
Доступ к серверу
После настройки службы FTP на сервере вы можете обратиться к файловому хранилищу с помощью браузера или любого FTP-клиента.
Поддерживаются как пассивный, так и активный режим соединения клиента с сервером. Возможность сервера принимать подключения только в
классическом активном режиме включается в настройках службы. Как правило, этого делать не нужно, так как все современные FTP-клиенты
ориентированы на пассивный режим подключения к FTP-серверу. Активный режим сегодня используется, по большей части, для совместимости с
некоторыми старыми FTP-клиентами или в случае, когда необходимо запретить подключение по случайным портам, используемым при активном
режиме соединения, и ограничиться портами 20 и 21, например, для более тонкого контроля доступа и фильтрации FTP трафика.
Введите в адресной строке браузера: ftp://192.168.0.1, где 192.168.0.1 – это локальный адрес сервера. Для доступа извне следует указывать внешний
адрес сервера или имя домена, если оно зарегистрировано. Обращение к файловому хранилищу с помощью браузера показано ниже.
Сервер DHCP
Для удобства настройки и администрирования сетевых устройств в локальной сети вы можете использовать DHCP-сервер, встроенный в интернет-шлюз
Ideco ICS. DHCP-сервер используется для автоматического назначения IP-адресов сетевым устройствам в локальной сети. Интерфейс позволяет
настроить диапазон IP-адресов для автоматического назначения устройствам локальной сети, а также сформировать статические привязки IP-адресов к
MAC-адресам этих устройств. Сетевые устройства в локальной сети должны быть настроены на автоматическое получение сетевых реквизитов от
DHCP-сервера. В таком случае клиенты посылают широковещательный запрос в сегмент локальной сети, а сервер перехватывает и отправляет на эти
запросы ответы, содержащие настройки для клиента.
Интерфейс настройки службы находится в разделе Сервер -> DHCP-сервер административного web-интерфейса.
Настройка сервера
Как правило, сервер Ideco является шлюзом и DNS-сервером для всех сетевых устройств локальной сети, поэтому в большинстве случаев настройка
службы ограничивается определением диапазона IP-адресов. При необходимости может быть задан IP-адрес альтернативного шлюза, DNS-сервера и
WINS-сервера в локальной сети для клиентов, которые получают настройки сетевого соединения по протоколу DHCP. Интерфейс настройки службы
также позволяет указывать произвольные маршруты, которые будут применены на сетевых устройствах в локальной сети в момент получения сетевых
настроек по DHCP. Перечень параметров DHCP-сервера представлен ниже.
Параметр
Включить
DHCP
Описание
Включение этой опции позволяет автоматически раздавать IP-адреса устройствам, находящимся в одном Ethernet-сегменте с
сервером. Если у Вас несколько локальных интерфейсов, то DHCP-сервер будет отвечать на запросы только на интерфейсе с
номером 1.
Диапазон
адресов
Диапазон IP-адресов, выдаваемых компьютерам сети. Диапазон должен обязательно умещаться в сеть, указанную на локальном
интерфейсе. Например, если локальный интерфейс "192.168.0.1/255.255.255.0", то диапазон может быть
"192.168.0.2—192.168.0.254". Если DHCP должен работать на дополнительном локальном интерфейсе, то номер этого интерфейса
указывается через вертикальную черту: "3|192.168.1.2—192.168.1.254".
DNS для
DHCP-клиентов
Укажите адреса DNS-серверов, которые должны быть выданы при автоматической настройке компьютеров по протоколу DHCP
(если в качестве DNS-сервера будет использоваться Ideco ICS, то поле заполнять не обязательно).
Фиксированные
привязки IP к
MAC адресу
Укажите привязки IP и MAC-адресов. Этим можно обеспечить гарантию того, что выбранному компьютеру будет назначен
постоянный адрес.
Маршруты для
DHCP-клиентов
Укажите список маршрутов, которые должны быть установлены на компьютерах пользователей. Из-за ограничений протокола
маршруты могут быть только для адресов с маской 32 (указывать маску в конфигурации не нужно).
Шлюз для
DHCP клиентов
Укажите шлюз по умолчанию для DHCP-клиентов. По умолчанию в качестве шлюза используется сам сервер Ideco. Если вы
хотите назначить свой шлюз для интернета, необходимо указать в данном поле адрес этого устройства.
WINS для
DHCP клиентов
Если в вашей сети используется сервер WINS или контроллер домена, то укажите его IP-адрес в этом поле.
Пример базовой конфигурации службы показан ниже.
Если вы настраиваете DHCP-сервер на Ideco ICS, то диапазон раздаваемых IP-адресов должен быть из одной сети с IP-адресом локального интерфейса
сервера.
На локальном интерфейсе сервера Ideco ICS должен быть назначен статический IP-адрес, а не динамический, полученный по протоколу
DHCP.
На основе вышесказанного рассмотрим вариант более подробной настройки службы с указанием маршрута и адреса сервера WINS, в качестве которого
может выступать контроллер домена Active Directory. Например, возможно такое построение сети, когда в маршруте указано, что сетевой узел
172.16.0.1 находится за контроллером домена 192.168.0.2, который, в свою очередь, является WINS-сервером. Пример расширенной конфигурации
службы показан ниже.
После настройки DHCP-сервера не забудьте сохранить настройки и запустить службу. Сервер начнет отвечать на запросы устройств в локальной сети о
получении сетевых реквизитов. После чего можно приступить к настройке клиентских устройств.
Советы по настройке клиентов
Настройки конкретного устройства зависят от предлагаемого операционной системой интерфейса и возможностей. Как было упомянуто, не все
устройства поддерживают работу по протоколу DHCP, а некоторые из них предоставляют MAC-адрес с разделенными с помощью дефиса октетами. В
настройках сервера и в большинстве других устройствах октеты MAC-адреса разделяются двоеточиями. Поэтому будьте внимательны при согласовании
настроек клиентских устройств и DHCP-сервера на Ideco ICS.
Перед использованием службы определитесь с адресацией в локальной сети и типом авторизации пользователей перед использованием службы.
DHCP-сервер лучше использовать для пользователей с типом авторизацией по PPTP или PPPoE. Это можно объяснить следующим образом: независимо
от того, какой бы IP-адрес не получило устройство, авторизация осуществляется по логину и паролю. В создаваемом VPN-туннеле используются свои
адреса, не зависящие от логина пользователя. IP-адрес сетевой карты не играет никакой роли при подключении к интернету. Для авторизации с
помощью Ideco Agent и WEB ситуация аналогичная: IP-адрес сетевого устройства не влияет на ход авторизации. Для таких типов авторизации удобно
использовать DHCP-сервер для автоматического назначения адресов.
Особый случай
Если вы используете авторизацию по IP или IP + MAC, то при постоянной смене IP-адресов на устройствах пользователей по причине их случайного
распределения службой DHCP одни и те же компьютеры будут время от времени авторизовываться под разными аккаунтами. Для таких типов
авторизации IP-адрес является идентификатором учетной записи в базе данных пользователей сервера.
Таким образом, может возникнуть такая ситуация, когда клиенты не смогут авторизоваться на сервере. Это может произойти вследствие быстрой смены
клиентов в локальной сети. Служба запоминает IP и MAC-адреса всех устройств на некоторое время, тем самым уменьшая диапазон доступных
IP-адресов при возрастающем количестве новых устройств. Если вы хотите использовать DHCP при таком типе авторизации, вам необходимо настроить
схему работы службы DHCP, при которой она будет выдавать только определенные IP-адреса конкретным устройствам в локальной сети. Для этого
выполните следующие действия:
В настройках службы DHCP укажите диапазон IP-адресов с одинаковым начальным и конечным адресом;
В настройках службы DHCP установите соответствие IP-адресов MAC-адресам, перечислив все известные устройства в локальной сети или все
возможные IP-адреса в диапазоне сети, которой принадлежит локальный адрес сервера;
В web-интерфейсе в настройках каждой учетной записи пользователя сделайте привязку IP-адреса к MAC-адресу его устройства.
На фрагменте ниже приведен пример настройки работы службы DHCP для назначения IP-адреса исключительно по MAC-адресу запрашивающего
сетевые реквизиты устройства. Устройствам, чей MAC-адрес не указан в перечне, IP-адрес назначен не будет.
Фаервол
Принцип работы
Одним из основных средств управления трафиком на сервере является фаервол (брандмауэр). С его помощью можно по различным критериям
ограничивать трафик пользователей, проходящий через сервер из локальной сети во внешние, а также исходящий и входящий трафик на сам сервер.
Принцип работы брандмауэра заключается в анализе заголовков пакетов, проходящих через сервер. Эта низкоуровневая задача решается шлюзом на
основе стека протоколов TCP/IP. Поэтому брандмауэр хорошо подходит для определения глобальных правил управления трафиком по сетевым
протоколам, портам, принадлежности к определенным IP-сетям и другим критериям, основанным на значениях полей в заголовках сетевых пакетов.
Сетевой экран не предназначен для решения задач, связанных с контролем доступа к ресурсам сети Интернет исходя из адреса URL, доменного имени
или ключевых слов, встречающихся на страницах ресурса. Эти задачи более высокого уровня, как правило, касающиеся web-трафика, нужно решать с
помощью модуля контентной фильтрации в компоненте прокси-сервера.
Для обеспечения высокой эффективности процесса управления трафиком брандмауэр разделен на два глобальных контейнера правил:
Системный фаервол – содержит список глобальных правил, применяемых ко всей сетевой подсистеме шлюза. Весь трафик, проходящий через
шлюз, проверяется на соответствие этим правилам. Таким образом, правила, созданные в системном брандмауэре, распространяются как на
служебный трафик шлюза, так и на трафик, генерируемый самими клиентами сети.
Пользовательский фаервол – содержит правила, касающиеся только трафика клиентских устройств в сети и не влияющие на глобальные
правила брандмауэра. Эти правила действуют только в том случае, если они зафиксированы во вкладке Ограничения в настройках конкретного
пользователя или группы пользователей.
Стоит отметить, что запрещающие правила пользовательского брандмауэра приоритетнее правил системного. Предположим, что у вас в системном
фильтре разрешена работа с ICQ (TCP порты 5190 и 4000). Вместе с тем в пользовательском брандмауэре существует правило, запрещающее
соединения с использованием этих портов. Таким образом, ICQ не будет работать у пользователя, которому назначено это правило.
Сам процесс создания правил и групп правил для обоих брандмауэров одинаков. Все правила объединяются в группы. Обработка сетевых пакетов с
помощью правил также работает одинаково: сверху вниз от первого правила в первой группе к последнему правилу в последней группе. Настройка
обоих брандмауэров доступна в разделе веб-интерфейса Безопасность.
Создание правил и групп правил
Создание группы правил
Для добавления группы правил необходимо выполнить следующие действия:
Для добавления группы правил необходимо выполнить следующие действия:
1. Нажмите на кнопку Создать группу в конце списка существующих групп правил.
2. Введите Название группы правил и описание, если требуется;
3. Нажмите Сохранить.
После того, как группа создана, в нее можно добавлять правила сетевого фильтра.
Создание правила сетевого фильтра
Для того, чтобы создать правила в группе, выделите ее и нажмите на кнопку Добавить правило на панели инструментов. Далее необходимо ввести
критерии правила брандмауэра, представленные в таблице ниже.
Критерии правила брандмауэра
Источник
Адрес источник трафика, проходящего через шлюз. В этом поле может быть указан IP-адрес и маска сети, диапазон адрес или
домен.
SRC Port,
порт источника
Порт источника. Имеет смысл только для TCP и UDP.
Назначение Адрес назначения трафика, проходящего через шлюз. В этом поле может быть указан IP-адрес и маска сети, диапазон адрес или
домен.
DST Port,
порт
назначения
Порт назначения. Имеет смысл только для TCP и UDP.
Протокол
Протокол передачи данных.
Путь
Направление прохождения трафика. Различают входящий, исходящий, транзитный. Весь пользовательский трафик является
транзитным.
Действие
Действие, выполняемое над трафиком после срабатывания правила.
Протокол
Брандмауэр определяет популярные сетевые протоколы путем чтения данных из заголовков пакета. При выборе протоколов TCP и UDP появляется
возможность указания портов для источника и назначения. Порты можно выбрать либо из списка, либо ввести вручную. Допускается ввод нескольких
портов через запятую. В этом случае порты будут проверяться по принципу "ИЛИ". Для указания любого порта оставьте 0. Список закрепленных за
номерами портов можно увидеть, нажав на кнопку "+", расположенную справа от списка портов. Перечень протоколов представлен в таблице ниже.
Сетевые протоколы ICMP
В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных.
Также на ICMP возлагаются некоторые сервисные функции.
TCP
Выполняет функции протокола транспортного уровня модели OSI.
UDP
Является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор – 0x11. В отличие от TCP, UDP не
гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как Unreliable Datagram Protocol (протокол ненадёжных
датаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная
способность линий связи, либо требуется малое время доставки данных.
GRE
Основное назначение протокола – инкапсуляция пакетов сетевого уровня сетевой модели OSI в IP-пакеты. Номер протокола в IP – 47. В
основном используется при создании VPN (Virtual Private Network).
Путь
Критерий позволяет определить, какое направление прохождения трафиком будет проверяться. Для этого необходимо выбрать из списка Путь одно из
следующих значений:
FORWARD – Пакеты, проходящие через сервер. Это основной трафик пользователей;
INPUT – Входящие пакеты, предназначенные для самого сервера;
OUTPUT – Пакеты, исходящие от самого сервера.
Если вы хотите ограничить доступ к серверу, например, для блокировки серверов "спамеров", используйте пути INPUT и OUTPUT. Для ограничения
доступа пользователя или нескольких пользователей к сайту, используйте путь FORWARD.
Для более удобного ограничения нескольких пользователей одним правилом, назначьте этим пользователям IP-адрес из отдельного пула. Тогда в
качестве IP-адресов источника или назначения можно будет указать подсеть, соответствующую этому пулу.
Действие
Значения этого параметра описаны в следующей таблице.
Значения
Описание
Запретить Запрещает трафик. При этом ICMP-уведомлений осуществляться не будет.
Разрешить
Разрешает трафик.
Шейпер
Ограничивает скорость трафика. С помощью этого правила можно ограничить скорость трафика пользователей, серверов или прот
околов. При выборе этого действия появится параметр "Макс. скорость". Скорость указывается в Кбит/сек. Например,
максимальной скорости в 10 Кбайт/сек соответствует скорость примерно 80 Кбит/сек.
QOS
Назначает приоритет трафика. Всего есть 8 приоритетов, которые можно назначить трафику, отобранному по критериям,
указанным в общих правилах брандмауэра. При выборе этого действия появится поле для ввода приоритета. В первую очередь
будет обрабатываться (передаваться) трафик с приоритетом 1, а в последнюю очередь – трафик с приоритетом 8.
Portmapper
(DNAT) Транслирует адреса назначения, тем самым позволяет перенаправить входящий трафик. При выборе этого действия, появятся
поля: "Переадресовать на адрес" и "Порт". Здесь необходимо указать адрес и, опционально, порт назначения на целевом
устройстве. Порт имеет смысл указывать, если правило описывает протокол подключения TCP или UDP. С помощью этой
возможности можно прозрачно переадресовать входящий трафик на другой адрес или порт.
Для примера представим, что перед вами стоит задача предоставить доступ из сети Интернет к службе удаленного рабочего стола
и web-серверу, которые находятся в локальной сети предприятия и не имеют публичного IP-адреса. Публичный IP-адрес, по
которому возможно осуществить подключение, назначен на внешний интерфейс Ideco ICS. Таким образом, для решения это
задачи вам потребуется настроить фаервол так, чтобы он обеспечивал прозрачное перенаправление входящего трафика в
локальную сеть к соответствующим службам. То же самое потребуется сделать в том случае, если вам потребуется перенаправить
все HTTP-запросы, идущие из локальной сети к внешним IP-адресам, на внутренний web-сервер.
SNAT Транслирует адреса источника. Аналогично действию "NAT" в профиле (переопределяет NAT в профиле).
Разрешить и
выйти из
Firewall
Разрешает прохождение трафика и прекращает дальнейшую проверку. Таким образом, те правила, которые находятся после
правила с данным действием не будут применены.
Запретить и
разорвать
подключение
Запрещает соединение, не устанавливать TCP-сессию.
Логировать
Все пакеты, попадающее под данное правило, будут записываться в /var/log/kern.log.
Не SNAT
Отменяет действите "SNAT" (либо в firewall выше по списку, либо в профиле) для трафика, удовлетворяющего критериям
правила.
Не DNAT
Отменяет действите "DNAT" (либо в firewall выше по списку, либо в профиле) для трафика, удовлетворяющего критериям
правила.
Разрешить без
авторизации
Разрешает доступ к ресурсу без авторизации на сервере.
MASQUERADE
Аналогично действию "SNAT". Применяется, когда адрес у интерфейса, на который делается переадресация, динамический.
Необходимо указать имя интерфейса в соответствующей графе.
Правила с действиями QoS и Шейпер будут работать только в случае, если в консоли включен параметр Включить QOS и Шейпер в разделе
административного web-интерфейса Сервер -> Сетевые параметры -> QOS и Шейпер.
Важно после написания правил перезагрузить фаервол иначе правила не будут работать, для этого и в системном, и в пользовательском
фаерволе есть кнопка Перезагрузить фаервол на сервере.
Примеры правил и техник
Разрешить клиентам только нужные интернет-сервисы. Остальной трафик запретить.
Технология используется для разрешения только заранее известных интернет-протоколов, которыми пользуются клиенты сети, и запрета всего
остального трафика. Она обеспечивает дополнительную защиту вашей локальной сети от нежелательного трафика и угроз извне. Также это одна из
наиболее действенных технологий в борьбе с торрентами и другим распределенным трафиком пиринговых файлообменных сетей. Принцип действия
техники заключается в создании группы правил, разрешающих подключение только на порты нужных для работы пользователей сервисов в сети
Интернет. Самым последним создается правило, запрещающее весь трафик. В итоге, если трафик не удовлетворяет ни одному из предыдущих
разрешающих правил, то пакеты этого трафика не допускаются к прохождению через шлюз. Пример перечня правил представлен на следующем
фрагменте.
Где "192.168.1.0/255.255.255.0" – локальная сеть пользователей за шлюзом.
Для корректной работы с сетью Интернет необходим сервис DNS (53 UDP порт) и протокол ICMP. Их нужно обязательно
разрешить.
Эта техника не гарантирует однозначной блокировки торрентов и прочих файлообменных сетей, так как зачастую эти сети работают
через порты известных служб (80 HTTP) в зашифрованном виде.
В данном примере правила написаны в системном фаерволе с указанием конкретной сети источника, если же мы очистим это поле,
то правила лучше писать в пользовательском фаерволе и применять на отдельных пользователей или групп пользователей.
На этом рисунке показаны отдельные правила для отдельных протоколов сети Интернет. Это может быть удобно для легкого включения/выключения
На этом рисунке показаны отдельные правила для отдельных протоколов сети Интернет. Это может быть удобно для легкого включения/выключения
правил. Но вы можете перечислить больше портов в одном правиле. Имейте ввиду, что максимальное количество портов, которое брандмауэр
распознает в пределах одного правила равняется 15.
Написание правил с использованием доменных имён в пользовательском фаерволе.
Иногда необходимо заблокировать всевозможный трафик до конкретного домена. Если домен имеет несколько IP-адресов, то удобно написать всего
одно правило с использованием доменного имени. Давайте для примера возьмём домен vk.com и напишем правила для его блокировки. Если
блокировка должна распространяться на всех пользователей, то пишем правило в системном фаерволе без указания адреса источника. Если
блокировать будем только для части пользователей, то пишем правило в пользовательском фаерволе. Для этого сначала создадим группу правил в
пользовательском фаерволе и назовём её, например, vk.com:
Далее при создании правила в поле Назначение выберем вариант Домен и пропишем туда vk.com, после создания правила перезагрузим фаервол:
Потом переходим на целевого пользователя или группу пользователей в разделе Пользователи -> Ограничения -> Ограничения пользовательского
фаервола, нажимаем кнопку Добавить группы правил и выбираем, созданную ранее группу:
Нажимаем Сохранить и получаем такой результат:
Спустя несколько секунд правило начнёт работать и у всех пользователей группы Ideco будет заблокирован доступ к vk.com по всем возможным
протоколам.
Есть несколько моментов, на которых хотелось бы заострить внимание:
1. В поле Домен указывается доменное имя, а не url, то есть писать https://vk.com/ нельзя, надо указывать vk.com.
2. Мы рекомендуем блокировать веб-трафик через контент-фильтр, однако пока это касается только веб-трафика по 80 порту; порт
443 не обрабатывается прокси, поэтому надо писать правила через Firewall.
3. Пользовательский фаервол обрабатывается после системного, поэтому не надо писать противоречащих правил в системном
фаерволе.
Блокировка https-трафика.
