воскресенье, 28 июля 2013 г.

FreeBSD 9. Настройка proftpd, dhcpd и ipfw. Часть 3

Эта заметка является третьей частью из цикла настройки полнофункционального сервера на базе FreeBSD 9. Вторая часть тут.
В этой же заметке будет рассказано о настройке анонимного доступа к локальному ftp-серверу, организации динамического распределения ip-адресов в локальной сети и базовой настройке файерволла.
Настройка локального ftp-сервера с анонимным доступом (Proftpd).

Установка:
# cd /usr/ports/ftp/proftpd
# make install clean

Настройка анонимного доступа:
# ee /usr/local/etc/proftpd.conf
DefaultAddress localhost
RequireValidShell off
...
<Anonymous ~ftp>
User ftp
Group ftp
USerAlias anonymous ftp
MaxClients 10
<Limit WRITE>
DenyAll
</Limit> 
<Anonymous>

Добавление анонимного пользователя и его каталога:
# pw useradd ftp -s sh
# mkdir /home/ftp

Запуск и добавление ftp-сервера в автозагрузку:
# ee /etc/rc.conf
proftpd_enable="YES"
# /usr/local/etc/rc.d/proftpd start

Проверка:
# touch /home/ftp/test

Для того, чтобы убрать анонимный доступ к серверу, нужно добавить пользователя ftp в файл ftpusers.
# ee /etc/ftpusers
ftp

# /usr/local/etc/rc.d/proftpd restart


Настройка динамического распределения ip-адресов в локальной сети с dhcp-сервером.

Установка:
# cd /usr/ports/net/isc-dhcp42-server
# make install clean

Настройка:
# ee /usr/local/etc/dhcpd.conf
option domain-name "local.example.org";
option domain-name-servers 192.168.0.10;

default-lease-time 3600;
max-lease-time 86400;

subnet 192.168.0.0 netmask 255.255.255.0 {
        range 192.168.0.100 192.168.0.200;
        option routers 192.168.0.10;
}

При использовании данного dhcp-сервера, распределение адресов начинатся с 192.168.0.100 и до 192.168.0.200

Автозагрузка и старт сервера:
# ee /etc/rc.conf
dhcpd_enable="YES"
dhcpd_interface="em1"

# /usr/local/etc/rc.d/isc-dhcpd start

Базовая настройка файерволла, данная конфигурация проверена годами и служит базой для последующей его настройки.

# ee /etc/firewall.conf
add 4000 divert natd ip from any to any via em0 #nat
add fwd 127.0.0.1,3128 tcp from any to any 80 via em1 #http->squid

add allow ip from any to any via lo0 #loop
add allow udp from any to any #udp
add allow icmp from any to any #icmp
add allow ip from any to any frag
add allow tcp from any to any established

add allow tcp from any 20 to any setup #ftp
add allow tcp from any to any 21 setup  #ftp
add allow tcp from any to any 22 setup #ssh
add allow tcp from any to any 25 setup #smtp
add allow tcp from any to any 53 setup #named
add allow tcp from any to any 110 setup #pop3
add allow tcp from any to any 143 setup #imap                            
add allow tcp from any to any 465 setup #smtps
add allow tcp from any to any 993 setup #imaps
add allow tcp from any to any 995 setup #pop3s
add allow tcp from any to me 80 setup #http in
add allow tcp from me to any 80 setup #http out
add allow tcp from me to any 443 setup #https out
add allow tcp from any to me 3128 setup #squid in

add allow tcp from any to any 1025-65535 setup

# /etc/rc.d/ipfw restart

UPD: 01.08.2013
Часть 4 тут.

Комментариев нет: