Endian PDF

Guia de Administrao
Diego Gagliardo
Raphael Lechner
Marco Sondermann
Raphael Vallazza
Peter Warasin
Christian Graffer
Copyright 2002, 2003, 2004, 2005, 2006 Chris Clancey, Harry Goldschmitt, John Srl Kastner, Eric Oberlander, Peter Walker, Marco
Sondermann, Endian
dada permisso para copiar, distribuir e / ou modificar este documento sob os termos da GNU Free Documentation License, Version
1,2 ou qualquer verso posterior publicada pela Free Software Foundation; com sem Sees Invariantes, sem Textos de Capa
Frontal, e sem Back-Cover Textos. Uma cpia da licena includa na seo intitulada Apndice A, GNU Free Documentation License.
2006-05-24
Histrico da Reviso
Reviso 1.1rc7 2005-10-09
DocBook Edition
Reviso 2.0 2006-05-24
DocBook Edition
Reviso 2.1 2006-11-17
DocBook Edition
Abstract
A documentao completa para o Administrador de uma Endian Firewall.
Tabela de Contedos
Prefcio
Direitos e Disclaimers
Convenes utilizadas neste livro
Convenes tipogrficas
cones
Organizao do livro
Este livro gratuito
Agradecimentos
1. Introduo
O que o Endian Firewall?
Recursos
2. Sistema de pginas Web
Introduo
Home Administrativo Window
Configurao de Rede
Escolha o tipo de interface RED
Escolha zonas de rede
Preferncias Rede
Preferncias Acesso Internet
RED tipo: NENHUM
Tipo VERMELHO: ADSL
Tipo VERMELHO: RDIS
Tipo RED: Ethernet STATIC
Tipo RED: Ethernet DHCP
Tipo VERMELHO: PPPoE
Configure o DNS resolver
Configurao Aplicar
PT registo
Senhas
Acesso SSH
SSH Opes
Host SSH Keys
GUI Definies
Backup Site
Sua lista de Backup
Criar um novo arquivo de backup
Criptografar arquivos de backup
Exporte arquivos de backup
Importar arquivos de backup
Restaurar um Backup
Agendar backups
Repor a configurao de fbrica padro
Desligamento ou reiniciar Endian Firewall
Endian Firewall Guia de administradores file:///C:/Users/Marcelo/Desktop/tutorial%20endian/efw-admin-guide.html
1 de 151 05/03/2010 00:40
3. Status Menu
Introduo
System Status
Servios
Memria
Disk Usage
Uptime e Usurios
Mdulos carregados
Verso do Kernel
Network Status
Interfaces
RED configurao DHCP
Dinmica atual Locaes
Routing Table Entries
Tabela ARP Entries
Sistema de Grficos
Traffic Graphs
Proxy Grficos
Conexes
SMTP Mail Estatsticas
Mail Queue
Regras do IPTables
4. Menu Rede
Introduo
Host Configuration (Editar Hosts)
Alias
5. Menu Servios
Introduo
DHCP Administrativa Web Page
Parmetros do servidor DHCP
Adicionar uma nova locao fixa
Current locaes fixa
Locaes atual dinmica
As mensagens de erro
DNS dinmico Administrativa Web Page
Adicionar um host
Hosts atual
Forando uma atualizao manual
ClamAV Antivirus
Time Server Administrao Web Page
Traffic Shaping Administrativa Web Page
Intrusion Detection System Administrativa Web Page
Linesrv (removido na verso 2.1)
Servidor
Clientes
XLC
WLC2
Hotspot
6. Firewall Menu
Introduo
Firewall
Port Forwarding Administrativa Web Page
Port Forwarding Viso
Port Forwarding e Acesso Externo
Acesso Externo Administrativa Web Page
Zona Pinholes Administrativa Web Page
Outgoing Firewall Administrativa Web Page
Globalmente DENY trfego de sada para configurar o RED e explicitamente regras de sada
Globalmente o trfego de sada para PERMITEM RED
7. Proxy
Introduo
HTTP Proxy
Lista de Recursos
Web de configurao do proxy
Definies comuns
Proxy upstream
Definies do registo
Gesto Cache
Rede de controle de acesso baseado
Restries temporais
Limites de transferncia
MIME tipo de filtro
Web browser
A configurao da autenticao
Filtro de contedos
Filtro de contedo (Dansguardian)
Bloco de pginas que contm frases no permitido
Pginas Bloco Sabe-se que o contedo das seguintes Categorias
Custom preto e brancas
HTTP Antivirus
Mx. tamanho de digitalizao de contedo
ltima Atualizao
No verificar os seguintes URLs
Garantir o uso do proxy
Web Proxy modos de operao padro
Lado do cliente Web Proxy configurao
2 de 151 05/03/2010 00:40
Requisitos para o uso obrigatrio de proxy
POP3
Configuraes globais
Configurao Spamfilter
SIP
FTP
SMTP
Configuraes Gerais
Antivirus
AntiSpam
Configuraes Gerais
Greylisting
Banned Extenso de arquivo
Blacklists / Whitelists
Real-time listas negras de spam (RBL)
Custom preto / brancas
Domnios
BCC
Configuraes avanadas
O smarthost
IMAP Server para autenticao SMTP
8. VPN Menu
Introduo
Virtual Private Networks (VPNs)
Net-a-Net (Gateway-to-Gateway)
Host-to-Net (Roadwarrior)
OpenVPN
OpenVPN Web Interface
OpenVPN Server
Openvpn cliente Net2Net
Net-a-NET Step by Step de conexo (entre 2 ou mais Endian Firewalls)
Configurao de um cliente OpenVPN no RoadWarrior lado
IPSec
Mtodos de Autenticao
Chave Pr-compartilhada
Certificados X.509
Global Settings
Status da Conexo e Controle
Autoridades de certificao
Gerar Raiz / Host Certificados
Carregar um certificado da CA
Reset de configurao
Adicionar uma nova conexo
Tipo de conexo
Autenticao
9. Histricos
Introduo
Configuraes do Log de Administrao Web Page
Entrar Pgina de Apresentao
Proxy logs das pginas
Firewall logs das pginas
Intrusion Detection System Log Page
Filtro de Contedo logs das pginas
OpenVPN logs das pginas
System Log Page
Page Log SMTP
Clamav Entrar Page
SIProxy pgina de log
Proxy Relatrio de Anlise
10. Hotspot
Introduo
Hotspot
Contas
Como adicionar uma nova conta ou editar um existente
Saldo de
Conexes de usurio
Ticket Rates
Adicionar ou editar uma taxa de bilhete
Estatsticas
Active Connections
Entrar Connection
Definies
Dialin
Senha
Editor de modelo
Modelo de impresso
Sites permitidos
Cliente ligar para Endian Hotspot
Fazer logon
Casa login convidados
Login Successful
A. GNU Free Documentation License
PREMBULO
APLICABILIDADE E DEFINIES
VERBATIM COPYING
3 de 151 05/03/2010 00:40
COPIANDO EM QUANTIDADE
MODIFICAES
COMBINANDO DOCUMENTOS
COLEES DE DOCUMENTOS
AGREGAO COM TRABALHOS INDEPENDENTES
TRADUO
RESCISO
REVISES FUTURAS DESTA LICENA
ADENDO: Como usar esta Licena para seus documentos
Lista de Figuras
2.1. Sistema de menu selecionado
2.2. Incio
2.3. Exibe o status Endian Support Network
2.4. Estado online
2.5. Rede etapa do assistente 1: Escolha o tipo de interface RED
2.6. Assistente de rede mostrando Passo 2: Escolha zonas de rede
2.7. Assistente de rede mostrando Passo 3: preferncias Rede
2.8. Assistente de rede mostrando Passo 4: Acesso Internet Preferences para NENHUM tipo RED
2.9. Assistente de rede mostrando Etapa 4, com vermelho tipo ADSL, Substep 1: Seleo do modem
2.10. Assistente de rede mostrando Etapa 4 com RED tipo ADSL: Substep 2: Escolha o tipo de conexo ADSL
2.11. Assistente de rede mostrando o passo 4 com o tipo RED ADSL: Subpasso 3: fornecimento de informaes de conexo
(PPPoE)
(RFC1483 esttico ip)
(RFC1483 DHCP)