Немного расширим предыдущий пример: предположим, что мы хотим в нашей сети вообще заблокировать хождение https-трафика (практически любая
веб-почта, социальные сети и сервисы google), поэтому пишем вот такое правило в системном фаерволе:
Портмаппинг, DNAT, публикация сервера в локальной сети.
Этот пример подробно описан в соответствующей статье в разделе Популярные рецепты.
Ограничение скорости средствами фаервола.
Работе шейпер в нашем продукте мы посвятили отдельную статью, в ней же приведены и примеры правил.
Контент-фильтр
Контентная фильтрация на нашем сервере реализована на основе данных о веб-трафике, получаемых от модуля проксирования веб-трафика
(прокси-сервера) пользователей. Таким образом контент-фильтр позволяет эффективно блокировать доступ к различным интернет-ресурсам по веб.
Контент-фильтры в Ideco ICS не занимаются блокированием ICQ, mail или torrent трафика и работают только с веб-трафиком от публичных ресурсов в
сети Интернет к ПК пользователей в вашей сети. Сам механизм контентной фильтрации заключается в проверке принадлежности адреса
запрашиваемого пользователем сайта или отдельной страницы сайта на наличие его в списках запрещенных ресурсов. Списки в свою очередь поделены
на категории для удобства администрирования.
Таким образом вся мощь контент-фильтра Ideco ICS заключается в полноте списков и гибкости политик, применяемых к пользователям.
По-умолчанию контент-фильтр обрабатывает только 80-ый порт. Для фильтрации https-трафика, необходимо настроить параметры этой
фильтрации в настройках https-фильтрации прокси-сервера.
Глобальная настройка прокси сервера и контент-фильтра
Поскольку контент-фильтр работает с веб-трафиком, заостряем ваше внимание на том, что модуль прокси сервер обязательно должен быть включен.
Перейдите, пожалуйста, в раздел Сервер -> Прокси и убедитесь, что это так. По умолчанию этот модуль включен сразу после установки Ideco ICS. Так
же, для того чтобы веб-трафик пользователей заворачивался на прокси-сервер мы должны включить прозрачную работу прокси для всех пользователей.
Скриншот настроек прокси сервера приведён на фрагменте ниже:
Итак, рассмотрим подробнее устройство и настройку контент-фильтра. Перейдем в раздел административного веб-интерфейса Сервер ->
Контент-фильтр -> Параметры и активируем контент-фильтр, выбрав стандартный или расширенный тип категорий: стандартные категории
содержаться в дистрибутиве и не требуют дополнительной активации, расширенные категории находятся в облаке и требуют дополнительной лицензии
или специальной активации демо-периода.
Перейдём на вкладку Категории и более подробно рассмотрим виды категории контент-фильтра Ideco ICS, они бывают трёх видов: пользовательские,
стандартные и расширенные.
Пользовательские категории сайтов вы создаете самостоятельно перечислением доменов или URL сайтов и отдельных страниц в сети Интернет.
Все списки пользовательских категорий можно просматривать, дополнять и вносить изменения в любой момент времени.
Все списки пользовательских категорий можно просматривать, дополнять и вносить изменения в любой момент времени.
Стандартные категории работают точно так же как и в предыдущих версиях Ideco ICS. Это неизменяемые, категоризированные списки
Интернет-ресурсов, хранящиеся прямо на вашем сервере и ежедневно обновляемые с наших серверов. Вы не можете посмотреть содержимое
этих списков, дополнить или изменить их. Эти списки присутствуют на сервере с момента установки Ideco ICS и доступны к назначению
пользователям.
Расширенные категории - это более полные, актуальные, качественно-отобранные и детально-категоризированные списки интернет-ресурсов,
хранящиеся в облаке (на специальных серверах с моментальным откликом). Эти списки обновляются постоянно. В стандартной поставке Ideco
ICS эти списки не доступны к использованию и требуют отдельной активации: есть бесплатный демо-режим, ограниченный по времени и
коммерческая лицензия.
В следующем разделе Исключения администратору предоставляется возможность создавать свои Белые и Черные списки сайтов. Обратите внимание,
что наш контент-фильтр работает с любыми URL веб-адресов, поэтому Белые и Черные списки, как и "Категории", работают и с доменами ресурсов и с
адресами конкретных страниц на сайтах. Белые и Черные списки применяются глобально для всех пользователей сразу и призваны помочь
скорректировать поведение контент-фильтра относительно отдельных ресурсов и страниц в сети. Так же "Исключения" удобны для быстрого
разрешения или запрета ресурсов глобально для всей локальной сети, обслуживаемой Ideco ICS независимо от настроек фильтрации в системе.
При использовании расширенных категорий очень удобно объединять их в специальные группы, сделать это можно в разделе Группы категорий: Применение категорий на пользователей
Для того чтобы доступ пользователя к ресурсам сети интернет контролировался по настроенным категориям, нужно применить эти категории
пользователю или группе пользователей. Рассмотрим сначала применение категорий на группы пользователей.
На вкладке Контент-фильтр прежде всего выберем политику работы контент-фильтра для группы пользователей:
Разрешить, остальное запретить - ресурсы из примененных к пользователю или группе Категорий будут разрешены к доступу, все остальные
ресурсы, не указанные в этих категориях будут запрещены к доступу.
Запретить, остальное разрешить - запрещает доступ к ресурсам, перечисленным в примененных категориях, все остальные ресурсы разрешены
для этого пользователя или группы.
Определив политику фильтрации веб-содержимого глобальной сети, назначьте категории сайтов из числа настроенных ранее Собственных,
Стандартных или Расширенных категорий Контент-фильтра, для выбора используйте строку живого поиска:
В соответствии с политикой, примененной к группе, только ресурсы из этих списков или, наоборот, весь веб-контент глобальной сети, кроме ресурсов
из этих списков, будут доступны.
Стандартные и расширенные категории одновременно использоваться не могут.
Если необходимо использовать группы категорий, то ставим галочку Использовать группу категорий и выбираем группу, в этом случае, выбранные
ранее, отдельные категории работать не будут.
Пару слов про наследование: если правила фильтрации применены на группу пользователей, то они автоматически наследуются на
всех пользователей внутри группы, если же мы хотим на конкретном пользователе хотим их переопределить, то достаточно в его
настройках выбрать нужные категории и группу категорий и они заменят собой наследованные правила фильтрации.
Если же на вышестоящей группе в настройках контент-фильтра стоит галочка Использовать эти параметры для всех групп и
пользователей в данной группе, то переопределить наследованные категории на конкретном пользователе невозможно.
В настройках каждого пользователя, в отличии от группы, есть очень удобный и быстрый инструмент проверки сайта или страницы ресурса на
возможность доступа для данного пользователя в соответствии со всеми примененными к нему настройками фильтрации. Если вы не уверены в
принадлежности ресурса к назначенным на пользователя категориям, то в поле Проверить от имени пользователя вы можете моментально это
проверить.
Настройка контент-фильтра для образовательного учреждения
Рассмотрим особый пример настройки системы фильтрации трафика для образовательных учреждений. В нашем примере требуется запретить доступ
учащихся к любым ресурсам в сети Интернет кроме заранее определенных контролирующими органами. При этом персонал учреждения не должны
иметь каких либо ограничений.
Эта задача реализуется минимальными возможностями контент-фильтра путем создания собственных списков разрешенных сайтов, поэтому переходим
в раздел административного интерфейса Сервер -> Контент-фильтр -> Категории -> Пользовательские. Именно в создании пользовательских категорий
разрешенных к посещению ресурсов сети Интернет состоит реализация поставленной задачи. В добавок к стандартной, уже присутствующей в нашем
продукте категории "Школа", создадим свою категорию, куда внесем рекомендованные контролирующими органами ресурсы сети Интернет. Если
имеется несколько таких списков, то можно создать несколько пользовательских категорий. В то же время, если содержимое предопределенной
категории "Школа" не соответствует вашим задачам, вы можете просто отключить или удалить.
В данном примере достаточно будет активировать контент-фильтр со стандартным списком категорий.
Перейдем к настройке пользователей. В нашем случае, исходя из разных политик доступа для разных клиентов локальной сети учреждения, разделим
их условно на две группы: "Учащиеся" и "Персонал" и создадим для них группы с соответствующими названиями. Наполним эти группы учетными
записями пользователей и настроим их. Когда настройка будет завершена перейдем в вкладку Контент-фильтр группы "Учащиеся". Подробнее о
настройке пользователей и авторизации можно почитать в статьях про авторизацию и управление пользователями. В соответствии с поставленной
задачей выберем политику фильтрации для группы "Разрешить, остальное запретить". Выберем созданные нами ранее собственные категории
контент-фильтра. Флажок "Использовать группу категорий" не включаем. Сохраняем изменения у группы и они моментально вступают в силу.
На группе "Персонал" не настраиваем правила контентной фильтрации. Таким образом пользователи этой группы выходят в Интернет без каких либо
ограничений, что является изначальным поведением сервера. Пользователи группы "Учащиеся" при этом выходят только на заранее указанные сайты в
созданных нами списках.
Сервер Web
Настройка сервера
Для того чтобы разместить сайт на шлюзе, который будет доступен на внешнем интерфейсе Ideco ICS прежде всего нужно убедиться что на внешнем
интерфейсе шлюза настроен статический публичный IP-адрес. Так же доменное имя для сайта должно быть ассоциировано с этим IP-адресом у
регистратора. В противном случае размещение сайта на шлюзе не имеет смысла так как на него нельзя будет попасть извне. Если эти условия
соблюдены, то можно приступить к настройкам веб-сервера.
соблюдены, то можно приступить к настройкам веб-сервера.
Первым делом нужно задействовать внешний веб-сервер. Для этого перейдите в раздел Сервер -> Web-сервер административного веб-интерфейса и
включите пункт Включить встроенный веб-сервер. Есть возможность отключать исполнение скриптов в случае размещения статичных html сайтов и
задействовать mysql сервер.
Теперь надо подготовить сервер к размещению файлов сайта. По умолчанию запись файлов на сервер запрещена. Чтобы включить возможность записи
файлов, перейдите в раздел Безопасность -> Дополнительные настройки и включите пункт Разрешить управление файлами по SSH. После чего
сохраните настройки и сделайте полную перезагрузку сервера.
Размещение сайта на веб-сервере шлюза
Теперь все готово для размещения сайта на файловой системе шлюза. Копирование файлов возможно только по протоколу SCP, который является
частью протокола SSH. Для работы с сервером по SCP с Windows скачайте программу WINSCP с официального сайта в Интернете. Установив
программу на ваш компьютер вы можете подключиться к серверу, используя логин sysadm и текущий пароль от локального меню (по умолчанию
servicemode).
Программа имеет типичный двухпанельный интерфейс для работы с файлами. Когда подключение будет установлено, перейдите в каталог /var/www/inte
rnet/htdocs/ на сервере, создайте каталог с названием вашего домена , например mydomain.ru внутри htdocs, и поместите файлы сайта с вашего
компьютера в этот каталог. Не забудьте проследить за сохранением оригинальных прав доступа к файлам. Например, файлы исполняемых сценариев
должны иметь права на выполнение после их помещения на сервер и принадлежать пользователю sysadm и группе thttpd_e.
Если вы все сделали верно, то теперь размещенный на веб-сервере сайт доступен по доменному имени или по IP-адресу на внешнем интерфейсе шлюза
и вы можете приступить к работе с ним.
Устранение неполадок, дополнительные настройки.
Следующие действия по устранению неполадок или более тонкой настройке осуществляются только по SSH, от пользователя root, когда Ideco ICS
загружен в режиме удаленного помощника. О том как загрузить сервер в режиме удаленного помощника написано в этой статье, о том как работать с
сервером по SSH и какие меры предосторожности нужно при этом соблюдать, написано в этой статье.
Обеспечение доступа к сайту по публичному IP-адресу, алиасу
Если вам нужно чтобы ваш сайт был доступен помимо домена mydomain.ru так же по алиасу www.mydomain.ru (Должна быть соответствующая CNAME
Если вам нужно чтобы ваш сайт был доступен помимо домена mydomain.ru так же по алиасу www.mydomain.ru (Должна быть соответствующая CNAME
или A-запись у регистратора домена), то нужно создать символическую ссылку рядом с каталогом сайта (в каталоге /var/www/internet/htdocs/)
с именем алиаса (www.mydomain.ru), ведущую к действующему каталогу с сайтом (mydomain.ru). Достичь этого можно, выполнив команду на сервере от
имени пользователя root:
ln -s /var/www/internet/htdocs/mydomain.ru /var/www/internet/htdocs/www.mydomain.ru
То же самое нужно сделать для обеспечения доступа к сайту по публичному статическому IP-адресу извне, если существующая символическая ссылка с
именем IP-адреса не ведет к каталогу вашего сайта. Существующую ссылку с именем IP-адреса перед этим нужно удалить :
rm -f /var/www/internet/htdocs/XXX.XXX.XXX.XXX
ln -s /var/www/internet/htdocs/mydomain.ru /var/www/internet/htdocs/XXX.XXX.XXX.XXX
Расстановка прав на содержимое сайта :
Работать с файлами сайта на сервере Ideco ICS предролагается с помощью программы WINSCP от имени системного пользователя sysadm. Иногда при
переносе существующего сайта на другой хостинг могут быть задействованы скрипты развертывания сайта из архива или бекапа. В таком случае права
на полученные после такой операции файлы сайта могут отличаться от sysadm : thttpd_e. Таким образом вы не сможете работать с файлами сайта
подключаясь от пользователя sysadm по WINSCP в будущем или веб-сайт может не работать вовсе. Чтобы расставить нужные права на файлы сайта,
необходимо выполнить следующую команду на сервере от пользователя root :
chown sysadm:thttpd_e /var/www/internet/htdocs/mydomain.ru -R
После проведенных действий нужно перезапустить службу внешнего веб-сервера в соответствующем раздел веб-интерфейса Ideco ICS, после чего
можно приступать к работе с сайтом.
Шейпер
Условно работу шейпера в Ideco ICS можно представить как набор правил с указанием скорости по определенным направлениям прохождения трафика,
разделенный на две основные группы: группа правил, действующих на основании "профилей доступа в Интернет" и другая группа правил в которую
входят правила с указаниями скорости, настроенные в системном или пользовательском Firewall, использующих действие "Шейпер" или "QoS". Для
каждой из этих двух групп шейперов в системе можно настроить глобальные указания по гарантированной скорости всех правил в группе и
максимально возможной скорости.
Трафик проходит сначала через правила профиля, потом через правила системного Firewall, а потом через правила пользовательского
Firewall.
Общее правило такое - каждое следующее правило написанное для того же трафика переопределяет предыдущее. Таким образом если для
одного и того же трафика написаны правила в профиле, в системном Firewall и в пользовательском Firewall, то работать будет ограничение из
пользовательского Firewall.
Шейпер на сервере Ideco ICS
Если мы говорим о шейпере, организованном через профили, то на сегодняшний день в продукте предусмотрен в первую очередь индивидуальный
шейпер, давайте рассмотрим самый распространённый пример: у нас есть профиль выхода в интернет, в котором прописано, что для любого внешнего
трафика надо ограничивать максимальную скорость в 1 мегабит, если применить этот профиль на каждого пользователя, то все активные в данный
момент пользователи смогут получить канал в 1 мегабит до любого внешнего ресурса если это позволяет ширина канала. Если же ширины канала
недостаточно, то скорость будет пропорционально делится между всеми активными пользователями. Таким образом говоря про шейпер в профилях мы
понимаем, что в продукте есть индивидуально ограничение максимальной скорости, которое может урезаться если количество активных пользователей
превышает ширину канала. Неверным будет полагать что каждый пользователь, подключенный к Интернету по такому профилю будет иметь
гарантированную ширину канала в 1 мегабит.
Правила ограничения скорости, создаваемые в системном или пользовательском фаерволе преследуют выполнение более частных задач. Например
ограничение скорости доступа всех пользователей локальной сети к определенному ресурсу сети Интернет. Или, ограничение скорости клиентов одной
локальной сети к определенному серверу в соседней локальной сети, при условии что межсетевой трафик проходит через сервер Ideco ICS. В системном
фаерволе должны присутствовать правила, общие для всех пользователей, или явно указывающие на IP-адрес ресурса или пользователя. Такие правила
созданы и работают в единственном экземпляре, представляющие одно единственное правило шейпинга в сетевой подсистеме сервера. В
пользовательском же фаерволе лучше создавать правила, которые впоследствии могут быть применены нескольким пользователям во вкладке Ограниче
ния в настройках пользователя.
QoS на сервере Ideco ICS
Технология QoS позволяет создавать правила с разным приоритетом по скорости и ширине полосы прохождения трафика, в зависимости от протокола
передачи данных, порта подключения или IP-адреса пользователя. Технология используется для указания какому трафику отдавать приоритет в
прохождении через сервер Ideco ICS в случае когда полоса пропускания канала от провайдера или доступная ширина канала, согласно правилам
шейпинга подходит к концу.
В отличии от правил шейпинга, правила приоритезации трафика можно создавать только в фаерволе, так как приоритезация трафика сильно зависит от
типа трафика и конкретного потребителя. Правила в фаерволе позволяют подробно описать тип приоретизируемого трафика, чего нельзя сделать с
помощью профилей выхода в Интернет, предназначенных в основном для роутинга пользователей в тот или иной канал провайдера с указанием
возможности доступа к тем или иным сетям.
возможности доступа к тем или иным сетям.
Общесистемные настройки шейпера на сервере Ideco ICS
Перед тем как создавать свои правила ограничения скорости или приоретизации трафика нужно глобально задействовать и произвести настройку
базовых параметров механизма шейпинга в системе. Это можно сделать в разделе административного интерфейса, перейдя на вкладку Сервер ->
Сетевые параметры -> QoS и шейпер.
Включить QoS и Шейпер - Включает возможность создания и удаления правил шейпинга и QoS глобально в системе. Заметьте, что если правила QoS
или шейпинга были созданы в профилях выхода в Интернет или фаерволе ранее, но этот функционал отключен в системе, то при загрузке сервера,
правила не будут задействованы, а администратор получит уведомление на электронную почту.
Сети провайдера без ограничения скорости - позволяет явно указать сети доступные на внешнем интерфейсе Ideco ICS, которые будут всегда доступны
без каких-либо ограничений скорости.
Физическая ширина канала до провайдера, Кбит/с - здесь необходимо задать скорость на интерфейсе, соединение по которой осуществляет провайдер.
Часто это называется интерфейсной скоростью или скоростью аплинка. Обычно зависит от оборудования провайдера и клиента. Как правило это 100
или 10 мегабит, но может и отличаться в отдельных случаях, например если вы подключены к провайдеру через радио-канал. Это не скорость
соединения с Интернетом по тарифу провайдера.
Несколько распространённых примеров интерфейсных скоростей:
ADSL: 8/1: 8000 Кбит/сек
LAN 10Mbit: 10000 Кбит/сек
LAN 100Mbit: 100000 Кбит/сек
Максимальная скорость Интернет по тарифам провайдера, Кбит/с - здесь необходимо задать максимально доступную скорость соединения,
предоставляемую провайдером по тарифу исходя из договора об оказании услуг связи. В случае если провайдер гарантирует входящую скорость на
уровне до 5Мбит/сек, скорость в данном параметре должна быть указана как 5000 Кбит/сек.
На основе этого и предыдущего параметра рассчитываются относительные величины шейперов в системе. Поэтому необходимо правильно
задать эти значения сразу, перед началом использования правил ограничения скорости и приоретизации трафика.
Резервировать для приоритетного трафика в процентах, % - процент ширины канала Интернет предоставляемого провайдером, который будет всегда
Резервировать для приоритетного трафика в процентах, % - процент ширины канала Интернет предоставляемого провайдером, который будет всегда
доступен (зарезервирован) для низкоскоростного интерактивного трафика. Помогает ускорить открытие веб-страниц при общей загруженности канала.
Выделяемое таким образом часть ширины канала провайдера никогда не будет использоваться остальными видами трафика. Не рекомендуются
величины свыше 15%.
Дополнительные общесистемные настройки работы механизма ограничения скорости в системе могут пригодиться крупным организациям, работающим
в больших вычислительных сетях, насчитывающих от 1000 клиентов и имеющим дело с большими объемами разнородного трафика. В остальных
случаях изменять эти настройки, как правило, не возникает необходимости. Они доступны в разделе Сервер -> Сетевые параметры -> Доп. настройки
QoS.
Выделить для безлимитных профилей, Кбит/с - гарантированная полоса пропускания для группы правил шейпинга, определенных в профилях.
Действует суммарно на все правила сразу.
Ограничить общую скорость безлимитных профилей, Кбит/с - верхний лимит по скорости для группы правил шейпинга, определенных в профилях.
Действует суммарно на все правила сразу.
Выделить для шейперов Firewall, Кбит/с - гарантированная полоса пропускания для правил шейпинга трафика заданных в фаерволе. Действует
суммарно на все правила сразу.
Ограничить общую скорость для шейперов Firewall, Кбит/с - верхний лимит по скорости для группы правил шейпинга, определенных в фаераоле.
Действует суммарно на все правила сразу.
Использовать упрощенный шейпер - этот параметр включает особый алгоритм работы шейпера в системе который сможет значительно снизить нагрузку
на сервер. Включать этот параметр имеет смысл только если клиентов, на которых действуют правила шейпинга, (в профилях или в фаерволе) больше
1000 и если в профилях используется не более одного правила шейпинга, при том это правило должно действовать на сеть ALL (внешний трафик
0.0.0.0) Рекомендуется использовать в крайнем случае и только в крупных организациях. Обратитесь за консультацией в техническую поддержку.
Ускорить проверку пакетов в профилях и firewall - позволяет уменьшить нагрузку на фаервол в системе при значительных объемах проходящего через
Ideco ICS трафика. Ускорение происходит за счет того, что фаервол в системе проверяет выборочно каждый n-ный пакет проходящего трафика.
Периодичность задается пунктом ниже. Контентная фильтрация фаервола по ключевым словам при этом работать не будет.
Проверять только каждый n-й пакет сессии - чем больше число, тем меньше нагрузка на фаервол в Ideco ICS. Не рекомендуется выставлять больше
3000. При бОльших значениях может дать погрешность в учете трафика до нескольких мегабайт.
Использовать ускоренный алгоритм шейперов - позволяет уменьшить нагрузку на систему при работе с шейперами. Проверяется каждый n-ный пакет
проходящего трафика. Периодичность задается пунктом ниже. Работает только когда включено ускорение работы фаервола выше.
Проверять смену шейпера только через n пакетов - чем больше число, тем меньше нагрузка на фаервол в Ideco ICS. Не рекомендуется выставлять
больше 500. При бОльших значениях смена шейпера у пользователя может произойти спустя некоторое время после срабатывания условия в профиле.
больше 500. При бОльших значениях смена шейпера у пользователя может произойти спустя некоторое время после срабатывания условия в профиле.
Примеры правил ограничения скорости с помощью фаервола
Пример правила ограничивающего скорость при превышении объёма трафика, скачанного за сессию
Иногда возникает необходимость искусственно ограничить скорость получения (или отдачи) трафика в зависимости от объёма переданных данных.
1. Для начала нужно определить кому и в каком направлении может быть необходимо принудительное ограничение скорости. В данном примере
ограничивается входящая скорость трафика откуда угодно (0.0.0.0/0) куда угодно (0.0.0.0/0).
2. Затем создать правило, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source), адрес сети или
компьютера назначения (Destination), путь Forward и действие Шейпер.
В зависимости от задачи это правило может быть написано как системном так и в пользовательском фаерволе, если мы напишем его
в системном, то ограничение будет действовать на всех пользователей, если напишем в пользовательском, то правило будет
действовать только на тех пользователей, на которых оно применено.
3. Указать максимальную скорость которую получит группа компьютеров или один компьютер (в данном примере 256 Кбит/сек).
4. Указать условие срабатывания правила при достижении определенного объема сессии (в данном примере размер сессии 128000 Кбайт примерно 128Мбайт). Этот параметр находится на вкладке Дополнительные параметры в конструкторе создания правила фаервола.
Такие правила работает только для закачек в одну сессию (некоторые браузеры и FTP), многие современные браузеры, специальный
софт для закачки и Р2Р-клиенты осуществляют закачку в несколько маленьких сессий и поэтому ограничиваться этим правилом не
могут.
Пример правила ограничивающего скорость от сети (от группы компьютеров) в Интернет
В некоторых случаях может потребоваться ограничение исходящей скорости для трафика направленного в Интернет от группы компьютеров или одного
компьютера. К наиболее частому применению такого правила можно отнести лимитирование исходящей пропускной способности для пользователей,
чьи компьютеры могут являться сомнительными в плане защищённости от вирусов и могут входить в бот-сети участвующие в распределённых
DOS-атаках. К этим же случаям можно причислить и пользователей другими агрессивными типами трафика (Torrent, EDonkey и прочие
файлообменные сети). Это будет именно суммарное ограничение скорости для всех компьютеров сети, а не индивидуальное ограничение!
1. Для начала необходимо определить сеть, порождающую трафик, скорость которого нужно лимитировать. В данном примере взята сеть
172.16.0.0/255.255.255.0.
2. Создать правило в системном фаерволе, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source),
адрес сети или компьютера назначения (Destination), путь Forward и действие Шейпер. Так как в данном случае желательно ограничивать
скорость трафика в сторону сети Интернет, то указываем все сети (0.0.0.0/0)
3. Указать максимальную скорость в Кбит/сек (в данном примере 1024 Кбит/сек).
Примеры правил ограничения скорости в профилях выхода в Интернет
Профиль выхода в Интернет в котором пользователям предоставляется 1Гб трафика на скорости 1Мбит/сек, а при скачивании больше 1Гб скорость
лимитируется до 128Кбит/сек.
1. Для начала нужно создать новый профиль, в котором будем ограничивать скорость доступа к Интернет. Раздел административного интерфейса
Профили.
2. Добавить правило(а) для локальной сети. Оно должно идти первым, вслед за ним правила для дополнительных сетей, если требуется, например
для городских сетей.
3. В конце должны быть правила для внешних сетей. Настроим ограничение скорости, первое правило пойдёт с условиями "скачано не менее чем,
Мб = 1000" и "Скорость Вх, Кбит = 1024", указать нужную стоимость и другие параметры по желанию.
4. Добавить еще одно правило для внешних сетей с условиями "скачано более чем, Мб = 1000" и "Скорость Вх, Кбит = 128", указать нужную
стоимость и другие параметры по желанию.
Наглядный пример ограничения скорости для внешних сетей по двум критериям и общий вид описанного выше профиля проиллюстрирован ниже.
Пример ограничения скорости до конкретного внешнего ресурса
Если у нас уже есть ограничение скорости через профили и мы хотим до конкретного внешнего ресурса или сети сделать ограничение скорости с более
высокой планкой, то пишем правило через системный Firewall. Этот же способ можно использовать если мы не ограничиваем скорость через профили, а
для конкретной внешней сети или ресурса хотим это сделать.
1. Для начала необходимо определить внешнюю сеть, до которой мы хотим ограничить скорость. В данном примере взята сеть
217.24.176.0/255.255.255.0.
1.
217.24.176.0/255.255.255.0.
2. Создать правило в системном фаерволе, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source),
адрес сети или компьютера назначения (Destination), путь Forward и действие Шейпер. В данном примере сеть источника будет любая
(0.0.0.0/0), а сеть назначения будет 217.24.176.0/255.255.255.0.
3. Указать максимальную скорость в Кбит/сек (в данном примере 4096 Кбит/сек).
Пример ограничения скорости в пользовательском Firewall
Как говорилось ранее - каждое следующее правила по ограничению скорости переопределяет предыдущие. Это можно использовать если мы хотим
чтобы для некоторых пользователей было VIP-ограничение, которое не влияет на правила в других цепочках (профили и системный Firewall).
1. Создать группу новую правил в пользовательском Firewall.
2. Создать правило в этой группе, включающее в себя следующие данные о трафике: адрес сети или компьютера источника (Source), адрес сети
или компьютера назначения (Destination), путь Forward и действие Шейпер. В данном примере будет любой адрес источника и назначения
(0.0.0.0/0).
3. Указать максимальную скорость в Кбит/сек (в данном примере 8192 Кбит/сек).
4. Применить эту группу правил на привилегированного пользователя в разделе Пользователи -> Ограничения -> Ограничения пользовательского
фаервола.
Итоговые настройки шейпера
Все рассмотренные ниже примеры могут работать одновременно, в итоге получится такая политика по ограничению скорости:
У каждого пользователя, который использует профиль с ограничением скорости будет 1024 Кбит/сек пока он не скачает 1Гб трафика, а далее
будет ограничение 128Кбит/сек.
До сети 217.24.176.0/24 будет постоянное ограничение скорости в 4 Мегабита.
Для всех пользователей при объёме сессии больше 128 Мегабайт скорость будет ограничена до 256 Кбит/сек.
Для сети 172.16.0.0/24 скорость суммарного трафика не превысит 1 Мегабит в секунду.
Для конкретного пользователя будет ограничение скорости 8 Мегабит в секунду, независящее от ранее написанных правил.
Маршрутизация
Общие принципы маршрутизации
Для перенаправления сетевого трафика, проходящего через Ideco ICS используется система маршрутизации, она имеет ряд преимуществ по сравнению
с некоторыми другими традиционными системами маршрутизации. Среди них:
Возможность указывать сеть источника прямо в маршруте.
Возможность указания доли трафика направляемого по маршруту в процентах по отношению к другим маршрутам.
Возможность настройки трансляции сетевых адресов (NAT) при создании маршрута.
Маршрутизация по протоколу или порту сетевой службы.
Создавать и редактировать маршруты можно через веб-интерфейс Ideco ICS в разделе Сервер -> Сетевые параметры -> Маршруты. Для добавления
нового маршрута нажмите кнопку Добавить. Появится такой конструктор маршрута:
Опишем назначение каждой опции:
SRC/MASK - Адрес источника с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
SRC PORT - Порт источника (прописывается только если выбран протокол TCP или UDP)
DST/MASK - Адрес назначения с маской, маска может быть прописана как в классическом виде так и в виде количества бит.
DST PORT - Порт назначения (прописывается только если выбран протокол TCP или UDP)
Шлюз/интерфейс - Куда перенаправить трафик.
Если маршрутизация осуществляется на Ethernet интерфейс то всегда указывается адрес шлюза этого Ethernet-интерфейса. Для виртуальных
интерфейсов (РРТР, РРРоЕ, CIPE, OpenVPN, IPsec) всегда указывается интерфейс.
Протокол - Возможные значения: TCP, UDP, GRE, ICMP.
% - Вероятность срабатывания, например, 50%. Используется только при настройке балансировки трафика между несколькими внешними
интерфейсами.
FORCE - Маршрутизировать независимо от маски интерфейсов. Эта опция ставится автоматически если в этом есть необходимость, вручную лучше не
устанавливать!
SNAT - Ключ, указывающий что маршрутизируемый трафик должен подвергаться трансляции адресов от IP-адреса того интерфейса сервера, на
который перенаправляется трафик.
Ключ SNAT работает только если в маршруте в поле SRC/MASK прописан IP-адрес компьютера пользователя или IP-адрес локальной сети.
Примеры популярных маршрутов:
При маршрутизации трафика на внешний интерфейс важно понимать, что чаще всего одного маршрута недостаточно, надо будет так же
переопределить адрес NAT иначе такой маршрут просто не будет работать. NAT можно переопределить тремя способами:
через системный Firewall
через системный Firewall
через профили пользователя
прямо в маршруте если указана сеть источника и стоит галочка SNAT
В этой статье мы рассмотрим как менять NAT в самом маршруте.
Задача: любой трафик в подсеть 172.16.10.0/255.255.255.0 направлять на шлюз 192.168.0.10.
Задача: любой трафик из подсети 192.168.10.0/255.255.255.0 направлять на шлюз 66.77.88.1.
Задача: любой трафик с хоста 192.168.1.10 направлять на интерфейс РРРоЕ.
Задача: трафик из локальной сети 192.168.1.0/24 до внешней сети 217.24.176.0/24 направлять на интерфейс РРРоЕ. При написании маршрута мы
обязаны поставить ключ SNAT поскольку через настройки пользователя мы никак не сможем переопределить NAT в сторону конкретной внешней сети.
Это так же можно сделать через Firewall, но с помощью маршрута всё таки проще.
Задача: TCP трафик по 443 порту из сети 192.168.10.0/24 направлять на шлюз 66.77.88.1. При написании маршрута мы обязаны поставить ключ SNAT
поскольку через настройки пользователей мы никак не сможем переопределить NAT по порту назначения. Это так же можно сделать через Firewall, но с
помощью маршрута всё таки проще.
Задача: настроить балансировку между двумя внешними каналами - 50% трафика пользователей подсети 192.168.5.0/24 направлять на интерфейс
РРРоЕ. При написании маршрута мы обязаны поставить ключ SNAT поскольку нам неизвестен конкретный пользователь и конкретная сеть, трафик
будет перенаправляться случайным образом.
Балансировка загрузки каналов основывается на вероятностном распределении трафика по каналам. Вероятность попадания трафика в выбранный
канал указывается в процентах, как показано в примере выше. Определение вероятности попадания трафика в заданный канал происходит сверху вниз
по списку маршрутов балансировки. При этом одно соединение (например TCP-сессия) будет идти через один канал (пакеты внутри него не будут
делиться между каналами). Следующее соединение уже может пойти через другой канал. Для 80 и 443 порта есть одно исключение из общих правил:
трафик, идущий от одного клиента на один IP-адрес сервера будет всегда идти через один и тот же канал. Трафик другого пользователя на этот же
сервер может пойти через другой канал. Это необходимо для правильной работы веб-сайтов, отслеживающих IP-адрес клиента.
Если вы настраиваете маршрут в удаленную сеть доступную через дополнительный роутер расположенный в той же локальной сети что и
клиенты, то убедитесь что вы избежали "треугольной маршрутизации" и вынесли роутер в DMZ.
Прокси
Прокси-сервер для веб-трафика
Служба прокси в составе Ideco ICS задействована по умолчанию после установки шлюза и настроена для прозрачного проксирования веб-трафика сети
Интернет потребителям в локальной сети предприятия так, что на хостах локальной сети не нужно указывать настройки прокси. Достаточно лишь
указания ICS в качестве шлюза для устройств в сети. Это удобно так как не затрагивает настройку рабочих станций после внедрения ICS и не требует
настройки нового сетевого устройства при его добавлении в локальную сеть.
Изменить это поведение вы можете сняв чекбокс "Прозрачная работа прокси для всех пользователей" в Сервер -> Прокси -> Общие. При этом
необходимо разрешить прямые подключения к веб-прокси на Ideco ICS отметив соответствующий чекбокс в Сервер - Прокси - Расширенные. После
чего указать IP-адрес и порт на стороне ICS в текстовых полях идущих ниже. Рекомендуем указывать локальный адрес ICS и порт 8080. После эти
данные нужно указать на тех сетевых устройствах локальной сети, веб-трафик которых нужно пропускать через прокси.
Можно использовать одновременно прозрачное проксирование и возможность прямого подключения к прокси на адрес и порт.
Проксирование веб-трафика осуществляется только для трафика идущего по 80 порту. Если необходимо проксировать веб-трафик по другим портам,
их можно указать в Сервер -> Прокси -> Расширенные -> Разрешить запросы в Интернет через прокси на порты. Это может быть необходимо для
ресурсов сети интернет предоставляющих веб-контент по портам отличным от стандартного 80.
Возможна фильтрация и https-трафика по 443 порту. Для этого необходимо настроить ее согласно инструкции: настройка фильтрации https.
По умолчанию кеширование трафика отключено как пережиток не соответствующий техническим условиям работы современных сетей, негативно
сказывающийся на скорости доставки веб-контента из Интернет потребителям локальной сети. Включить и настроить кеширование веб-трафика
службой вы можете в Сервер -> Прокси -> Расширенные.
службой вы можете в Сервер -> Прокси -> Расширенные.
В отличии от ранних практик применения, прокси-сервер на ICS не занимается блокированием, фильтрацией и учетом веб-трафика, но предоставляет
быстрый и эффективный интрефейс другим службам в составе ICS для получения информации о проходящем через него веб-трафике. Обмен данными
о трафике веб-пользователей происходит в реальном времени по протоколу взаимодействия ICAP. Об этой важной возможности службы пойдет речь
ниже.
Глобальная роль прокси-сервера в работе шлюза Ideco ICS
Прокси-сервер в составе Ideco ICS помимо проксирования веб-трафика играет роль мастер-службы для нескольких сервисов связанных с обработкой,
контролем и учетом веб-трафика пользователей на шлюзе, а именно:
Антивирус для веб-трафика (Касперского или Clamav)
Сервис отчетности по веб-трафику пользователей
Облачный Контент-фильтр веб-ресурсов в сети Интернет
Прокси-сервер является основой работы этих служб в Ideco ICS и обеспечивает их работу с веб-трафиком в реальном времени по внутреннему
протоколу взаимодействия ICAP. Работа этих служб не возможна при отключенном прокси.
Поэтому, как и в случае с почтовым сервером в составе Ideco ICS, прокси-сервер нужно рассматривать как мастер-службу, представляющую
зависимость для ряда служб шлюза. Отсюда следует невозможность включения/отключения прокси-сервера на лету кнопкой Остановить/Запустить в
административном веб-интерфейсе ICS. Процедура включения/отключения прокси-сервера должна быть произведена в следущем порядке:
1. Снять чекбокс Сервер -> Прокси -> Включить встроенный прокси-сервер
2. Сохранить настройки службы, нажав кнопку Сохранить
3. Выполнить мягкую перезагрузку сервера
В процессе загрузки сервера будет учтена зависимость вышеобозначеных служб сервера от прокси и они не будут запущены. После загрузки
Ideco ICS продолжит транслировать веб-трафик пользователям по технологии NAT не проксируя его, не проверяя на вирусы, не учитывая и
не контролируя потребление веб-контента.
Остановка/Запуск службы кнопкой управления "Остановить/Запустить" без перезагрузки шлюза приведет к неработоспособности шлюза и
прекратит транслирование веб-трафика сети Интернет клиентам шлюза. Перезапуск службы кнопкой "Перезапустить" в случае изменения ее
минорных настроек возможен.
Если Ideco ICS не является шлюзом по умолчанию для клиентов сети
Предполагается что ICS работает как шлюз в сеть Интернет для абонентов сети. Тем не менее есть возможность пользоваться прокси-сервером и
службами работающими с веб-трафиком в связке с ним даже если Ideco ICS не является шлюзом по умолчанию для хостов в локальной сети.
Для этого нужно :
Указать локальный IP ICS в качестве веб-прокси в локальной сети на ПК клиентов. В расширенных настройках прокси должны быть указаны IP-адрес и порт для прямых подключений к прокси. Прозрачное проксироание при
этом отключать не обязательно.
В настройках учетной записи указать тип авторизации "по IP". ПК должен быть авторизован (зеленая иконка) для получения веб-контента от
прокси-сервера. Если IP авторизация будет плохо работать так как ICS не является шлюзом дял ПК, то использовать типы авторизации с явной
инициализацией соединения со стороны клиента (PPtP, PPPoE, Ideco Agent, WEB-авторизация).
В случае IP-авторизации подождать немного, пока пользователь не будет авторизован на шлюзе. Другие параметры учетной записи
пользователя без необходимости не менять.
Хоть мы и не гарантируем работу шлюза в таком режиме, ICS сможет предоставлять хостам веб-контент, по необходимости производя учет, контроль и
проверку веб-трафика на вирусы при соблюдении следущих условий:
Наличие доступа в Интернет у сервера ICS
Авторизованности хоста-потребителя веб-трафика на сервере ICS по одному из типов авторизации поддерживаемом ICS
Явном указании хосту адреса веб-прокси
Настройка фильтрации https
Фильтрация HTTPS-трафика обеспечивает возможность последующей обработки сайтов, доступных по HTTPS. Фильтрация реализуется путём подмены
"на лету" сертификата, которым подписан запрашиваемый сайт. Оригинальный сертификат сайта подменяется новым, подписанным не центром
сертификации, а корневым сертификатом Ideco ICS. Таким образом, передающийся по защищённому HTTPS-соединению трафик становится
доступным для обработки всеми модулями, предоставляемыми Ideco ICS: контент-фильтром, антивирусами Касперского и ClamAV, а также DLP. Спец
ифика реализации фильтрации HTTPS-трафика требует настройки обеих сторон подключения: сервера Ideco ICS и рабочей станции каждого
пользователя в локальной сети.
Настройки фильтрации HTTPS в прокси-сервере не блокируют трафик. За блокировку трафика отвечает контент-фильтр.
Настройки фильтрации HTTPS в прокси-сервере не блокируют трафик. За блокировку трафика отвечает контент-фильтр.
Настройка сервера Ideco ICS
Настройки фильтрации находятся в разделе "Сервер" -> "Прокси" -> "Фильтрация HTTPS" web-интерфейса Ideco ICS.
Флажок "Включить фильтрацию HTTPS-трафика" включает фильтрацию глобально для всех пользователей, авторизованных на сервере Ideco ICS.
