Ng firewall установка и настройка
Встроенные функционал
Стандартный набор любого SOHO+ маршрутизатора. Управление интерфейсами, порт форвардинг, NAT, правила для фильтрации трафика, статические маршруты, DNS сервер, DHCP сервер с поддержкой импорта, экспорта, а так же настройки передаваемых параметров, целую пачку параметров для продвинутой конфигурации.
Так же оттдельно стоит отметить — центральную панель управления на сайте Untangle, откуда можно рулить всеми своими подключенными туда апплаенсами.
Весь встроенный функционал — бесплатен.
Intrusion Prevention
Блокирует сканирования, атаки и подозрительный трафик
Untangle NG Firewall — Аппаратные требования
Captive Portal
Модуль для перехвата попытки доступа пользователя к интернет страничкам, чтобы заставить его произвести каки-нибудь действия. Авторизоваться или например принять пользовательское соглашение (показать рекламу :) )aptive Portal
Переименовываем Port group VM Network в LAN
В этом же окне, выбираем группу VM Network, жмём Edit Settings и изменяем название VM Network на LAN. В итоге у нас должно получиться следующее:
Результат настройки групп портов ESXi
Установка на своё оборудование
Выводы
Что мы имеем в итоге? Во-первых Очень хороший роутер класса SOHO+ (моя субъективная оценка). Во-вторых полный и бесплатный базовый функционал. В-третьих бесплатные расширения. В-четвёртых платные расширения большая часть из которых имеет бесплатный аналог. 3 самых важных для конкретно этого роутера функции являются платными, 5 баксов в месяц каждая итого 15. Без этих функций будет очень проблематично организовать сеть большого предприятия. Маленькому офису на 5-10 компов и 2 принтера, эти функции не нужны. Готовность к разворачиванию в виде виртмашины, хоть на VDS, вотпрямщас. При всём вышеописанном, оцениваю этот дистрибутив как лучшее решение с которого стоит начинать разворачивать корпоративную сеть малого офиса.
Задавайте свои вопросы и пишите в комментариях на какую тему вы бы хотели видеть статьи :)
Преподаю и разрабатываю лекции в Нетологии. Записывайтесь на обучение по моей ссылке .
Чтобы получить скидку 10% используйте промодкод:
ADMINGUIDE
Скидка суммируется со всеми действующими на Нетологии акциями
Untangle NG Firewall — это корпоративный шлюз, с помощью которого вы можете организовать выход в интернет без каких-либо сложностей и большого багажа знаний за спиной. Не смотря на то что у него очень богатый функционал, его установка и настройка — крайне просты и не требуют излишних плясок с бубном. На рынке есть очень много аналогичного софта. ОЧЕНЬ МНОГО. Kerio Control, IPFire, ClearOS, Zentyal. Все имеют свои плюсы и свои минусы. Сегодня мы рассмотрим функционал Untangle NG Firewall и его готовность обеспечить функционирование локальной сети малого бизнеса при минимизации затрат на лицензирование.
Intrusion Prevention
Блокирует сканирования, атаки и подозрительный трафик
Application Control Lite
Лайтовая версия модуля блокировки трафика приложений
Бесплатный программный функционал из коробки
Если воспользоваться мастером, то он установит изначальный пакет приложений. Выглядит он вот так:риложения из коробки
Свежие записи
Аппаратная совместимость Untangle NG Firewall
Устанавливая Untangle NG Firewall на своё оборудование, необходимо уточнить поддерживается ли оно шлюзом. В общем и целом, если на ваше оборудование спокойно устанавливаются и работают последние версии OS Linux, Untangle сможет работать так же спокойно. Чтобы убедиться окончательно - установите шлюз и если он запустится - значит всё оборудование поддерживается.
Так же не рекомендуется использовать USB сетевые карты.
Рубрики
Первичная настройка Untangle NG Firewall
Нажав Continue на предидущем экране, попадаем на стартовый экран и жмём Run Setup Wizard. Когда вылезет EULA, принимаем (выбора то у нас нету)
Задаём пароль администратора
Задаём пароль администратора
Убеждаемся что интерфейсы которые определил Untangle соответствуют целевым порт группам.
Проверяем соответствие интерфейсов и групп портов
Настраиваем WAN интерфейс. В моём случае инторнеты раздаёт свитч управляющей компании. Потому адрес я получаю от их роутера по DHCP.
Настраиваем параметры WAN интерфейса
Настраиваем LAN интерфейс
Работать Untangle будет в режиме роутера. Его локальным адресом будет 192.168.1.1, DHCP сервер на данном этапе включён и пригодится в процессе развёртывания инфраструктуры.