2.14. Assistente de rede mostrando o passo 4 do tipo ISDN VERMELHO: Internet Preferncias de Acesso
2.15. Assistente de rede mostrando o passo 4 com o tipo RED ETHERNET ESTTICA: Acesso Internet Preferences
2.16. Assistente de rede mostrando o passo 4 com RED tipo Ethernet DHCP: Acesso Internet Preferences
2.17. Assistente de rede mostrando o passo 4 com o tipo PPPoE VERMELHO: Internet Preferncias de Acesso
2.18. Assistente de rede mostrando o passo 5: Resolver configurar o DNS
2.19. Assistente de rede mostrando Passo 6: Aplicar configurao
2.20. Unregistered Endian Firewall
2.21. Registado Endian Firewall
2.22. Senha dilogo mudana
2.23. SSH pgina de acesso
2.24. Ajustes GUI
2.25. Backup de arquivos
2.26. Criar novo backup
2.27. Criptografar Backups
2.28. Importar Backup
2.29. Restaurar Backup
2.30. Agende backups
2.31. O padro de fbrica
2.32. Shutdown / pgina Reboot
3.1. Status menu selecionado
3.2. Page, que exibe os servios de funcionamento real
3.3. Page, que exibe o uso de memria atual
3.4. Page, que exibe o uso do disco atual
3.5. Page, que exibe o tempo de atividade e registrada no corrente Usurios
3.6. Page, que exibe o atual mdulos do kernel carregados
3.7. Page, que exibe a verso do kernel
3.8. Apresenta interfaces
3.9. Exibe RED actual configurao DHCP
3.10. Exibe a actual dinmica arrendamentos
3.11. Mostra a tabela de roteamento atual
3.12. Mostra a tabela ARP
3.13. Exibio de processador grfico
3.14. Display grfico de uso do disco
3.15. Display grfico de uso de memria
3.16. Mostrar a utilizao de swap atuais
3.17. Exibe o grfico do trfego da interface GREEN
3.18. Exibe o grfico do trfego da interface RED
3.19. Exibe as conexes atuais
3.20. Mail Queue
3.21. Mostra regras do iptables
4.1. Rede do menu selecionado
4.2. Hosts atual
4.3. Adicionar um novo apelido
5.1. Menu Servios selecionados
5.2. Mostra DHCP pgina de administrao
5.3. Adicionar um contrato fixo
5.4. Mostra os contratos em vigor fixa
5.5. Mostra os contratos em vigor dinmico
5.6. Mostra o dilogo que lhe permite criar um novo DynDNS configurao
5.7. Mostra a configurao atual DynDNS configurado
5.8. ClamAV Antivirus
5.9. Mostra o Horrio do servidor web page administrativa
5.10. Mostra traffic shaping configuraes
5.11. Mostra o tipo de servio de configurao
5.12. Intrusion Detection System pgina da Web administrativa
5.13. Linesrv
5.14. XLC Line baixo
5.15. XLC iniciar uma conexo
5.16. XLC principal ligao iniciada
4 de 151 05/03/2010 00:40
5.17. XLC-se manualmente
5.18. WLC desconectado
5.19. Linha WLC at
5.20. WLC conexo estabelecida
5.21. WLC backup manualmente
5.22. Zona de Ativao
6.1. Firewall menu selecionado
6.2. Diagrama de controle de fluxo e sua configurao possibilidades
6.3. Adicionando uma nova configurao portforwarding
6.4. Adiciona uma ACL para uma regra portforwarding
6.5. Atualmente configurado regras portforwarding
6.6. Adicionar uma nova regra de acesso externo
6.7. Mostra regras actualmente configurado
6.8. Adiciona uma nova regra pinhole
6.9. Lista todas as regras configuradas pinhole
6.10. Adiciona uma nova regra de sada
6.11. Lista todas as regras actuais de sada
6.12. Globalmente permitir o trfego de sada
6.13. Globalmente negar o trfego de sada
7.1. Proxy menu selecionado
7.2. Exibe as configuraes de proxy HTTP avanada
7.3. Apresenta avanada HTTP proxy upstream proxy configurao
7.4. Exibe HTTP configuraes avanadas log do proxy
7.5. Exibe HTTP avanadas de gesto de cache do proxy configurao
7.6. Apresenta avanada rede de proxy HTTP com acesso controle
7.7. Exibe tempo de proxy HTTP avanado restries configurao
7.8. Exibe HTTP avanado limite de transferncia de proxy configurao
7.9. Exibe HTTP proxy avanado filtro tipo MIME
7.10. Exibe HTTP avanado filtro de agente de proxy do usurio
7.11. Apresenta avanada de autenticao de proxy HTTP mtodos
7.12. Exibe avanadas de autenticao HTTP proxy global Definies
7.13. Exibe HTTP usurio avanado local proxy autenticao
7.14. Exibe HTTP usurio avanado local proxy autenticao
7.15. Exibe o gerenciador de usurio local para o HTTP avanada proxy
7.16. Exibe a edio de um usurio com o gerente local do usurio HTTP proxy avanado
7.17. Mud-lo de si mesmo, permitindo que o usurio mudar sua senha do proxy HTTP local
7.18. Exibe a pgina de autenticao LDAP HTTP avanada proxy
7.19. Configuraes LDAP comuns de proxy HTTP avanada
7.20. Vincular DN configuraes de autenticao LDAP no HTTP procurador avanado
7.21. Controle de acesso Groupbased de autenticao no LDAP HTTP proxy avanado
7.22. Avanada de autenticao de proxy HTTP contra Windows
7.23. Comum configuraes de domnio de autenticao do Windows em HTTP proxy avanado
7.24. Modo de Autenticao do Windows autenticao HTTP procurador avanado
7.25. Userbased restries de acesso a autenticao do Windows de proxy HTTP avanada
7.26. A autenticao integrada do Windows com HTTP procurador avanado
7.27. Explcita com a autenticao HTTP avanada proxy
7.28. Exibe a configurao de autenticao RADIUS do HTTP procurador avanado
7.29. Exibe comum configuraes do RADIUS proxy HTTP avanada autenticao
7.30. Exibe usurio restries de acesso base de HTTP procurador avanado
7.31. Geral configuation ContentFilter
7.32. Seleo de pginas permitidas frases que podem conter
7.33. Seleo de categorias de listas de URL, que deve ser bloqueados pelo ContentFilter HTTP
7.34. Custom preto e brancas para o HTTP ContentFilter
7.35. HTTP pgina de configurao de antivrus
7.36. Proxy HTTP com deficincia
7.37. Figura que mostra o trfego com a vontade de no ser dirigida atravs do proxy HTTP
7.38. Proxy HTTP activado
7.39. Figura que mostra o trfego com a vontade de no ser dirigida atravs do proxy HTTP
7.40. Figura que mostra o trfego que ser redirecionado atravs do proxy HTTP.
7.41. Proxy HTTP habilitado como proxy transparente
7.42. A figura mostra que o trfego que ser transparente redirecionado atravs do proxy HTTP.
7.43. Mostra POP3 proxy configuraes globais
7.44. Spamfilter configurao do proxy de POP3
7.45. SIP Proxy Settings
7.46. FTP pgina de administrao de proxy
7.47. Configuraes Gerais
7.48. SMTP Antivirus
7.49. SMTP Antispam
7.50. Greylisting
7.51. arquivos proibidos
7.52. Real-time Black List
7.53. whitelists preto /
7.54. Domnios
7.55. BCC
7.56. O smarthost
7.57. IMAP Server para autenticao SMTP
7.58. Configuraes avanadas
8.1. VPN menu selecionado
8.2. Figura de um Net-a-VPN Net
8.3. Figura de um Host-to-VPN Net
8.4. Figura de uma VPN usando OpenVPN como VPN misto que combina um Host-to-Net VPN (o Roadwarrior) e Net-a-VPNs lquido
em um hub-and-spoke topologia
8.5. Global Settings
8.6. Os usurios que tm permisso para se conectar a openvpn
8.7. Adicionar conta
8.8. O status da conexo e de controlo
5 de 151 05/03/2010 00:40
8.9. VPN tnel e controlo
8.10. Adicionar um tnel VPN
8.11. OpenVPN Server
8.12. Os usurios que tm permisso para se conectar a openvpn
8.13. Adicionar um novo usurio
8.14. Lista de usurios permitidos
8.15. Openvpn Server CA Certificado
8.16. Configurar o Office 1 Endian Firewall
8.17. Adicionar Office 0 tnel
8.18. Conectado ao Office 0 tnel
8.19. Connected Office 1 e 2 clientes
8.20. Configuraes de VPN global
8.21. O status da conexo VPN e janela de controle: viso inicial
8.22. Certificado de VPN janela autoridades: viso inicial
8.23. Seleo do tipo de conexo VPN
8.24. VPN Host-to-entrada conexo Net
8.25. VPN Net-a-conexo de rede de entrada
8.26. VPN de entrada de autenticao
9.1. Histricos menu selecionado
9.2. Navegao itens genricos
9.3. Configurao do Log Viewer
9.4. Configurao de resumos de log
9.5. Configurao de log remoto
9.6. Configurao de firewall log
9.7. Mostra o registro resumos
9.8. Exibe o log de firewall
9.9. Exibio de logs do sistema
9.10. Exibe visualizador de registo clamav
9.11. Proxy Relatrio de Anlise
10.1. O Hotspot Endian
10.2. Conta de gesto
10.3. Adicionar uma nova conta
10.4. Saldo de
10.5. Conexes de usurio
10.6. Ticket Rates
10.7. Adicionar ou editar uma taxa de bilhete
10.8. Estatsticas
10.9. Active Connections
10.10. Entrar Connection
10.11. Definies
10.12. Dialin
10.13. Senha
10.14. Editor de modelo
10.15. Impressos modelo
10.16. Sites permitidos
10.17. Endian Hotspot pgina inicial do cliente
10.18. Login Normal
10.19. Entrar para hspedes
10.20. Login Successful
Lista de Exemplos
5.1. Exemplo de uma linha confguration personalizado
7.1. Adicionar este tipo MIME, se voc deseja bloquear o download do PDF arquivos:
7.2. Adicione estes tipos MIME, se voc deseja bloquear o download de MPEG e arquivos de vdeo QuickTime:
7.3. Windows Update Para permitir o acesso ao Windows Update sem autenticao adicionar esses domnios para os
lista:
7.4. Base DN para o Active Directory
7.5. Base DN para eDirectory
7.6. Base DN espaos que contm
7.7. Manual de controle de acesso baseado em listas usando integrado autenticao
7.8. Manual de controle de acesso baseado em listas usando explcito autenticao
7.9. Exemplo cabealhos info spam
7.10. Exemplo cabealhos info spam
7.11. Permitir ou negar um domnio completo
7.12. Permitir ou negar apenas os subdomnios de um domnio
7.13. Permitir ou negar o endereo nico e-mail ou usurio nomes.
7.14. Permitir ou negar um domnio completo
7.15. Permitir ou negar apenas os subdomnios de um domnio
7.16. Permitir ou negar o endereo nico e-mail ou usurio nomes.
7.17. Permitir ou negar o bloco IP.
8.1. Uma linha de comando para iniciar openvpn no seu RoadWarrior
8.2. Um arquivo de configurao exemplo para openvpn no seu RoadWarrior
8.3. Exemplo de sada certificado de texto simples.
8.4. Exemplo de contedo de um CA exportados.
9.1. Entrar linha do servidor OpenVPN
9.2. Log linha de um cliente OpenVPN
10.1. Especificando os preos por hora
Prefcio
Tabela de Contedos
6 de 151 05/03/2010 00:40
cones
Organizao do livro
Este livro gratuito
Agradecimentos
Endian Firewall Copyright de Endian srl.
Endian Firewall publicado sob o GNU General Public License. Para obter mais informaes, visite nosso site em http://www.efw.it .
Voc pode copiar que, no todo ou em parte, contanto que as cpias de manter este autor declarao. As informaes contidas neste
documento podem ser alteradas a partir uma verso para a prxima.
Todos os programas e dados contidos neste documento foram criado para o melhor de nosso conhecimento e testado cuidadosamente.
No entanto, erros no pode ser completamente descartada. Endian, portanto, no expressa ou implicitamente quaisquer garantias por
erros contidos neste documento ou conseqente dano decorrentes da disponibilidade, desempenho ou utilizao deste ou relacionados
material.
O uso de nomes de uso geral, nomes de empresas, nomes comerciais, etc neste documento, mesmo sem notao especial, no implica
que tal nomes podem ser considerados como "livre"Em termos de marca registrada legislao e que possam ser utilizados por
qualquer pessoa.
Todas as denominaes comerciais so utilizados sem a garantia de uso livre e pode ser marcas registradas. Como regra geral, adere ao
Endian notao do fabricante. Outros produtos aqui mencionados podem ser marcas registradas de seus respectivos fabricantes.
Este documento baseado no IPCop Admin Guide 1,4 4th Edition. Ver http://www.ipcop.org Para obter mais info.
Esta seo abrange as vrias convenes usadas neste livro.
Largura constante
Usado para os comandos, a sada do comando, nomes de programa.
Itlico largura constante
Usado para itens substituveis no cdigo e texto.
Itlico
Usado para nomes, (arquivo, interface, os nomes de diretrio, ...).
asdljasldjasljd
Usada para a entrada do usurio
cones
Dica
Este cone designa uma dica para o texto circundante.
Nota
Este cone designa uma nota relativa envolvente texto.
Aviso
Este cone designa uma advertncia relativa envolvente texto.
Organizao do livro
Os captulos que se seguem e os seus contedos esto listadas aqui:
Captulo 1, Introduo
D uma introduo ao firewall Endian e recursos.
Captulo 2, Sistema de pginas Web
Cobre o menu do sistema com as suas caractersticas e configurao possibilidades, incluindo o primeiro passo de configurao
de rede e sistema ferramentas.
Captulo 3, Status Menu
Descreve o menu Status e sistema de monitoramento e visualizando funcionalidades.
7 de 151 05/03/2010 00:40
Captulo 4, Menu Rede
Explica como configurar a rede relacionados com partes do Endian Firewall.
Captulo 5, Menu Servios
Fornece informaes sobre servios adicionais Endian Firewall acompanha, incluindo DHCP, NTP e servio de DDNS, Intrusion
Deteco e modelagem de trfego (QoS).
Captulo 6, Firewall Menu
Explica as funcionalidades de firewall e Endian Firewall conceito de segurana.
Captulo 7, Proxy
Descreve em profundidade proxies Endian Firewall de aplicao, que inclui HTTP, FTP, SMTP proxies SIP e com um bando de
possibilidades de configurao.
Captulo 8, VPN Menu
Ajuda na criao de redes virtuais privadas, tanto para possibilidades, IPSec e OpenVPN.
Captulo 9, Histricos
D uma viso geral sobre o menu do visualizador de registo e Facilidades para visualizar e configurar todos os logs de
servios.
Captulo 10, Hotspot
Este captulo contm uma descrio detalhada do Endian Hotspot.
Este livro gratuito
Este documento baseado no IPCop Admin Guide 1,4 4th Edition. Ver http://www.ipcop.org Para obter mais info.
Este livro comeou como um guia de administrao de 1,4 IpCop. escrito pelo povo IPCop. Desde Endian Firewall bifurcado do
IPCop, Endian reescreveu as peas e muito mais adicionaram as novas peas que reflecte Endian Firewall s nova funcionalidade.
Como tal, ela sempre foi sob uma licena livre. (Veja Apndice A, GNU Free Documentation License.). Isto significa, voc pode
distribuir e fazer alteraes a este livro, como desejar-se sob uma licena livre. Claro que, ao invs de distribuir sua prpria verso
privada deste livro, teramos muito mais voc enviar comentrios e correes para Endian.
Agradecimentos
Sem a grande obra da lisas e em seguida, a equipe IPCop Endian Firewall no seria existir e por sua vez, essa documentao seria
no existe. Por isso, gostaramos de agradecer a todos por suas duras trabalho.
Graas a Sourceforge para a hospedagem. Sem Sourceforge teramos no tem a possibilidade de ganhar uma enorme visibilidade, como
em todo o mundo. Voc est realmente nos ajudar muito!
Finalmente, agradecemos s seguintes pessoas para nos ajudar com o trabalho em screenshots e xslt: Elisabeth Warasin, Thomas
Lukasser.