Выбор опции "Фильтровать только указанные домены" позволяет задать домены, для которых будет применяться фильтрация. Например, это могут
быть домены социальных сетей. Для всех остальных сайтов фильтрация HTTPS применяться не будет (что позволит избежать проблем в работе сайтов и
сервисов из-за подмены сертификатов). В качестве имени домена допустимы следующие значение:
имя домена в формате FQDN, например yandex.ru (добавление поддоменов с использованием масок вида '*' не допускается, поддомены
следует добавлять отдельно);
IP-адрес, например 8.8.8.8;
адрес подсети с префиксом, например 8.8.8.0/24;
адрес подсети с маской, например 8.8.8.0/255.255.255.0;
Выбор опции "Фильтровать все, кроме указанных доменов" включает режим, при котором будет осуществляться фильтрация всего HTTPS-трафика, за
исключением заданных в этом списке. Например, это могут быть домены интернет-банков. В качестве имени домена допустимы следующие значение:
имя домена в формате FQDN, например yandex.ru (добавление поддоменов с использованием масок вида '*' не допускается, поддомены
следует добавлять отдельно);
IP-адрес, например 8.8.8.8;
адрес подсети с префиксом, например 8.8.8.0/24;
адрес подсети с маской, например 8.8.8.0/255.255.255.0;
Настройка рабочей станции пользователя
При включенной фильтрации HTTPS-трафика браузер и другое сетевое ПО (например антивирусы, клиенты IM и пр.) на рабочей станции пользователя
потребует явного подтверждения на использование подменного сертификата, созданного и выданного сервером Ideco ICS. Для повышения удобства
работы пользователя следует установить в операционную систему рабочей станции корневой сертификат сервера Ideco ICS и сделать его доверенным.
Корневой SSL-сертификат доступен для скачивания со страницы логина в панель управления сервером.
Чтобы установить корневой сертификат на рабочей станции пользователя, требуется выполнить следующие действия:
1. Скачать корневой SSL-сертификат, открыв страницу логина в web-интерфейс панели управления сервера Ideco ICS:
2. Открыть центр управления сертификатами с помощью меню "Пуск" - "Запустить", выполнив в диалоге команду certmgr.msc:
3. В центре управления сертификатами выбрать раздел "Доверенные корневые сертификаты" - "Сертификаты":
4. В правой части окна нажать правую кнопку мыши и выбрать действие "Все задачи" - "Импорт...". Откроется окно мастера импорта
сертификатов. Следуя инструкциям мастера, импортировать корневой сертификат сервера Ideco ICS. В итоге импортированный сертификат
появится в списке в правой части окна.
Добавление сертификата через политики домена Microsoft Active Directory.
В сетях, где управление пользователями осуществляется с помощью Microsoft Active Directory вы можете установить сертификат Ideco ICS для всех
пользователей автоматически, с помощью Active Directory.
1. Скачайте корневой SSL-сертификат, открыв страницу логина в web-интерфейс панели управления сервера Ideco ICS:
2. Зайдите на контроллер домена с помощью аккаунта, имеющего права администратора домена.
3. Запустите оснастку управления групповой политикой, выполнив команду gpmc.msc.
4. Найдите политику домена, использующуюся на компьютерах пользователей в "Объектах групповой политики" (на скриншоте - Default Domain
Policy).
Нажмите на нее правой кнопкой мышки и выберите "Изменить".
5. В открывшемся редакторе управления групповыми политиками выберите:
Конфигурация компьютера - Политики - Конфигурация Windows - Параметры безопасности - Политики открытого ключа - Доверенные
корневые центры сертификации.
6. Нажмите правой кнопкой мыши по открывшемуся списку, выберите "Импорт..." и импортируйте ключ Ideco ICS.
7. После перезагрузки рабочих станций, либо выполнения на них команды gpudate /force, сертификат появится в локальных хранилищах
сертификатов и будет установлен нужный уровень доверия к нему.
Пример настроек HTTPS-фильтрации, для блокировки социальных сетей.
1. Настроим опции HTTPS-фильтрации для фильтрации только доменов социальных сетей. При этом, во избежании проблем с работой других
сайтов и сервисов, их фильтрация осуществляться не будет.
В данном примере фильтроваться будут сайты vk.com и facebook.com. Обратите внимание на то, что нужно прописывать и их дополнительные
домены, как показано на скриншоте.
2. В настройках Контент-фильтра у пользователей указываем группу "Социальные сети". Все сайты из нее будут блокироваться по HTTP, а
указанные выше еще и по HTTPS.
2.
3. Устанавливаем сертификат Ideco ICS в доверенные, согласно настоящей инструкции на всех пользовательских компьютерах.
Возможные проблемы и методы их решения.
В случае использования на локальной машине антивируса, проверяющего HTTPS-трафик методом подмены сертификатов, сайты могут не
открываться из-за двойной подмены сертификатов. Нужно отключить в антивирусе проверку HTTPS-трафика.
Профили
В данном разделе описываются настройки профилей, пулов и сетей.
Профили выхода в Интернет.
Пулы IP адресов.
Редактор правил и сетей.
Профили выхода в Интернет
Профили.
Профили используются для применения настроек выхода в интернет у пользователей.
С их помощью можно настроить:
Канал, через который пользователи выходят в интернет.
Резервный канал, на который им разрешено переключатся (в настройках задается резервный профиль).
Сети, которые нужно блокировать, или оставлять разрешенными при превышении пользователям лимита по трафику.
Полосу пропускания - скорость доступную пользователям, которым назначен данный профиль (возможна гибкая настройка ограничений
скорости по времени действия и количеству скаченного трафика).
Создание и редактирование профиля.
Для создания нового профиля нажмите "Создать профиль", для редактирования существующего в "Действиях" выберите "Редактировать".
В открывшемся окне укажите:
Название профиля
Интерфейс, через который пользователи будут выходить в интернет.
Резервный профиль, в случае недоступности интерфейса указанного выше, пользователи будут переключатся на канал, определенный в
выбранном здесь профиле. Подробнее о резервировании каналов читайте в статье.
Описание - для вашего удобства.
Абонентская плата - если необходимо, чтобы из баланса пользователей ежемесячно или ежедневно вычиталась указанная сумма, с
определенными параметрами, которые можно определить ниже. Не рекомендуется использовать эту функцию, в будущих версиях она будет
удалена.
Начальный и конечный NAT адреса. Используйте, если на вашем внешнем интерфейсе несколько или целый диапазон ip-адресов. Ничего не
изменяйте в заданных по-умолчанию значениях, если на вашем интерфейсе один внешний ip-адрес, или нет необходимости в использовании
разных адресов для разных пользователей.
После окончания редактирования нажмите на кнопку "Сохранить".
Нажмите на название профиля. Откроется список сетей, настраиваемых в профиле. По-умолчанию в созданном профиле сетей нет.
Для работы профиля нужно туда обязательно добавить как минимум сеть "Внешние сети". Правило "Внешние сети" всегда должны содержать сеть "0.0.0.0/0" Правило "Внешние сети" в профиле должно быть расположено в самом низу, после всех правил.
Нажмите кнопку "Добавить правило".
В открывшемся окне укажите:
Правило - выберите из списка сетей нужную сеть (список сетей можно отредактировать в "Редакторе правил и сетей").
Определите стоимость входящего и исходящего трафика, если вам необходим финансовый учет трафика и настройка лимитов трафика для
пользователей. Если в этом нет необходиости, эти и следующие за ними поля можно оставить пустыми. Учет стоимости трафика вестись не
будет, но будет доступна статистика по-мегабайтам и веб-отчетность у пользователей.
Поставьте галочку "Блокировать при превышении лимита", если необходимо блокировать данную сеть, при превышении лимита у
пользователя. Часто возникает необходимость, чтобы определенные сети оставались доступны пользователю всегда, а остальной трафик
блокировался, при окончании лимита трафика.
Скачено/отправлено более/менее. Определяет действие правила в зависимости от количества скаченного или отправленного трафика.
Например, данными правилами задается скорость пользователя, равная 64 кб, при превышении количества скаченного трафика в 100 мб за
период (период задается в настройках пользователя или группы и может быть днем, неделей, месяцем и т.п.)
Подробнее о возможностях по ограничению скорости трафика можно прочитать в статье Шейпер.
Время действия. Определяет время действия правила, с помощью этих параметров можно настраивать скорость интернета у пользователей в
зависимости от времени.
Скорость Вх /Скорость Исх. Данный параметр определяет скорость входящего и исходящего трафика.
Тарифицировать только превалирующий трафик. Этот параметр можно использовать когда нужно тарифицировать только превалирующий
трафик (только исходящий или только входящий, в зависимости от того, какой из них больше).
Правила в профиле применяются сверху вниз, аналогично правилам фаервола, поэтому необходимо размещать их соответственно логике
обработки. Правило "Внешний трафик" (0.0.0.0/0) должно идти самым последним и расположено ниже всех.
Пример использования профиля для ограничения трафика по скорости.
Создадим профиль, с ограничением скорости трафика в 1 мегабит/секунду на пользователя.
1. Нажмите "Добавить профиль" и заполните форму нужными данными
2. Нажмите на название профиля, а затем нажмите на кнопку "Добавить правило".
Выберите правило "Локальная сеть", чтобы для локальной сети скорость не ограничивалась. Нажмите "Сохранить".
3. Снова нажмите на кнопку "Добавить правило".
Выберите правило "Внешний трафик", установите ограничение входящей скорости 1024 кбит/с. Нажмите "Сохранить".
4. Получившийся в итоге профиль, при применении на пользователей или группы пользователей будет ограничивать каждому из пользователей
скорость интернет-трафика до 1 мб/c.
Пример использования профиля для лимитирования трафика.
Отредактируем профиль и настроим пользователя с ограничением количества интернет-трафика в 100 мегабайт в неделю.
1. Отредактируем "Основной профиль", для учета и блокировки внешнего интернет-трафика. Нажмите на название профиля, а затем на кнопку
"Редактировать" для сети "Внешний трафик".
Укажите стоимость входящего трафика - 1 единицу за 1 Мб. И поставьте галочку "Блокировать при превышении лимита".
Нажмите кнопку "Сохранить".
2. Перейдите на оснастку управления пользователями и выберите нужного пользователя.
Перейдите на вкладку "Финансы", Выберите "Период" - неделя, "Выделить на период" - 100. Порог отключения "0".
Таким образом данный пользователь сможет использовать только по 100 мегабайтов внешнего трафика в неделю. По использованию этого лимита,
пользователю будет запрещен доступ к внешним сетям, до начала следующей недели.
Аналогичным образом можно создавать лимиты по трафику не только по пользователям, но и по группам (общий лимит для группы) пользователей.
Пулы IP адресов
Для удобства управления IP-адресами назначаемыми пользователям и компьютерам используется понятие Пул IP-адресов.
Пул IP-адресов – это диапазон IP-адресов, из которого назначаются IP-адреса пользователям при их создании.
Пул IP-адресов – это диапазон IP-адресов, из которого назначаются IP-адреса пользователям при их создании.
Пулы никак не связаны со службой DHCP, адреса из пула назначаются создаваемым в ICS пользователям, а не назначаются реальным
физическим устройствам.
Не удаляйте пулы ip-адресов, даже если они вам не требуются (например, вы назначаете Ip-адреса пользователям вручную). Это один из
обязательных параметров у пользователя, без указания которого он не сможет авторизоваться на сервере.
Здесь создаются пулы IP-адресов, для последующего использования в вашей сети. Пулы IP-адресов используются для удобства и не являются
обязательными для работы сети. Необходимость в их настройке, как правило, вызвана обилием используемых профилей, сложными конфигурациями
сетей на предприятии или наличием нескольких подключений к провайдеру. Пулы IP-адресов позволяют сгруппировать пользователей по признаку
принадлежности к разным подсетям, а уже этим подсетям должен быть разграничен доступ средствами Firewallа или назначены определенные
маршруты в другие подсети. Использование определенных пулов IP-адресов определяется у конечных пользователей или у группы.
Если ваши пользователи получают IP-адреса непосредственно от сервера Ideco ICS (например при подключении по VPN), то достаточно указать тот или
иной пул IP-адресов, и при подключении по VPN исходя из логина подключаемого пользователя ему будет выдан IP-адрес из пула, указанного в
настройках пользователя.
Наименование - может отражать территориальное или логическое предназначение пула.
Диапазон - первый и последний адрес в пуле, маска будет вычеслена сервером автоматически. Например, "10.230.0.1 – 10.235.255.254".
Зарезервировать (раздавать вручную) - Если признак установлен – это означает что этот пул будет "зарезервирован", тоесть IP-адреса из этого
IP-диапазона не будут раздаваться автоматически, даже если они входят в какой-нибудь другой пул. Рекомендуется для пулов реальных
IP-адресов.
Редактор правил и сетей
Правила используются в профилях. Правило в свою очередь состоит из списка сетей с указанием политики.
Не изменяйте правило "Внешний трафик" без особой необходимости. Это правило обязательно должно присутствовать в любом Профиле,
для доступа использующих его пользователей к ресурсом сети Интернет.
Для добавления правила нажмите кнопку "Добавить правило".
Название - обычно описывает сетям, которые будут добавлены в правило.
Комментарий - можно записать более подробное описание сетей для удобства.
Загружать с веб-адреса - не используйте эту функцию, в будущих версиях она будет удалена.
После создания правила, откройте его, кликнув по его имени. В раскрывшуюся таблицу нужно добавить подсети, нажав кнопку "Создать подсеть".
Заполните форму:
Название - имя создаваемой подсети.
IP-адрес и маска сети - адреса описываемой сети.
В случае если вы хотите обозначить множество всех возможных адресов, то достаточно включить параметр ALL, что идентично значениям
0.0.0.0 и 0.0.0.0 в полях "IP-адрес" и "Маска подсети"
В случае, если нужно указать не подсеть, а конкретный хост, необходимо в поле IP-адрес прописать IP-адрес этого хоста и маску для одного
компьютера в сети: 255.255.255.255, а не маску всей подсети в которой находится хост.
Доступ запрещен - поставьте галочку, если хотите в Профилях ограничивать доступ к данной подсети.
Отчеты
Настройка.
Для доступа к отчетам нужно зайти в веб-интерфейс Ideco ICS и выбрать модуль "Отчеты" в верхнем меню.
Доступ к отчетам есть у "Главного администратора", а также у пользователей с правами "Технический администратор".
Отчетность по трафику доступна всегда. Отчетность по веб-активности при следующих условиях:
На странице "Отчеты" - "Веб-активность" - "Главная" должна быть поставлена галочка "Включить сбор статистики по веб-трафику"
Должен быть включен прокси-сервер в прозрачном режиме для всех пользователей.
Должен быть включен контент-фильтр (даже если вы не собираетесь ограничивать доступ пользователям к сайтам, он нужен для категоризации
сайтов в отчетах). В зависимости от того, стандартный или расширенный контент-фильтр используется, отчеты будут представлены по
имеющимся в них категориям.
Исключение пользователей из отчетности.
Исключить пользователя из отчетов по трафику нельзя.
Исключить пользователя из отчетов по веб-активности, можно, если исключить его IP-адрес из обработки прокси-сервером.
При этом на пользователя не будут распространятся запрещающие правила контент-фильтра.
Обслуживание
Текущий раздел содержит информацию, касающуюся обслуживания сервера Ideco ICS.
Активация сервера Ideco ICS
Активация продукта является необходимым шагом для ввода интернет-шлюза Ideco ICS в эксплуатацию. Если перед приобретением шлюза вы
использовали его в демонстрационном периоде (30 дней), то все настройки, которые были произведены в пробной версии, после активации останутся
неизменными.
Если вы хотите перенести интернет-шлюз Ideco ICS на новый жесткий диск, то необходимо провести повторную активацию сервера на новом
диске.
Прежде чем активировать продукт, его необходимо зарегистрировать. Для этого перейдите в раздел "О программе", который расположен в левом
верхнем углу web-интерфейса, и нажмите кнопку "Регистрация". Перед вами должна появиться форма регистрации, представленная на фрагменте ниже.
В соответствующие поля введите название организации и регистрационный код. Эти данные вы должны были получить при приобретении
интернет-шлюза Ideco ICS. Проверьте правильность введенных данных и нажмите кнопку "Ok".
Когда система проверит регистрационный номер, она предложит вам пройти процедуру активации, которая может быть выполнена в двух режимах: авто
матическом и ручном. Ручная активация может потребоваться в том случае, если отсутствует доступ к сети Интернет. Если же у вас уже настроено
подключение к сети, то воспользуйтесь автоматической регистрацией, нажав кнопку "Активировать".
Для осуществления ручной активации необходимо выполнить следующие действия.
1. Позвоните по телефону в компанию "Айдеко" и получите код активации. В пределах Российской Федерации действует бесплатная линия
8-800-555-33-40.
2. Введите полученный код в соответствующее поле и нажмите кнопку "Ok".
3. Дождитесь появления на экране сообщения "Продукт был успешно активирован", после чего обязательно выполните полную перезагрузку
сервера.
Резервное копирование и восстановление данных
Резервное копирование
Предоставление пользователям стабильного доступа в сеть Интернет является основной задачей, решаемой интернет-шлюзом. Но иногда случаются
ситуации, которые приводят к сбоям в работе системы и последующему нарушению доступа в интернет. В зависимости от сложности сбоя может
потребоваться полная переустановка интернет-шлюза и восстановление данных из резервных копий. В этом разделе вы найдете описание процесса
создания резервных копий интернет-шлюза Ideco ICS.
В зависимости от того, где вы собираетесь хранить резервные копии, интернет-шлюз поддерживает следующие типы автоматического резервного
копирования:
на сетевое файловое хранилище по протоколу FTP;
на сетевое файловое хранилище по протоколу NetBIOS;
на локальный жесткий диск.
Для настройки автоматического резервного копирования перейдите в следующий раздел административного web-интерфейса Сервер -> Резервное
копирование. В этом разделе вы сможете настроить каждый из типов резервирования данных. Интерфейс выбора типа резервного копирования в
графической панели управления представлен на Рисунке 5.3.
Рисунок 5.3 — Настройка резервирования данных в web-интерфейсе
Также вы можете настроить резервное копирование с помощью локальной консоли. Для этого необходимо перейти в раздел локального меню Резервное
копирование -> Локальные резервные копии БД. В этом разделе вы сможете настроить каждый из типов резервирования данных. Интерфейс выбора
типа резервного копирования в локальной консоли представлен на Рисунке 5.4.
Рисунок 5.4 — Настройка резервирования данных в локальной консоли
Для каждого из типов резервирования возможно указание периода создания копий.
Ежедневно – копии будут создаваться 1 раз в день.
Еженедельно – копии будут создаваться 1 раз в неделю.
Ежемесячно – копии будут создаваться 1 раз в месяц.
Резервное копирование на удаленное файловое хранилище по протоколу FTP
Данный тип предусматривает запись резервных копий на FTP-сервер. Ключевые параметры, необходимые для настройки резервного копирования на
FTP-сервер описаны в Таблице 5.2.
Таблица 5.2 — Параметры настройки резервного копирования на FTP-сервер
Параметр
Описание
IP-адрес FTP-сервера
Адрес удаленного FTP-сервера, на котором будут размещаться копии БД.
Имя пользователя
Логин для авторизации на FTP-сервере.
Пароль
Пароль для авторизации на FTP-сервере.
Каталог на FTP-сервере
Каталог, в который будут записываться копии БД.
Ежедневная/Еженедельная/Ежемесячная
запись
Временные интервалы, через которые будет производиться резервное копирование БД пользователей.
Можно выбрать все 3 пункта одновременно.
Дополнительно сохранять каталоги
Содержимое указанных каталогов на сервере будет также копироваться на FTP-сервер (например, /var/log/
squid).
Интерфейс управления резервным копированием на FTP-сервер в локальной консоли приведен на Рисунке 5.7.
Рисунок 5.7 — Интерфейс управления резервным копированием на FTP-сервер в локальной консоли
Интерфейс управления резервным копированием на FTP-сервер в web-интерфейсе показан на Рисунке 5.8.
Рисунок 5.8 — Интерфейс управления резервным копированием на FTP-сервер в web-интерфейсе
Резервное копирование на сетевое файловое хранилище по протоколу NetBIOS
Данный тип резервного копирования предусматривает запись копии на сервер по протоколу NetBIOS. Ключевые параметры, необходимые для
настройки резервного копирования на NetBIOS-сервер описаны в Таблице 5.3.
Таблица 5.3 — Параметры, необходимые для настройки резервного копирования на NetBIOS-сервер
Параметр
Описание
IP-адрес NetBIOS-сервера
Адрес удаленного NetBIOS-сервера, на котором будут размещаться копии БД.
Имя пользователя
Логин для авторизации на сетевом ресурсе Windows.
Пароль
Пароль для авторизации на сетевом ресурсе Windows.
Общая папка на NetBIOS-сервере
Каталог, в который будут записываться копии БД.
Ежедневная/Еженедельная/Ежемесячная
запись
Временные интервалы, через которые будет производиться резервное копирование БД пользователей.
Можно выбрать все 3 пункта одновременно.
Дополнительно сохранять каталоги
Содержимое указанных каталогов на сервере будет также копироваться на NetBIOS-сервер (например, /va
r/log/squid).
Интерфейс управления резервным копированием на NetBIOS-сервер в локальной консоли приведен на Рисунке 5.9.
