Ru-Board.club
← Вернуться в раздел «В помощь системному администратору»

» Настройка SmoothWall

Автор: vellev
Дата сообщения: 20.07.2009 10:09
тема заброшена?
Автор: Zaslanetc
Дата сообщения: 08.09.2009 07:46
Всем привет.
Установил SmoothWall Extended Defense Basic PLUS-Custom с Advanced Web Proxy, все вроде работает, но есть пара вопросов.
1) По умолчанию в Full Firewall Control разрешены все соединения из Green зоны в Red зону (нижняя строка на скриншоте). А мне хотелось бы разрешить соединения только по определенным портам/протоколам. Через веб-интерфейс отредактировать эти умолчания у меня не получается. Понятно, что можно создать новые правила, но что тогда будет с умолчальными?
2) Хотелось бы сделать авторизацию пользователей через домен Active Directory но все найденные в сети инструкции упоминают установку Kerberos и Samba, а для файера установка самбы вроде как нежелательна, да и сложновато пока для меня. Кто-нибудь настраивал подобную конфигурацию?
P.S. Возможно, для кого-то это элементарные вещи, но Линукс для меня система новая, поэтому и спрашиваю.
Скрин:

Автор: DZOTik
Дата сообщения: 08.09.2009 11:25
2 Zaslanetc

У меня SmoothWall Express и насколько я понял Full Firewall Control это порт форвардинг (проброс портов из Red в Green на определённый IP).
Для разрешения соединения из Green в Red есть закладка Networking - Outgoing


В Advanced Web Proxy незабудь удалить строку в Destination ports: 1-65000, иначе все будут бесконтрольно ходить по любым портам этого диапазона.

По поводу авторизации пользователей, к сожалению, ничего не скажу - не пользуюсь.
Автор: Zaslanetc
Дата сообщения: 08.09.2009 12:25
DZOTik
У тебя стандартная сборка или с дополнительными модами? Я после прочтения данной ветки не стал тройку ставить, а скачал двойку с модами, может зря?
Автор: DZOTik
Дата сообщения: 08.09.2009 14:58
Zaslanetc
У меня smoothwall-express-3.0-sp1-devel-i386.iso и моды вручную установлены. Изначально решил ставить 3.0 (ядро поновее) и только те моды какими буду пользоваться. Правда опыт работы с линухом тоже не очень большой .
Срок использования пока небольшой с 31 августа этого года но доволен как слон . Перелез на линух с Юзвергейта - этож небо и земля! под юзвергейтом сплошные тормоза и перезагрузки сервака вручную каждое утро, а здесь токо пару перезагрузок после установки модов и всё. Правда напрягает немного аудит и чистка логов но это терпимо.
Если интересно установлены такие моды:
1    Advanced Proxy v.3.0.3
2    Automatic Snort Rules Updater
3    clamav v. 0.95.2
4    ClearLog for SWE 3 v.1.0
5    Connview v.0.9
6    Crontool Mod v. 3.0f
7    Dansguardian Content Filter v. DGAV-SW3-2.8.0.6-6.4.4.2-i686-b012
8    Full Firewall Control with Multiple IPs on Red v. 1.1
9    GAR-3.0-SWE3
10    ModCommander for SWE 3.0 v. 1.1
11    Net Scanner V1.1
12    Performance Graphs v1.4
13    Smoothwall Mod Build System v. 1.17
14    SnortAlog v. 2.42 for SWE 3.0 v. 0.9 Beta 1
15    SWAH v.1.1
16    Urlfilter v.1.5.3
Здесь список доступных модов.

Если возникнут вопросы обращайся - помогу чем смогу. Кстати вот статейка правда про 2.0 но некоторую инфу я почерпнул Ссылка
и ещё про IPCop Ссылка хотя наверно ты уже читал их.

ЗЫ: Ксати в Advanced Web Proxy есть авторизация пользователей

а Здесь документация по нему в PDF для 2.0 и 3.0.
Автор: Zaslanetc
Дата сообщения: 09.09.2009 05:43
Спасибо за ссылки, но я это видел, я был еще Тут
Теперь вопрос, почему именно Developer Edition?
Автор: DZOTik
Дата сообщения: 09.09.2009 11:15

Цитата:
почему именно Developer Edition?


"http://www.smoothwall.org/get/index.php
SmoothWall Express 3.0 Developer Edition contains all the files and systems required to generate your own "build" environment to help with creating your own user-created add-ons."