Captulo 1. Introduo
Tabela de Contedos
Recursos
Endian Firewall um "turn-key"Distribuio linux segurana que se transforma a cada sistema em um dispositivo de segurana com
todos os recursos. O software foi concebidos com "usabilidade em mente"E muito fcil instalar, usar e gerenciar, sem perder a sua
flexibilidade. As caractersticas incluem um firewall de inspeo de pacotes, em nvel de aplicativo proxies para vrios protocolos
(HTTP, POP3, SMTP, SIP) com o apoio de antivrus, vrus e spamfiltering trfego de e-mail (SMTP e POP), o contedo filtragem de
trfego da Web e um "hassle livre"A soluo de VPN (com base no OpenVPN). A principal vantagem do Endian Firewall que ele
um puro "Open Source" soluo que comercialmente suportado pelo Endian (para uma completa ver lista abaixo).
Recursos
Isto tem uma regravao!
Mdulo Base - Endian Firewall 1.1 - Firewall (inspeco stateful) - Outgoing Firewall - Gateway to gateway IPSec VPN -- IPSec cliente
remoto para o gateway VPN RoadWarrior () - NAT - Multi-IP apoio (aliases) - DNS dinmico - DMZ apoio - HTTPS Web Interface --
Grficos detalhadas de trfego de rede - conexes de vista actualmente activa -- Gerenciamento de eventos de log - Log
redirecionamento para servidor externo - Servidor DHCP -- Servidor NTP - Traffic Shaping / QoS - POP3 transparente antivrus / antispam
Proxy - Transparent proxy HTTP - Web Proxy com os usurios locais, janelas domnio, samba, LDAP, gerenciamento de servidor
RADIUS - Intrusion Detection System - Suporte a modem ADSL - Configurao de backup e restaurao - atualizao remota -- SIP
VoIP Proxy * NEW * Advanced Antivirus Module - Endian Firewall 1.1 - HTTP Antivirus - Endian ferramentas de segurana para
Windows Desktop - antivrus Transparente SMTP / proxy antispam
VPN Gateway Module - Endian Firewall 1.1 -- Gateway to Gateway de VPN com OpenVPN - cliente remoto para o gateway VPN
(RoadWarrior) com OpenVPN - Bridged e Routed modo VPN - Endian Cliente VPN - Windows, Linux, MacOSX
Web Content Filter Module - Endian Firewall 1.1 - Filtro de URL - Web anlise de contedo / filtro - brancas e negras gesto - Web
8 de 151 05/03/2010 00:40
Surfing os prazos
Advanced Antivirus Module - Endian Firewall 1.1 - HTTP Antivirus - Endian ferramentas de segurana para o Windows Desktop -
Transparente Antivrus SMTP / proxy antispam
Captulo 2. Sistema de pginas Web
Tabela de Contedos
Introduo
Configurao de Rede
Preferncias Rede
RED tipo: NENHUM
Tipo VERMELHO: ADSL
Tipo VERMELHO: RDIS
Configurao Aplicar
PT registo
Senhas
Acesso SSH
SSH Opes
Host SSH Keys
GUI Definies
Backup Site
Sua lista de Backup
Restaurar um Backup
Agendar backups
Introduo
Figura 2.1. Sistema de menu selecionado
Este grupo de pginas web projetada para ajud-lo a administrar e controlar o Endian Firewall prprio. Para chegar a estas pginas na
Web, selecione Sistema na barra de menu na parte superior da tela. O seguintes opes sero exibidas em um sub-menu no lado
esquerdo da tela:
Incio -- Retorna para a pgina inicial.
Rede Configurao - Permite configurar o rede eo NIC de sua EFW
9 de 151 05/03/2010 00:40
Endian Rede - Permite que voc registre sua EFW Endian dentro da rede. Este item de menu no est disponvel no
Endian Firewall verso comunitria. ( Matrcula PT 'antes verso 2.1)
Senhas - Permite definir a senha de administrador.
SSH Acesso - Permite ativar e configurar Secure Shell, SSH, acesso a Endian Firewall.
GUI Definies - Permite definir o idioma de a exibio da web.
Backup - Faz backup / restaurar as configuraes do ALE para / de arquivos. Voc tambm pode restaurar as configuraes de
fbrica.
Shutdown - Desligamento ou reiniciar o Firewall Endian deste web pgina.
Crditos - O nosso obrigado a todos contribuintes.
Figura 2.2. Home
Para acessar o Endian Firewall GUI to simples como ligar o seu navegador e digitando o endereo IP (da interface ALE verde) ou
nome do seu Firewall Endian, juntamente com um diretor do porto de qualquer 10443 (https / seguro) ou 80 (redirecionado para
10443).
O sistema ir pedir-lhe o nome de usurio e senha: user: "admin", password: "a senha que voc definiu durante a instalao processo
"
Agora voc deve estar olhando para a pgina inicial do seu Endian Firewall GUI. Voc pode imediatamente comear a explorar as
diferentes opes e os informaes disponveis para voc atravs desta interface. Abaixo, listamos Principal Configurao /
Administrao de opes disponveis atravs da GUI. Quando voc tem-se suficientemente familiarizado com o sistema, por favor
continuar com a prxima seo.
Endian Firewall Administrativo pginas da web esto disponveis atravs do menu no topo da tela.
Sistema: Sistema de configurao e funes de utilidade associado com Endian Firewall prprio.
Status Exibe informaes detalhadas sobre o estatuto das vrias partes de seu Endian Firewall.
Rede Usado para a configurao / administrao de suas configuraes dial-up/PPP.
Servios: Configurao / Administrao do Endian Firewall Services opes.
Firewall: Configurao / Administrao de firewall Endian Firewall opes.
Proxy: Configurao / Administrao de HTTP Endian Firewall e proxy POP3 (tambm antivrus, antispam e configurao de
filtro de contedo).
VPNs: Configurao / Administrao de o Endian Firewall Virtual Private Network e definies opes.
Logs: Ver todas as suas Endian Firewall logs (Firewall, IDS, proxy, etc)
Figura 2.3. Exibe o status de suporte de rede Endian
10 de 151 05/03/2010 00:40
Na seo de primeira pgina, voc v o apoio Endian Comercial Status. Isto s est disponvel para a verso Enterprise Endian Firewall.
Para obter mais informaes sobre o Programa de Apoio Endian, visite a nossa Pgina ligado http://www.endian.it. (Esta caixa no
apresentado na verso 2.1)
Figura 2.4. Estatuto Online
Na caixa a seguir, voc ver informaes sobre o sistema status. A primeira parte d a informao global acerca da ligao estado,
enquanto a segunda parte d informaes mais precisas sobre cada uplink. Aps o status de conexo voc pode ver as informaes
acerca de os sistemas de sade.
Nota
Voc no ver uma conexo ativa at que voc tenha acabado configurar o Endian Firewall.
Exibir o status de curta conexo
O status da conexo atual do Firewall ser mostradas aqui, seguido pelo tempo de conexo. A conexo estado pode ser
um dos seguintes procedimentos:
Desocupado - Nenhuma conexo Internet e no tentando se conectar.
Discagem - Tentando se conectar a Internet.
Conectado - Atualmente ligado Internet.
Se voc est atualmente conectado Internet, voc ver uma Linha do estado da ligao com o seguinte formato:
Connected (# d # h # h # s)
d = dias conectado
h = horas conectado
m = minutos conectado
s = segundos conectado
Estado da ligao
Na tabela a seguir voc vai ver a conexo real status de cada uplink, respectivamente.
A primeira clula mostra o nome do uplink. Normaly voc vai ver s um uplink que ento chamado de "principal", pois
no uplink primrio.
A segunda clula mostra o status da conexo dos respectivos uplink. Abaixo vamos descrever as diferentes possibilidades de
status que voc pode encontrar aqui. Na terceira clula voc tem a possibilidade manualmente para ligar o uplink, se for
desconectado ou o contrrio. Depois de ter pressionado os respectivos ligar ou desligar boto, voc ter de esperar at
que a conexo foi ligado / desligado com xito. Durante este processo, voc pode recarregue a pgina usando o boto de
atualizao sobre o direito. Voc Observe que o campo vai mudar o status da conexo contedo.
Os valores para o estado da ligao:
Conectado
O uplink est ligado e totalmente operacional.
Parado
O uplink no est conectado.
Dead link
O uplink ligado, mas o seguinte gateways no poderia ser alcanado, por isso, de facto, o uplink no
operacionais. Endian Firewall tenta ping o seguinte gateways e anuncia se o link recebe de volta
trabalhar.
Falha
11 de 151 05/03/2010 00:40
Houve uma falha ao conectar ao uplink.
Falha. Reconexo
Houve uma falha ao conectar ao uplink. Endian Firewall ir tentar se reconectar no momento intervalo
que ser impresso.
Desligar
O uplink realmente desligar.
Ligar
O uplink realmente conectando.
Sistema de linhas de sade
Continuando sua linha de status da conexo, voc ver uma linha semelhante ao seguinte:
19:07:10 up 1 day, 7:21, 0 users, load average: 0,03, 0,01, 0,00
Esta linha , basicamente, a sada do Linux uptime comando e exibe o tempo atual, o dia / hora / minuto Endian Firewall, que
tem funcionado sem uma reboot, nmero de usurios registrados no, ea mdia de carga.
Configurao de Rede
Endian Firewall fornece um Assistente de Configurao de Rede para fcil e rpida configurao de interfaces de sua rede e seu uplink.
O Assistente dividido em etapas com dilogos intuitivo. Algumas medidas podem ter subetapas. A primeira linha de cada janela de
dilogo mostrar o passo real ou subpasso, quantas voc precisa para passar e uma breve descrio sobre a pgina real. Voc pode ir
para frente ou para trs com os botes prximo (>>>) e Voltar (<<<) durante o assistente de rede que desejar e voc sempre pode
abortar a processo de configurao pressionando a Cancelar boto. Na janela de dilogo ltima vez que voc ser perguntado se voc
quer realmente salvar a configurao que voc criou usando o assistente. Se voc decidir prosseguir a configurao ser armazenada
e Endian Firewall ir reconfigurar interfaces. Isso leva algum tempo e durante este perodo de tempo que voc no vai ser capaz de
atingir a interface web mais.
Figura 2.5. Assistente de rede passo 1: Escolha o tipo de interface RED
A interface RED suposto ser a interface que liga o seu firewall para o "fora", a rede no confivel, que normaly de curso a
internet, ou no uplink para o seu provedor de Internet.
Endian Firewall suporta os seguintes tipos de RED interfaces. Alguns podem ser interfaces de rede, outros podem ser placas PCI ou
Dispositivos USB:
NENHUMA
Seu firewall no tem interface RED. Isto incomum desde um firewall normaly precisa ter duas interfaces como mnimo. Mas
para alguns cenrios esta possibilidade faz sentido. Por exemplo Se voc quiser usar apenas um servio especfico
de firewall. Se escolher esta poder mais tarde para definir um gateway padro que no se encontram dentro da
rede RED.
ADSL
Se voc tiver um USB ou PCI modem ADSL voc est certo com esta opo.
ISDN
Selecione esta opo se voc tem um dispositivo ISDN USB ou PCI carto.
ETHERNET STATIC
Selecione esta opo se a sua interface ethernet RED uma simples carto e voc precisa de informaes de configurao
de rede como o endereo IP, Mscara de rede e assim por diante manualmente. Se a sua necessidade de ligar o RED
interface de um roteador simples, esta pode ser a escolha certa. Lembre-se que na maioria dos casos, voc vai
12 de 151 05/03/2010 00:40
precisar de um cabo crossover em Para conect-lo corretamente.
ETHERNET DHCP
Selecione esta opo se a sua interface ethernet RED uma simples carto de que necessita para obter informaes da rede
atravs do DHCP. A maior parte Modem de cabo, ADSL / ISDN Router fornecer essa possibilidade.
PPPoE
Se a sua interface RED uma simples placa Ethernet ligado para um dispositivo que exige o uso de PPPoE para conectar-se
seu provedor, em seguida, selecione este. Preste ateno para no confundir esta opo com o DHCP Ethernet ou
a opo ADSL. Esta apenas uma necessrio se o seu modem usa o modo de transio e no ligar si atravs de
PPPoE para o provedor de internet. Alguns roteadores ADSL deixe voc conectar usando DHCP ou esttico e estabelecer o
ADSL conexes se usando PPPoE. Tambm este o errado opo se voc tiver um USB ou PCI modem ADSL e
quero que o modem ligar usando PPPoE.
Se voc no quiser que sua interface vermelho para se conectar ao seu uplink durante a inicializao que voc tem que marcar a No
automaticamente conectar na inicializao checkbox.
Nesta pgina voc encontrar tambm uma caixa que exibe a quantidade de placas de rede que poderia ser encontrado. Dependendo
desse valor e se voc J tenho uma placa de rede de esgotamento escolhendo um tipo de vermelho, que necessita de uma placa
de rede, o passo seguinte vamos configurar mais ou menos zonas.
Figura 2.6. Assistente de rede mostrando Passo 2: Escolha zonas de rede
Com este passo, voc pode decidir quais as zonas que voc deseja configurar em firewall. Endian Firewall assumiu IPCops idia de
diferentes zonas. As zonas disponveis so as seguintes:
GREEN
a rede de confiana. Isto suposto ser a sua LAN de onde voc se conectar interface de administrao. Esta
zona obrigatria e uma interface de rede reservada para ele.
ORANGE
a zona desmilitarizada (DMZ). Se os servidores de acolhimento sbio para t-los em uma rede diferente do seu local
rede. Se algum administra-lo para quebrar em uma de suas servidores, isso no significa automaticamente
atacante comprometer a rede local, mas preso dentro da DMZ e no pode ganhar informao sensvel de sua
rede local. Note-se que ele faz no faz sentido usar laranja se os servidores de trs e os ORANGE estaes de
trabalho por trs GREEN partes do mesmo switch ou hub!
BLUE
a zona sem fio. Voc pode anexar um ou hotspot Wi-Fi ponto de acesso a uma interface atribudo a esta zona. Existe
apenas uma diferena lgica entre esta zona e laranja. Desde redes sem fio, normalmente, no so realmente
seguras voc pode preferir para coloc-los em uma zona distinta, pois eles no tm acesso a na rede local atrs de
verde e pode no chegar hosts atrs Laranja sem configurao.
RED
Conforme j referido, a zona vermelha representa o uplink para o provedor de Internet ou a outra rede no confivel --
basicamente, na maioria das vezes todas as outras zonas tm de ser protegido de intrusos desta zona. Voc tem
automaticamente Nesta zona, a menos que voc selecionou NENHUMA sobre o dilogo antes.
Voc precisa ter pelo menos uma placa de rede por zona, de forma alguma opes podem no ser visveis para voc, se voc no tem
rede suficiente cartes. Observe que uma placa de rede reservada para a zona verde e um j pode ser atribudo a zona vermelha,
se tiver seleccionado um tipo RED que necessita de uma placa de rede.
Voc pode escolher entre as seguintes opes:
NENHUMA
Escolha esta opo se voc no precisa de zonas adicionais. Voc vive com verde e vermelho.
ORANGE
Voc quer ter apenas a zona ORANGE alm de GREEN e RED.
BLUE
13 de 151 05/03/2010 00:40
Voc quer ter apenas a zona azul alm de GREEN e RED.
ORANGE & BLUE
Voc quer ter os dois, laranja e azul, e continuar com um firewall completo.
Preferncias Rede
Esta etapa pede-lhe para a configurao de todas as zonas ethernet voc habilitado na pgina anterior (verde, laranja e / ou azul).
Cada zona tem de ser configurado da mesma maneira - em nosso imagem abaixo voc pode ver a configurao das interfaces de
verde e laranja. Na parte inferior da Esta pgina tambm possvel configurar o hostname e domainname do seu firewall.
Figura 2.7. Assistente de rede mostrando Passo 3: preferncias Rede
Voc precisar configurar os seguintes campos para cada zonas:
Endereo IP
Fornecer o endereo IP que voc gostaria de usar para o interface da respectiva zona. Por exemplo: 10.1.1.1. Preste
ateno ao utilizar um endereo IP que no j utilizado na sua rede, especialmente se voc gostaria de mudar o
endereo IP da sua zona verde. Note-se que voc precisa usar sub-rede diferente para diferentes zonas. Para
exemplo, se voc usar 10.1.1.1 em verde, voc pode usar 10.2.2.1 de laranja, mas no um endereo IP da
mesma rede, como 10.1.1.2! A rede assistente no lhe permitir ir adiante se as redes se sobrepem ou Se voc
no preencher todos os campos necessrios. Sugere-se seguir as normas descritas no RFC1918 e usar apenas endereos IP
que so reservados para redes privadas. Os seguintes blocos de espao de endereos IP foram reservados para redes
privadas pela Internet Atribuindo Numbers Authority (IANA):
10.0.0.0 - 10.255.255.255 (10.0.0.0/8)
172.16.0.0 - 172.31.255.255 (172.16.0.0/12)
192.168.0.0 - 192.168.255.255 ( 192.168.0.0/16)
Nota
14 de 151 05/03/2010 00:40
Tambm pode ser aconselhvel seguir algumas convenes e atribuir sempre o
primeiro endereo IP para o firewall. Para exemplo 192.168.0.1.
Nota
Endereos IP terminados em .0 (exemplo: 192.168.0.0) e em .255 (exemplo:
192.168.0.255) esto reservados para a rede morada e endereo de broadcast. Voc
no pode atribuir-lhes de qualquer dispositivo.
Nota
Preste ateno se voc reconfigurar e Endian Firewall alterar alguns endereos IP,
ento voc precisa mudar o ip endereo tambm dentro da configurao de alguns
servios como o proxy HTTP, que posteriormente descibed efw.proxy.http.
Mscara de rede
Fornecer a mscara de rede que pretende utilizar para a interface da respectiva zona e da rede por trs dele. Para
Exemplo: 255.255.255.0.
Nota
Preste ateno ao usar a mesma mscara de rede em todos os seus computadores por trs da
mesma zona ou alguns podem no ser capazes de passar o firewall.
Interface
Cada zona tem de ter pelo menos uma interface atribudo. O assistentes de rede d-lhe uma sugesto sobre a interface
assignement. Voc certamente pode mudar isso. Uma interface pode ser atribuda somente a uma zona. O assistente
de rede no permite para ir adiante, se voc escolher as mesmas interfaces em diferentes zonas. Voc pode atribuir
mltiplas interfaces por zona. Mltiplas interfaces pode ser adicionado ao pressionar Ctrl e clicar sobre o desejado
interfaces. As interfaces, ento, internamente ponte juntos, para que eles tenham a mesma funcionalidade como um
interruptor.
A lista interface mostra todas as informaes necessrias para identificar a sua placa de rede:
nmeros consecutivos: A lista de interface sero classificados com base no nmero de identificao do slot PCI.
Portanto voc economizar para dar a sua rede PCI montada Carto de um ndice, a contar da primeira
ltima pgina. O primeira placa de rede em seu computador deve ser o carto com nmero 1. A segunda
com o nmero 2 e assim por diante.
descrio do dispositivo: Usamos lspci para ler este descrio. Se o dispositivo no est includo no nosso PCI
dispositivos lista porque extico novo ou para a descrio ser algo como "Dispositivo Desconhecido".
MAC: O endereo MAC original do dispositivo. Este endereo deve ser nico no mundo (na realidade, no
sempre). A maioria dos dispositivos tem impresso o seu endereo MAC em algum lugar no carto ou no
manual.
Nota
Interfaces que no so suportados pelo ethtool ser no ser suportado pelo
assistente de rede, porque a informaes necessrias no podem ser recolhidas.
Nota
Note que cada uma das zonas este ser tratado internamente como pontes, independentemente da
quantidade de interfaces atribudo. Lembrar isso se voc encontrar quaisquer nomes de interface. O
nome da interface de uma zona sempre chamado brx e no ethX. ethX apenas o nome do fsico
interface que faz parte da respectiva zona.
Durante esta etapa, voc pode configurar as preferncias necessrios para conectar internet ou a rede no confivel fora do firewall.
Voc vai encontrar diferentes opes de configurao nesta pgina, dependendo RED o tipo de interface que voc escolheu na
primeira pgina deste assistente de conexo. Alguns tipos RED necessidade etapas de configurao que outros, portanto voc
pode encontrar subetapas. A seo seguinte ser descreveremos cada etapa para cada tipo de interface RED.
RED tipo: NENHUM
Se voc tiver escolhido nenhum como tipo RED na primeira pgina do assistente, voc provavelmente vai querer ler isso.
Figura 2.8. Assistente de rede mostrando Passo 4: Acesso Internet Preferences para NENHUM tipo RED
15 de 151 05/03/2010 00:40
Desde que voc no tem RED, voc no precisar configur-lo. Uau, como impressionante.
A fim de permitir que o dispositivo de segurana (Neste caso eu no atrevem a falar de um firewall) para acessar outras redes, como a
internet voc precisa configurar um gateway padro. Aqui voc pode definir isso. Neste caso voc s pode usar cada endereo IP
como padro gateway, que pertence a uma rede de suas outras zonas (verde, laranja ou azul). Normalmente, voc desejar usar
um endereo IP pertencente ao Green Network, o que provavelmente pode ser um outro firewall e gateway para na internet.
Tipo VERMELHO: ADSL
Se voc escolheu o tipo ADSL RED ento esta ser de interesse para voc.
Desde modems ADSL precisa de um monte de informaes desta etapa dividido em trs sub-passos.
Seleo do modem
Figura 2.9. Assistente de rede mostrando Etapa 4, com vermelho tipo ADSL, Substep 1: Seleo do modem
Dentro do subpasso primeiro voc precisa selecionar o modem que gostaria de usar. A caixa nesta pgina mostra todos os modems
que ser efectivamente suportados pelo Firewall Endian. Se voc no consegue encontrar o seu modem, ento, obviamente,
no sero apoiados e no vai trabalho. Se o seu modem j est conectado, vai tentar Endian Firewall reconhec-lo
automaticamente e selecciona previamente o primeiro detectado modem. A seguinte seqncia ser exibido em cada modem que
Foi detectado automaticamente:
-> Detectado <--
Os seguintes modems so efectivamente suportados:
Modems ADSL com chipset Conexant.
Fritz! Card DSL
Fritz! Card DSL v2
Fritz! Card DSL SL
Fritz! Card DSL SL USB
Fritz! DSL USB Card
Fritz! DSL USB Card Analog
Escolha o tipo de conexo ADSL
Figura 2.10. Assistente de rede mostrando Etapa 4 com RED tipo ADSL: Substep 2: Escolha o tipo de conexo
ADSL
Endian Firewall suporta quatro possibilidades diferentes de conectar a um concentrador de ADSL. Voc precisa saber que connectio
tipo suportado pelo seu provedor de internet e utilizar o respectivo tipo. Muitas vezes, provedor de internet permite que voc
escolha entre PPPoA e PPPoE. Se este for o caso, voc pode escolher entre esses 2 opes. Tenha em mente que PPPoE
16 de 151 05/03/2010 00:40
causa um trfego um pouco mais sobrecarga em relao ao PPPoA, se este de grande importncia para voc. O quatro
possibilidades so:
PPPoA
PPP sobre ATM. Voc pode encontrar mais informaes sobre este protocolo em Wikipdia.
PPPoE
PPP over Ethernet. Voc pode encontrar mais informaes Sobre este protocolo em Wikipdia
IP esttico RFC1483
Basicamente, este um protocolo que permite que voc lidar com o seu modem como um dispositivo Ethernet para o qual
voc atribuir um endereo IP manualmente que voc negociou com o seu fornecedor antes. Se voc tiver um
IP real esttico pode ser necessrio para usar esta opo. Voc pode encontrar mais informaes sobre este
protocolo no RFC Editor. http://www.rfc-editor.org/rfc/rfc1483.txt
DHCP RFC1483
Basicamente, este o mesmo, exceto que o RFC1483 provedor atribui o seu endereo IP usando DHCP.
Fornecer informaes de conexo
Esta subpasso depende da deciso que voc fez durante o subpasso anterior. Dependendo do tipo selecionado conexo ADSL
subpasso esta ir mostrar-lhe diferentes opes de configurao. A maioria dos as informaes necessrias sero fornecidas
pelo seu servio de internet provedor. Os campos a seguir so comuns para cada tipo ADSL. Eles dependem da infra-estrutura
do seu provedor para que voc precisa para preencher o valores que voc recebe do seu provedor:
VPI
VCI
Encapsulamento
PPPoA / PPPoE
Figura 2.11. Assistente de rede mostrando o passo 4 com o tipo RED ADSL: Subpasso 3:
fornecimento de informaes de conexo (PPPoE)
Configurao para PPPoE PPPoA e so bastante a mesmo, pois s PPPoE ser descrito aqui. O seguintes
campos no existem adicionalmente aos campos em comum descrito acima:
Nome de Utilizador
Fornecer o nome de usurio que voc tem do seu ISP.
