Встановлення та налаштування шлюзу Ideco ICS сертифікованого ФСТЕК
Почнемо з того, що розглянемо склад постачання.
1. Верифікований інсталяційний комплект. Складається з двох дисків на одному документація, другий настановний. 2. Абонемент доступу до Центру сертифікованих оновлень. У ньому вказується логін для доступу до ресурсу, номера та решта каламуті. 3. Формуляр на виріб. Тип паспорта до телевізора в старий добрий радянський час. 4. Спеціальний знак захисту Системи сертифікації засобів захисту інформації. У вигляді наклейки 12х12 мм, що переливається, вклеєний у формуляр. 5. Копія сертифіката відповідності. 6. Посібник із отримання оновлень через інтернет. 7. USB-ключ eToken. У сховищі eToken'а вже сидить сертифікат користувача. Потрібен доступ до ресурсу з оновленнями. 8. Та й власне сама ліцензія на право використовувати ПЗ. У руках маємо все, що замовляли, приступимо до встановлення. Вставляємо диск, йдемо в біос, ставимо все як належить, тиснемо F10, "yes". На моніторі з'являються написи англійською, що пропонують вибрати (точніше буде сказати - написати, оскільки вибір не передбачено, доводиться писати самому) "setup" або "memtest". Пишемо звичайно ж "setup", enter і помчало. Стало все як слід, без залучення бубнів. Сам процес описувати немає сенсу, оскільки він простий і інтуїтивно зрозумілий.
Перезавантажуємо, вводимо встановлений пароль "servicemode", починаємо налаштовувати.
Локальний інтерфейс IP 192.168.0.1 mask 255.255.255.0 Зовнішній інтерфейс IP 192.168.1.2 mask 255.255.255.0 GW 192.168.1.1
Як GW стоїть роутер, підключений до провайдера. Наявність роутера у мережі не обговорюється у цій статті, оскільки немає принципового значення.
Мінімум зроблено, починаємо перевірку. Підключаємо клієнта до switch, win+r, cmd, ping 192.168.0.1. Пінгпішов чудово. На Ideco вводимо пароль, у інтерфейсі вибираємо Сервіс-MC-Ctrl+O-ping 192.168.1.1, а у відповідь тиша. Трохи насторожує. Пінгуємо з роутера, тиша. Насторожує сильніше. Пінгує з Ideco зовнішній інтерфейс, все ОК. Сетевуха 100% ставилася справною, про всяк випадок замінилася другою, потім третьою. Картина залишилася незмінною. Беремо перший LiveCD, що попався (попався з Ubuntu 9.10), пінгуємо роутер, все OK. Страх із приводу несправної апаратної частини зник. І тут на думку спадає геніальна думка, "а на якому чіпі то сітки?". Ось пощастило все на одному чіпі RTL8139D. Логічно розмірковуючи, що тут не все так гладко (Ideco RTL8139D), ліземо в засіки, знаходимо сітку від D-Link (з приводу чіпа, ліньки лізти в системник і дивитися маркування), вставляємо куди треба (дотримуючись техніки безпеки), включаємо шлюз і про диво Ideco ожив. (Примітка. Перед встановленням Ideco подивіться на форумі http://www.ideco.ru/forum3/ сумісність апаратної частини, як виявилося тут не все так гладко)
Створюємо першого користувача, дозволяємо йому NAT (Примітка. Перед цим при первинному налаштуванні ми вже включили NAT на шлюзі), йдемо в firewall, відключаємо там все, робимо ребут. Намагаємося з клієнта ping ya.ru, і знову бубон. По новій дивимося "NAT - включений, користувач NAT дозволений, firewall - порожній". Для впевненості заходимо локально до інтерфейсу управління Ideco, вводимо iptables -L,О.скільки тут всього смачного і приховано від адміністратора Ideco. Увімкнувши трохи логіку йдемо в firewall, і робимо такі записи:
Source: 192.168.0.0 mask: 255.255.255.0 Destination: 0.0.0.0 mask: 0.0.0.0 Протокол: ALL Шлях: FORWARD Дія: Дозволити і Source: 0.0.0.0.0. .0.0 Destination: 192.168.0.0 mask: 255.255.255.0 Протокол: ALL Шлях: FORWARD Дія: Дозволити
Перезапускаємо firewall, тепер клієнт має доступ назовні використовуючи NAT.
Зауваження до розробників:виділяйте дані моменти у своїх посібниках жирним шрифтом, і бажано ще з таким знаком"!". Прочитавши "Приступаючи до роботи" від Ideco, ніде не знайшов, що за умовчанням у версії Ideco ICS сертифікованого ФСТЕК діє політика"Заборонено все, що не дозволено"
Включаємо Squid, використовуючи майстер налаштування. Ставимо галочку "дозволити прозоре кешування", робимо повний ребут (як лікар прописав). І знову бубон (клієнт залишився без інтернету). При цьому NAT працює, ICMP ходить без проблем, а ось порт: 80 пішов (у нікуди). В принципі так і повинно бути, за винятком того, що squid повинен був з'їсти все, що йде по 80 порту. Ідемо в логі squid, а там тиша. Налаштовуємо squid на прослуховування локального інтерфейсу портом 3128 (у веб-інтерфейсі галочка "дозволити пряме підключення до проксі"). Налаштовуємо клієнта на роботу через проксі, і знову диво, інтернет з'явився (squid дзижчить аки бджола), логи пишуться, статистика працює.
З цієї миті пішов процес спілкування з [email protected]. Про результати обов'язково буде продовження, з картинками!
Отже, продовжуємо. Сапорт Ideco особливо не допоміг. Граблі, на які наступили, знайшов сам. І ось граблі:
| Ці поля заповнюються тільки в крайніх випадках, якби була потреба, ми б вам повідомили. |
| Хлопці потреба є! Ця необхідність називається "QuikStart", "Посібник адміністратора", "Приступаючи до роботи" і т.д. Де в цих документах хоч рядок, що дані полятреба залишити порожніми, інакше. |
| ping ya.ru |
ви не отримаєте. Хоча клієнти в мережі ці запити отримуватимуть через NAT, а ось все той же squid встане.
Наступний етап запускаємо пошту та jabber. Реєструємо домен, наприклад, на sweb.ru. Наш домен my22.ru. Після реєстрації, коли домен перейшов у статус делегований, можна розпочати налаштування записів піддоменів в інтерфейсі Керування записами DNS. Створимо піддомен mx1.my22.ru
налаштуємо MX-записи наступним чином
Переходимо в інтерфейс Ideco і включаємо POP3 або IMAP (кому як подобається), а також бажано захистити SMTP. Наприклад можна так:
