Автор: SHuRuP
E-mail: root at nixp dot ru
ICQ:
76011665
HomePage: http://www.nixp.ru
Автор оригинала: Wayne
Goodrich
Прочитать оригинал>>
Во время обсуждения настройки
домашнего firewall'а я услышал новое название, которое раньше никогда не слышал.
Он сказал, что настроил firewall, основанный на дискете, используя Freesco. "Что
такое Freesco?" - спросил я. "Он основан на SCO Unix?" Нет, как оказалось - это
бесплатная альтернатива Cisco роутера, основанная на Linux 2.0.38 и lpfwadm, что
очень просто для настройки. Я был заинтригован, поэтому решил узнать больше о
нем, посетив домашнюю страничку Freesco и прочитав настолько много документации,
насколько смог. Существуют форумы, которые я проглядел для того, чтобы выяснить,
какие опытные люди работают с ним.
Я решил, что, может быть, он стоит
того, чтобы просто создать инсталляционную дискету и настроить его на моей
firewall машине. Ничего страшного не могло случиться, потому что я мог вытащить
дискету и перезагрузиться. Как только я сделал это, был приятно удивлен тем,
насколько действительно просто было его установить и настроить. Перед тем, как я
попробовал запустить Freesco, я настроил dyndns аккаунт с webhop'ом, что
указывает на нестандартный порт. Также я установил Apache web server на машине,
поместив туда страницу, созданную с OSWD стилем. Таким образом, я мог также
протестировать возможности форвадинга портов и попытаться получить доступ к
странице извне.
Забава начинается!
На работе я скачал zip-файл,
распаковал его и записал image на дискету с помощью rawrite, который был в
архиве. Дома я вставил дискету, перезагрузил мою firewall машину, появились
варианты дальнейших действий. Я указал "setup" и началась инициализация. Setup
сопровождает вас через все необходимые настройки, сначала спрашивая, какого типа
будет роутер. Я выбрал ISP -> Local Ethernet router. Он попросит вас указать
от 1 до 3 карт, и вы получите установку настроить первую сетевую карту с DHCP,
назвать ее и присвоить ip адрес второй сетевой карте. У вас появится опция для
выбора времени сервера, нужно ли запускать публичный web-сервер, стоит ли
запускать telnet демон, должен ли быть доступ к телнету извне, нужно ли
запускать web-интерфейс для настройки роутера удаленно и давать ли доступ к нему
извне и другое. Я выбрал использование dhcp с публичным интерфейсом и указал не
запускать web-сервер для всех, так как я настроил другую машину с Apache. Я
выбрал активизирование телнета только локально, также как и конфиг web-сервера.
Вам надо будет указать свои настройки, установить пароли admin'а и root'а, а
затем перезагрузиться.
Setup1
Setup2
Setup3
Момент
истинный
Итак, я перезагружал firewall, внимательно изучая
инициализационные сообщения. Я не увидел ошибок и получил классное разноцветное
linux-приглашение. Последнее инициализационное сообщение напомнило, что у меня
есть "a nice control panel at http://192.168.0.1:82". Клево! Я переключился на
мою главную машину и обновил текущую страницу - она обновилась прекрасно и очень
быстро. Даже показалось, что быстрее, чем с моим Debian Firewall'ом. Я пошел на
http://192.168.0.1:82 в контрольную панель. Увидел запрос на мой пароль admin'а
и ввел его. Меня приветствовал действительно замечательный web-интерфейс с
network и syslog сообщениями, forwarding правилами и т.д. Вы можете даже
перезагрузить программное обеспечение firewall'а или перезагрузить все
полностью.
Control Panel1
Control Panel2
Тест
firewall'а
Я зашел в Shields Up! для тестирования firewall'а. Был
почему-то расстроен, увидев, что stealth портом был только порт telnet'а. Все
остальные были закрыты. Это хорошо, но я хотел узнать, как спрятать все
остальные закрытые порты. Я направился в раздел FAQ форума и увидел, что для
установления у других портов "stealth", надо отредактировать /rc/rc_masq и
"change default policy Pd=reject # default policy - deny or reject." ("поменять
политику по умолчанию Pd=reject # политика по умолчанию - запретить или
разрешить.") Это ничего не изменило. Я уверен, что те, кто разбираются в
ipfwadm, могут проанализировать правила и поменять, что надо. Я не обладаю
такими знаниями, и у меня не было шанса так поступить. Может быть, позже. Так
что вот первый небольшой недочет.
Тест моей персональной
страницы
Итак, пора протестировать мой dyndns аккаунт. Я направил мой
браузер на работе (вы не можете сделать это дома из-за firewall'а) на мой web
hop адрес, который указывает на нестандартный tcp порт firewall'а, и
подразумевается пересылка на 80-ый порт web-сервера в локальной сети. Работает!
Меня встретила несколько неожиданная страница, созданная действительно вами
:)
Предостережения
У Freesco.027 есть встроенный dyndns клиент, но
после просмотра форумов я заметил, что многие жалуются на слишком частое
обновление аккаунта клиента - в результате, аккаунт отключен в мерах
безопасности. Вот почему я отключил запуск клиента. Я могу изучать логи и сам
обновлять изменения публичных ip. Мне сказали, что было исправление этой
проблемы, но я не пробовал его.
Freesco может быть установлен с жесткого
диска, но, если вы указали, что надо оставить его на дискете, будет очень сложно
заставить его грузить больший ramdisk. Больший ramdisk нуден для инсталляции
дополнительных пакетов, которые доступны от гуру freesco на их странице "Extra
soft". Мне повезло, что дорожка блокировалась во время установки iptraf.
Инсталлятор пакетов показался приятным, благодаря простому синтаксису команд.
Существует много пакетов для тех, кто хочет пойти дальше простой установки с
дискеты по умолчанию.
Заключение
Я дал ему шанс выстрелить и был
впечатлен. Он показался идельным для желающих получить быструю и защищенную сеть
с некоторыми продвинутыми сервисами. Я уже настроил мой собственный
Debian-основанный firewall, что отняло у меня немало усилий для получения
функциональности, которой я хотел. Так что я думаю, что напишу несколько статей
о таких нужных вещах, как форвадинг портов, идентичных тому, что Freesco,
казалось, может легко сделать. Если бы я узнал о Freesco до настройки
Debian-основанного firewall'а, я бы работал с некоторыми его более сложными
вещами.
Дефолтный setup был удивительно простым - всего 10 минут для
настройки, если есть под рукой необходимая информация о сети. Машина может
работать без руководства и управляться удаленно с помощью web control panel или
telnet. Если вы испортили конфиг, когда запутались с ним, то вы всего в 10
минутах от воссоздания его из ничего. Нет нужды в жестких дисках, если вы их не
выбрали! Более продвинутые пользователи могут изменить его по своему усмотрению
и запустить все виды сервисов с него.
Go check it out. Здесь нечего
терять, только 10 минут вашего времени и ваша рабочая дискетка
:)
