Sử dụng eBox như Gateway: Firewall, Traffic Shaping, HTTP Proxy ...

Quản Trị Mạng - eBox Platform là hê thống server dựa trên nền tảng Linux dành cho doanh nghiệp mô hình nhỏ, cho phép người sử dụng quản lý tất cả các dịch vụ mạng như firewall, DHCP, DNS, VPN, proxy, IDS, mail, dữ liệu và chia sẻ máy in, VoIP, IM… Những chức năng này liên kết chặt chẽ với nhau, tự động điều chỉnh, tránh rủi ro và tiết kiệm thời gian cho người quản trị.

Trong bài viết sau, Quản Trị Mạng sẽ giới thiệu với các bạn cách sử dụng eBox như Gateway với khả năng thiết lập, tùy chỉnh hệ thống mạng, cân bằng tải giữa 2 kết nối Internet và Wan, các quy luật multigateway dành cho route, traffic shaping, DHCP và bộ nhớ đệm DNS cho mạng LAN, HTTP proxy với nhiều bộ lọc, phòng chống virus.

Điều kiện thử nghiệm

Trong bài viết này chúng ta sử dụng Gateway phổ biến, ứng dụng trong một môi trường sản xuất, kinh doanh bất kỳ như trường trung học hoặc công ty với số lượng người dùng tối đa 250 người, trang bị bộ lọc ứng dụng yêu cầu nhiều kết nối Internet khác nhau. Cụ thể trong bài viết này sẽ hướng dẫn chi tiết, cụ thể làm thế nào để thiết lập 2 router Internet với card mạng cho mỗi cá thể. Nếu cần thiết tăng lưu lượng băng thông, việc thêm nhiều router sẽ dễ dàng như khi thêm gateway mới, trong trường hợp này, tất cả các thành phần trên đều được kết nối tới cùng 1 bề mặt sử dụng địa chỉ IP cùng thông số subnet.

Hệ thống server của chúng ta sẽ có 3 hạ tầng mạng, eth0 (192.168.2.254/24) và eth2 (192.168.1.254/24) cũng như bề mặt WAN (bên ngoài) kết nối tới cùng router ADSL1 (192.168.2.1/24) và ADSL2 (192.168.1.254/24), eth1 sẽ đảm nhiệm vài trò LAN (192.168.100.254/24).

Cài đặt

eBox Platform hoạt động trên nền tảng phần cứng x86, và hãy chắc chắn rằng Ubuntu có hỗ trợ hệ thống server của bạn. Quá trình cài đặt có thể tiến hành theo 2 phương pháp khác nhau:

Sử dụng eBox Platform Installer – đây là phương pháp được khuyến cáo với người dùng. Quá trình cài đặt và ứng dụng đơn giản và độc lập như khi cài 1 ứng dụng nào đó từ đĩa CD, một vài tính năng đã được thiết lập mặc định trong quá trình cài đặt.

Dựa trên 1 nền tảng Ubuntu LTS Server Edition sẵn có. Với cách này, người dùng phải thêm eBox Platform PPA repositories vào danh sách nguồn và cài đặt các gói cần thiết qua đó. Các bạn có thể xem qua thông tin chi tiết tại đây và tải thêm các file ảnh Virtual Machine.

Cấu hình và thiết lập hệ thống mạng

Việc trước tiên cần làm là thiết lập hệ thống mạng. Mở Network -> Interfaces, trong trường hợp này chúng ta sẽ thiết lập địa chỉ IP tĩnh và thông số netmark. Đối với hệ thống ngoại vi (eth0 và eth2), nhớ kiểm tra lựa chọn WAN:

Sau đó, chỉnh eBox để sử dụng DNS nội bộ tại Network -> DNS:

Tiếp theo, hãy kiểm tra qua gateway. Mở Network -> Gateways và tiến hành khởi tạo 2 gateway, đặt tên và ghi nhớ thông số Weight được tạo ra để lưu trữ thông tin dung lượng băng thông đối với mỗi kết nối. Trong ví dụ này, cả 2 đều có cùng tốc độ, vì vậy chúng ta gán giá trị 1 cho chúng:

Tường lửa

Ở chế độ mặc định, eBox sẽ áp dụng các quy luật chặt chẽ đối với các bề mặt, kết nối bên ngoài và cho phép tín hiệu kết nối đầu ra từ LAN và từ bản thân server eBox.