Рисунок 5.9 — Интерфейс управления резервным копированием на NetBIOS-сервер в локальной консоли
Интерфейс управления резервным копированием на NetBIOS-сервер в web-интерфейсе показан на Рисунке 5.10.
Рисунок 5.10 — Интерфейс управления резервным копированием на NetBIOS-сервер в web-интерфейсе
Резервное копирование на локальный жесткий диск с помощью программы WinSCP
Локальные резервные копии БД – копии БД пользователей, которые хранятся на локальном жестком диске интернет-шлюза Ideco ICS. Интерфейс
управления резервными копиями в локальной консоли представлен на Рисунке 5.4. С его помощью вы можете выполнять следующие действия над
локальными копиями.
Кнопка "Загрузить" позволяет восстановить выбранную резервную копию и вернуть предыдущее состояние базы данных.
Кнопка "Создать" позволяет создать резервную копию БД пользователей. Копии БД создаются автоматически ежедневно.
Кнопка "Удалить" позволяет удалить выбранную резервную копию БД пользователей.
Перечень локальных резервных копий БД показан на Рисунке 5.11.
Рисунок 5.11 — Интерфейс управления резервными копиями в локальной консоли
WinSCP – программа, необходимая для копирования файлов между локальным компьютером и сервером по протоколу SSH. Используйте WinSCP для
копирования резервных копий БД с сервера на ваш локальный компьютер и их переноса на новый сервер.
Дистрибутив программы WinSCP вы всегда можете найти в интернете по адресу: http://winscp.net/. Программа распространяется бесплатно.
Процесс восстановления данных из резервных копий с помощью программы WinSCP можно разделить на три этапа:
копирование данных с сервера на локальный компьютер;
перенос резервных копий с локального компьютера на новый сервер;
восстановление БД из резервных копий.
Этап 1: Копирование резервных копий с сервера
Первым этапом восстановления данных из резервных копий является копирование данных со старого сервера на локальный компьютер. Для
подключения к серверу с помощью программы WinSCP перейдите в раздел Безопасность -> Дополнительные настройки web-интерфейса сервера.
Активируйте пункт "Разрешить полное удаленное управление по SSH", показанный на Рисунке 5.12. Выполните полную перезагрузку сервера.
Рисунок 5.12 — Разрешение удаленного управления по SSH
После этого можно подключаться к серверу из локальной сети. Доступ из интернета отсутствует. Используйте следующие реквизиты для входа:
адрес шлюза Ideco ICS в локальной сети – 10.80.15.3;
порт – 22;
логин – sysadm;
пароль – servicemode.
Пароль servicemode установлен по умолчанию, поэтому используйте ваш действующий пароль от локального меню. Адрес шлюза в локальной
сети также может быть другим.
Настройки подключения из локальной сети к серверу приведены на Рисунке 5.13. Рисунок 5.13 — Настройки подключения к серверу из локальной сети
Если вы все сделали верно, нажмите кнопку "Login". После подключения вы увидите окно, похожее на обычный двухпанельный файловый менеджер,
представленный на Рисунке 5.14. Левая панель отображает содержимое вашего локального компьютера, а правая – данные файловой системы Ideco. Нас
интересует каталог var/backup, находящийся в файловой системе Ideco. Рисунок 5.14 — Основное окно WinSCP
На Рисунке 5.15 показано, что архивы с резервными копиями БД хранятся в подкаталоге var/backup/db (файлы с расширением .gbk). Вы можете
выборочно скопировать нужные вам файлы из этой папки или полностью весь каталог "BACKUP" на свой компьютер. Рисунок 5.15 — Каталог "BACKUP"
Этап 2: Перенос резервных копий на новый сервер На данном этапе необходимо перенести на новый сервер резервные копии, сохраненные на локальном компьютере. Для этого выполните следующие
действия. 1. Для подключения к серверу, настройте локальный интерфейс. Перейдите в раздел Безопасность -> Дополнительные настройки web-интерфейса
сервера. Активируйте пункт "Разрешить полное удаленное управление по SSH".
2. После этого подключитесь к серверу из локальной сети с помощью программы WinSCP по порту 22. Используйте sysadm в качестве логина.
Адрес сервера и пароль должны соответствовать настройке вашего нового сервера.
3. Скопируйте резервные копии БД с компьютера на сервер в подкаталог /BACKUP/db. Если вы все сделали верно, то резервные копии должны появиться в списке раздела локального меню Резервное копирование -> Локальные резервные
копии БД нового сервера. Этап 3: Восстановление БД из резервных копий Для восстановления базы данных пользователей необходимо загрузить сервер в защищенном режиме ("SAFEMODE"). Для этого в локальном меню
сервера в разделе "Перезагрузка" выберите пункт "Перейти в SAFEMODE", показанный на Рисунке 5.16. Рисунок 5.16 — Выбор режима перезагрузки сервера
После загрузки сервера в режиме "SAFEMODE", перейдите в раздел хранения резервных копий БД локального меню Резервное копирование ->
После загрузки сервера в режиме "SAFEMODE", перейдите в раздел хранения резервных копий БД локального меню Резервное копирование ->
Локальные резервные копии БД. Выберите нужную вам копию базы данных и нажмите кнопку "Загрузить".
После того, как резервная копия базы данных будет успешно восстановлена в системе, перезагрузите сервер в обычном режиме.
Если вы копируете резервные копии на новый жесткий диск, например, при переустановке сервера, то после восстановления БД и
конфигурации из резервной копии вам необходимо заново пройти процесс активации.
Резервное копирование и восстановление почтовых ящиков пользователей. Если на ICS был настроен почтовый сервер и требуется полностью восстановить конфигурацию на новом сервере, то, помимо восстановления базы
данных с настройками ICS, нужно так же переписать все почтовые ящики пользователей хранящиеся на сервере в каталоге /var/mail/ (является
символической ссылкой на каталог /var/spool/mail/). Копирование содержимого этого каталога можно осуществить с помощью WinSCP или любым другим scp-клинетом. Так же возможно перемещение
содержимого каталога с диска старого сервера на диск нового сервера в каталог /var/mail/, подключив оба диска к серверу и загрузившись из-под
любого live-cd дистрибутива linux. Будьте готовы к копированию/сохранению больших объемов данных. После перемещения содержимого каталога /var/mail/ на новую инсталляцию сервера важно расставить верные права (nobody:imap) на
содержимое каталога рекурсивно. Лучше всего это делать на новой инсталляции, загрузив сервер в режиме удаленного помощника, подключившись к
консоли сервера от root и выполнив команду: chown nobody:imap /var/mail/ -R После этого вся почтовая корреспонденция станет доступна клиентам ICS на новой установке под их прежними учетными записями на их ПК из-под их
почтовых клиентов как прежде. При возникновении проблем в ходе выполнения этой процедуры - обратитесь в техническую поддержку нашей компании, заранее подготовив доступ по
ssh к новому серверу и корреспонденции со старого сервера (к бекапу или диску старого сервера).
Архивирование и удаление статистики на сервере Ideco
Удаление src-dst статистики на сервере Ideco с заданным периодом
Src-dst статистика – общая статистика посещений пользователями Ideco ICS интернет-ресурсов, основанная на анализе IP-аресов. Эта статистика
хранится в неагрегированном состоянии и может занимать значительное дисковое пространство. Если вы столкнулись с проблемой нехватки дискового
пространства, рекомендуем вам удалить статистику за определенные периоды. Для настройки параметров удаления статистики посещений перейдите в
раздел web-интерфейса Сервер -> Дополнительно -> Хранение. Далее в поле "Удалять src-dst статистику старее, n месяцев" укажите количество
месяцев, в пределах которых статистика считается актуальной. Данные старше этого срока сохраняться не будут. Настройка удаления статистики
посещений в web-интерфейсе проиллюстрирована ниже.
Архивирование статистики прокси-сервера squid с заданным периодом
Squid – статистика прокси-сервера по web-трафику, основанная на анализе доменных имен. Периодическая архивация статистики squid может оказаться
полезной в том случае, если у вас включен прокси-сервер, и статистика по посещениям сайтов занимает слишком много места. Настроить период
архивации можно в том же разделе Сервер -> Дополнительно -> Хранение административного web-интерфейса. Далее в поле "Архивировать статистику
кэш squid старее, n дней" укажите количество дней, в пределах которых статистика кэша считается актульной. Данные старше этого срока будут
архивироваться. Настройка архивирования src-dst статистики в web-интерфейсе представлена ниже.
Удаление статистики прокси-сервера squid с заданным периодом
Существует возможность удаления статистики squid старше определенного срока. Для ее настройки перейдите в раздел Сервер -> Дополнительно ->
Хранение административного web-интерфейса. Далее в поле "Удалять статистику кэш squid старее, n дней" укажите количество дней, в пределах
которых статистика кэша считается актульной. Данные старше этого срока сохраняться не будут. Настройка удаления статистики прокси-сервера squid в
web-интерфейсе приведена далее.
Режим удаленного помощника
Чтобы служба технической поддержки могла подключиться к вашему серверу удаленно, его необходимо загрузить в режиме удаленного помощника.
Загрузка сервера в таком режиме не повлияет на работу пользователей.
Возникают ситуации, когда необходимо воспользоваться правами пользователя root. Режим удаленного помощника позволяет создавать такого
пользователя, но он сохраняется до следующей перезагрузки сервера.
Загрузка сервера в режиме удаленного помощника на версиях 5.4.Х и выше
1. После включения сервера, перед началом загрузки Ideco ICS, при появлении меню загрузчика GRUB с выбором ядра linux для загрузки
системы, нажмите англоязычную клавишу "a" на клавиатуре. Меню загрузчика представлено далее на снимке экрана.
2. После нажатия клавиши "a" вам станет доступна правка параметров загрузки выбранного ядра.
3. Придумайте временный пароль для удаленного помощника. Допишите в конец существующего списка параметров ваш временный пароль и
отключение проверки файлов при загрузке: p=пароль nc=1 , как показано на фрагменте ниже. После этого нажмите "Enter".
4. Вы снова попадете в меню загрузчика с списком ядер linux для загрузки системы. Маркер будет находиться на отредактированном вами ядре.
Нажмите "b" или "enter" для продолжения загрузки Ideco ICS с этим ядром. Сервер будет функционировать как при обычной загрузке, на
работе пользователей режим удаленного помощника не отразится.
5. Отправьте специалисту технической поддержки внешний IP-адрес сервера и временный пароль, который вы указали после "p=".
Загрузка сервера в режиме удаленного помощника на версиях 5.3.Х и ниже
Чтобы загрузить сервер в режиме удаленного помощника необходимо выполнить следующие действия.
1. Вам необходимо вызвать строку с приглашением для ввода команды, начинающуюся со слова boot. Для этого в процессе загрузки сервера
нажмите клавишу "tab". Меню загрузчика представлено на фрагменте экрана ниже.
Вы должны увидеть строку boot в левом верхнем углу, как показано ниже.
2. Придумайте временный пароль для удаленного помощника.
3. Введите в строку с приглашением следующую комбинацию: icserver p=пароль nc=1. Например, ICServer p=serv nc=1. После этого нажмите "Ent
er".
4. Введите пароль servicemode и нажмите "Enter". Должна продолжиться обычная загрузка системы. Сервер функционирует в обычном режиме.
5. Отправьте специалисту технической поддержки внешний IP-адрес сервера и временный пароль, который вы указали после "p=".
Работа из консоли сервера от имени пользователя root в режиме удалённого помощника
Чтобы организовать работу из консоли сервера от пользователя root в режиме удаленного помощника необходимо выполнить следующие действия.
1. Запустите консоль. Для этого нажмите Alt+F7.
2. В поле "login" введите root, а затем временный пароль, который вы указали после "p=".
Вы вошли в систему с правами пользователя root. Об этом свидетельствует символ "#" в строке с приглашением.
Работа с сервером удаленно по протоколу SSH в режиме удаленного помощника
Чтобы организовать работу с локальной консолью сервера удаленно по протоколу SSH от пользователя root в режиме удаленного помощника
необходимо выполнить следующие действия.
1. Подключитесь к серверу с помощью SSH-клиента putty. Программа бесплатна и скачать ее вы можете с web-сайта разработчика или из
каталога utils, размещенного на установочном диске Ideco ICS.
1. При подключении из локальной сети используйте адрес, который настроен на локальной сетевой карте Ideco. Введите необходимые параметры
для подключения:
a. порт – 33;
b. логин – root;
c. временный пароль, который вы указали после "p=". Символ "#" свидетельствует о том, что вы работаете от имени пользователя root.
Удаленный доступ к локальному меню сервера
Существует несколько способов удаленного доступа к меню сервера:
подключение из локальной сети;
подключение из интернета.
Подключение из локальной сети
Подключение к локальному меню осуществляется по SSH. Для организации доступа из локальной сети к меню сервера необходимо выполнить
следующие действия.
1. Разрешить управление файлами по SSH. Для этого перейдите в меню Безопасность -> Дополнительные настройки и активируйте пункт "Разрешить
управление файлами по SSH".
2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), используя 22 порт. Необходимо указать логин sysadm и пароль как в
локальной консоли (по умолчанию servicemode).
Используйте команду menu для запуска меню, команду mc – для запуска файлового менеджера.
Подключение из интернета
Подключение к серверу по SSH из интернета под пользователем sysadm невозможно. Порт 22 открыт только для доступа из локальной сети.
Такие ограничения установлены в целях повышения безопасности.
Для подключения по SSH из интернета к локальному меню сервера необходимо выполнить следующие действия.
1. Загрузить сервер в режиме удаленного помощника.
2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), используя 33 порт. Необходимо указать логин root и пароль,
который был назначен при загрузке в режиме удалённого помощника.
Используйте команду menu для запуска меню, команду mc – для запуска файлового менеджера.
Подключение под пользователем root из локальной сети на локальный адрес сервера осуществляется по порту 33 протокола tcp.
При загрузке в режиме удаленного помощника root будет создан только до следующей перезагрузки сервера.
Чтобы сделать режим удалённого помощника режимом загрузки сервера по умолчанию необходимо:
1. Загрузить сервер в режиме удаленного помощника.
2. Подключиться к серверу с помощью любого SSH-клиента (например, putty), используя 33 порт. Необходимо указать логин root и пароль,
который был назначен при загрузке в режиме удалённого помощника.
3. В консоли откроем на редактирование конфигурационный файл загрузчика grub:
mcedit /boot/grub/grub.conf
4. В параметрах загрузки ядра, которое используется по умолчанию, в конце строки начинающейся со слова kernel вводим два параметра "p=pass
word nc=1", вот пример того что должно получиться:
kernel /boot/ICServer nmi_watchdog=1 ramdisk_size=7500 vmalloc=512M consoleblank=0 ... p=password
nc=1
5. Выходим из редактора нажатием F10 с сохранением изменений в файле grub.conf
6. Делаем полную перезагрузку сервера.
Обновление сервера
В Ideco ICS предусмотрено два способа обновления сервера:
с помощью установочного CD-диска или Flash-накопителя.
с использованием административного web-интерфейса.
Обновление сервера с помощью установочного диска
Прежде всего вам нужно скачать CD-образ (.iso) с сайта нашей компании и записать его на CD. Актуальная версия образа всегда доступна на этой
странице.
Для проверки того, что ваша копия образа была скачана с сайта без ошибок и корректно записана на CD, нужно сравнить полученный образ и
образ, записанный на диск, на соответствие хеш-суммы MD5. MD5-хеш опубликованного файла образа указан на странице загрузки
iso-образа.
Записанный установочный диск вставьте в CD-ROM вашего сервера.
Убедитесь, что в BIOS выбрана загрузка с CD-ROM. Если вы записали образ на DVD-диск, то в сервере должен быть установлен DVD-ROM,
в противном случае загрузка с DVD-диска будет невозможна.
В начале процесса обновления вы увидите приглашение загрузчика Ideco ICS. Не выбирайте никаких дополнительных опций, нажмите "Enter".
Загрузчик показан на снимке экрана ниже.
Вы выбрали обычный режим установки сервера. Далее на экране должно появиться приветствие мастера установки, представленное на следующем
снимке экрана. Проверьте правильность значений времени и даты. Для продолжения нажмите "Да". Следующим шагом система предлагает вам ознакомиться с лицензионным соглашением. Вы должны были подробно его изучить при первоначальной
установке. Для продолжения нажмите клавишу "Согласен". Далее система предлагает вам выбрать тип установки. Подробную информацию о возможных выриантах загрузки вы можете найти в разделе "Установка
". В случае обновления сервера выберите пункт "Обновление Ideco ICS" и нажмите "OK". Меню выбора типа установки показано ниже. Система предупреждает о том, что в процессе обновления старые версии всех системных файлов заменяются на новые с установочного диска.
Предупреждение об обновлении файлов приведено ниже. Все настройки, которые были произведены на сервере (настройки сервера и пользователей,
контент сайтов на сервере, содержимое FTP-сервера, статистика и т.д.) останутся неизменными. Конфигурационные файлы будут обновлены при первой
загрузке сервера. Для продолжения нажмите "Да". Процесс обновления файлов запустится в автоматическом режиме и может занять некоторое время: от нескольких минут до получаса. По завершении
процесса обновления будет выведено сообщение как на снимке ниже. Если вы меняли пароль на вход в локальное меню, то он останется прежним. Завершающим шагом является перезагрузка компьютера. Нажмите кнопку "OK". При загрузке системы следите за тем, чтобы все запускаемые и используемые вами сервисы были запущены на сервере со статусом [OK].
Если возникли ошибки, обращайтесь в службу технической поддержки.
Популярные рецепты
Раздел включает в себя информацию по настройке популярного функционала Ideco ICS.
Что делать если не работает Интернет
ШАГ 1. Проверить параметры пользователя
Найдите пользователя, у которого не работает Интернет в веб-интерфейсе, во вкладке Общие кликните по ссылке Проверить возможность
подключения, возможные варианты ошибок описаны в главе Проверка пользователя
Убедитесь, что проверяемый пользователь авторизован на сервере, возможные состояния пользователя описаны в главе Дерево пользователей (
таблица 4.2.2)
Проверьте, что в настройках пользователя на вкладке Общие стоит галочка Активировать NAT (NAT не включается только если пользователю
назначается публичный (белый) адрес). Значение поля NAT должно соостветствовать адресу внешнего интерфейса (если Интернет-каналов
несколько, NAT-адрес должен соответствовать адресу того интерфейса, через который пользователь выходит в Интернет)
ШАГ 2. Проверка компьютера пользователя
Проверьте с компьютера пользователя ping до адреса 8.8.8.8: Пуск -> Выполнить, введите cmd, в появившемся окне ping 8.8.8.8:
если адрес 8.8.8.8 пингуется проверяем ping ya.ru
если адрес ya.ru пингуется, перейдите к Шагу 6
если "не удалось обнаружить узел ya.ru", то, возможно, не работает DNS провайдера, проверьте dns командой nslookup ya.ru 222.222.222.222,
вместо 222.222.222.222 укажите DNS адрес провайдера:
- если ответа нет, значит dns провайдера не работает, обратитесь к провайдеру
- если ответ есть, проверьте адрес первичного DNS на вашем компьютере (должен быть указан локальный адрес Ideco ICS), проверьте, так же,
что DNS сервер включен на Ideco в разделе Сервер -> DNS
если адрес 8.8.8.8 не пингуется перейдите к Шагу 3
ШАГ 3. Проверка Интернет на сервере
Зайдите в локальное меню сервера: Сервис -> MC-Commander, нажмите ctrl+o, выполните команду ping 8.8.8.8, для остановки ctrl+c:
Если ping не проходит:
Проверьте настройки сервера, адреса и маски интерфейсов
Убедитесь, что используемое вами сетевое оборудование является исправным, сетевые кабели правильно обжаты, а так же не имеют изломов и
обрывов, проверьте индикатор link на сетевой карте, перезагрузите коммутатор и модем (если используется)
обрывов, проверьте индикатор link на сетевой карте, перезагрузите коммутатор и модем (если используется)
Если используемый тип подключения простое Ethernet соединение, то необходимо выполнить команду arp -an | grep
<адрес_шлюза_провайдера>. Если MAC адрес шлюза провайдера не определился, то имеет смысл попробовать перезагрузить Сервер, вытащив
кабель до провайдера. После того, как сервер перезагрузился - вставить кабель до провайдера и проверить MAC адрес шлюза провайдера
снова. Такая ситуация бывает, а решение помогает если "подвисает" порт коммутатора провайдера. Если после указанной меры MAC шлюза
провайдера не появился в таблице MAC адресов - обратитесь к провайдеру. Связь до провайдера должны быть всегда. Следует отметить, что в
случае перехода с другого оборудования возможно отсутствие Интернета ввиду использования провайдером привязки по MAC адресу.
Если ping проходит, перейдите к Шагу 4
ШАГ 4. Проверка профиля
Проверьте, что последнее правило в профиле это Внешний трафик (подсеть ALL и маска 0.0.0.0) с политикой "Разрешить"
Проверьте, что все сети в профиле прописаны верно, пример неверной записи: 172.16.0.10/255.255.255.0, сеть может быть только
172.16.0.0/255.255.255.0 (и т.д.)