Просто подумал если когданибудь хватит ума для написания своих аддонов то не нада будет переустанавливать систему.
Автор: Zaslanetc
Дата сообщения: 10.09.2009 09:36
Понятно.
Короче, скачал сегодня тройку (обычную), установил. Понравилось, что он в отличие от двойки спросил, что будем делать с исходящим трафиком, я выбрал – блокировать. Потом сам открою необходимые порты/протоколы, точнее уже открыл. Теперь такой вопрос, имеет ли значение последовательность установки модов? Есть ли какие-то моды особенно критичные к этому? Эх, знать бы язык получше, можно было бы на их форуме поспрашивать. Читать еще могу, хотя и с трудом, а вот писать уже нет.
Автор: DZOTik
Дата сообщения: 10.09.2009 12:00
Моды поидее можна ставить в любой последовательности но лучше почитать описание каждого там есть рекомендации по установке. Например Dansguardian Content Filter желательно ставить перед обновлением ClamAV до версии 0.95.2.

Цитата:
Эх, знать бы язык получше, можно было бы на их форуме поспрашивать. Читать еще могу, хотя и с трудом, а вот писать уже нет.

У меня ситуация аналогичная но http://translate.google.com/?hl=ru&tab=wT# иногда очень хорошо помогает
Автор: Zaslanetc
Дата сообщения: 10.09.2009 17:55
А вот и первая трабла – не захотел обновляться Snort... Зарегистрировался на snort.org, получил Oink код, нажал сохранить и обновить, обновление вроде даже скачалось, но в конце «невозможно выполнить команду».
Автор: DZOTik
Дата сообщения: 10.09.2009 18:55
Хм у меня Snort version: 2.8.4.1 (Build 38) (SW3 update 5) - вчера прекрасно обновились правила. Правда у меня ещё и Guardian Active Response v3.0 for IDS стоит но он на обновление не влияет.
Попробуй установить правила вручную https://www.snort.org/snort-rules/?#rules
Или переустановить сам Snort с консоли

Цитата:
cd /tmp/
wget http://superb-east.dl.sourceforge.net/sourceforge/smoothiemods/snort-2.8.4-update.tgz
tar -zxvf snort-2.8.4-update.tgz -C /

Автор: pilligrimm
Дата сообщения: 10.09.2009 20:30

Цитата:
А вот и первая трабла – не захотел обновляться Snort... Зарегистрировался на snort.org, получил Oink код, нажал сохранить и обновить, обновление вроде даже скачалось, но в конце «невозможно выполнить команду».

Какое то время назад они изменили ссылки на обновление, сейчас для того чтобы он обновлялся нужно изменить строчку в конфиге, по крайней мере мне помогло.
Автор: Zaslanetc
Дата сообщения: 11.09.2009 06:10
pilligrimm
Можно поподробнее? Кстати, как обновлять Clamav? Во втором смутволе (том, что я ставил см. посты выше) была кнопка, а в третьем нету? Или надо какой-то мод прикручивать?


Цитата:
Например Dansguardian Content Filter желательно ставить перед обновлением ClamAV до версии 0.95.2.

Во блин! У меня на вкладке Maintenance -> Updates написано: Clamav 0.95.2 хотя я его не обновлял?...
Вдогонку. Если у меня только 2 сегмента – Green и Red, обязательно ставить Guardian Active Response или это нужно только для DMZ зоны?
Автор: DZOTik
Дата сообщения: 11.09.2009 11:02
Какая у тебя версия Snort? Обновления правил доступны только для 2.8.4.
Clamav обновляется каждый день сам примерно в 4 часа утра, если хочеш обновлять вручную выполни команду в консоли сервера freshclam. Логи антивируса можна посмотреть в Logs - system - Section: Anti-Virus. Если поставить мод Dansguardian Content Filter то на его GUI закладке будет информация и о антивирусе.
Вкладка Maintenance -> Updates - для обновления самого SW. Там показаны какие официальные обновления уже установлены и информация о доступных. Когда будешь устанавливать официальные обновления незабудь перед этой процедурой унинсталить дополнительные моды! http://community.smoothwall.org/forum/viewtopic.php?f=26&t=27882

Цитата:
Applying any official update to Smoothwall has the potential to break any installed mod!!!

You have been warned about this in each and every mod's thread, please take the warning seriously!

In general you need to uninstall any mods before applying an official update and re-install it afterwards.

Some mods might even be rendered inoperable by an official update until a revised version of those mods might become available.

For details about backing up data related to mods, un-installing and re-installing, please check with each mod involved.



Цитата:
1. What is GAR (Guardian Active Response)?
Guardian Active Response (hereafter referred to as GAR) is a perl script that inspects the Snort IDS alert log and submits selected offending IPs to the ipblock table to "actively" block IPs that violate Snort rules.