Chế độ tường lửa cho phép người dùng cài đặt các chính sách 1 cách phức tạp, và mỗi module đều phải tuân theo các quy luật này. Tính năng này thực sự hữu ích cho những người quản trị hệ thống khi đảm nhiệm việc quản lý các quy luật mà không mắc lỗi nào.

Các quy luật này được chia ra làm 5 lớp, bao gồm tất cả lưu lượng dữ liệu có thể tìm thấy tại Firewall -> Packet Filter:

Filtering rules from internal networks to eBox
Filtering rules for internal networks
Filtering rules for traffic coming out from eBox
Filtering rules from external networks to eBox
Filtering rules from external networks to internal networks

Và đây là mẫu quy luật trong ví dụ này:


Thiết lập Multigateway

Tiếp theo, chúng ta cần kích hoạt chế độ cân bằng giữa 2 gateway. Mở Network -> Balance Traffic và đánh dấu vào ô Balance Traffic:

Bên cạnh đó, các quy luật áp dụng cho multigateway có thể định nghĩa, khởi tạo để tuân theo các kết nối đi qua 1 trong 2 gateway dựa trên nguồn, đích đến hoặc cổng.

Cùng với tính năng WAN failover, người dùng có thể thiết lập bộ chức năng sau: ping, truy vấn DNS hoặc yêu cầu HTTP để kiểm tra rằng gateway và kết nối Internet có hoạt động bình thường hay không. Nếu số phần trăm thành công ở dưới mức cho phép, gateway sẽ tự động tắt và chúng ta sẽ phải làm lại từ đầu.

Các luật multigateway đối với hiện tượng này sẽ không hoạt động, và hệ thống sẽ sử dụng thiết bị mặc định. Khi gateway trở lại, các quy luật này sẽ tự động thiết lập và điều chỉnh.

Traffic shaping

Traffic shaping, hay còn biết đến như là Quality of Service (QoS) rất quan trọng trong việc thiết lập chế độ ưu tiên giữa các luồng dữ liệu bên ngoài, nâng cao tính ưu tiên đối với các dịch vụ tương tác như ICMP, DNS hoặc VoIP, và ngược lại đối với các quá trình khác như luân chuyển file hoặc giao thức P2P. eBox hỗ trợ tốt các luật dành cho traffic shaping dựa trên nguồn, đích đến, cổng giao tiếp và các lớp ứng dụng (Layer 7).

DHCP, DNS cache và NTP

Để thiết lập tất cả các máy tính trong mạng LAN 1 cách dễ dàng, chúng ta cần có DHCP server, DNS server và NTP server.

DNS caching server và NTP server sẽ hoạt động bên ngoài hệ thống khi chúng ta kích hoạt module trên. Để điều chỉnh DHCP, chuyển tới menu DHCP, tại đó chúng ta thiết lập eBox như giá trị gateway mặc định, DNS, NTP và các lựa chọn nâng cao khác, mạng lưới network dành cho DHCP pool. Các thành phần tĩnh dựa trên MAC và các những tính năng khác như DNS động hoặc PXE đều có sẵn.

HTTP Proxy

Module cuối cùng cần thiết lập trong trình tự làm 1 hệ thống Gateway là HTTP proxy. eBox sử dụng Squid và Dansguardian để làm việc này. Module HTTP proxy sử dụng các đối tượng khác nhau trong hệ thống mạng để áp dụng các quy tắc, như Firewall hoặc Traffic Shaping.