Если ошибок нет, то перейдите к Шагу 5
ШАГ 5. Проверка Firewall
Отключите пользовательский и системный Firewall, все группы
Если Интернет появился, найти правило запрещающее Интернет в Firewall, поочередно включая правила
Если ничего не помогло, перейдите к Шагу 7
ШАГ 6. Проверка работы веб-трафика
Если у пользователя пингуется ресурсы и по доменному имени и по IP адресу, но при этом не работает веб-трафик:
Проверьте, что в браузере убраны все настройки прокси
Выключите временно Firewall Windows
Попробуйте отключить на Ideco прокси сервер
Если ничего не помогло перейдите к Шагу 7
ШАГ 7. Обратитесь в техподдержку.
Клавишей PrntScrn сделайте скриншоты вкладки Общие пользователя и профиля в развёрнутом виде, и вышлите их адрес [email protected]
Загрузите сервер в режиме удалённого помощника и обратитесь в службу технической поддержки: http://www.ideco.ru/support/remotehelp.html
Портмаппинг, DNAT, публикация сервера в локальной сети
Часто нужно настроить сервер таким образом, чтобы он предоставлял возможность доступа к сетевой службе, работающей на сетевом устройстве в
локальной сети с приватным ("серым") IP-адресом. Это называется публикацией сервиса (или сетевой службы) в сети Интернет. Публикация службы
доступной в локальной сети на устройстве, имеющем приватный IP-адрес, для возможности доступа к ней из внешних сетей работает путем трансляции
("проброса") любого неиспользуемого на внешнем ("публичном") IP-адресе сервера Ideco сетевого порта на порт соответствующего сервиса,
работающего на сетевом устройстве в локальной сети. При этом все обращения из внешних сетей на публичный адрес сервера Ideco по транслируемому
порту будут перенаправлены на публикуемый порт службы, работающей на сетевом устройстве в локальной сети. Так же эта технология называется
DNAT. Техническая реализация заключается в создании правила типа DNAT в системном фаерволе Ideco с указанием адресов сервера и публикуемой
машины, и сетевых портов, с которого и на который будет осуществляться трансляция сетевых запросов извне.
Инструкция по созданию правила DNAT в Firewall Ideco ICS
Рассмотрим конкретный пример. Допустим, что публичный адрес сервера Ideco : 88.99.111.222. Публикуемая служба: RDP (Remote Desktop),
работающая по 3389 TCP порту. Адрес комрьютера в локальной сети, на котором запущена служба и к которой нужно получить доступ извне:
192.168.0.10. Теперь, чтобы настроить трансляцию запросов к этой службе извне, через сервер Ideco, на устройство в локальной сети, нужно сделать
следущее:
1. Настроить авторизацию для сетевого устройства в локальной сети. Сетевое устройство должно быть авторизовано на Ideco и иметь доступ к
сети Интернет для того чтобы порт был проброшен на него. Как правило для публикуемых устройств используется авторизация по IP с
заданным IP-адресом на сетевом устройстве.
2. Создать правило трансляции портов (DNAT) в разделе Безопасность -> Системный Фаервол административного веб-интерфейса сервера.
Исходя из первоначальной задачи, правило будет выглядеть так:
3. Применить настройки фаервола, нажав кнопку Перезапустить.
Что делать если у вас нет статического IP адреса ?
Нужно создать правило аналогичное первому только в графе Destination указать 0.0.0.0 и соответствующую маску 0.0.0.0. В поле Входящий интерфейс у
казать имя интерфейса (можно посмотреть в веб-интерфейсе, в разделе "Пользователи", в графе "Логин" у Внешнего интерфейса), например Eeth2 или
Eppp3:
В поле Маска адреса назначения надо указывать 255.255.255.255 (не касается правил с указанием поля Входящий интерфейс)
Проверять работу правила DNAT надо из Интернет, а не из локальной сети.
Измените IP-адреса и порты, используемые в примере на реальные данные вашей задачи. Например, для публикации веб-сервера,
транслировать запросы нужно на 80 порт.
Порт на внешнем интерфейсе сервера, с которого будут транслироваться запросы, может отличаться от публикуемого порта самой
службы. Например, можно транслировать внешние запросы на порт 4489 в локальную сеть на порт 3389, чтобы воспрепятствовать
службы. Например, можно транслировать внешние запросы на порт 4489 в локальную сеть на порт 3389, чтобы воспрепятствовать
автоматическим попыткам подключения вредоносного ПО на популярный сервис.
Так же, в целях защиты от нежелательных подключений к публикуемой службе, рекомендуется указывать IP-адрес или подсеть с
которой разрешено подключаться к публикуемой службе в поле Источник создаваемого правила. Если разрешается подключение с
определенного IP-адреса в интернете, то указывается IP-адрес хоста с полной маской (34.56.78.81/32), если разрешается доступ для
подсети, то указывается адрес сети с маской подсети (34.56.78.80/28).Если осуществляется трансляция с порта 3389 на порт 3389
локального сервера (один и тот же порт), то можно не указывать 3389 в поле "Порт:" рядом с полем "Переадресовать на адрес:", а
оставить там 0 или пустое значение. Система автоматически переадресует запрос на соответствующий порт устройства в локальной
сети.
Как настроить правило DNAT для подключения на внешний адрес из локальной сети?
Рассмотренные выше примеры, работают только при подключении из сети Интернет. Для того, чтобы из локальной сети тоже можно было подключаться
на внешний IP-адрес необходимо:
1. На локальной сетевой карте сервера Ideco настроить дополнительный IP-адрес из непересекающейся сети, например, если основной адрес
192.168.0.1/255.255.255.0, то в качестве дополнительного можно использовать 172.16.1.1/255.255.255.0.
2. На сервере в локальной сети настроить адрес из дополнительной сети, например, 172.16.1.10/255.255.255.0 не пересекающейся с остальной
локальной сетью. Настройка сервера таким образом необходима во избежание появления "треугольной маршрутизации" и принудит клиентов
локальной сети работать с сервером исключительно посредством шлюза Ideco ICS.
3. Настроить авторизацию по IP для сервера по заданному ему IP-адресу (172.16.1.10).
4. Создать правило трансляции портов (DNAT) в разделе Безопасность -> Системный Фаервол административного веб-интерфейса сервера.
Исходя из заданных примеров, правило будет выглядеть так:
Учтите что маска назначения в правилах трансляции адресов (DNAT) всегда является полной маской хоста, то есть "255.255.255.255", так как
трансляция трафика производится с конкретного IP-адреса.
Устранение неполадок:
Сетевое устройство в локальной сети, на которое делается трансляция запросов, должно быть авторизовано на сервере и иметь доступ к сети
Интернет. Убедитесь что от клиента есть ping на внешние ресурсы.
Необходимо учитывать, что публикуемая служба должна отвечать клиенту во внешней сети через тот же внешний интерфейс сервера, с
которого пришел изначально запрос. Если в созданном правиле в поле Назначение указан публичный IP-адрес сервера для приема
подключений извне, несоответствующий публичному IP-адресу в поле NAT в свойствах учетной записи пользователя, то ответы от
публикуемой службы дойдут до клиента "не с той стороны" и соединение не будет работать. Это может случиться при использовании
нескольких провайдеров для выхода в сеть Интернет или при использовании на сервере нескольких публичных IP-адресов одного провайдера.
Брэндмауэр Windows или другие программы защиты часто блокируют соединения к системе с внешних адресов в интернете. В таких случаях
правило на сервере работает и трафик перенаправляется на сервер в локальной сети, но он отвергает подключение, что для клиента,
подключающегося извне, выглядит как отказ в соединении или отсутсвие связи с сервером, и может показаться что правило трансляции
запросов на сервере не работает. Для диагностики отключите все брандмауэры, фаерволы и антивирусы на целевом устройстве.
При создании правила часто указывают порт источника. Это ошибка, поскольку в большинстве подключений порт источника генерируется
автоматически и задать это условие невозможно, указывать нужно только порт назначения и порт сетевого устройства в локальной сети.
Исключить IP-адреса из обработки прокси-сервером
В ряде случаев требуется исключить прохождение веб-трафика определенных пользователей в локальной сети через прокси. Это может потребоваться в
целях диагностики работы прокси-сервера, или для исключения кеширования трафика, или любого другого влияния прокси-сервера на получение
целях диагностики работы прокси-сервера, или для исключения кеширования трафика, или любого другого влияния прокси-сервера на получение
веб-контента из сети интернет для некоторых пользователей в локальной сети. Причем, если для отдельного пользователя нужно отменить все
ограничения, налагаемые контент-фильтром прокси-сервера, то нужно просто указать IP-адрес этого пользователя в разделе веб-интерфейса Сервер ->
Прокси и контент-фильтр -> Контент-фильтр -> Исключить IP-адреса пользователей. Предполагается что если прокси-сервер включен и используется,
то нет надобности в исключении трафика отдельных пользователей из обработки прокси, поэтому возможность сделать это через веб-интерфейс
отсутствует. Если вам все-таки необходимо это настроить, сделайте следущее:
Подготовка сервера
Для того чтобы вносить правки в пользовательские скрипты сначала загрузите сервер в режиме удаленного помощника и получите доступ к консоли
linux с помощью ssh (вам поможет ssh-клиент putty для windows или любой терминал linux).
Исключение трафика по адресу источника
При помощи mcedit создайте в консоли сервера в директории /mnt/rw_disc/ пустой текстовый файл и назовите его freenet.txt:
mcedit /mnt/rw_disc/freenet.txt
Этот файл нужно наполнить IP-адресами пользователей или сетей, которые должны быть исключены из обработки прокси-сервером. Формат файла
простой: в каждой строке указывается IP-адрес или подсеть адресов, которую необходимо исключить из обработки прокси-сервером. Допускаются
комментарии после символа "#". Пример:
172.16.0.0/255.255.255.0
192.168.0.0/24 #WiFI
10.128.0.10/255.255.255.255
10.0.0.15/32 #
(в конце текста обязательно оставьте пустую строку нажатием клавиши Enter)
IP-адреса отдельных хостов записываются с маской 255.255.255.255 (/32). Например 172.16.0.5/32. IP-адреса сетей записываются как
адрес сети с маской сети. Например, 172.16.0.0/24.
IP-адрес должен соответствовать IP-адресу пользователя в базе. Например, если пользователь авторизуется на сервере по VPN, то и
исключать нужно адрес, получаемый пользователем при установлении VPN соединения. По умолчанию для таких пользователей
используются адреса из "простого пула", описываемого сетью 10.128.0.0/16.
После этого выполните в консоли следущую команду:
mcedit /usr/local/ics/bin/ics_tune.sh
В открывшемся текстовом редакторе напишите текст приведенный ниже и сохраните при выходе из него клавишей "escape" или "f10". При работе с
консолью linux через программу putty, советуем скопировать текст во избежании получения ошибок при перепечатывании кода.
#!/bin/bash
if [ "$1" = "firewall_custom.sh" ]; then
while read subnet trash; do
/sbin/iptables -t nat -I fw_custom_dnat -p tcp --dport 80 -s "$subnet" -j ACCEPT;
done < "/mnt/rw_disc/freenet.txt"
fi
Перезагрузите сервер мягкой перезагрузкой.
Исключение трафика по адресу назначения
При помощи mcedit создайте в консоли сервера в директории /mnt/rw_disc/ пустой текстовый файл и назовите его freenet.txt:
mcedit /mnt/rw_disc/freenet.txt
Этот файл нужно наполнить IP-адресами конкретных хостов в интернете. Допускаются комментарии после символа "#". Пример содержимого файла:
217.16.18.124 #mama.ru
217.107.214.2 #auto.ru
После этого выполните в консоли следущую команду:
mcedit /usr/local/ics/bin/ics_tune.sh
В открывшемся текстовом редакторе напишите текст приведенный ниже и сохраните при выходе из него клавишей "escape" или "f10". При работе с
консолью linux через программу putty, советуем скопировать текст во избежании получения ошибок при перепечатывании кода.
#!/bin/bash
if [ "$1" = "firewall_custom.sh" ]; then
while read subnet trash; do
/sbin/iptables -t nat -I fw_custom_dnat -p tcp --dport 80 -d "$subnet" -j ACCEPT;
done < "/mnt/rw_disc/freenet.txt"
fi
Перезагрузите сервер мягкой перезагрузкой.
Все операции, производимые вами в консоли linux, выполняются от имени системного пользователя root, обладающего неограниченными
правами в системе. Пожалуйста, следуйте предписаниям инструкции максимально точно, особенно если не имеете достаточного опыта
работы с linux, так как можно легко нанести непоправимый вред системе, совершив ошибку в написании команд.
Настройка почтового релея для сервера в локальной сети
Если Ideco ICS имеет внешний IP-адрес и на него зарегистрирован домен и настроены необходимые записи у регистратора и провайдера, но вы хотите
чтобы отправкой и доставкой почты занимался другой сервер (к примеру заранее настроенный Exchange сервер в локальной сети), то Ideco ICS может
ретранслировать всю входящую почту на эту машину.
Перед настройкой почтового релея убедитесь что на Ideco ICS включен почтовый сервер.
Для этого включите встроенную почту по POP3 или IMAP протоколу в разделе веб-интерфейса Сервер -> Почтовый сервер -> Общие и сохраните
настройки.
Для настройки почтового релея обратимся к соответствующему разделу веб-интерфейса: Сервер -> Почтовый сервер -> Безопасность -> Relay-домены
В этом пункте нужно добавить запись вида: mydomain.ru 10.20.30.40, где:
mydomain.ru - ваш почтовый домен, зарегистрированный в Интернете на публичный адрес Ideco ICS.
10.20.30.40 - адрес вашего почтового сервера в локальной сети.
При настройке почтового релея на Ideco ICS принципиально, чтобы почтовый домен Ideco отличался от Relay-домена. В поле Почтовый домен в
настройках почтового сервера можно прописать вымышленный домен не совпадающий с зарегистрированным. Таким образом можно указать несколько
Relay-доменов для нескольких разных серверов в локальной сети. Все почтовые домены должны быть ассоциированы с внешним адресом сервера Ideco
ICS (A и MX записи в DNS-зоне).
При такой схеме Ideco ICS будет пропускать, проходящую через себя, почту прямо на почтовый сервер в локальной сети. Попутно письма могут
проверяться на вирусы и спам, просто включите соответствующие сервисы в веб-интерфейсе Ideco ICS.
Ideco ICS будет принимать почту, адресованную только для указанного Relay-домена. Любая другая почта будет отвергнута сервером, таким образом
возможность получения открытого почтового релея при настройке исключена.
Использование ics_tune.sh
В некоторых случаях требуется низкоуровневое вмешательство в работу сервера, такие как: замена оригинальных файлов на модифицированные, под
ваши нужды, копии, добавление правил в фаервол с помощью прямого указания команд iptables или выполнения несложных последовательностей
действий после загрузки определенной службы. В нашем продукте есть такая возможность при помощи специального файла пользовательских скриптов.
При загрузке сервера, в самом конце запуска каждой системной службы, система запускает на исполнение файл /usr/local/ics/bin/ics_tune.sh с
передаваемыми ему параметрами: какая служба вызывает файл (передается имя службы) и какое действие нужно обработать запускаемому файлу (по
умолчанию действие всегда "start" - запустить чтото). Файл запускается в среде bash - коммандной оболочке linux. Таким образом каждая служба может
как то подготовить (tune) систему сразу после своего запуска. В процессе загрузки системы этот файл может запускаться несколько раз, каждый раз
разными службами и поэтому все инструкции в этом файле должны вызываться по определенному условию, исходя из переданных файлу параметров,
описанных выше. В большинстве случаев достаточно запускать действия всего по одному условию - имени вызывающего файл системного скрипта.
Этого вполне хватает чтобы ассоциировать инструкции файла ics_tune.sh с определенными системными сервисами.
Итак: код в файле пишется в синтаксисе коммандной оболочки bash, инструкции обосабливаются блоком проверки имени вызывающего скрипта. В
конце файла обязательна пустая строка, знания bash и linux крайне желательны. Файл выполняется с повышенными правовыми привелегиями в системе,
поэтому неправильные и необдуманные действия легко могут привести к необратимому краху системы.
Немного о структуре нашей файловой системы.
В Ideco присутствует два логических диска, смонтрованных в /mnt/rw_disc и /mnt/bk_disc. Содержимое первого диска в основном содержит изменяемые
данные и доступно для записи и удаления файлов от имени пользователя root, второй диск предназначен для сохранения и выгрузки бекапов, доступен
данные и доступно для записи и удаления файлов от имени пользователя root, второй диск предназначен для сохранения и выгрузки бекапов, доступен
для записи и чтения, даже от непривилегированного системного пользователя sysadm. Остальные файлы и данные дистрибутива не предполагаемые к
частым изменениям располагаются в "корне" основной файловой системы, смонтированной в / , доступны для редактирования от пользователя root.
С ics_tune.sh нужно работать от имени системного пользователя root. Для этого нужно загрузить сервер в режиме удаленного помощника и получить
доступ к консоли linux с помощью ssh (вам поможет ssh-клиент putty для windows или любой терминал linux). Подключившись в консоль linux от root, вы
сможете почти неограниченно работать с файловой системой сервера и выполнять на сервере некоторые команды linux.
Удобнее всего редактировать файл с помощью утилиты mcedit. В конце файла нужно обязательно оставлять пустую строку после всех внесенных
изменений.
mcedit /usr/local/ics/bin/ics_tune.sh
Когда вы отредактировали файл, то сохраните его содержимое при выходе из mcedit, перезагрузите систему (команда reboot) и проверяйте работу
системы после ее загрузки. Если вы все сделали правильно - ics_tune.sh должен быть вызван во время загрузки системы и действия, описанные в нем,
должны были примениться к системе.
Пример замены файлов.
Рассмотрим пример содержимого файла для замены конфигурационного файла вебсервера apache своей модифицированной копией:
#!/bin/bash
if [ "$1" = "rc.mount" ]; then
mount --bind /mnt/rw_disc/my.apache.conf /mnt/rw_disc/etc/apache_LV/httpd_L.conf
fi
Как видите, нужно монтировать файл именно во время работы системного скрипта rc.mount, отвечающего за монтирование разделов системы и
отдельных файлов в сложной структуре файлов и каталогов сервера ideco. Надо отметить что привычные пути для известных файлов в среде linux как
правило отличаются от путей в нашей системе. Так же необходимо знать что исполняемые файлы (скрипты или бинарные файлы-программы) не удастся
примонтировать с rw диска, так как эти файлы должны иметь права на запуск, а rw диск не имеет возможности хранить запускаемые файлы по
соображениям безопасность. Приведенный пример позволяет заменять только текстовые файлы для чтения и записи, модифицированные версии
которых вы можете хранить на доступном для записи rw диске.
Пример работы с Firewall
Следущий пример показывает как дополнить Firewall своими правилами для решения такой задачи: есть два сервера Ideco ICS, соединённых по
OpenVPN, надо чтобы трафик между ними ходил в обход прокси и Firewall. В первом офисе сеть 192.168.10.0/24, во втором офисе 192.168.11.0/24.
Решаем следующим образом:
#!/bin/bash
if [ "$1" =
iptables -t
iptables -t
iptables -I
iptables -I
fi
"firewall_custom.sh" ]; then
nat -I PREROUTING -s 192.168.10.0/24 -d 192.168.11.0/24 -j ACCEPT
nat -I PREROUTING -s 192.168.11.0/24 -d 192.168.10.0/24 -j ACCEPT
FORWARD -s 192.168.10.0/24 -d 192.168.11.0/24 -j ACCEPT
FORWARD -s 192.168.11.0/24 -d 192.168.10.0/24 -j ACCEPT
Естественно нужно знать синтаксис команд, используемых в ваших скриптах, в данном случае необходимо знание iptables.
Пример замены файлов ошибок прокси-сервера squid на свои собственные.
#!/bin/bash
if [ "$1" = "rc.mount" ]; then
mount --bind /mnt/rw_disc/TEMP/ERR_ACCESS_DENIED \
/usr/share/squid/errors/ru-ru/ERR_ACCESS_DENIED
mount --bind /mnt/rw_disc/TEMP/ERR_CACHE_ACCESS_DENIED \
/usr/share/squid/errors/ru-ru/ERR_CACHE_ACCESS_DENIED
mount --bind /mnt/rw_disc/TEMP/ERR_LIFETIME_EXP \
/usr/share/squid/errors/ru-ru/ERR_LIFETIME_EXP
fi
Скрипт монтирует три файла часто встречающихся ошибок доступа в прокси-сервере squid. Используется перенос '\' для более удобного
редактирования длинных строк. Перед этим нужно создать каталог /mnt/rw_disc/TEMP/ и положить туда ваши страницы ошибок прокси-сервера. После
этого они могут быть смонтированы на место оригинальных файлов в системе.