Настраиваем параметры LAN интерфейса
Относительно автообновлений, это вопрос больше религиозный нежели функциональный, кто-то любит сам жать на кнопку, прочитав всю информацию об апдейте, кому-то лишь бы оно само что-то делало и не отвлекало от интересных дел. Я оставлю автообновления включенными. Относительно центральной панели управления — имхо очень удобная штука снимающая немного геморроя в обслуживании. Тоже оставлю включёнными.
Автообоновления и центральная панель управления
Собственно после нажатия кнопки Finish можно считать что установка Untangle NG Firewall закончена. Останется только ввести логин и пароль от учётки Untangle, если нужно добавить фаерволл в центральную панель управления. Теперь у нас есть роутер, развёрнутый в виртуальной среде раздающий интернет, адреса по DHCP, а так же обслуживающий DNS запросы.
Подписывайтесь на рассылку, или следите за новыми статьями в блоге Яндекс Дзен
Ad Blocker
Шерстит доступный вебтрафик и выпиливает из него рекламу и треккинги
Дополнительный бесплатный программный функционал
Среди приложений которые можно установить дополнительно, есть как платные, так и бесплатные, про которые я напишу ниже.
Virus Blocker Lite
Лайтовая версия имеющегося в приложениях антивируса
Аппаратные требования
Добавляем Port group – WAN
Переходим в Networking > Port groups > Add port group. Называем группу WAN и выбираем свитч vSwitch3
Untangle NG Firewall - это корпоративный шлюз, с помощью которого вы можете организовать выход в интернет без каких-либо сложностей и большого багажа знаний за спиной. Не смотря на то что у него очень богатый функционал, его установка и настройка - крайне просты и не требуют излишних плясок с бубном. На рынке есть очень много аналогичного софта. ОЧЕНЬ МНОГО. Kerio Control, IPFire, ClearOS, Zentyal. Все имеют свои плюсы и свои минусы. Сегодня мы рассмотрим функционал Untangle NG Firewall и его готовность обеспечить функционирование локальной сети малого бизнеса при минимизации затрат на лицензирование.
Reports
Сто тыщ миллионов всевозможных метрик и отчётов связанных с работой Untangle и пользователей
Firewall
Помечает и блокирует трафик основываясь на правилаходуль Firewall
Untangle NG Firewall - Аппаратные требования
Свежие записи
Установка на своё оборудование
Ad Blocker
Шерстит доступный вебтрафик и выпиливает из него рекламу и треккинги
Application Control Lite
Лайтовая версия модуля блокировки трафика приложений
Встроенные функционал
Стандартный набор любого SOHO+ маршрутизатора. Управление интерфейсами, порт форвардинг, NAT, правила для фильтрации трафика, статические маршруты, DNS сервер, DHCP сервер с поддержкой импорта, экспорта, а так же настройки передаваемых параметров, целую пачку параметров для продвинутой конфигурации.
Так же оттдельно стоит отметить - центральную панель управления на сайте Untangle, откуда можно рулить всеми своими подключенными туда апплаенсами.
Весь встроенный функционал - бесплатен.
Рубрики
Аппаратная совместимость Untangle NG Firewall
Устанавливая Untangle NG Firewall на своё оборудование, необходимо уточнить поддерживается ли оно шлюзом. В общем и целом, если на ваше оборудование спокойно устанавливаются и работают последние версии OS Linux, Untangle сможет работать так же спокойно. Чтобы убедиться окончательно — установите шлюз и если он запустится — значит всё оборудование поддерживается.
Так же не рекомендуется использовать USB сетевые карты.
Архивы
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 |
Настройка гипервизора
Так как мы устанавливаем Untangle NG Firewall на только что установленный гипервизор, где из всех настроек был создан лишь доп раздел на USB флешке. То нам сначала необходимо настроить дополнительный интерфейс, который будет обслуживать локальную сеть.
Авторизуемся в веб интерфейсе
Переходим в Networking > Virtual Switches и нажимаем Add standard virtual switch
Добавление второго vSwitch
У меня в данном сервере 4 гигабитных сетевых интерфейса. При установке, vmnic0 гипервизор использовал для организации работы vSwitch0 и всего гипервизора в целом, этим интерфейсом мы займёмся потом. Из незадействованных интерфейсов остались vmnic1, vmnic2 и vmnic3. Для организации доступа в интернет я буду использовать vmnic3 и назову его vSwitch3.
Добавление vSwitch3 для WAN
Далее нужно заранее предположить будет ли у нас резервный канал интернета и если будет то точно ли это будет один канал. Я предполагаю в далёком будущем наличие второго аплинка, потому vmnic2 мы трогать не будем.
Из имеющихся в наличии и ещё никак не использованных интерфейсов остаётся vmnic1. Тут стоит подумать чего вы хотите добиться в итоге. Ничего не мешает оставить всё как есть, и просто vmnic0 на котором сейчас работает гипервизор не трогать и использовать этот интерфейс для выхода в сеть. Или можно например для выхода в сеть использовать vmnic1, создав на нём отдельный интерфейс LAN, а vmnic0 сделать как «административный» интерфейс. Поднять на нём отдельный фаерволл и использовать его исключительно для сисадминского доступа или нужд. В любом случае вы ограничиваетесь только фантазией. Никто не запрещает например поднять внутри сервера какой-либо NAS и выделить отдельный гигабитный порт для нужд этого нас. Мы же в свою очередь ограничимся двумя интерфейсами WAN на vmnic3 и LAN на vmnic0.
Spam Blocker Lite
Лайтовая версия опять таки имеющегося в наличии анти-спама
Платный функционал
К платному функционалу к несчастью относятся такие пакеты как Directory Connector, для того чтобы интегрировать систему с какой-либо централизованной системой авторизации типа RADIUS или AD. Так же к платным относятся модули для балансировки и фейловера WAN. Насколько этот функционал нужен — судить вам, вполне возможно что какой-то ситуации люди ограничиваются вообще домашним роутером :).
Относительно же цен платного функционала, с этого места начинается история в стиле «я бы не купил даже если бы у меня были деньги». Потому что если говорить про бесплатный функционал, то всё хорошо и просто песня (лично мне хватает за глаза). То по поводу платного функционала — это просто АДИЩЩЕ. Пилюлю не подсластит даже гибкая тарификация, различные пакеты лицензирования и всё вот это вот. Цены Untangle банально не рассчитаны на менталитет отсталых стран. Потому имеем, Directory Connector на сеть размером до 25 устройств, встанет в 54 бакса в год (5 баксов в месяц).
Аналогично будет с модулем балансировки WAN или модулем фейловера WAN, по 5 баксов в месяц каждый или по 54 в год. В итоге, на выходе, за 3 самых необходимых для хорошей жизни функции, мы имеем 15 баксов в месяц или же 162 бакса в год для сети размером ДО 25 устройтсв.
Под устройством подразумевается уникальный IP адрес трафик от которого идёт через Untangle NG Firewall в инторнет или обратно. Опять же за 162 бакса в год, уже в первый год можно купить какой-нибудь неплохой Mikrotik с чуть большим встроенным функционалом, но совсем без плюшечек типа бесплатных антивирусов и прочего. Ну и опять же, в определённых ситуациях, 15 баксов в месяц может оказаться приемлемой ценой. В общем как-то так 🙂
Свежие комментарии
- Belfigor к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- PrToy к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- Belfigor к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- Belfigor к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- Олег к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
Выводы
Что мы имеем в итоге? Во-первых Очень хороший роутер класса SOHO+ (моя субъективная оценка). Во-вторых полный и бесплатный базовый функционал. В-третьих бесплатные расширения. В-четвёртых платные расширения большая часть из которых имеет бесплатный аналог. 3 самых важных для конкретно этого роутера функции являются платными, 5 баксов в месяц каждая итого 15. Без этих функций будет очень проблематично организовать сеть большого предприятия. Маленькому офису на 5-10 компов и 2 принтера, эти функции не нужны. Готовность к разворачиванию в виде виртмашины, хоть на VDS, вотпрямщас. При всём вышеописанном, оцениваю этот дистрибутив как лучшее решение с которого стоит начинать разворачивать корпоративную сеть малого офиса.
Преподаю и разрабатываю лекции в Нетологии. Записывайтесь на обучение по моей ссылке .
Чтобы получить скидку 10% используйте промодкод:
ADMINGUIDE
Скидка суммируется со всеми действующими на Нетологии акциями
Установка Untangle NG Firewall — один из вариантов развития событий при разворачивании инфраструктуры с нуля в том случае, когда на гипервизоре мы так же хотим поднять и межсетевой экран. Межсетевые экраны могут быть разные. Установка Untangle NG Firewall выбрана в связи с устраивающей для малого предприятия функциональностью, её бесплатностью, а так же готовностью к развёртке в виртуальной среде. Для того чтобы развернуть корпоративный фаерволл, минимум нам необходимо иметь на гипервизоре два сетевых интерфейса. В один интерфейс у нас будет входить аплинк от провайдера, на другом интерфейсе будет поднята локальная сеть, а физически мы подключем его по гигабитному (и более) каналу к свитчу, который свяжет гипервизор с остальной сетью фирмы. Итак, приступим 🙂
Платный функционал
К платному функционалу к несчастью относятся такие пакеты как Directory Connector, для того чтобы интегрировать систему с какой-либо централизованной системой авторизации типа RADIUS или AD. Так же к платным относятся модули для балансировки и фейловера WAN. Насколько этот функционал нужен – судить вам, вполне возможно что какой-то ситуации люди ограничиваются вообще домашним роутером :).
Относительно же цен платного функционала, с этого места начинается история в стиле “я бы не купил даже если бы у меня были деньги”. Потому что если говорить про бесплатный функционал, то всё хорошо и просто песня (лично мне хватает за глаза). То по поводу платного функционала – это просто АДИЩЩЕ. Пилюлю не подсластит даже гибкая тарификация, различные пакеты лицензирования и всё вот это вот. Цены Untangle банально не рассчитаны на менталитет отсталых стран. Потому имеем, Directory Connector на сеть размером до 25 устройств, встанет в 54 бакса в год (5 баксов в месяц).
Аналогично будет с модулем балансировки WAN или модулем фейловера WAN, по 5 баксов в месяц каждый или по 54 в год. В итоге, на выходе, за 3 самых необходимых для хорошей жизни функции, мы имеем 15 баксов в месяц или же 162 бакса в год для сети размером ДО 25 устройтсв.
Под устройством подразумевается уникальный IP адрес трафик от которого идёт через Untangle NG Firewall в инторнет или обратно. Опять же за 162 бакса в год, уже в первый год можно купить какой-нибудь неплохой Mikrotik с чуть большим встроенным функционалом, но совсем без плюшечек типа бесплатных антивирусов и прочего. Ну и опять же, в определённых ситуациях, 15 баксов в месяц может оказаться приемлемой ценой. В общем как-то так :)
Virus Blocker Lite
Лайтовая версия имеющегося в приложениях антивируса
Phish Blocker
Блокировщик фишинговых рассылок
Аппаратные требования
Устройства | Процессор | RAM (GB) | HDD (GB) | Сетевые интерфейсы | Примечания |
1-50 | Atom / Pentium4 или выше | 2 | 80 | 2 или более | — |
51-150 | Два ядра | 2 и более | 160 | 2 или более | — |
151-500 | Два ядра и более | 2 и более | 500 и более | 2 или более | — |
501-1500 | 4 ядра | 4 и более | 500 и более | 2 или более | 64-bit |
1501-5000 | 4 ядра и более | 4 и более | 500 и более | 2 или более | 64-bit |
Установка Untangle NG Firewall и первичная настройка на ESXi 7
Установка Untangle NG Firewall — один из вариантов развития событий при разворачивании инфраструктуры с…
Spam Blocker Lite
Лайтовая версия опять таки имеющегося в наличии анти-спама
Требования к установке
- Untangle должен быть установлен на выделенный сервер с двумя и более сетевыми картами
- При установке Untangle полностью удалит все данные на диске куда ставится
Требования к установке
- Untangle должен быть установлен на выделенный сервер с двумя и более сетевыми картами
- При установке Untangle полностью удалит все данные на диске куда ставится
Дополнительный бесплатный программный функционал
Среди приложений которые можно установить дополнительно, есть как платные, так и бесплатные, про которые я напишу ниже.
Свежие комментарии
- Belfigor к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- PrToy к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- Belfigor к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- Belfigor к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
- Олег к записи Контроллер домена Ubuntu 20.04 — Ubuntu 20.04 AD-DC
Бесплатный программный функционал из коробки
Если воспользоваться мастером, то он установит изначальный пакет приложений. Выглядит он вот так:
Приложения из коробки
TunnelVPN
Для организации туннелей между сетями.
OpenVPN
Для подключения пользователей к сети
TunnelVPN
Для организации туннелей между сетями.