Tại đây, chúng ta sẽ tiến hành áp dụng 2 quy tắc, và bên cạnh đó chúng ta cần tạo 1 đối tượng gọi là lan dành cho toàn bộ hệ thống LAN và 1 đối tượng khác dành cho các server không thuộc hệ thống LAN, tại đó các luồng dữ liệu không bị áp dụng những quy tắc hoặc bộ lọc. Chọn menu Objects và tạo mới 1 đối tượng, đặt tên là lan với 1 thành phần có subnet 192.168.100.0/24, và đối tượng khác là -servers với luồng địa chỉ bên ngoài server:

Những thiết lập chung

Chúng ta có thể thiết lập những chính sách mặc định, và domain sẽ không lưu trữ trên bộ nhớ đệm của Squid tại HTTP Proxy -> General Configuration -> Default policy:

Always allow: cho phép, chấp nhận tất cả các yêu cầu
Filter: lọc tất cả các yêu cầu
Always deny: ngăn chặn tất cả các yêu cầu, ngoài trừ trường hợp định nghĩa ở mức cho phép cao nhất


Bandwidth throttling

Tính năng này (HTTP Proxy -> Bandwidth Throttling) được dùng để kiểm soát yêu cầu download với số lượng lớn. Khi tiến hành tải về 1 file bất kỳ, sau khi định nghĩa kích thước file, tốc độ proxy giảm xuống tới mức mức cho phép. Chính sách này có thể áp dụng tới toàn bộ hệ thống LAN sử dụng tính năng Delay Pools Class 1 hoặc mỗi client sử dụng Delay Pools Class 2. Trong ví dụ này, chúng ta không giới hạn tốc độ download trên mỗi subnet nhưng lại giới hạn trên mỗi client: mỗi file với dung lượng nhỏ hơn 50KB sẽ được tải ở tốc độ tối đa, những file lớn hơn sẽ bị giới hạn ở mức 512 Kbps từ sau 50KB đầu tiên:

Filtering profiles

Tại mục HTTP Proxy -> Filter Profiles chúng ta có thể định nghĩa, tạo ra các điều kiện lọc khác nhau. Ở mức mặc định, các profile này sẽ được áp dụng cho tất cả các đối tượng. Và với những profile này, chúng ta có thể áp dụng quá trình phân tích virus trên các file tải về, các bộ lọc động dựa trên từ khóa, file mở rộng và chính sách file MIME. Bên cạnh đó, người dùng cũng có thể tự định nghĩa blacklist, whitelist, chặn những địa chỉ không rõ ràng, tải dữ liệu URL hoặc các chuyên mục khác.

Khi đã xác nhận, những chính sách khác nhau có thể được áp dụng đối với những nhóm đối tượng khi sử dụng Transparent Proxy, tới các đối tượng trong hệ thống mạng. Bên cạnh đó, bạn cũng có thể áp dụng chính sách mặc định Always allow or Always deny cho mỗi nhóm hoặc đối tượng:

Logs và cảnh báo

Việc sử dụng module Logs được dùng để truy vấn và xoay quanh tất cả file log của dịch vụ trong hệ thống. Mẫu truy vấn duy nhất có sẵn để lọc và “hiểu” tất cả các sự kiện ghi lại trong file log mà không cần biết về định dạng của nó.

Việc thống nhất các bản ghi chỉ ra thông tin về 1 khoảng thời gian cho phép xem cặn kẽ các thao tác của dịch vụ:

Những bản ghi này cho phép người dùng tạo ra các sự kiện, đồng thời cảnh báo về tình trạng hoạt động của hệ thống server đến người quản trị.

eBox Platform là ứng dụng mã nguồn mở thay thế cho Windows Small Business Server. Bên cạnh đó, eBox Technologies là công ty tài trợ cho sự phát triển của dự án eBox Platform dưới dạng cấp phép GPL2, được trang bị để đáp ứng nhu cầu của các doanh nghiệp, tổ chức với quy mô vừa và nhỏ, bằng tính tiện dụng, bộ công cụ quản lý hiệu quả và chi phí phải chăng. eBox Technologies là 1 nhánh của công ty chủ quản, cung cấp đến cho tất cả các đối tác, khách hàng của eBox, dịch vụ IT, nhà cung cấp giải pháp toàn diện những dịch vụ cơ bản của eBox, đồng thời hỗ trợ kỹ thuật và đạo tạo kỹ năng.

Chúc các bạn thành công!

Thứ Hai, 14/06/2010 14:31
31 👨 2.961
0 Bình luận
Sắp xếp theo