Настройка публичного IP-адреса на компьютере в локальной сети
Ситуация №1
Провайдер выдал блок IP-адресов 223.123.123.2 - 223.123.123.6 (сеть 223.123.123.0/255.255.255.248 или 223.123.123.0/29) и шлюз у провайдера 223.123.123.1. Таким образом сеть публичных адресов находится в одной сети с шлюзом провайдера.
Настройки внешнего интерфейса Ideco:
указать IP-адрес 223.123.123.2 с маской 255.255.255.252 (/30 См. примечания)
указать шлюз в Интернет 223.123.123.1
настроить ProxyArp на диапазон адресов 223.123.123.5-223.123.123.6
Настройки локального интерфейса Ideco:
Добавить к существующему локальному IP-адресу (по умолчанию - 192.168.0.1) адрес 223.123.123.4 с маской, выданной провайдером 255.255.255.248 (/29).
Настройки учетной записи пользователя на шлюзе:
В поле IP-адрес указать IP-адрес устройства из диапазона 223.123.123.2-223.123.123.6
Убрать галочку с поля "NAT", отключив трансляцию адресов для этого пользователя
Выбрать желаемый тип авторизации для устройства (IP или VPN).
Настройки устройства в локальной сети при использовании на шлюзе авторизации по IP для этого устройства:
указать IP-адрес 223.123.123.5 (или другой из диапазона 223.123.123.5-223.123.123.6) с маской, выданной провайдером - 255.255.255.248 (/29)
указать шлюз 223.123.123.4
указать выданные провайдером адреса DNS-серверов
Настройки устройства в локальной сети при использовании на шлюзе авторизации по VPN для этого устройства:
настроить PPtP соединение на устройстве используя логин и пароль учетной записи на шлюзе и локальный адрес шлюза в качестве сервера для
подключения. Публичный адрес будет выдан устройству в процессе установления защищенного VPN канала между устройсвом и шлюзом.
Выполнить перезагрузку сервера, после чего проверить связь с устройством VoIP или компьютером из Интернет.
1. При настройке внешнего интерфейса нужно сократить маску сети выданной провайдером (в примере /29) до сети, включающей
только два хоста (/30) так, чтобы первым хостом в этой сети оказался шлюз провайдера. Второй IP-адрес из полученной сети мы
прописываем на внешнем интерфейсе шлюза. Это необходимо чтобы влиять на механизм принятия решения о маршруте так, что
если в пересылке сетевых пакетов участвуют только адрес шлюза провайдера или адреса внешнего интерфейса ideco , то пакеты
маршрутизируются на внешний интерфейс ideco. Если в пересылке участвуют остальные адреса сети, предназначенные для
абонентов локальной сети, то они маршрутизируются на локальный интерфейс шлюза.
2. В данном примере на локальном интерфейсе нельзя прописать адрес 223.123.123.3, так как он является широковещательным для
сети 223.123.123.0/30.
Ситуация №2
Провайдер выдал смаршрутизированную подсеть 223.123.123.0/255.255.255.248 и дополнительные IP-адреса из другой подсети для шлюза
225.10.10.1/255.255.255.252 на стороне провайдера и 225.10.10.2/255.255.255.252 на стороне пользователя. Таким образом сеть публичных адресов
находится в отдельной сети от шлюзом провайдера, но смаршрутизирована на шлюз провайдера. Настройки шлюза отличаются от первой ситуации
только настройкой внешнего интерфейса и возможностью выделить всю выданную провайдером сеть, кроме адреса первого хоста в сети, для
подключения клиентов в локальной сети.
Настройки внешнего интерфейса Ideco:
указать IP-адрес 225.10.10.2 с маской 255.255.255.252 (/30 См. примечания)
указать шлюз в Интернет 225.10.10.1
настроить ProxyArp на диапазон адресов 223.123.123.1-223.123.123.6
Настройки локального интерфейса Ideco:
добавить к существующему локальному IP-адресу (по умолчанию - 192.168.0.1) адрес 223.123.123.1 с маской, выданной провайдером 255.255.255.248 (/29)
Настройки учетной записи пользователя на шлюзе:
В поле IP-адрес указать IP-адрес устройства из диапазона 223.123.123.2-6
Убрать галочку с поля "NAT", отключив трансляцию адресов для этого пользователя
Выбрать желаемый тип авторизации для устройства (IP или VPN).
Настройки устройства в локальной сети при использовании на шлюзе авторизации по IP для этого устройства:
указать IP-адрес 223.123.123.2 (или другой из диапазона 223.123.123.2-6) с маской, выданной провайдером - 255.255.255.248 (/29)
указать шлюз 223.123.123.1
указать выданные провайдером адреса DNS-серверов
Настройки устройства в локальной сети при использовании на шлюзе авторизации по VPN для этого устройства:
Настройки устройства в локальной сети при использовании на шлюзе авторизации по VPN для этого устройства:
настроить PPtP соединение на устройстве используя логин и пароль учетной записи на шлюзе и локальный адрес шлюза в качестве сервера для
подключения. Публичный адрес будет выдан устройству в процессе установления защищенного VPN канала между устройсвом и шлюзом.
Выполнить перезагрузку сервера, после чего проверить связь с устройством VoIP или компьютером из Интернет.
Ситуация №3
Провайдер выдал блок адресов 23.123.123.2 - 223.123.123.6 (сеть 223.123.123.0/255.255.255.248) и шлюз у провайдера - 223.123.123.1, но подключаемые
VoIP или другие устройства или компьютеры имеют возможность авторизации по VPN.
Настройки внешнего интерфейса Ideco:
указать IP-адрес 223.123.123.2 с маской 255.255.255.248
указать шлюз в Интернет 223.123.123.1
настроить ProxyArp на диапазон адресов 223.123.123.3-223.123.123.6
Настройки для VoIP или другого устройства в веб-интерфейсе:
в поле "IP" указать один из адресов диапазона 223.123.123.3-6, например 223.123.123.3
убрать галочку с поля "NAT"
в списке "Вход по" указать типа авторизации "Авторизация vpn, pptp, pppoe" и поставить галочку
Настроить подключение по VPN на VoIP или другом устройстве с указанием DNS-серверов провайдера.
Выполнить перезагрузку сервера, после чего проверить связь с устройством VoIP или компьютером из Интернет.
Ситуация №4
Провайдер выделил несколько IP-адресов (блок) из большой подсети - 223.123.154.18-223.123.154.22 с маской 255.255.255.0 и шлюзом 223.123.154.1 .
Сама сеть может быть разделена между вами и другими абонентами провайдера и адреса из этой сети не принадлежащие выделенному вам блоку вы
использовать не можете. Отличается от предыдущих двух случаев невозможностью искусственного усечения сети провайдера до двух адресов при
настройке внешнего интерфейса шлюза.
Настройки внешнего интерфейса Ideco:
указать IP-адрес 223.123.154.18 с маской 255.255.255.0 (/24)
указать шлюз в Интернет 223.123.154.1
настроить ProxyArp на диапазон адресов 223.123.123.20-223.123.123.22
Настройки локального интерфейса Ideco:
добавить к существующему локальному IP-адресу (по умолчанию - 192.168.0.1) адрес 223.123.154.19 с маской, выданной провайдером 255.255.255.0 (/24)
Настройки компьютера или устройства VoIP:
указать IP-адрес 223.123.154.20 (или другой из диапазона 223.123.154.20-22) с маской, выданной провайдером - 255.255.255.0
указать шлюз 223.123.154.19
указать выданные провайдером адреса DNS-серверов
Выполнить перезагрузку сервера, после чего проверить связь с устройством VoIP или компьютером из Интернет.
1. При вычислениях сетей, масок и доступных IP-адресов советуем использовать ресурс в интернете http://jodies.de/ipcalc
2. Диапазон ProxyArp всегда содержит в себе непосредственно адреса клиентов в локальной сети, не включая публичные адреса
локального и внешнего интерфейсов шлюза.
Подключение к серверу из сети Интернет по VPN
Для того чтобы получить доступ извне (из дома, отеля, другого офиса) к локальной сети предприятия, которая находится за Ideco ICS, можно
подключиться по VPN с этой машины (компьютера или мобильного устройства) к серверу Ideco ICS.
Наш сервер поддерживает два протокола туннельных соединений PPTP и L2TP/IPsec.
Сравнение особенностей этих протоколов можно прочитать в статье. Рекомендуется при поддержке этого протокола со стороны подключаемого
клиента, использовать L2TP/IPsec.
Инструкции по настройке сервера и клиентов:
Подключение VPN PPTP
Подключение по VPN L2TP/IPsec
Подключение по VPN L2TP/IPsec
Подключение VPN PPTP
Настройка глобальных параметров Ideco ICS
В административном веб-интерфейсе включите следующие пункты в соответствующих разделах:
Сервер -> Сетевые параметры -> Автоматический ProxyArp для VPN/PPPoE
Сервер -> Сетевые параметры -> Включить PPTP сервер
Безопасность -> Дополнительные настройки -> Разрешить VPN-соединения из Интернет
Настройка аккаунта для подключения по VPN
Создайте пользователя с авторизацией по VPN или измените существующего, включив в настройках пользователя следующие пункты:
Пользователи -> Нужный пользователь -> вкладка Общие -> Дополнительно -> Разрешить VPN-соединения из интернет
Пользователи -> Нужный пользователь -> вкладка Общие -> Авторизация : Выбрать тип авторизации по VPN
Не забудьте сделать проверку пользователя в веб-интерфейсе сервера перед его подключением. Так же желательно убедиться, что пользователем можно
подключиться к серверу из локальной сети.
При настройке подключения по VPN из сети интернет, в свойствах VPN-подключения надо указывать:
в качестве VPN-сервер внешний адрес Ideco ICS
логин и пароль созданного пользователя
шифрование mppe
После подключения вы будете авторизованы на сервере Ideco ICS от имени созданного пользователя и вам будут доступны, авторизованные на сервере,
компьютеры в локальной сети предприятия.
Если вы не хотите чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco ICS, то свойствах
VPN-подключения Сеть/Протокол интернета TCP/IP версии 4/Дополнительно уберите галочку Использовать основной шлюз в удаленной
сети. Далее чтобы получить доступ к компьютерам за Ideco ICS, вручную пропишите маршруты.
Примечание
В случае если вы хотите обеспечить доступ подключающегося извне клиента ко всем локальным сетям за серверами Ideco ICS соединенными
между собой OpenVPN туннелями, то на каждом сервере Ideco ICS нужно включить пункт "Безопасность - Дополнительные настройки Включить маршрутизацию между локальными интерфейсами".
Возможные неполадки
Часто бывает что провайдер со стороны шлюза или со стороны подключаемого клиента не пропускает GRE-протокол, с помощью которого
происходит PPTP-соединение. В таком случае при попытке подключиться на внешний адрес Ideco ICS будет получена ошибка 619. Определить
с какой стороны проблема с прохождением GRE можно, подключаясь с разных мест, от разных провайдеров. Если из некоторых мест удастся
подключиться, значит проблема со стороны тех клиентов, которые не могут подключиться. Когда провайдер будет определен, то нужно
попытаться решить проблему с ним, либо использовать Подключение по VPN L2TP/IPsec
Заблокирован порт 1723 TCP. Проверить доступность порта можно с помощью стандартных сетевых утилит, таких как telnet. Если соединения
на этот порт нет, то туннель не может быть установлен. Прежде всего нужно проверить что на сервере включен пункт Разрешить
VPN-соединения из интернет, затем пробовать выяснять причины недоступности порта у провайдера.
Неправильно указан логин или пароль пользователя. Когда такое происходит то часто при повторном соединении предлагается указать домен.
Старайтесь создавать цифробуквенные пароли, желательно на латинице для ваших учетных записей. Если есть сомнения в этом пункте то
временно установите логин и пароль пользователю "user" и "123456" соответственно.
Если подключение осуществляется с Windows, то для того, чтобы пакеты пошли через него надо убедиться, что в настройках этого
временно установите логин и пароль пользователю "user" и "123456" соответственно.
Если подключение осуществляется с Windows, то для того, чтобы пакеты пошли через него надо убедиться, что в настройках этого
подключения стоит галочка: "Свойства подключения VPN - Вкладка "Сеть" - Свойства опции "Протокол Интернета версии 4 (TCP/IPv4)" Дополнительно - Использовать основной шлюз в удалённой сети". Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то
маршрут надо писать вручную.
Некоторые устройства типа мобильных телефонов или планшетов не поддерживают шифрование mppe, его можно отключить на любом адресе
Ideco где работает VPN-сервер, для этого адрес сетевого интерфейса мы заносим в поле Сервер -> Сетевые параметры -> IP-адрес для
подключения по VPN без шифрования.
Убедитесь, что локальная сеть (или адрес на сетевой карте) на удалённой машине не пересекается с локальной сетью вашей организации, если
пересекается, то доступа к сети вашей организации не будет (трафик по таблице маршрутизации пойдёт в физический интерфейс, а не в
VPN). Адресацию надо менять.
Если не удается получить доступ к компьютерам в локальной сети Ideco ICS
Убедиться, что компьютеры в локальной сети, к которым необходим доступ, авторизованы на Ideco ICS
Включите маршрутизацию между локальными интерфейсами: Сервер -> Безопасность -> Дополнительные настройки -> Включить
маршрутизацию между локальными интерфейсами
Отключить RP-FILTER: Сервер -> Безопасность -> Дополнительные настройки -> Проверка обратного пути (RP_FILTER)
Подключение по VPN L2TP/IPsec
Настройка глобальных параметров Ideco ICS
В административном веб-интерфейсе включите следующие пункты в соответствующих разделах:
Сервер -> Сетевые параметры -> Автоматический ProxyArp для VPN/PPPoE
Сервер -> Сетевые параметры -> Включить PPTP сервер
Безопасность -> Дополнительные настройки -> Разрешить VPN-соединения из Интернет
Безопасность -> Дополнительные настройки -> Разрешить VPN-соединения из Интернет
Сервер -> IPsec пользователи -> Разрешить подключения пользователей
Настройка аккаунта для подключения по VPN
Создайте пользователя с авторизацией по VPN или измените существующего, включив в настройках пользователя следующие пункты:
Пользователи -> Нужный пользователь -> вкладка Общие -> Дополнительно -> Разрешить VPN-соединения из интернет
Пользователи -> Нужный пользователь -> вкладка Общие -> Авторизация : Выбрать тип авторизации по VPN
Не забудьте сделать проверку пользователя в веб-интерфейсе сервера перед его подключением. Так же желательно убедиться, что пользователем можно
подключиться к серверу из локальной сети.
При настройке подключения по VPN из сети интернет, в свойствах VPN-подключения надо указывать:
в качестве VPN-сервер внешний адрес Ideco ICS
логин и пароль созданного пользователя
PSK (pre-shared key) - ключ, указанный на странице Сервер - IPsec пользователи.
шифрование
После подключения вы будете авторизованы на сервере Ideco ICS от имени созданного пользователя и вам будут доступны, авторизованные на сервере,
компьютеры в локальной сети предприятия.
Если вы не хотите чтобы после подключения по VPN интернет-трафик до внешних ресурсов ходил через Ideco ICS, то свойствах
VPN-подключения Сеть/Протокол интернета TCP/IP версии 4/Дополнительно уберите галочку Использовать основной шлюз в удаленной
сети. Далее чтобы получить доступ к компьютерам за Ideco ICS, вручную пропишите маршруты.
В случае если вы хотите обеспечить доступ подключающегося извне клиента ко всем локальным сетям за серверами Ideco ICS соединенными
между собой OpenVPN туннелями, то на каждом сервере Ideco ICS нужно включить пункт "Безопасность - Дополнительные настройки Включить маршрутизацию между локальными интерфейсами".
Настройка подключения к серверу в Windows 7 и Windows 8.
1. Центр управления сетями и общим доступом - Создание и настройка нового подключения или сети.
2. Подключение к рабочему месту.
3. Использовать мое подключение к Интернету (VPN).
4. Введите адрес сервера (доменное имя или внешний IP-адрес Ideco ICS) и название подключения.
5. Перейдите к Свойствам данного подключения.
6. На вкладке "Безопасность" установите следующие параметры:
7. Нажмите кнопку "Дополнительные параметры", и введите общий ключ (PSK-ключ).
Возможные неполадки
Неправильно указан логин или пароль пользователя. Когда такое происходит то часто при повторном соединении предлагается указать домен.
Старайтесь создавать цифро-буквенные пароли, желательно на латинице для ваших учетных записей. Если есть сомнения в этом пункте то
временно установите логин и пароль пользователю "user" и "123456" соответственно.
Если подключение осуществляется с Windows, то для того, чтобы пакеты пошли через него надо убедиться, что в настройках этого
подключения стоит галочка: "Свойства подключения VPN - Вкладка "Сеть" - Свойства опции "Протокол Интернета версии 4 (TCP/IPv4)" Дополнительно - Использовать основной шлюз в удалённой сети". Если же маршрутизировать все пакеты в этот интерфейс не обязательно, то
маршрут надо писать вручную.
Убедитесь, что локальная сеть (или адрес на сетевой карте) на удалённой машине не пересекается с локальной сетью вашей организации, если
пересекается, то доступа к сети вашей организации не будет (трафик по таблице маршрутизации пойдёт в физический интерфейс, а не в
VPN). Адресацию надо менять.
Если не удается получить доступ к компьютерам в локальной сети Ideco ICS
Убедиться, что компьютеры в локальной сети, к которым необходим доступ, авторизованы на Ideco ICS
Включите маршрутизацию между локальными интерфейсами: Сервер -> Безопасность -> Дополнительные настройки -> Включить
маршрутизацию между локальными интерфейсами
Отключить RP-FILTER: Сервер -> Безопасность -> Дополнительные настройки -> Проверка обратного пути (RP_FILTER)
Особенности подключения через ADLS-модем
Подключение через ADSL-модем, настроенный в режиме роутера
Если модем находится в режиме роутера, то нужно сменить размер MTU на внешнем сетевом интерфейсе Ideco, указать его равным 1000. В этом случае
необходимо настраивать Ideco ICS как в разделе Подключение по Ethernet и указывать локальный адрес модема в качестве шлюза для Ideco ICS.
Необходимо обратить внимание на то чтобы адресация локальной сети не пересекалась с адресацией модема.
Пример: на модеме настроен адрес 172.16.0.1/24, в этом случае на ideco нужно прописать адрес из сети 172.16.0.0/24 (к примеру 172.16.0.2) а в качестве
шлюза и DNS нужно указать 172.16.0.1. Соответственно адресация в локальной сети ни в коем случае не должна пересекаться с сетью 192.168.0.0/24
(как вариант можно использовать сеть по умолчанию - 192.168.0.0/24).
Подключение через ADSL-модем, настроенный в режиме моста
1. Настроить на любом компьютере с Windows такой-же IP-адрес и маску как на внешнем интерфейсе Ideco. Пусть это будет адрес 192.168.1.2 с
маской 255.255.255.0.
2. Подключить модем непосредственно к сетевой карте компьютера с Windows.
3. Набрать в браузере http://IP-адрес_модема (тот который был указан в качестве шлюза по-умолчанию в Ideco). В большинстве случаев это http://
192.168.1.1.
4. Убедиться, что модем работает в режиме маршрутизатора (Router). Если это не так, то скорее всего он уже в режиме моста и ничего менять не
нужно.
5. В веб-интерфейсе модема выяснить, используется ли PPPoE для подключения к провайдеру. Если используется, то переписать из модема логин
и пароль для подключения по PPPoE. Если не используется, то переписать IP-адрес, маску подсети, шлюз по-умолчанию и, если есть, IP-адреса
двух DNS-серверов.
6. Прежде чем менять какие-либо параметры в модеме - сделайте скриншоты всех настроек на всех подразделах веб-интерфейса модема - это
пригодится если нужно будет откатить изменения обратно.
7. Переключите модем в режим моста (Bridge). Никакие другие параметры менять не нужно (включая VPI,VCI,тип инкапсуляции и другие).
После этого связь с модемом (через браузер) может потеряться. Это нормально.
8. Подключить модем обратно к сетевой карте сервера (ко внешнему интерфейсу Ideco).
9. Если на модеме использовалось подключение PPPoE, то настроить PPPoE на внешнем интерфейсе Ideco, указав записанный логин и пароль
(Подключение по PPPoE). Если нет, то настроить на внешнем интерфейсе Ideco переписанные IP-адрес, маску, шлюз и DNS-сервера которые
выдал провайдер.
10. Произвести мягкую перезагрузку сервера.
Установка ICS с USB flash диска
Создание загрузочного USB flash диска с Ideco ICS в среде Windows.
Для того чтобы создать загрузочный USB flash диск в Windows и записать на него установочный образ Ideco ICS в Microsoft Windows, нужно:
В BIOS сервера включить загрузку с flash диска.
1. Скачать утилиту с сайта pendrivelinux.com (http://www.pendrivelinux.com/universal-usb-installer-easy-as-1-2-3/)
2. Взять отформатированный usb flash диск объёмом более 1 гб.
3. Создать загрузочный usb flash диск. Примите лицензионное соглашение. На следующем шаге выбрать "Unlisted Linux ISO" и указать путь к ISO
образу Ideco ICS как показано на иллюстрациях ниже.
4. В BIOS сервера включить загрузку с flash диска.
5. Загрузить сервер с созданного flash диска. Будет запущен мастер установки Ideco ICS.
Далее действуйте согласно инструкции мастера установки. Подробнее шаги по установке Ideco ICS описаны в разделе документации "Установк
а".
Создание загрузочного USB flash диска с Ideco ICS в среде Linux.
Для создания загрузочного USB flash диска в Linux достаточно поблочно скопировать ISO-образ Ideco ICS на устройство. Например с помощью
стандартной утилиты Linux - "dd".
Интеграция Ideco ICS и SkyDNS.
Настройка Ideco ICS для фильтрации трафика с помощью интернет-сервиса SkyDNS.
Чем это может быть полезно:
Защита от зараженных сайтов.
Злоумышленники создают сайты, содержащие вредоносные скрипты, заражающие компьютеры. Также они взламывают хорошие сайты и
устанавливают вредоносные скрипты на них. В контент‑фильтре Ideco ICS есть специальная категория для блокировки таких сайтов, также
трафик может проверяться на вирусы на шлюзе, но дополнительная защита от этих угроз, тем более с помощью круглосуточно обновляемых
облачных сервисов, не помешает.
Защита от бот-сетей.
Злоумышленники создают сети из чужих компьютеров для использования их в нелегальной деятельности: DDoS-атак серверов, рассылки
Злоумышленники создают сети из чужих компьютеров для использования их в нелегальной деятельности: DDoS-атак серверов, рассылки
спама, похищения паролей от интернет-банков и сервисов и других целей. Для получения инструкций программа-бот подключается к
управляющим серверам. DNS-фильтрация позволяет ограничить доступ к выявленным серверам для управления бот-сетями. Таким образом,
даже если компьютер заражен вредоносной программой, злоумышленники не смогут им управлять.
Защита от нежелательных сайтов.
SkyDNS предоставляет широкие возможности для настроек - больше 50 категорий сайтов. Все это может служить хорошим дополнением к
стандартному и расширенному контент-фильтру, встроенному в Ideco ICS, для повышения качества фильтрации нежелательного контента. Что
особенно важно, например, для образовательных учреждений, который должны обеспечивать качественную фильтрацию для исполнения
соответствующих законов.
Инструкция по настройке в Ideco ICS:
1. Прописать DNS-сервер SkyDNS в настройках DNS-сервера в Ideco ICS (Веб-интерфейс: Сервер - DNS). Порт DNS по-умолчанию 53.
2. В случае, если у вас внутри локальной сети, либо внутри сети провайдера, есть внутренняя dns-зона, не обслуживаемая внешними
dns-серверами (например, есть домен Active Directory), нужно прописать ее в Forward-зонах.
3. На всех устройствах, которые требуется защитить, в качестве единственного DNS-сервера в сетевых настройках должен быть прописан
ip-адрес локального интерфейса Ideco ICS.
Пользователи, получающие адреса автоматически через DHCP-сервер Ideco ICS, либо авторизующиеся по VPN-подключению, получают
3.
Пользователи, получающие адреса автоматически через DHCP-сервер Ideco ICS, либо авторизующиеся по VPN-подключению, получают
нужные настройки автоматически. Остальным нужно прописать их вручную (либо настроить нужные параметры на стороннем DHCP-сервере).
4. Дополнительно можно запретить пользователям сети использовать внешние DNS-серверы (чтобы никто не мог обойти защиту, указав другой
dns-сервер в сетевых настройках).
Проще всего это сделать через системный фаервол, указав следующее правило (разместив его выше всех разрешающих правил):
Если необходимо разрешить кому-нибудь использовать сторонние dns-сервера для обхода фильтрации, можно создать разрешающие правила
для этих компьютеров, разместив их выше этого запрещающего правила.
5. В случае, если от провайдера вы получаете динамический белый ip-адрес, то для работы настроек фильтрации SkyDNS необходимо установить
SkyDNS Agent на один из компьютеров, или windows-серверов локальной сети.
6. Настройка запрещенных категорий доступа, безопасного поиска и др. сервисов, осуществляется через личный кабинет на сайте SkyDNS.
Восстановление пароля администратора.
Как восстановить доступ к Ideco ICS, если не известны пароли от локальной консоли и
веб-интерфейса.
При утере пароля от локальной консоли и веб-интерфейса, имея физический доступ к серверу возможно восстановить пароли.
Для этого нужно сделать следующее:
1. После включения сервера, перед началом загрузки Ideco ICS, при появлении меню загрузчика GRUB с выбором ядра linux для загрузки
системы, нажмите англоязычную клавишу "a" на клавиатуре.
2. После нажатия клавиши "a" вам станет доступна правка параметров загрузки выбранного ядра.
Придумайте временный пароль для доступа к серверу. Допишите в конец существующего списка параметров ваш временный пароль и
отключение проверки файлов при загрузке: p=пароль nc=1. После этого нажмите "Enter".
3. На клавиатуре нажмите Alt+F7.
3.
4.
5.
6.
На клавиатуре нажмите Alt+F7.
В поле "login" введите root, а затем временный пароль, который вы указали после "p=".
Введите команду menu и нажмите Enter.
В появившемся меню выберите "Смена пароля".
Введите и повторите пароль: этот пароль будет использоваться при входе в локальную консоль сервера, и для доступа по ssh под пользователем
sysadm
7. Зайдите в меню Сервис и выберите там "Сброс пароля и настроек Администратора".
После выполнения этого действия логин и пароль на вход в веб-интерфейс Ideco ICS сбросятся до значений по-умолчанию. Логин:
Administrator. Пароль: servicemode.
8. Выйдите в основное меню и выберите пункт: Перезагрузка сервера - Перезагрузка. После чего сервер перегрузится в обычном режиме с
известными вам паролями.
Сменить пароль на доступ к веб-интерфейсу можно будет через веб-интерфейс, поменяв пароль у пользователя "Главный администратор".
Примечания:
Если при выполнении пункта 2 настоящей инструкции в строке загрузки уже видите прописанные значения для p=пароль nc=1, значит на
вашем сервере включен режим постоянного удаленного помощника.
Чтобы отключить его, или поменять используемый пароль, после пункта 4 настоящей инструкции введите команду:
mcedit /boot/grub/grub.conf
и в строке начинающейся kernel /boot/ICServer и заканчивающейся p= nc=1, измените пароль на нужный вам, либо удалите
окончание строки целиком.
Нажмите F2 для сохранения, F10 для выхода из редактора и продолжайте выполнять остальные пункты инструкции.
При выполнении пункта 7 инструкции, обратите внимание на поле "IP-адрес компьютера администратора", если введенное в нем значение не
соотвествует действительному положению дел, удалите этот адрес или замените его на правильный.
Выбор аппаратной платформы для ICS
Сведения о программной платформе
Ideco ICS представляет собой операционную систему linux устанавливаемую на сервер или виртуальную машину. Ideco ICS основан на Centos 6 и
содержит ядро linux с набором драйверов от этой ОС за небольшими изменениями с нашей стороны. Таким образом Ideco ICS поддерживает
большинство оборудования поддерживаемого Centos 6. Исходя из этого выбирайте эмулируемую аппаратную платформу "Centos/Linux 2.6" при
установке на виртуальную машину.
Мы не ведем список поддерживаемого оборудования и не собираем подробную статистику по оборудованию на которое ICS устанавливают наши
клиенты. Списка поддерживаемого оборудования нет, как его нет и у Red Hat для Centos. С другой стороны есть несколько аппаратных платформ на
которых мы гарантируем работу актуальных версий Ideco ICS и сами поставляем сервера с предустановленной Ideco ICS на них. Это сервера серий HP
Proliant G8 и Depo Storm. Работа Ideco ICS и всех ее компонентов на этих серверах проверяется перед каждым новым релизом системы. Ideco ICS
установлена и используется на этих серверах у многих наших клиентов. За конкретными характеристиками поставляемого нами оборудования HP и
Depo на данный момент обращайтесь, пожалуйста, в отдел продаж ([email protected]) или отдел технической поддержки нашей компании ([email protected]
u).
Общие рекомендации по чипсетам и производителям
За годы работы с серверами клиентов мы можем выделить несколько закономерностей:
Лучше остальных зарекомендовали себя чипсеты и контроллеры фирм Intel и Broadcom. Особенно сетевые карты и наборы логики
используемые в материнских платах.
Не рекомендуется использовать встроенные сетевые карты, особенно интерфейсы на бюджетных/редких/устаревших/noname чипсетах. ICS
работает с сетью и зачастую бюджетные сетевые адаптеры для десктопов просто не справляются с задачами шлюза. Лидерами качества тут так
же являются Intel, Broadcom, не oem'ные и не бюджетные Realtek.
RAID-контроллеры традиционно не обязательны в работе сетевого шлюза, но если есть необходимость в RAID, то мы гарантируем работу ICS
только на аппаратных дискретных контроллерах от Intel, LSI logic, Adaptec с обязательным использованием батареи (аккумулятора).
Встроенные в материнские платы программные и полуаппаратные RAID контроллеры официально не поддерживаются нашим продуктом.
Материнские платы могут использоваться как серверные так и десктопные, но желательно использование процессоров Intel. Неплохо
зарекомендовали себя мат. платы от Asus серии P и от Intel.
Не стоит использовать сверхмощное серверное оборудование с количесвом ядер процессора более 16 или ОЗУ свыше 16 Гб или
мультипроцессорные системы. Выигрыша в производительности это не даст, а на совместимости с ядром Linux и компонентами ICS скажется
отрицательно.
Бюджетные, энергоэкономичные платформы для десктопов, полутонких клиентов на базе Intel Atom и мат. платах формата mini,micro-ATX не
подходят для работы Ideco ICS и не соответствуют минимальным системным требованиям к продукту.
Подбор мощности аппаратной платформы
Количество Ггц процессора и объем ОЗУ сервера сильно зависят от нагрузки возлагаемой на Ideco ICS. При подсчете нагрузки нужно выделить два
фактора:
Количество одновременно авторизованных на ICS пользователей
Задействованные компоненты ICS (прокси с его сервисами, проверка трафика на спам/вирусы, обширность настройки модуля контентной
фильтрации или фаервола)
Минимальные системные требования удовлетворяют низкой задействованности служб ICS, обслуживающие низкое количество авторизованных
пользователей. Если обслуживается большее количество пользователей (от 50) и сервисов на Ideco - обратите внимание на рекомендуемые и
максимальные системные требования сервера.
Дисковая подсистема
RAID-массивы как правило не требуются при типичных схемах использования ICS. Одного современного SATA-винчестера от 200 Гб как правило
хватает в большинстве конфигураций. В случае с интенсивно используемым почтовым сервером на ICS советуем подключать отдельный винчестер для
хранения почтовой корреспонденции. Рекомендуем использовать устройства марки Western Digital и Seagate. Немаловажную роль в работе дисковой
системы играет контроллер на мат. плате и режим его работы. Рекомендуем использовать современные мат. платы с SATA, SAS контроллерами.
Желательно настраивать контроллер на режим AHCI или SATA, не использовать RAID и IDE режимы. В случае возникновения проблем с работой
оборудования пробовать режимы совместимости Legacy или Compatible.
Не советуем использовать дисковые устройства серий green или eco, так как их скоростные и энерго-показатели искуственно занижены и они не
подходят для использования на серверах и шлюзах.
Если ICS не работает/не устанавливается на вашем сервере
Сообщите службе технической поддержки точные технические характеристики и модель вашего сервера.
Убедитесь что вы устанавливаете актуальную версию Ideco ICS полученную с сайта нашей компании (http://ideco.ru/obtain#ics).
Для исчерпывающего определения технических характеристик сервера соберите системную информацию с него загрузившись с live-cd Centos, Fedora (ж
елательно) или другого дистрибутива linux.
Для исчерпывающего определения технических характеристик сервера соберите системную информацию с него загрузившись с live-cd Centos, Fedora (ж
елательно) или другого дистрибутива linux.
В live-системе подключите к серверу usb-накопитель или настройте выход в Интернет для возможности отправить нам сведения об аппаратной
платформе сервера.
Получите вывод следущих команд в терминале linux:
lspci -kvmm
lshw
Для сохранения вывода команд на графический рабочий стол live-системы используйте эти команды так:
lspci -kvmm > Desktop/lspci.txt
lshw > Desktop/lshw.txt
Если вы знаете путь до поключенного накопителя, можете сразу скопировать вывод команд в текстовый файл на него.
Полученные файлы можно скопировать на подключенный накопитель с рабочего стола или отправить нам по Интернет ([email protected]).
Наряду с характеристиками сервера нам очень важно знать симптомы неполадок ICS на вашем сервере, поэтому любая информация об ошибках работы
ICS на сервере (скриншоты, тексты ошибок, поведение сервера) будет нам полезна.
Перенос данных и настроек на другой сервер
В случае, если вам необходимо с сохранением всех настроек перенести установленный Ideco ICS с одного сервера на другой необходимо сделать
следующее:
Этап 1: Копирование резервных копий с сервера
Первым этапом переноса данных является копирование базы данных со старого сервера на локальный компьютер. Для подключения к серверу с
помощью программы WinSCP перейдите в раздел Безопасность -> Дополнительные настройки web-интерфейса сервера. Активируйте пункт "Разрешить полное удаленное управление по SSH". Выполните полную перезагрузку сервера.
После этого можно подключаться к серверу из локальной сети. Доступ из интернета отсутствует. Используйте следующие реквизиты для входа:
адрес шлюза Ideco ICS в локальной сети – 10.80.15.3;
порт – 22;
логин – sysadm;
пароль – servicemode.
Пароль servicemode установлен по умолчанию, поэтому используйте ваш действующий пароль от локального меню. Адрес шлюза в локальной
сети также может быть другим.
Настройки подключения из локальной сети к серверу приведены на Рисунке 5.13. Рисунок 5.13 — Настройки подключения к серверу из локальной сети
Если вы все сделали верно, нажмите кнопку "Login". После подключения вы увидите окно, похожее на обычный двухпанельный файловый менеджер,
Если вы все сделали верно, нажмите кнопку "Login". После подключения вы увидите окно, похожее на обычный двухпанельный файловый менеджер,
представленный на Рисунке 5.14. Левая панель отображает содержимое вашего локального компьютера, а правая – данные файловой системы Ideco. Нас
интересует каталог var/backup, находящийся в файловой системе Ideco. Рисунок 5.14 — Основное окно WinSCP
На Рисунке 5.15 показано, что архивы с резервными копиями БД хранятся в подкаталоге var/backup/db (файлы с расширением .gbk). Вы можете
выборочно скопировать нужные вам файлы из этой папки или полностью весь каталог "BACKUP" на свой компьютер. Рисунок 5.15 — Каталог "BACKUP"
Этап 2. Установка Ideco ICS на новом сервере.
Инструкция по установке: Установка Ideco ICS
Этап 3: Перенос резервных копий на новый сервер На данном этапе необходимо перенести на новый сервер резервные копии, сохраненные на локальном компьютере. Для этого выполните следующие
действия. 1. Для подключения к серверу, настройте локальный интерфейс.
2. Перейдите в раздел Безопасность -> Дополнительные настройки web-интерфейса сервера. Активируйте пункт "Разрешить полное удаленное
2. Перейдите в раздел Безопасность -> Дополнительные настройки web-интерфейса сервера. Активируйте пункт "Разрешить полное удаленное
управление по SSH". Выполните полную перезагрузку сервера.
3. После этого подключитесь к серверу из локальной сети с помощью программы WinSCP по порту 22. Используйте sysadm в качестве логина.
Адрес сервера и пароль должны соответствовать настройке вашего нового сервера.
4. Скопируйте резервные копии БД с компьютера на сервер в подкаталог /BACKUP/db. Если вы все сделали верно, то резервные копии должны появиться в списке раздела локального меню Резервное копирование -> Локальные резервные
копии БД нового сервера. Этап 4: Восстановление БД из резервных копий Для восстановления базы данных пользователей необходимо загрузить сервер в защищенном режиме ("SAFEMODE"). Для этого в локальном меню
сервера в разделе "Перезагрузка" выберите пункт "Перейти в SAFEMODE". Выбор режима перезагрузки сервера
После загрузки сервера в режиме "SAFEMODE", перейдите в раздел хранения резервных копий БД локального меню Резервное копирование ->
Локальные резервные копии БД. Выберите нужную вам копию базы данных и нажмите кнопку "Загрузить".
После того, как резервная копия базы данных будет успешно восстановлена в системе, перезагрузите сервер в обычном режиме.
Для полноценной работы сервера нужно заново перенастроить локальные и внешние сетевые подключения, настройки их не сохраняются в БД.
Доступ в удаленные сети через отдельный роутер в локальной сети.
Избавление от непосредственной маршрутизации м/у роутером и хостами локальной сети.
Допустим в локальной сети ICS есть роутер устанавливающий связь с другими сетями (часто с помощью туннеля). ICS является шлюзом по умолчанию
для клиентов сети. Вы хотите настроить маршрутизацию на ICS так чтобы клиенты получали доступ в удаленную сеть через роутер. Роутер и клиенты
локальной сети ICS должны быть в разном адресном пространстве иначе возникнет эффект "треугольной маршрутизации" при которой часть трафика от
клиентов до роутера пойдет через шлюз а часть будет идти непосредственно от роутера абонентам сети. Разная маршрутизация на разных участках
прохождения трафика сделает прохождение пакетов между двумя локальными сетями невозможной. Вариант неправильной топологии подобной сети
при которой возникает непосредственная или треугольная маршрутизация м/у роутером и клиентами локальной сети показан ниже.
Красным показана двусторонняя связь роутера с удаленным шлюзом (роутером) посредством которой обеспечивается доступ к удаленной сети. Это
может быть туннель к шлюзу в Интернет или маршрут до роутера в соседнюю сеть предприятия.
Синими стрелками показаны участки прохождения трафика от хостов локальной сети ICS идущие в удаленную сеть через ICS и роутер и участок
возвращаемого хостам локальной сети трафика непосредственно от роутера минуя ICS, что приводит к непринятию такого трафика хостами локальной
сети.
Для того чтобы эта схема работала, надо вынести роутер в отдельную локальную сеть (DMZ), чтобы избежать непосредственной маршрутизации между
роутером и клиентами локальной сети. Чтобы настроить DMZ на ICS - нужно добавить еще один IP-адрес на локальный интерфейс ICS к локальной
сети которого подключен роутер. На роутере настроить IP-адрес из адресного пространтсва новой сети, шлюзом указать дополнительный IP-адрес
настроенный на локальном интерфейсе ICS из этой сети. Физически роутер и клиенты локальной сети будут находиться в одном сегменте, имея при
этом разную адресацию и шлюзы.
Так же можно физически изолировать локальную сеть клиентов ICS и роутер, подключив к Ideco дополнительную сетевую карту, настроив на ее основе
дополнительный локальный интерфейс, настроить отдельную адрессацию в этой сети. Шлюзом для роутера будет являться адрес настроенный на
дополнительном локальном интерфейсе, физически роутер будет находиться в сегменте дополнительной сетевой карты. Но как правило схемы с
виртуальной изоляцией сетей на основе одного физического интерфейса достаточно.
Топология сети после организации DMZ на основе создания дополнительной сети на локальном интерфейсе ICS проиллюстрирована ниже.
Необходимые настройки на ICS
Несколько виртуальных локальных сетей на одном физическом локальном интерфейсе ICS выглядят как показано ниже. При этом все хосты этих сетей
физически включены в один ethernet-сегмент обслуживаемый этим локальным интерфейсом. Шлюзом для хостов этих сетей является соответствующий
своей сети адрес на локальном интерфейсе ICS.
Изолировав роутер в DMZ все готово для указания маршрутов на ICS следуя которым абоненты локальной сети будут достигать ресурсов удаленной
сети за роутером.
Предположим что локальная сеть клиентов имеет адресацию 10.0.1.0/24, адрес роутера в DMZ - 10.0.2.10, как на схеме, а некая удаленная сеть к
которой роутер имеет доступ: 192.168.10.0/24. В таком случае маршрут на ICS будет следущим:
SCR сеть (источник) : 10.0.1.0/24
DST сеть (назначение) : 192.168.10.0/24
Шлюз: 10.0.2.10
Или в виде однострочной записи для локального меню ICS:
10.0.1.0/24 192.168.10.0/24 10.0.2.10
Теперь трафик между сетями 10.0.1.0/24 и 192.168.10.0/24 во всех направлениях будет идти через ICS и роутер. Непосредственной маршрутизации ни
на одном участке прохождения пакетов по маршруту не случится.