Установка і настройка шлюзу Ideco ICS сертифікованого ФСТЕК
Почнемо з того, що розглянемо склад поставки.
1. верифікувати інсталяційний комплект. Складається з двох дисків на одному документація, другий інсталяційний.
2. Абонемент для доступу до Центру сертифікованих оновлень. У ньому вказується логін для доступу до ресурсу, номера і інша муть.
3. Формуляр на виріб. Типу паспорта до телевізора в старі добрі радянські часи.
4. Спеціальний захисний знак Системи сертифікації засобів захисту інформації. У вигляді переливається наклейки 12х12 мм, вклеєна в формуляр.
5. Копія сертифіката відповідності.
6. Керівництво по отриманню оновлень через інтернет.
7. USB-ключ eToken. У сховищі eToken'а вже сидить власний сертифікат. Потрібен для доступу до ресурсу з оновленнями.
8. Ну і власне сама ліцензія на право використовувати ПЗ.
В руках маємо все що замовляли, приступимо до встановлення. Вставляємо диск, йдемо в біос, ставимо все як годиться, тиснемо F10, "yes". На моніторі з'являються написи англійською, пропонують вибрати (точніше буде сказати - написати, так як вибір не передбачений, доводиться писати самому) "setup" або "memtest". Пишемо звичайно ж "setup", enter і понеслося. Встало все як треба, без залучення бубнів. Сам процес описувати не має сенсу, так як він простий і інтуетівно зрозумілий.
Перезавантажуємо, вводимо встановлений пароль "servicemode", починаємо налаштовувати.
Локальний інтерфейс IP 192.168.0.1 mask 255.255.255.0
Зовнішній інтерфейс IP 192.168.1.2 mask 255.255.255.0 GW 192.168.1.1
Як GW варто роутер, підключений до провайдера. Наявність роутера в мережі не обговорюється в даній статті, так як не має принципового значення.
Створюємо першого користувача, дозволяємо йому NAT (Примітка. Перед цим при первинній настройці ми вже включили NAT на шлюзі), йдемо в firewall відключаємо там все, робимо ребут. Намагаємося з клієнта ping ya.ru, і знову бубон. За новою дивимося "NAT - включений, користувачеві NAT дозволений, firewall - порожній". Для впевненості заходимо локально в інтерфейс управління Ideco, вводимо iptables -L, О. скільки тут всього смачного і приховано від адміністратора Ideco. Включивши трохи логіку йдемо в firewall, і робимо такі записи:
Source: 192.168.0.0 mask: 255.255.255.0
Destination: 0.0.0.0 mask: 0.0.0.0
Протокол: ALL Шлях: FORWARD Дія: Дозволити
і
Source: 0.0.0.0 mask: 0.0.0.0
Destination: 192.168.0.0 mask: 255.255.255.0
Протокол: ALL Шлях: FORWARD Дія: Дозволити
Перезапускаємо firewall, все тепер клієнт має доступ назовні використовуючи NAT.
Зауваження до розробників: виділяйте дані моменти в своїх інструкціях жирним шрифтом, і бажано ще з таким знаком "!". Прочитавши "Приступаючи до роботи" від Ideco, ніде не знайшов, що за замовчуванням у версії Ideco ICS сертифікованого ФСТЕК діє політика "Заборонено все, що не дозволено"
Включаємо Squid, використовуючи майстер налаштування. Ставимо галочку "дозволити прозоре кешування", робимо повний ребут (як доктор прописав). І знову бубон (клієнт залишився без інтернету). При цьому NAT працює, ICMP ходить без проблем, а от порт: 80 пішов (в нікуди). В принципі так і повинно бути, за винятком того що squid повинен був з'їсти все що йде по 80 порту. Йдемо в логи squid, а там тиша. Налаштовуємо squid на прослуховування локального інтерфейсу по порту 3128 (в веб-інтерфейсі галочка "дозволити пряме підключення до проксі"). Налаштовуємо клієнта на роботу через проксі, і знову диво, інтернет з'явився (squid гуже аки бджола), логи пишуться, статистика працює.
З цього моменту пішов процес спілкування з [email protected]. Про результати обов'язково буде продовження, з картинками!
Отже, продовжуємо. Саппорт Ideco особливо не допоміг. Граблі на які наступили, знайшов сам. І ось граблі:
При початковій настройці, автоматом заповнив і інтерфейси. А прозорий Squid живе на 169.254.254.254, ось Ideco його і різав. З цього приводу офіційну відповідь саппорта Ideco, після того коли їм повідомили що самі розібралися,
Ці поля заповнюються тільки в крайніх випадках, якщо б була необхідність ми б вам повідомили.
Спеціально для Ideco