Постановка задачи, варианты решения
С учетом потребностей современного офиса под обеспечением совместного доступа в Интернет, как правило, подразумевается:
эффективное совместное использование канала при заданной ширине полосы пропускания и ограниченном количестве внешних IP-адресов;
централизованная защита серверов и рабочих станций от вторжений и атак извне;
разграничение доступа и контроль: фильтрация трафика и журналирование в удобной для последующего анализа форме.
Linux стал ближе к простым пользователям
При прочих равных условиях предпочтения заслуживает комплексное решение, каковым и является программный роутер на базе современного дистрибутива Linux. Скромные аппаратные требования дополнительно увеличивают привлекательность этого варианта. Благодаря удобным графическим оболочкам пугающая новичков потребность в самостоятельном редактировании многочисленных конфигурационных файлов возникает гораздо реже, чем в случае с дистрибутивами шести-семилетней давности. Теряя присущую Linux специфику, процесс установки и первичной настройки системы становится по силам имеющим опыт работы с Windows продвинутым пользователям, не говоря уж о системных администраторах.
Немаловажный аспект — отсутствие существенных финансовых затрат. Бесплатный дистрибутив и обновления можно скачать с сайта разработчика, для корпоративных версий техническая поддержка и обновления обеспечиваются за умеренную плату.
Сходное по возможностям решение на серверной платформе Microsoft обойдется в кругленькую сумму (Windows 2003 Server плюс лицензии на подключение пользователей), при этом, как показывает опыт, реализация сопоставимого уровня защищенности штатными средствами более чем проблематична. Более оправданная экономически, но все же далеко не бесплатная связка Windows XP Pro + WinRoute Firewall + squid не позволяет задействовать серверные версии программного обеспечения.
Аппаратное решение от лидеров отрасли (Cisco, Allied Telesyn, 3Com и прочих) при всех своих плюсах применимо лишь к первым двум пунктам и обойдется весьма недешево (без учета вероятных дополнительных затрат на конфигурирование). Производители второго эшелона предлагают оборудование, по цене сопоставимое со стоечным сервером начального уровня, при этом последний, обладая избыточной для роутера мощностью, оставляет возможность для решения других задач — антивирусной проверки, фильтрации спама и тому подобного.
Перечисленные достоинства делают решение на базе Linux весьма привлекательным для малых и средних офисов. Скромные затраты времени на установку и настройку — дополнительный аргумент в пользу эксперимента, не имеющего значимых финансовых последствий и потому являющегося безболезненным и обратимым действием.
Далее в сжатой форме будут рассмотрены все основные этапы процесса установки и ряд нюансов настройки. Данные заметки не претендуют на полноту описания и представляют своего рода методические указания, в основе которых лежит личный опыт автора.
Выбор дистрибутива
Результат выбора дистрибутива в значительной степени отражает индивидуальные предпочтения системного администратора и лишь в некоторой мере — сложившиеся в Linux-сообществе представления о большей или меньшей пригодности конкретного дистрибутива для применения в определенных условиях. Затрагивающие российских пользователей проблемы с кириллицей устранены достаточно давно, и популярность отдельных локализаций (AltLinux, MOPS и других) во многом объясняется языковыми предпочтениями администраторов.
Выбор автора — бесплатный дистрибутив OpenSUSE, развиваемый в настоящее время подразделением Novell (SUSE LINUX Products GmbH).
Использование бета-версий на ответственных участках не рекомендуется, в качестве основы для интернет-шлюза предпочтительным будет наиболее свежий из стабильных релизов. На момент подготовки статьи таковым является 10.2.
Исходя из соображений удобства имеет смысл скачать DVD-образ. При отсутствии возможности использовать DVD-привод можно ограничиться CD-образами. Вариант онлайн-установки подразумевает высокоскоростное и надежное подключение, а также уверенность в том, что сетевая карта будет корректно определена в процессе установки.
Установка OpenSUSE 10.2
Для эксперимента подойдет морально устаревший системный блок
Несколько слов об аппаратных требованиях. Linux остается одной из самых гибких, масштабируемых и неприхотливых (в плане аппаратных ресурсов) систем: ядро и установщик практически всегда находят общий язык с «железом», если только речь не идет об экстремально специфическом оборудовании. Для эксперимента вполне подойдет морально устаревший системный блок, однако, принимая окончательное решение, стоит позаботиться о бесперебойной работе интернет-шлюза и приобрести сервер начального уровня, снабженный соответствующим количеством сетевых интерфейсов. Версия 10.2 появилась в самом конце 2006 года и, как следствие, не определяет некоторые из выпускаемых в 2007 году системных плат, в частности, использующие набор системной логики AMD690. Однако это обстоятельство нисколько не мешает успешной установке в графическом режиме, по завершении которой всего лишь потребуется скачать и установить последнюю версию видеодрайвера ATI (x86_64).
Необходимо задать хотя бы один логин с ограниченными правами: общепринятые рекомендации запрещают использовать логин суперпользователя root для удаленного доступа. При выборе паролей следует руководствоваться общеизвестными правилами — длина и сложность имеют решающее значение, также не стоит забывать, что использование осмысленных слов в качестве логина (и тем более пароля) создает уязвимость к распространенному виду атак с применением словаря.
В список предложенных инсталлятором YaST2 параметров потребуется внести некоторые изменения.
- Под кешируемые прокси-сервером данные желательно предусмотреть отдельный раздел, монтируемый в точке /var/cache/squid. Соображения относительно размера кеша и других параметров конфигурации squid-cache будут приведены позже.
- Набор предлагаемых к установке пакетов необходимо дополнить: в разделе Desktop Functions выбрать Remote Desktop, из Server Functions потребуются Network Administration и Internet Gateway, в зависимости от планируемых для сервера дополнительных задач имеет смысл отметить пункты File Server, Print Server и Mail and News Server. В случае с
64-битной версией OpenSUSE весьма желательно (а для корректной работы упомянутого видеодрайвера ATI — необходимо) выбрать опцию 32Bit Runtime Environment. Для компиляции приложений, распространяемых в виде исходных кодов, следует выбрать как минимум Basis Development в разделе Development. Отметим, что к удовольствию далеких от программирования пользователей самостоятельная компиляция исходных кодов постепенно становится экзотикой: приложения и утилиты распространяются большей частью в виде пакетов, устанавливаемых через дружественный интерфейс инсталлятора.
YaST2 |
Установка и обновление стали значительно проще
OpenSUSE предлагает достаточно удобный инструментарий для управления установленными приложениями и компонентами, поддерживаются взаимосвязи (dependencies) и обновления из различных источников. Выбираемые при инсталляции системы наборы пакетов называются Patterns и позднее доступны в разделе YaST2/Software Management. Там же отображается во всех подробностях дерево Packet Groups. После завершения инсталляции имеет смысл провести ревизию установленных пакетов: удалить офисные, графические и мультимедийные приложения, а также установить русскоязычную документацию (обычно более свежий англоязычный вариант устанавливается по умолчанию) — man-pages-ru, группа пакетов Documentation / Man.
Во второй части речь пойдет о настройке SuSEfirewall2.
Ссылки по теме
Статья получена: hostinfo.ru