Установка Untangle — Создаём виртмашину с Untangle NG Firewall
Создавать будем виртмашину со следующими параметрами:
- RAM: 2GB
- vCPU: 2
- HDD: 16GB
- Guest OS family: Linux
- Guest OS version: Debian 10
- В CDROM примонтирован образ untangle-15.1.0-amd64.iso залитый на датастор на флешке
Создаём виртуальную машину Untangle NG Firewall на ESXi 7
Установка Untangle
- Select a language: English
- Select your location: other > Europe > Russian Federation
- Configure locales: Unated States
- Keymap to use: American English
- Ожидаем пока всё загрузится
- Configure the clock: Выбираем свой часовой пояс
- Partition disks > Write the changes to disks: Yes
- Нажимаем Continue и ждём
- По окончанию установки так же жмём Continue и грузимся в интерфейс шлюза (прямо в окне гипервизор)
Приступаем к первичной настройке Untangle NG Firewall
Архивы
Установка Untangle NG Firewall – один из вариантов развития событий при разворачивании инфраструктуры с нуля в том случае, когда на гипервизоре мы так же хотим поднять и межсетевой экран. Межсетевые экраны могут быть разные. Установка Untangle NG Firewall выбрана в связи с устраивающей для малого предприятия функциональностью, её бесплатностью, а так же готовностью к развёртке в виртуальной среде. Для того чтобы развернуть корпоративный фаерволл, минимум нам необходимо иметь на гипервизоре два сетевых интерфейса. В один интерфейс у нас будет входить аплинк от провайдера, на другом интерфейсе будет поднята локальная сеть, а физически мы подключем его по гигабитному (и более) каналу к свитчу, который свяжет гипервизор с остальной сетью фирмы. Итак, приступим :)
OpenVPN
Для подключения пользователей к сети
Корпоративный шлюз. Untangle NG Firewall
Untangle NG Firewall — это корпоративный шлюз, с помощью которого вы можете организовать выход…
Пн | Вт | Ср | Чт | Пт | Сб | Вс |
---|---|---|---|---|---|---|
1 | ||||||
2 | 3 | 4 | 5 | 6 | 7 | 8 |
9 | 10 | 11 | 12 | 13 | 14 | 15 |
16 | 17 | 18 | 19 | 20 | 21 | 22 |
23 | 24 | 25 | 26 | 27 | 28 | 29 |
30 | 31 |
Firewall
Помечает и блокирует трафик основываясь на правилах
Reports
Сто тыщ миллионов всевозможных метрик и отчётов связанных с работой Untangle и пользователей
Phish Blocker
Блокировщик фишинговых рассылок
Настройка гипервизора
Так как мы устанавливаем Untangle NG Firewall на только что установленный гипервизор, где из всех настроек был создан лишь доп раздел на USB флешке . То нам сначала необходимо настроить дополнительный интерфейс, который будет обслуживать локальную сеть.
Авторизуемся в веб интерфейсе
Переходим в Networking > Virtual Switches и нажимаем Add standard virtual switch
У меня в данном сервере 4 гигабитных сетевых интерфейса. При установке, vmnic0 гипервизор использовал для организации работы vSwitch0 и всего гипервизора в целом, этим интерфейсом мы займёмся потом. Из незадействованных интерфейсов остались vmnic1 , vmnic2 и vmnic3 . Для организации доступа в интернет я буду использовать vmnic3 и назову его vSwitch3 .
Далее нужно заранее предположить будет ли у нас резервный канал интернета и если будет то точно ли это будет один канал. Я предполагаю в далёком будущем наличие второго аплинка, потому vmnic2 мы трогать не будем.
Из имеющихся в наличии и ещё никак не использованных интерфейсов остаётся vmnic1 . Тут стоит подумать чего вы хотите добиться в итоге. Ничего не мешает оставить всё как есть, и просто vmnic0 на котором сейчас работает гипервизор не трогать и использовать этот интерфейс для выхода в сеть. Или можно например для выхода в сеть использовать vmnic1, создав на нём отдельный интерфейс LAN, а vmnic0 сделать как “административный” интерфейс. Поднять на нём отдельный фаерволл и использовать его исключительно для сисадминского доступа или нужд. В любом случае вы ограничиваетесь только фантазией. Никто не запрещает например поднять внутри сервера какой-либо NAS и выделить отдельный гигабитный порт для нужд этого нас. Мы же в свою очередь ограничимся двумя интерфейсами WAN на vmnic3 и LAN на vmnic0. Конкретно в моём случае я ещё позже создам на интерфейсе vmnic1 - vSwitch1 и назову портгруппу созданную на нём LAN - Testing Grounds .
Captive Portal
Модуль для перехвата попытки доступа пользователя к интернет страничкам, чтобы заставить его произвести каки-нибудь действия. Авторизоваться или например принять пользовательское соглашение (показать рекламу 🙂 )
Добавляем Port group — WAN
Переходим в Networking > Port groups > Add port group. Называем группу WAN и выбираем свитч vSwitch3
Добавление Port Group — WAN
Читайте также: