Эта заметка является третьей частью из цикла настройки полнофункционального сервера на базе FreeBSD 9. Вторая часть тут.
В этой же заметке будет рассказано о настройке анонимного доступа к локальному ftp-серверу, организации динамического распределения ip-адресов в локальной сети и базовой настройке файерволла.
Базовая настройка файерволла, данная конфигурация проверена годами и служит базой для последующей его настройки.
В этой же заметке будет рассказано о настройке анонимного доступа к локальному ftp-серверу, организации динамического распределения ip-адресов в локальной сети и базовой настройке файерволла.
Настройка локального ftp-сервера с анонимным доступом (Proftpd).
Установка:
# cd /usr/ports/ftp/proftpd
# make install clean
Настройка анонимного доступа:
# ee /usr/local/etc/proftpd.conf
DefaultAddress localhost
RequireValidShell off
...
<Anonymous ~ftp>
User ftp
Group ftp
USerAlias anonymous ftp
MaxClients 10
<Limit WRITE>
DenyAll
</Limit>
<Anonymous>
Добавление анонимного пользователя и его каталога:
# pw useradd ftp -s sh
# mkdir /home/ftp
Запуск и добавление ftp-сервера в автозагрузку:
# ee /etc/rc.conf
proftpd_enable="YES"
# /usr/local/etc/rc.d/proftpd start
Проверка:
# touch /home/ftp/test
Для того, чтобы убрать анонимный доступ к серверу, нужно добавить пользователя ftp в файл ftpusers.
# ee /etc/ftpusers
ftp
# /usr/local/etc/rc.d/proftpd restart
Настройка динамического распределения ip-адресов в локальной сети с dhcp-сервером.
Установка:
# cd /usr/ports/net/isc-dhcp42-server
# make install clean
Настройка:
# ee /usr/local/etc/dhcpd.conf
option domain-name "local.example.org";
option domain-name-servers 192.168.0.10;
default-lease-time 3600;
max-lease-time 86400;
subnet 192.168.0.0 netmask 255.255.255.0 {
range 192.168.0.100 192.168.0.200;
option routers 192.168.0.10;
}
При использовании данного dhcp-сервера, распределение адресов начинатся с 192.168.0.100 и до 192.168.0.200
Автозагрузка и старт сервера:
# ee /etc/rc.conf
dhcpd_enable="YES"
dhcpd_interface="em1"
# /usr/local/etc/rc.d/isc-dhcpd start
# ee /etc/firewall.conf
add 4000 divert natd ip from any to any via em0 #nat
add fwd 127.0.0.1,3128 tcp from any to any 80 via em1 #http->squid
add allow ip from any to any via lo0 #loop
add allow udp from any to any #udp
add allow icmp from any to any #icmp
add allow ip from any to any frag
add allow tcp from any to any established
add allow tcp from any 20 to any setup #ftp
add allow tcp from any to any 21 setup #ftp
add allow tcp from any to any 22 setup #ssh
add allow tcp from any to any 25 setup #smtp
add allow tcp from any to any 53 setup #named
add allow tcp from any to any 110 setup #pop3
add allow tcp from any to any 143 setup #imap
add allow tcp from any to any 465 setup #smtps
add allow tcp from any to any 993 setup #imaps
add allow tcp from any to any 995 setup #pop3s
add allow tcp from any to me 80 setup #http in
add allow tcp from me to any 80 setup #http out
add allow tcp from me to any 443 setup #https out
add allow tcp from any to me 3128 setup #squid in
add allow tcp from any to any 1025-65535 setup
Комментариев нет:
Отправить комментарий