LINUX.ORG.RU
ФорумAdmin

Прошу совета по настройке шлюза и домена с обвесом (я новичок)

 , ,


2

1

Здравствуйте!
Сразу оговорюсь, что у меня опыта администрирования Linux не много, а домена ещё меньше. Поэтому прошу совета.

Нужно сконфигурировать сеть практически с нуля: поднять шлюз, домен, организовать файловый сервер, поднять Jabber, принт-сервер, vpn-сервер, zabbix-сервер, ftp-сервер и web-сервер.

В начале планирую развернуть шлюз. В сети видел много советов такого и такого плана. Вопрос по шлюзу пока один - стоит ли его подключать к домену и если «да», то как?

Сам домен в принципе нормально настраивается по инструкции. Так как роль домена не требует значительных ресурсов, то на этом же сервера планирую поднять принт-сервер (в принципе уже поднял, осталось им правильно воспользоваться), а так же файловый сервер (благо samba4 это позволяет из коробки). Возможно совмещать файловый сервер и контроллер домена не самая лучшая идея, но вроде логичная. Так же на этом же сервере собираюсь поднять Jabber с авторизацией через AD. В связи с этим второй вопрос - подскажите как Jabber сконфигурировать для этого (буду признателен за ссылку на ман)? И сразу третий - как прикрутить ICQ транспорт?

Ещё планирую поднять другой сервер на котором собираюсь развернуть FTP-сервер и Web-сервер, которые нужно открыть наружу. Посоветуйте ман по настройке FTP-сервера с авторизацией в AD. И как открыть FTP и Web наружу ?


Как настроить Jabber с авторизацией в AD?

Вот так: http://diff.org.ua/archives/1766

Ejabberd поддерживает всевозможные транспорты, с этим уже сами розберетесь

black_13 ()
Ответ на: комментарий от dvrts

dvrts

Кастани меня завтра, вернусь, все по полочкам разложу.

Сори, грузанули меня вчера железом - не было времени посмотреть ответы.
Если Ваше предложение ещё в силе, прошу опишите о чем речь...
PS не понял о каком касте идет речь?.. тут я вроде не видел рейтинга пользователей...


black_13

Как настроить Jabber с авторизацией в AD?

Вот так: http://diff.org.ua/archives/1766

Ejabberd поддерживает всевозможные транспорты, с этим уже сами розберетесь

Спасибо, сейчас опробую, вроде то что нужно)))

mycop

http://www.zentyal.org/

Спасибо за ссылку - интересно, на досуге опробую.

T1nK ()
Ответ на: комментарий от T1nK

И так, шлюз поднял. В том плане что в сети появился интернет.
На данный момент мой iptables выглядит так:

*nat
:PREROUTING ACCEPT [2262:182942]
:INPUT ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -s 192.168.20.0/24 eth0 -j MASQUERADE
COMMIT

*filter
:INPUT ACCEPT [863:69458]
:FORWARDING ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -i lo -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -i eth0 -m state -- state NEW,RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -j REJECT --reject with icmp-port-unreachable
COMMIT
eth0 - WAN, eth1 - LAN.

Настраивал iptables я так:

# Разрешаем трафик на loopback-интерфейсе
iptables -A INPUT -i lo -j ACCEPT
# Разрешаем доступ из внутренней сети наружу
iptables -A FORWARD -i eth1 -o eth0 -j ACCEPT
# Включаем NAT
iptables -t nat -A POSTROUTING -o eth0 -s 192.168.20.0/24 -j MASQUERADE
# Разрешаем ответы из внешней сети
iptables -A FORWARD -i eth0 -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT
# Запрещаем доступ снаружи во внутреннюю сеть
iptables -A FORWARD -i eth0 -o eth1 -j REJECT
Данную конфигурацию подсказал гугл. А вот нормального русского дока по настройку IPTABLES он не подсказал.

Кто-нибудь видел доку по настройке IPTABLES поделитесь ссылкой.

Вообще мне нужно открыть доступ к SSH (но не по 22 порту) только с eth1 (LAN).
Так же ограничить порты которые пропускаются из LAN в WAN, а то сейчас походу пропускается все подряд, а нужно пускать только 21, 25, 110, 143, 80, 8080, 443, 3389 и 5222.
Ну и пинг нужно разрешить для WAN и LAN.

Если кто может подсказать как это сделать, то уж пожалуйста не пройдите мимо...

T1nK ()
Ответ на: комментарий от T1nK

Это насчет правил, на основе данного материала можно много чего сделать http://vasilisc.com/21-examples-iptables

Насчет открытия портов можно опять же, через iptables, можно через squid, проще наверное будет просто обрезать все соединения по портам, кроме 21, 25, 110, 143, 80, 8080, 443, 3389 и 5222 через правила iptables А насчет пинга - так он должен быть по дефолту, а вот строка

-A FORWARD -i eth0 -j REJECT --reject with icmp-port-unreachable
смущает мой юный разум

Aborigen1020 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.