Это очень неплохое дополнение к Snort, там можна задать временные интервалы блокировки атакующих IP, какие IP не блокировать и т.д.
Автор: Zaslanetc
Дата сообщения: 11.09.2009 11:25

Цитата:
Это очень неплохое дополнение к Snort, там можна задать временные интервалы блокировки атакующих IP, какие IP не блокировать и т.д.

Я это понял, но мне интересно, разве без этой надстройки встроенный файер не будет тупо дропать все приходящие на Red интерфейс запросы? Т.е. если у меня нет необходимости пускать во внутреннюю сеть извне.
Автор: DZOTik
Дата сообщения: 11.09.2009 11:54
Конечно, фаэрволл будет дропать, но дропает он только текущую атаку. А снорт это система обнаружения атак - например, кто-то сканирует твой внешний IP на наличие открытых портов - фаэрволл его блокирует, а снорт заносит этот IP в бан лист (IP Block) на определённы срок, если ты на вкладке Networking - IP Block не захочешь его перевести в постоянный бан - третий скриншот на этой странице.
Автор: Zaslanetc
Дата сообщения: 14.09.2009 12:21
Лажа какая-то получилась. Доменная авторизация конечно работает, но совсем не так, как я ожидал. Я то думал, что если пользователь зарегистрировался на рабочей станции со своими логином/паролем, то в браузере ему набирать ничего не придется. Ан нет, авторизация требуется, более того, если пользователь запускает еще один экземпляр IE, то авторизация потребуется еще раз, что уж совсем не хорошо. А во-вторых, и это самое гадкое из того, что я ожидал, в логах Squid-а фигурируют не имена пользователей, а IP адреса рабочих станций. Вот такое, блин, кино... И что теперь, спрашивается, я должен делать? Мне то в логах нужны именно пользователи а не айпишники!
Автор: pantherb
Дата сообщения: 15.09.2009 01:54
Доброго времени суток. Ищу решение для того, чтобы один компьютер в сети держал vpn соединение с сервером провайдера и раздавал всем остальным интернет. Возможно ли это реализовать с помощью smoothwall? И если да, то подскажите плз куда копать - после первых нескольких часов ничего не вышло.

Нашёл дополнение PoPToP, но оно для второй версии. Есть ли что-нибудь похожее для тройки?

А может вообще есть более простое решение?
Автор: Zaslanetc
Дата сообщения: 15.09.2009 07:33
2 pantherb
Почитайте хотя бы ссылки, которые давали мне, и которые давал я. Все он раздает за милую душу. А VPN для раздачи инета имхо вообще никаким боком.

Хотел на смутволовском форуме зарегистрироваться, но получился полный облом. Не принимает он, зараза, мейл адрес с публичных серверов (перепробовал несколько штук). Что ж делать то, как сопоставить айпишникам имена пользователей?
Автор: pantherb
Дата сообщения: 15.09.2009 08:56
Zaslanetc


Цитата:
Почитайте хотя бы ссылки, которые давали мне, и которые давал я. Все он раздает за милую душу. А VPN для раздачи инета имхо вообще никаким боком.


Да читал я, так и не нашёл как этой штукой подключиться к VPN (по второй нашёл, а по третьей никак) Нашёл только аддоны для того, чтобы пропускать VPN через себя, но мне нужно чтобы именно сам фаер подключался. Буду благодарен если кто-нибудь тыкнет в нужную статью/пост на форуме.

И почему никаким боком? У меня провайдер даёт одно VPN соединение, а нужно подключить к интернету два компа. Раньше на одном из компов стоял Kerio, комп подключался к VPN, а уже второй подключался через Kerio. Но комп и так слабенький был, а с Kerio вообще умирать потиху стал
Автор: Zaslanetc
Дата сообщения: 15.09.2009 12:26
2 pantherb
Вообще-то мне всегда казалось, что VPN нужен для того, чтобы создать безопасный тоннель для двух территориально разнесенных подразделений. Или я не очень понимаю, что вы пытаетесь добиться.

2 DZOTik
Все, разобрался наконец-то. Все работает, пользователи попадают таки в логи Squid-а (чему я несказанно рад), я просто не очень внимательно их смотрел. Прикрутил SARG, он создает более детальные отчеты, но есть небольшой трабл. Страница https://192.168.50.1:441/sarg/daily почему-то не открывается (IE говорит «Невозможно отобразить страницу»), но в то же время по адресу https://192.168.50.1:441/sarg/ заходит без проблем. Что можно сделать?
Автор: DZOTik
Дата сообщения: 15.09.2009 12:38
Zaslanetc

Цитата:
как сопоставить айпишникам имена пользователей?

попробуй как написано в разделе 5.6 Windows authentication http://www.advproxy.net/documentation/smoothwall3-advproxy-en.pdf - прописать асоциации IP и имен пользователей в файле /etc/hosts.

pantherb
по VPN есть несколько тем на странице с аддонами http://community.smoothwall.org/forum/viewtopic.php?f=26&t=23845 может там есть что-то полезное.

Цитата:

VPN
[3.0] Hide ipsec interface boxes when not used advstatus.cgi (02-Oct-2007)
[3.0] ZERINA/OpenVPN GUi for Smoothwall (10-Sep-2007)
Allowing traffic on tun0 interface (for openvpn) (26-Aug-2007)
PPTP Passthrough to Internal PPTP VPN Server - [WORKS] (20-May-2007)


Сори не заметил что уже пятая страница есть
SARGом к сожалению не пользуюсь. Глянь http://community.smoothwall.org/forum/viewtopic.php?t=25013 может там есть решение.
Автор: Zaslanetc
Дата сообщения: 16.09.2009 17:20
По поводу SARG-а выяснил следующее: для того, чтобы не бело того трабла, что я описал выше надо на Windows машине в файле hosts прописать IP и имя SmoothWall сервера заданное при установке.
Автор: vistwork
Дата сообщения: 17.09.2009 14:41
подскажите устанавливаю версию 3.0, выбираю настройку интерфейса GREEN + RED.
При поиске сетевого адаптера, первый находит без проблем, а вот со на поиске воторго виснет, причем виснет на переборе адаптера Ether Team 16i/32
подскажите как поступить?
Автор: vistwork
Дата сообщения: 18.09.2009 00:58
что никто не может помочь? или просто никто не сталкивался...

Добавлено:
с этой проблемой разобрался, помогло отключение всех портов в ненужных устройств в биосе. Теперь следующая проблема, мне нужно поменять мак адрес у сетевухи, которая смотрит в интернет, подскажите как это сделать, только если можно пошагово т.к. это моя первая ось на linux.
Я вот тут кое что нашел вот только применить не совсем смог. может подможите?
http://community.smoothwall.org/forum/viewtopic.php?p=28925#28925
Автор: DZOTik
Дата сообщения: 18.09.2009 12:56
vistwork
Внимательно изучаем список модов для 3.0 http://community.smoothwall.org/forum/viewtopic.php?f=26&t=23845 и о чудо находим [3.0] MAC Address Spoofing

Цитата:

на сервере пишем комманды:

cd /tmp
wget http://mods.smurfsofwar.com/files/mods/mac-spoofing-swe3-1.0.tgz
tar -zxvf mac-spoofing-swe3-1.0.tgz -C /
./install-mac-spoofing.sh

потом в браузере:

Just browse to networking -> advanced, enter the mac address you want to clone, click apply and reboot.

и на всякий случай HowTo: Spoof/Clone MAC Address
Автор: vistwork
Дата сообщения: 18.09.2009 14:46
спасибо, но уже успел перековырять все мануалы, и сделать, сейчас только не сделал подключение pppoe

Добавлено:
мой пров pptp теперь его не могу настроить у меня даны имя сервера, логин и пароль.
Автор: DZOTik
Дата сообщения: 18.09.2009 19:26
vistwork

Цитата:
у меня даны имя сервера, логин и пароль.

Вообщето, насколько я помню, эти данные вводятся во время установки SW.
Попробуй в консоли сервера написать setup - там есть настройки ISDN и ADSL.
Автор: vistwork
Дата сообщения: 19.09.2009 05:20
DZOTik
так мне не нужны настройки ADSL и ISDN, мне нужно при подключенном ehternet соединении с провайдером создать подключение pptp, для которого собственно нужны три параметра хост имя или ip адрес сервера, логин и пароль. Так вот это создать в SW пока не получилось.
Автор: DZOTik
Дата сообщения: 21.09.2009 12:52
vistwork
Извини, я раньше не сталкивался с этим вопросом. Как тебе уже ответили http://community.smoothwall.org/forum/viewtopic.php?f=12&t=32819&start=0&hilit=PPTP SmoothWall 3.0 не поддерживает РРТР. В версии 2.0 вроде был для этого мод но не факт что он работает. http://forum.spnet.ru/showthread.php?p=1421540 расписана настройка РРТР для SW 2.0.
Если соединение РРТР с провайдером критично то пробуй другие программные роутеры где есть поддержка РРТР.
А может пора задуматься о смене провайдера?

Страницы: 12345678

Предыдущая тема: ЛВС между зданиями


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.