Senha
Fornecer a senha que voc tem do seu ISP.
Mtodo de autenticao
Diferentes protocolos podem ser usados para autenticar no sistema de fornecedores. O
seguintes mtodos de autenticao so suportados:
PAP - Password Authentication Method
CHAP - Challenge Handshake Authentication Protocolo
PAP ou CHAP - ambos os mtodos de autenticao so implementadas.
17 de 151 05/03/2010 00:40
Alguns provedores s pode apoiar uma mtodo de autenticao. Nesse caso, voc deve comear
que as informaes de seu provedor. A maioria dos provedores implementar ambos os
mtodos de autenticao, ento seguro para usar o que quiser ou deixar a deciso para o
sistema selecionando PAP ou CHAP.
DNS
Durante o estabelecimento da conexo de uma PPP conexo, o provedor normalmente, envia informaes
sobre o qual os servidores DNS que voc precisa para usar como DNS resolver. Se voc
selecionar automtico esses valores sero utilizada. Se voc deseja configur-los manualmente, em seguida,
Selecione manualmente. Em alguns casos Isso pode ser til, por exemplo, se o seu provedor
envia informao errada ou se o DNS fornecido resolvedores no funcionam corretamente.
IP esttico RFC1483
fornecimento de informaes de conexo (RFC1483 esttico ip)
Se voc tem um IP real esttico do seu fornecedor, em seguida, normalmente este tipo ser usado. Este tipo no
conhecer qualquer autenticao ou protocolos a estabelecer a conexo. Portanto, o sistema provedores no
podem envie automaticamente os parmetros de configurao (como IP Endereo, DNS ...) durante o
estabelecimento da conexo. Voc precisa pedir ao seu provedor para obter estas informaes e necessidade de
tudo configurar manualmente aqui. Uma vez configurado no h nenhum sistema que as alteraes destes
parmetros automaticamente como com os outros tipos de ADSL. Os seguintes campos no existem
Adicionalmente aos campos comum descibed acima:
IP esttico
Preencha o seu endereo IP pblico o seu fornecedor atribuda a voc. Se voc no tiver essa informao
Pergunte ao seu provedor. Se voc usar o endereo IP errado pode no ser capaz de usar a
conexo.
Netmask
A mscara de rede que voc obteve do provedor. Por exemplo: 255.255.255.0
Gateway
O endereo IP do gateway localizado em seu lado do provedor, que dever ser usado como padro
gateway.
RFC1483 DHCP
fornecimento de informaes de conexo (RFC1483 DHCP)
18 de 151 05/03/2010 00:40
Este tipo de ADSL o mesmo que RFC1483 IP esttico, exceto que voc no precisa fornecer o endereo IP, mscara
e gateway, pois essa informao ser automaticamente recuperadas usando DHCP. Os seguintes campos no
existem Adicionalmente aos campos comum acima descrito:
DNS
Durante o estabelecimento da conexo de uma PPP conexo, o provedor normalmente, envia informaes
sobre o qual os servidores DNS que voc precisa para usar. Se voc Selecione automtico
esses valores ser utilizado. Se voc deseja configur-los manualmente, em seguida,
selecione manualmente. Em alguns casos isso pode ser til, por exemplo, se o fornecedor
envia a informao errada ou se o resolvedor DNS fornecidos no funcionam corretamente.
Tipo VERMELHO: RDIS
Se voc escolheu RDIS como tipo vermelho, voc ver o seguinte de dilogo dentro da quarta etapa.
Figura 2.14. Assistente de rede mostrando o passo 4 do tipo ISDN VERMELHO: Internet Preferncias de Acesso
A seo seguinte ir descrever cada um dos campos:
Por favor, selecione o driver do seu modem
Aqui voc precisa selecionar o tipo de modem voc est usando. A caixa de seleo mostra todos os modems que so na
verdade apoiados pelo Endian Firewall. Se voc no encontrar seu modem ento, infelizmente, no suportado
e no vai funcionar. Se seu modem j est conectado, Endian Firewall tentaro reconhec-lo automaticamente e
selecciona previamente o primeiro detectado modem. A seguinte seqncia ser exibido ao lado de cada modem
que foi detectado automaticamente:
-> Detectado <--
Os seguintes modems sero efectivamente suportados:
AVM GmbH, Fritz Card USB2 (verso 3.0)
AVM GmbH, Fritz Card USB2 (verso 2.0)
19 de 151 05/03/2010 00:40
HFC-S PCI (Bilhes e compatveis)
HFC-S USB TA (Billion, Trust ou compatvel)
AVM GmbH, Fritz Placa PCI
AVM GmbH, Fritz Card USB
Nmero de telefone para discar
Preencha o nmero do telefone do seu Internet Service Provedor, que voc precisa discar para se conectar
Internet.
Seu nmero de telefone a ser usado para discar
Preencha o nmero do telefone do seu telefone que voc quero ser usado quando voc discar. Este nmero pode ser
tambm conhecido como MSN.
Nome de Utilizador
Fornecer o nome de usurio que voc tem do seu ISP.
Senha
Fornecer a senha que voc recebeu de seu provedor.
Mtodo de autenticao
Diferentes protocolos podem ser usados para autenticar o sistema de fornecedores. Os seguintes mtodos de autenticao
so suportados:
Alguns provedores s pode apoiar uma autenticao mtodo. Nesse caso, voc deve obter essa informao a partir do seu
provedor. A maioria dos provedores implementar autenticao mtodos, ento seguro usar o que quiser ou
deixar a deciso para o sistema selecionando PAP ou CHAP.
Use ambos os canais B
Ative esta opo se voc quiser usar os dois canais RDIS agrupadas de forma a duplicar a sua largura de banda. Seu
provedor deve apoio a este.
Desligar aps minutos de inatividade
Se quiser que o modem para fechar a conexo com o seu prestador de servio de internet se no houver dados sero
enviados atravs dela voc pode permitir isso. Se voc selecionar um valor diferente para desligado, O modem ir fechar a
conexo aps o minuto selecionado de inatividade.
DNS
Durante o estabelecimento da conexo de uma conexo PPP, o provedor normalmente envia informaes sobre os
servidores DNS voc precisa usar a resoluo de DNS. Se voc selecionar automtico esses valores sero utilizados. Se
voc deseja configur-los manualmente, em seguida, selecione manualmente. Em alguns casos isso pode ser
til, por exemplo, se o fornecedor envia a informao errada ou se o DNS resolvedores fornecidos no funcionam
corretamente.
Esta pgina dilogo ser exibida se voc escolheu ETHERNET esttico como o seu tipo de RED.
Figura 2.15. Assistente de rede mostrando o passo 4 com o tipo RED ETHERNET ESTTICA: Acesso Internet
Preferences
20 de 151 05/03/2010 00:40
A configurao bem a mesma descrita anteriormente em a seo chamada preferncias "Rede". Realmente voc pode ter apenas um
dispositivo RED, portanto, no pode seleccionar mltiplas interfaces. Alm disso, voc precisa configurar um gateway. Esse o
endereo IP do seu host remoto para o qual o firewall est ligado e que ser utilizados como gateway para a Internet. Este
endereo IP deve estar localizado dentro da rede RED. O assistente de rede no permitem que voc fornecer um gateway padro
que no dentro da rede RED. Para exemplo, se voc usar 192.168.0.1 como o endereo IP e 255.255.255.0 como mscara de
rede, o gateway padro no pode ser 192.168.1.1. Uma possvel valor seria 192.168.0.2.
Esta pgina dilogo ser exibida se voc escolheu ETHERNET DHCP como Vermelho.
Figura 2.16. Assistente de rede mostrando o passo 4 com RED tipo Ethernet DHCP: Acesso Internet
Preferences
ETHERNET DHCP bem a mesma ETHERNET STATIC, exceto que no h necessidade de configurar o dispositivo, uma vez que
todas as medidas necessrias informaes sero obtidas a partir do servidor DHCP. Voc s precisa interface que selecionar voc
gostaria de usar para a sua zona vermelha. Desde no h realmente nenhuma possibilidade de ter mais de uma interface RED,
voc no pode selecionar vrias interfaces. A seguinte configurao opes existem:
Interface
Selecione a interface que pretende utilizar como interface RED como j descritos acima.
DNS
O servidor DHCP poder tambm enviar-lhe os endereos IP de seus servidores DNS. Se voc selecionar automtico esses
21 de 151 05/03/2010 00:40
endereos sero usados. Se voc deseja configur-los manualmente, em seguida, selecione manualmente. Em alguns
casos, isso pode ser til, por exemplo, se o servidor DHCP envia informao errada ou se o resolvedores do DNS
fornecido no funcionar corretamente.
Esta pgina dilogo ser exibida se voc escolheu como PPPoE RED tipo.
Figura 2.17. Assistente de rede mostrando o passo 4 com o tipo PPPoE VERMELHO: Internet Preferncias de
Acesso
Como j mencionei antes, voc usar esse tipo se voc tem um modem ADSL com ligao ethernet simples a sua Endian Firewall.
Nota
Este cabo, na maioria dos casos tem que ser crossover!
As seguintes opes so suportadas por este Tipo:
Interface
Selecione a interface que pretende utilizar como interface RED e para o qual voc conectou o modem ADSL Ethernet.
Tipo ADSL
Esta opo ir desaparecer. No faz diferena o que seleccionar aqui.
Nome de Utilizador
Preencha o username que voc tem do seu servio de internet provedor
Senha
Preencha a senha que voc obteve do seu serivce internet provedor
Mtodo de autenticao
Diferentes protocolos podem ser usados para autenticar o sistema de fornecedores. Os seguintes mtodos de autenticao
so suportados:
22 de 151 05/03/2010 00:40
Alguns provedores s pode apoiar uma autenticao mtodo. Nesse caso, voc deve obter essa informao a partir do seu
provedor. A maioria dos provedores implementar autenticao mtodos, ento seguro usar o que quiser ou
deixar a deciso para o sistema selecionando PAP ou CHAP.
DNS
Durante o estabelecimento da conexo de uma conexo PPP, o provedor normalmente envia informaes sobre os
servidores DNS voc precisa para usar como DNS resolvedores. Se voc selecionar automtico esses valores sero
utilizados. Se voc deseja configur-los manualmente, em seguida, selecione manualmente. Em alguns casos isso pode
ser til, por exemplo, se o fornecedor envia a informao errada ou se o DNS resolvedores fornecidos no
funcionam corretamente.
Servio
Alguns provedores de servios diferentes, portanto, voc pode inserir o nome do servio aqui, a fim de selecionar qual voc
pretende utilizar, se for necessrio. Na maioria dos casos, esta opo sentido.
Nome do concentrador
Especifica o nome do concentrador de acesso desejado. Na maioria casos, voc no deve especificar essa opo. Use-o
apenas se voc sei que h so concentradores de acesso mltiplo e ISP quer que voc especificar um em
particular.
Este passo necessrio somente se o tipo de conexo vermelho no fornecer automaticamente o destinatrio do DNS resolvedores que
deve ser utilizados ou se voc tiver selecionado na etapa anterior, que pretende definir o DNS resolvedores manualmente. Se DNS
resolvedores so recuperados automaticamente em seguida, h campos de configurao ser mostrada aqui. Voc pode ir com
segurana adiante. Caso contrrio, voc ver dois campos rotulados DNS 1 e DNS 2.
Figura 2.18. Assistente de rede mostrando o passo 5: Resolver configurar o DNS
Preencha os campos, tanto com os servidores de DNS que pretende utilizar como resolvedores. Se voc tiver apenas um, ento
seguro preencher no mesmo valor em ambos os campos, mas isso no recomendado desde que voc no ser capaz de resolver
os nomes que mais se nameserver no ir responder temporariamente. Voc precisa de um trabalho de resoluo de DNS para resolver
nomes. Se a resoluo no trabalho pode no ser capaz de acesso internet sites.
Configurao Aplicar
Este o ltimo passo do assistente de rede. Ele s pede para voc confirmar as modificaes.
Figura 2.19. Assistente de rede mostrando Passo 6: Aplicar configurao
Clique no boto OK, aplique a configurao para ir em frente. Uma vez que voc fez isso, o assistente de rede ir escrever o dados,
reconfigurar todos os dispositivos necessrios e reiniciar tudo dependendo servios. Isso pode levar at 20 segundos. Durante o
processo de reinicializao pode no ser capaz de se conectar interface de administrao e para um curto perodo de tempo sem
conexes atravs do firewall so possveis. Portanto, no preocupa-se, isso normal. A interface de administrao ser
automaticamente reload aps 20 segundos.
Se voc alterou o endereo IP da Zona Verde ser redirecionado para o novo endereo IP, aps a 20 segundos do curso. Em Neste
caso, e / ou se voc tiver alterado o nome da mquina um novo certificado SSL ser gerado.
Nota
H um problema na gesto de mais de uma Firewalls Endian. O navegador ir recusar o novo certificado,
pois considera que a certificado corrupto. Voc pode solucionar esse problema removendo todos
certificados aceites a partir do cache do browser ou fechar todos correndo janelas do navegador e
reinicie o navegador.
23 de 151 05/03/2010 00:40
PT registo
Este item de menu no est disponvel na verso comunitria.
O Endian Firewall verso Enterprise tem a capacidade de registrar Rede Endian. As inscries para a Rede Endian permite que voc
para monitorar e gerenciar o seu Firewalls usando Endian Network. Seu registrado Endian Firewall tambm pode ser atualizado
automaticamente ou coletivamente manualmente atravs Endian rede com apenas alguns cliques. A fim de ser capaz de obter essas
atualizaes que voc precisa para se cadastrar. A seguir descreve como registrar e abaixo voc vai encontrar a mesma pgina de um
sucesso Firewall registrado.
Figura 2.20. Endian Firewall Unregistered
Unregistered Endian Firewall
Para se inscrever para a rede de abastecimento Endian o seguinte informaes no formulrio de inscrio:
Username rede Endian
Preencha o nome de sua conta de usurio no Endian Rede.
Senha de rede Endian
Preencha sua senha Endian usurio da rede. Essas credenciais s ser usado para autenticar-se na rede no Endian
para se inscrever. As credenciais no sero salvas.
Chave de activao
Preencha a chave de ativao que voc recebeu de seu Endian Revendedor. uma chave de um caminho composto por 12
caracteres. O chave de ativao pode ser usado apenas uma vez.
Nome do Sistema
D um nome. Ele pode ser sbio para usar o nome de sistemas. Com este nome voc pode identificar o firewall Endian
Network. Especialmente se voc tem vrios firewalls seria sbio escolher um nome que contm informaes sobre
onde este sistema est localizado, como o nome do cliente ou qualquer coisa assim. Este valor pode ser alterado no
Endian rede aps o registo.
Breve descrio
Aqui voc pode adicionar uma pequena descrio sobre a instalao. Por exemplo, informaes sobre onde voc pode
encontrar o firewall geograficamente. Este valor pode ser alterado no Endian rede aps registo.
Figura 2.21. Registrados Endian Firewall
A pgina dividida em duas partes.
Informaes sobre inscries
A primeira parte apresenta a sua informao de registo:
Nome do Sistema - Exibe o nome do o sistema que voc forneceu na inscrio. Voc pode usar este rtulo
para identificar esse Endian firewall em Rede.
Data de registro para - Exibe o nome do responsable da pessoa ou organizao, para que este sistema foi
registrado.
Breve descrio - Exibe a breve descrio que voc forneceu na inscrio.
System ID - Todo sistema recebe uma nmero de identificao nico no mundo durante o registo. Ns usar
este nmero para identificar o seu hardware dentro Endian Rede. Voc pode ser convidado para este nmero se voc
precisa para comear suporte.
ltima actualizao - Exibe a data de a ltima atualizao.
24 de 151 05/03/2010 00:40
Nota
Se voc alterar qualquer um desses campos de informaes sobre o Endian firewall de
rede sero sincronizados dentro de um horas.
Chaves de Ativao
Voc precisa de uma chave de ativao vlida para cada canal de manuteno fornecidas pela Rede Endian se voc gosta de
receber atualizaes fornecidos pelo respectivo canal. Uma instalao podem utilizar mais de uma chave de activao, se
voc precisa se inscrever para mais de um canal. Normaly voc ter apenas um. As informaes a seguir ser fornecida
para cada chave de ativao:
Canal
Exibe o nome do canal para a Rede Endian que a respectiva chave de activao vlida. Por exemplo
Endian Firewall.
Vlida a partir de
A inscrio para o respectivo canal vlido a partir desta data.
Vlido at
O subscrption para o respectivo canal vlido at esta data.
Dias
Mostra quantos dias a inscrio ainda ser vlidas.
Senhas
Figura 2.22. Dilogo Senha mudana
O Senhas subseo deste AW est presente para que voc possa alterar as senhas de administrao ou a senha de discagem
usurio, como voc julga necessrio. Basta digitar a senha desejada uma vez em cada campo para o usurio que deseja atualizar e
clique em Salvar.
Nota
Voc tem que relogar com a nova senha se voc mudar o admin senha do usurio.
Acesso SSH
O SSH subseo deste AW permite-lhe decidir se o acesso remoto SSH est disponvel no seu Endian Firewall ou no. Ao colocar
uma marca na caixa que ir activar o acesso SSH remoto. Ele Tambm possvel configurar diversos parmetros SSH daemon a partir
deste web pgina. A opo SSH desabilitado por padro e gostaramos de informar que permitam ele somente quando necessrio e
em seguida, desativ-lo depois.
Figura 2.23. Pgina de acesso a SSH
25 de 151 05/03/2010 00:40
Nota
A porta SSH na mquina de ALE o padro de 22 (no ligado a 222 como em IpCop).
SSH Opes
As seguintes opes SSH esto disponveis na pgina web:
Habilitado:
Ao marcar esta caixa permite SSH. A menos que o uso externo acesso, SSH s estar disponvel a partir da rede GREEN.
Com SSH habilitado, possvel que qualquer pessoa com o Endian Firewall senha de root para entrar em seu firewall
no comando prompt.
Suporte protocolo SSH verso 1 (exigida apenas para clientes antigos)
Ao marcar esta caixa permite o suporte de clientes SSH verso 1. O uso desta opo fortemente desencorajado. No so
conhecidos vulnerabilidades com SSH verso 1. Use esta opo somente para acesso temporrio, se voc s tem a
verso 1 do SSH clientes e no nenhuma forma de atualizao para o SSH verso 2. A maioria, seno todas, as verso
actual apoio clientes SSH 2. Atualizar seus clientes se na possvel.
Permitir o encaminhamento TCP
Ao marcar esta caixa, permite que voc crie SSH encriptadas tneis entre as mquinas dentro do firewall e externa
usurios.
O que uso este quando o PFE j tem uma VPN?
Est na estrada e algo vai errado com um dos seus servidores. Voc no configurou uma conexo VPN Road Warrior. Se
voc sabe que sua raiz EFW senha que voc pode usar redirecionamento de porta para SSH obter atravs do seu
firewall e tenha acesso a um servidor em um dos suas redes protegidas. Estes prximos pargrafos discutiremos como
fazer isso, supondo que voc tenha um servidor Telnet em execuo em um computador interno a 10.0.0.20. Ele tambm
assume seu controle remoto mquina uma mquina Linux. O comando do putty SSH no Windows tem as mesmas
capacidades, mas eles so acessados atravs de caixas de dilogo. Voc pode j ter feito uma ou mais das duas primeiras
etapas.
Habilitar ou ter algum para permitir acesso externo porta 10443, a porta HTTPS. 1.
Use as pginas web EFW para permitir o acesso SSH, porta encaminhamento e acesso externo a porta 22. 2.
Criar um tnel SSH entre o seu computador remoto e os servidor interno executando um servidor SSH, emitindo o
comando:
$ ssh-N-f-l root @ 12345:10.0.0.20:23 efw

-N
em conjunto com-f, diz o SSH para executar no fundo sem terminao. Se voc usar esta
opo, voc vai ter que lembrar de usar para matar terminar o processo de SSH. Como
alternativa, voc pode pretende adicionar o comando 100 sono ao final da linha de comando, e no
usar a opo-N. Se voc fizer isso o SSH invocado por o comando ssh ir terminar aps 100
segundos, mas a sesso de telnet e seu tnel no terminar.
-f
opo para executar o SSH no fundo.
-L
diz SSH para construir um tnel como encaminhamento de porta especificado pelos parmetros a seguir.
3.
26 de 151 05/03/2010 00:40
12345
A porta local que ser utilizado para tnel o servio remoto. Esta deve ser superior a 1024,
caso contrrio, voc deve estar rodando como root para ligar bem portas conhecidas.
10.0.0.20
Este o endereo verde do telecomando servidor.
23
Isto especifica o nmero da porta remota para ser utilizados, Telnet.
root @ efw
Finalmente, este especifica que voc ir utilizar o seu Endian Firewall como o agente de reencaminhamento
de porta. Voc precisa uma identificao do usurio para fazer logon como, e o nico disponvel
raiz. Voc ser solicitado a raiz da ALE senha.
Por fim, registo para o Telnet remoto usando o tnel.
$ telnet localhost 12345

localhost a mquina que voc est rodando. O endereo de loopback 127.0.0.1 definido como localhost. 12345
a porta do tnel local especificado no anterior comando.
4.
Existe um tutorial sobre o encaminhamento a porta SSH Dev Galpo.
Permitir senha baseada autenticao
Permite aos usurios fazer login no Endian Firewall usando a raiz senha. Se voc decidir desligar esta opo, configure sua
chave SSH arquivos, e depois verificar se voc pode efetuar login usando sua chave arquivos.
Permitir que a chave pblica baseada autenticao
Ao marcar essa caixa, autenticao de chave pblica podem ser utilizados por SSH. Este o mtodo preferido de garantir
EFW usando SSH. Este Artigo tem uma discusso sobre o uso de SSH-keygen para gerar chaves RSA e como
us-los com SSH.
Host SSH Keys
Esta seo lista as impresses digitais de acolhimento chave usada pelo SSH para a ALE verifique se est a abrir uma sesso com a
mquina direito. A primeira vez uma sesso aberta, uma das impresses digitais ser exibido pelo SSH e voc ser solicitado a
verificar se est correto. Se quiser, voc pode verificar que, olhando para esta pgina web.
GUI Definies
Este governa a pgina da web como o Endian Firewall pginas web funo e aparecer.
Figura 2.24. Ajustes GUI
Hostname exibio na janela de ttulo:
Esta opo ir ativar a exibio de um Firewall Endian nome do host no topo de cada pgina web. Se voc est mantendo mais
do que uma mquina Endian Firewall, isso ser vantajoso, pois voc ser capaz de dizer que a mquina do seu
navegador est actualmente exibindo.
Selecione o idioma que voc deseja EFW para mostrar em:
Este menu drop-down permitir que voc escolha qual uma das lnguas atualmente disponvel para pginas web EFW ser
exibida.
Backup Site
Nesta seo voc pode criar "instantneos" do seu EFW configurao, e restaurar o sistema para um desses instantneos quando
necessrio.
Esses instantneos podem ser salvos em sua mquina de ALE ou exportados para seu computador.
Inis tambm possvel repor a configurao de fbrica e criar backups totalmente automatizados.
Sua lista de Backup
Neste site voc pode gerenciar a criao, exportao, importao e restaurao de backups de seus ALE. Voc ser presenteado com
uma lista de todos os backups que voc fez at agora. Os backups so ordenados por data onde a ltima cpia de segurana est
no topo da lista.
27 de 151 05/03/2010 00:40
Figura 2.25. Backup de arquivos
O Data de Criao coluna contm a data de criao, enquanto o Contedo coluna mostra um lista das bandeiras que lhe dir mais
sobre o seu backup:
S
Esta bandeira significa que esta cpia de segurana especfica contm o seu configuraes.
D
D diz-lhe que esta cpia de segurana contm um banco de dados despejo.
E
Este arquivo criptografado.
L
Este backup contm arquivos de log.
A
Mais backups de arquivos de log foram salvas com esta backup.
!
Houve um problema ao tentar enviar esse arquivo.
C
Este backup foi criado automaticamente pelo backup scheduler.
O disco no Ao colunas vou deixar voc armazenar o arquivo de backup em seu computador. Ao clicar na lata de lixo voc pode
apagar este arquivo de backup. Se voc clicar no smbolo deste ltimo backup sero restaurados.
Ao clicar no Criar novo Backup boto, Endian Firewall ir abrir uma nova janela na qual voc pode configurar o seu novo backup.
Figura 2.26. Criar novo backup
As seguintes opes podem ser especificados antes da criao do fule backup:
Remark
Este campo d-lhe a possibilidade de adicionar alguns pessoais informao que ir deix-lo mais tarde recordar o motivo para
isso backup.
Configurao incluem
Esta opo permite incluir a configurao do seu Endian Firewall - Este o contedo do / var / ALE diretrio.
Banco de dados lixeiras Incluir
Se voc quiser incluir um dump da sua base de dados marque esta checkbox.
Incluir os arquivos de log
28 de 151 05/03/2010 00:40
Se voc quiser incluir seus arquivos de log, esta opo deve ser verificada.
Incluir arquivos de log
Se voc tambm quiser incluir os backups do seu registro de idade arquivos assinale esta opo.
Criar novo Backup
Pressionando este boto o arquivo de backup ser criado e salvos. Agora voc pode encontr-lo na lista de backup
conjuntos.
Figura 2.27. Criptografar Backups
Voc tambm tem a possibilidade de encriptar os seus backups se voc quiser para. Para fazer isso voc precisa fazer o seguinte:
Selecione sua chave pblica clicando no Procurar ... boto e, em seguida, selecionando a tecla arquivo. 1.
Certifique-se de Criptografar arquivos de backup caixa de seleo est marcada. 2.
Upload do arquivo de chave, clicando no Salvar boto. 3.
Voc pode exportar arquivos de backup para seu computador:
Escolhendo o conjunto que pretende exportar. 1.
Clicando na imagem de disco (Exportao) E salvar o arquivo em seu computador. 2.
Figura 2.28. Importar Backup
Se voc quiser importar um arquivo de backup do computador que voc tem que faa o seguinte:
Escolha um nome para o backup e grav-la na Remark campo. 1.
Navegue pastas local e selecione o arquivo de backup que voc deseja importar. 2.
Finalmente clique no Importar boto - o seu backup ser guardado no Endian Firewall e, em seguida, aparecem no lista
de conjuntos de backup.
3.
Nota
Ao importar o backup no sero automaticamente restauradas. Ler aqui Como voc pode restaurar o
backup.
Restaurar um Backup
Figura 2.29. Restore Backup
29 de 151 05/03/2010 00:40
Para restaurar o sistema a partir de exportar arquivos de backup:
importao seu arquivo de backup 1.
escolher o novo conjunto na sua lista de backup 2.
clique no Restaurao boto 3.
Para restaurar o sistema a partir de um conjunto de backup em seu EFW:
Escolha o conjunto que pretende restaurar 1.
clique no Restaurao boto 2.
Nota
O Restaurao o boto com o orbitted crculo azul com uma seta cinza.
Agendar backups
Figura 2.30. Schedule backups
Se voc deseja agendar backups automticos que sero apresentados com duas janelas. A primeira janela usada para configurar o
agendamento em si, enquanto a segunda janela d-lhe a oportunidade de enviar automaticamente o backup de arquivos criados
para voc via e-mail.
Agendamento de backups muito fcil e as opes quanto ao contedo de backup so os mesmos que quando criao de backups
manual. Novo opes so:
Habilitado
Marque esta opo se voc quiser fazer backups automticos.
Mantenha # de arquivos
Este nmero permite que voc decida quantas cpias de segurana automticas voc deseja guardar em seu Endian Firewall.
30 de 151 05/03/2010 00:40
Calendrio de backups automticos
Escolha aqui quantas vezes voc deseja criar um backup do seu firewall.
Salvar
Clique neste boto para salvar a configurao.
Nota
Se voc mover o cursor do mouse sobre a questo de marcas voc ver informaes detalhadas sobre os
horrios.
Se voc quiser receber um e-mail para cada backup automtico voc tem que ter um olhar para a segunda janela.
Habilitado
Assinale esta opo se voc quiser e-mails com os arquivos de backup.
E-Mail do Destinatrio
Aqui voc precisa digitar o endereo desejado os backups enviados para.
E-Mail do Remetente
Aqui voc pode especificar um endereo de remetente para o automtico e-mails.
Endereo do smarthost para ser usado
Se o seu spam de e-mails so considerados por muitos servidores de correio porque voc est usando um endereo IP
dinmico, voc provavelmente vai querer insira o endereo do servidor de seu provedor de servios de internet mail
aqui. Todos os backups sero depois enviadas atravs deste email gateway.
Salvar
Clique aqui para salvar as suas opes.
Enviar um backup agora
Se voc quiser salvar uma cpia de segurana e agora tm as suas definies armazenados, clique neste boto.
Nota
Se voc habilitar de discusso, arquivos de log no sero enviados para manter os arquivos de backup
em um tamanho razovel.
Figura 2.31. Redefinir padres
O boto Os padres de fbrica permite-lhe redefinir a configurao do seu firewall Endian de fbrica. Em fato de um backup que foi
criado no primeiro boot ser restaurado se voc faz isso.
Nesta seo voc pode desligar ou reiniciar o Firewall Endian por clicando no boto "Encerrar" ou boto "Reboot", respectivamente.
Figura 2.32. Shutdown / pgina Reboot
Esta pgina foi modificada pela ltima vez: $ Date: 2006-11-14 16:46:10 +0100 (Tue, 14 Nov 2006) $.
Captulo 3. Menu Status
Tabela de Contedos
Introduo
System Status
Servios
Memria
Disk Usage
Uptime e Usurios
31 de 151 05/03/2010 00:40
Mdulos carregados
Verso do Kernel
Network Status
Interfaces
RED configurao DHCP
Tabela ARP Entries
Sistema de Grficos
Traffic Graphs
Proxy Grficos
Conexes
Mail Queue
Regras do IPTables
Introduo
Figura 3.1. Menu de selecionados
Este grupo de pginas da web fornece informaes e estatsticas do Endian Firewall. Para chegar a estas pginas na Web, selecione
Status na barra de menu na parte superior da tela. O seguintes opes ir aparecer no menu esquerda:
Sistema Status
Rede Status
Sistema Grficos
Traffic Grficos
Proxy Grficos
Conexes
SMTP Estatsticas
Mail Fila
IPTables Regras
System Status
As pginas de apresent-lo com uma lista muito completa de informaes sobre o estado atual de seu Endian Firewall. O primeira
subseo, System Status, Exibe o seguinte na ordem de cima para baixo:
Servios
Servios - Mostra que os servios so actualmente em execuo. Voc pode usar essa exibio para controlar se os servios que lhe
permitiu realmente esto actualmente a funcionar. Servios que no so ativados so listados como servios parados, por isso no se
preocupa lhes. Se voc encontrar os servios que na verdade deveria estar em execuo, ento ele pode resolver o problema, se
voc simplesmente reiniciar esse servio.
32 de 151 05/03/2010 00:40
Figura 3.2. Pgina que apresenta os servios de funcionamento real
Memria
Mostra o uso de memria e arquivo de swap em sua caixa de ALE.
Figura 3.3. Pgina que exibe o uso de memria atual
Esta a sada formatada da ferramenta livre. Basicamente ele mostra a quantidade de dados (Tamanho) fsica (RAM) E virtual
(Swap) De memria. A quantidade de memria existente na verdade, reflete a memria que est disponvel para aplicativos do
usurio. Para tanto a memria fsica e virtual, voc pode ver a quantidade de atualmente usados e livre memria. O percentual
ajuda voc a melhor figura os nmeros.
Voc pode perceber que depois que o sistema tem funcionado por um tempo ele relata uma quantidade muito pequena de memria
livre. Para explicar isso, necessrios para atacar um pouco e explicar basicamente como o kernel gerencia a memria. Desde disco
I / O acesso muito lento em relao memria de I / O acesso e desde arquivos normalmente ter lido vrias vezes, o kernel tenta
cache ao ler os dados no cache de disco na memria RAM. O possibilidade bastante alta para ler os mesmos dados novamente a
partir do mais rpido cache em vez do disco lento - se os dados realmente existe no cache de curso. Portanto, o kernel enche toda a
sua memria livre com cache de disco nunca perder de RAM livre. Voc pode ver a quantidade de cache de disco como cache na
imagem acima. Mas no se preocupe, o kernel dinamicamente libera memria que utilizada como cache de disco, logo como
aplicaes precisam. Para obter uma pista sobre o quanto de memria realmente vai ser deixada como memria livre para aplicaes
que voc tem a linha - / + buffers / cache. Essa linha mostra a quantidade de usados e livre memria sem a quantidade de buffers
do kernel e cache de disco. Se essa linha mostra que voc no tem mais memria livre, ento a sua mquina comea a usar
pesadamente a troca e, provavelmente, pode entrar em problemas de desempenho. Neste caso, pode ser melhor adicionar alguns
chips de memria RAM adicional. Voc pode encontrar mais informaes sobre Linux Guia do Administrador de Sistemas.
Disk Usage
Disk Usage - Exibe a sada de df, Que relata o montante total (Tamanho), usados e livre espao em disco no Endian Firewall.
Figura 3.4. Pgina que exibe o uso do disco atual
33 de 151 05/03/2010 00:40
Nota
O ponto de montagem / dev mostra-se como foi montadas duas vezes. Este um problema conhecido,
mas no tem efeitos colaterais.
Uptime e Usurios
Uptime e Usurios - Exibe a sada do w comando que informa a hora atual, a informao Sobre o tempo que o sistema foi funcionando
sem reiniciar, o nmero de usurios que esto atualmente registradas no sistema e as mdias de carga para ltimos 1, 5 e 15
minutos.
Figura 3.5. Pgina que exibe o tempo de atividade e registrada no corrente Usurios
Se algum usurio est conectado no momento, que no deve ser normaly o caso se voc no est logado, voc vai ver uma tabela com
informaes para cada usurio, incluindo o seu nome (loginUSURIO), tty o nome que tem sido usado para login (TTY), o
endereo IP da mquina remota a partir do qual ele registrado no (DA), A hora do logon (LOGIN @), A quantidade de tempo que o
usurio estava ocioso (IDLE), O tempo de CPU usado por todos os processos da usurio conectado neste tty (JCPU), O tempo de
CPU usada pelo processo corrente que o usurio realmente funciona (PCPU), O processo que o usurio est atualmente
runnning (O QUE ).
Mdulos carregados
Mdulos carregados - Isso exibe todos os mdulos atualmente carregados e em uso pelo kernel.
Figura 3.6. Pgina que exibe o atual mdulos do kernel carregados
Verso do Kernel
Verso do Kernel - Isso exibe informaes sobre ALE-se o Kernel. Esta a sada de uptime -um. Ele exibe o nome do kernel, o
hostname, o kernel verso com informaes sobre o release, o timestamp de quando foi construdo, a arquitetura para o qual foi
construdo e do nome do sistema operacional.
Figura 3.7. Page, que exibe a verso do kernel
Network Status
A Rede subseo Status exibe o seguinte no top-down Ordem:
34 de 151 05/03/2010 00:40
Interfaces
Interfaces - Esta seo exibe informaes sobre todos seus dispositivos de rede. Este inclui PPP, OpenVPN, IPSec, Loopback, etc
Basicamente esta a sada de ifconfig
Interfaces Figura 3.8. Displays
Voc vai encontrar o nome de cada interface colorida com o adequado Cor zonas. A cor prpura identifica as interfaces que pertence a
um VPN. Uma vez que cada zona, na realidade, uma ponte para o qual todos atribudos interfaces so unidas, voc precisa ter
um olhar para as interfaces comeando com br. Eles so a zona real interfaces que esto mantendo os endereos IP que voc
configurou, no entanto so interfaces virtuais. As interfaces que comeam com eth so as placas de rede fsica existente. O
interface chamada Lo a interface loopback. Este uma necessria para permitir a comunicao com a prpria mquina sem
deixar qualquer placa de rede real. Voc tambm pode encontrar interfaces incio com TAP. Interfaces que sero utilizados para
openvpn tneis.
Cada interface mostra um monte de informaes no lado direito. Se voc quiser saber mais, ento, provavelmente, seria melhor ler o
Administradores de rede Guia. Aqui voc vai encontrar uma breve descrio sobre o mais valores importantes:
Link encap
Especifica o tipo de ligao. Valores como Ethernet, Local Loopback, Point-to-Point Protocol pode aparecer aqui.
HWaddr
O endereo de hardware (MAC) do respectivo interface
inet addr
O endereo IP que foi atribudo interface. Voc pode notar que as interfaces que fazem parte de uma ponte do
no tm um endereo IP.
Bcast
O endereo de transmisso que tem sido atribudo interface.
Mscara
A mscara de rede que tem sido atribudo interface.
RX / TX packets
Esta linha mostra quantos pacotes foram recebidos ou transmisso livre de erros, quantos erros, quantas pacotes
foi perdido - provavelmente por causa da pouca memria - e como muitos foram perdidos por causa de uma superao.
Derrapagens Receptor normalmente acontecer quando vm em pacotes mais rpido do que o kernel pode servio a
35 de 151 05/03/2010 00:40
ltima interrupo.
RX / TX bytes
Esta linha mostra o volume de dados que tenha sido recebido ou transmitidos por esta interface.
Entre as linhas descibed acima voc encontrar uma linha com informaes sobre o estatuto e as opes definidas para o respectivo
interface. Voc provavelmente pode estar preocupado com o PROMISC opo que est definido para a maioria dos interfaces. A
maioria das placas de rede fisicamente montados so colocados em modo promscuo, uma vez que somos todos parte de uma ponte e,
portanto, necessidade para a esta modalidade.
RED configurao DHCP
Exibe a configurao do DHCP na sua interface RED se o DHCP exigido pela sua ligao Internet.
Figura 3.9. Displays RED actual configurao DHCP
Displays current RED DHCP configuration
Exibe o contedo do / var / state / dhcp / dhcpd.leases arquivo se o DHCP servidor est habilitado. Os arrendamentos actuais dinmicas
so listados, com hostnames se disponvel, e as datas de validade.
Locaes que tenham expirado so tempos completamente.
Figura 3.10. Displays atuais concesses dinmica
Nota
Esta seo ir somente ser visveis se o DHCP est habilitado. Consulte a seo sobre o Servidor DHCP
para mais detalhes.
Esta a sada de route-n, Que mostra a tabela de roteamento do kernel. A tabela de roteamento permite que o kernel sabe que
bloqueiam de endereos IP que pode encontrar por trs da qual interface. A maioria das linhas que voc v na sada de conter
informaes sobre o local redes. Mas j que voc precisa ter o firewall para conexes com o Internet, o que na verdade so todos os
destinos com os endereos IP que so no diretamente conhecido para o kernel, uma entrada que envia todos os pacotes para um
endereo IP especfico na esperana de que esse anfitrio sabe mais sobre o entrega, necessrio. Isso chamado de host
especfico padro gateway. Dentro de sua sada, voc pode identificar este configurao na linha com o endereo de rede de
destino 0.0.0.0, O que significa todos Destinos.
Figura 3.11. Mostra a tabela de roteamento atual
Alm disso, cada linha mostra-lhe as seguintes informaes:
Destino
Especifica o endereo de rede de destino. O kernel compara o endereo IP de destino de cada pacote que passa
atravs dele com este endereo de rede de destino e assim buscas uma entrada para a rede o endereo IP pode
pertencer.
Gateway
Especifica o gateway, que o host ao qual o pacote deve ser enviado. 0.0.0.0 meios, p-lo sobre os meios de
comunicao (LAN) e no envi-lo para um host especfico.
Genmask
A mscara de rede da respectiva rede.
Bandeiras
As bandeiras s interessante seria o seguinte:
U - Significa que a rota para cima.
36 de 151 05/03/2010 00:40
G - Significa que a rota utiliza gateway endereo especificado por gateway.
H - Significa que a entrada de rota uma rota de anfitrio, o que verdadeiro apenas para um host em vez de
toda uma rede. Voc pode perceber que a mscara no presente caso 255.255.255.255.
Iface
Especifica a interface atravs da qual o kernel vai enviar os pacotes se a entrada de roteamento respectivos aplica.
Tabela ARP Entries
Esta a sada de arp-n, Que exibe o cache ARP. Em LANs sobre a camada mais profunda das interfaces de rede ser no ser
abordada por um endereo IP, mas pelo endereo MAC em vez disso. Em Para que o kernel saber qual endereo IP atribudo ao qual
MAC endereo, o kernel envia um pedido ARP que basicamente uma transmisso pacote que pede a todas as interfaces de rede
conectado se tiverem o endereo IP desejado. O nico que tem o endereo IP relevantes, responde com uma resposta ARP
incluindo o seu endereo MAC. Para que o kernel no enviar pedidos ARP todo o tempo, as respostas sero armazenados em cache no
ARP mesa por um tempo.
Figura 3.12. Exibe a tabela ARP
A produo vai mostrar a real assignements cache do PI (endereoEndereo) Para o endereo MAC (HWaddress). Alm disso, voc
tambm v por trs do qual interface que voc pode encontrar a placa de rede com o endereo MAC respectivo (Iface).
Voc pode perceber as linhas com [incompleto] em vez de de um endereo MAC. Isso acontecer se algum tentou chegar a um IP
endereo que no est disponvel porque est errado ou o dispositivo com o endereo IP atribudo est baixo ou no conectado.
Sistema de Grficos
Clique em um dos quatro grficos (uso de CPU, utilizao de memria Swap Usage e acesso a disco) para obter grficos de uso por dia,
semana, ms e Ano.
Figura 3.13. Exibio do grfico da CPU
Figura 3.14. Display grfico de uso do disco
Figura 3.15. Display grfico de uso de memria
37 de 151 05/03/2010 00:40
Figura 3.16. Mostrar o uso da swap atuais
Traffic Graphs
Esta pgina fornece uma representao grfica da entrada e sada trfego da caixa ALE.
H sees para cada interface de rede, Verde e Vermelha (e Azul e laranja, se configurado), que mostram os grficos de entrada e de
sada trfego atravs dessa interface.
Clique em um dos grficos para mostrar grficos mais do trfego em essa interface: por dia, semana, ms e ano.
Figura 3.17. Exibe o grfico do trfego da interface GREEN
Figura 3.18. Exibe o grfico do trfego da interface RED
38 de 151 05/03/2010 00:40
Proxy Grficos
Esta pgina mostra o trfego que passaram pelo servio de proxy a caixa de ALE. A primeira seo apresenta a data e hora do grfico foi
criado, as linhas analisadas, a durao da anlise, a velocidade (linhas por segundo), a data de incio e fim e tempo do grfico, bem
como como o domnio (comprimento total do grfico em tempo).
Esta informao til para ver se o proxy tem a tamanho correto para a carga que est sendo experimentado.
Conexes
Endian Firewall Netfilter usa o Linux ou o firewall IPTables facilidade para manter um firewall dinmico. Firewalls Stateful acompanhar
ligaes de e para todos GREEN, BLUE e ORANGE endereos de rede IP, base de origem e destino endereos IP e portos, bem
como como o estado da conexo em si. Depois de uma conexo estabelecida envolvendo mquinas protegidas, apenas pacotes
compatveis com o actual estado da conexo permitido o seu caminho atravs do Endian Firewall.
O IPTables Connection Tracking mostra a janela as conexes IPTables. Pontos de extremidade de conexo so codificados por cores com
base em sua localizao na rede. A lenda de codificao por cores exibida na parte superior da da pgina. Informaes sobre
ligaes individuais exibida prximo. Cada ligao de ou para as suas redes mostrado.
Nota
Clique em um endereo IP para fazer uma pesquisa de DNS inversa.
Conexes Figura 3.19. Displays atual
Voc pode notar que as conexes que sero interceptadas por uma proxy transparente, no entanto, ser mostrado aqui em vez de duas
uma conexo do cliente para o firewall e do firewall para o controle remoto acolhimento, como se pode supor. Na verdade, voc vai ver
todos eles. A conexo do seu cliente para o proxy, a conexo do proxy para o controle remoto acolhimento e, alm disso, a ligao
interceptada de seu cliente para o mquina remota, uma vez que a verdadeira ligao que tem sido established.The outras duas
conexes so apenas conseqncias da redirecionamento para o proxy que naturalmente ser feito pelo kernel.
39 de 151 05/03/2010 00:40
Esta pgina mostra estatsticas grficos sobre o correio SMTP proxy.
Voc fica com os grficos dirios, semanais, mensais e anuais. Para cada categoria voc tem dois grficos. O primeiro mostra-lhe o
montante total de enviado mails de trs do firewall Endian indo o exterior de cor azul, eo montante total de recebeu mails de cor verde.
Dentro do grfico que vai ver que as informaes separadas para cada ponto do tempo visualizado como grfico. Para tanto, a mdia,
valor mnimo e mximo de mensagens por minutos ser calculado e mostrado abaixo.
O segundo grfico visualiza a quantidade de mensagens por minuto, que tenham sido bloqueados pelo proxy SMTP por causa de um
dos seguintes razes:
Rejeitado
O e-mail foi rejeitado diretamente durante a receber porque o servidor de correio no foi responsvel do domnio ou do
destinatrio que nem existem, etc
Saltado
O e-mail bounced. Isso significa que o e-mail foi aceite pela o servidor de correio, mas foi rejeitado por causa das diferentes
razes. Por exemplo, porque o servidor de correio no tem nenhuma chance de entregar o correio.
Vrus
O e-mail continha um vrus.
Spam
O e-mail foi spam.
Mail Queue
Exibe a fila de correio atual. No melhor dos casos este sempre vazio. A fila de correio electrnico que contm o servidor de correio no
tiver entregues, por diferentes razes. Voc vai encontrar a razo respectivos impresso em cada linha. Voc pode forar o servidor de
correio para iniciar a entrega de a fila de mensagens, premindo o boto Flush Mailqueue. Por favor, no esperar que a fila de correio
fica vazio Depois de fazer isso. Isso s comea a entrega. Se o servidor de correio devero ser incapaz de entregar alguns emails de
novo eles vo ficar na fila de correio, at expirao.
Figura 3.20. Fila de correio
Regras do IPTables
Esta janela mostra todas as regras de iptables que esto atualmente configurados no Endian Firewall.
Iptables regras Figura 3.21. Displays
Esta pgina foi modificada pela ltima vez: $ Date $.
Captulo 4. Menu Rede
Tabela de Contedos
Introduo
Alias
Introduo
Figura 4.1. Menu Rede selecionados
40 de 151 05/03/2010 00:40
Este grupo de pginas web projetada para ajud-lo a administrar a rede configurao relacionados. Para chegar a estas pginas na
Web, selecione Rede na barra de menu na parte superior da tela. O seguintes opes sero exibidas em um sub-menu esquerda:
Editar Hosts - Permite que voc especificar personalizado de acolhimento entradas para o servio de DNS.
Alias - Permite configurar IP aliases para a sua zona de burocracia a fim de configurar vrios endereos IP RED.
Esta pgina permite que voc configurar as entradas de acolhimento personalizado. Endian Firewall do Windows est em execuo um
proxy DNS chamado dnsmasq, Que encaminha todos os pedidos aos resolvedores de DNS do seu uplink RED. Voc pode configurar
o endereo IP da interface do firewall Endian respectiva zona de DNS como resolver em cada um dos seus clientes. Em seguida, o DNS
proxy ser usado e voc ir beneficiar de algumas das suas caractersticas. Um das melhores caractersticas , que sirva os nomes
dos hosts em o firewall. Isto muito til se voc deseja criar nomes de mquinas que s pode ser resolvido pelos seus clientes, mas
no pode configur-los diretamente na seu servidor DNS. Esta pgina permite que voc edite este arquivo hosts.
Abaixo, em Hosts atual voc ver listado (se houver) todos os atuais cadastros de acolhimento. Ao clicar no cone do lpis que voc pode
editar a entrada respectiva. O cone da lixeira remove a entrada.
Figura 4.2. Hosts atual
Para adicionar uma entrada do anfitrio novo basta clicar no Adicionar um anfitrio a fim de abrir o dilogo. Os seguintes campos sero
aparecer:
Endereo IP do host
Preencha o endereo de IP ao qual deseja que o novo hospedeiro aponta.
Hostname
41 de 151 05/03/2010 00:40
Preencha o nome da mquina que voc deseja atribuir ao ip endereo acima.
Nome de domnio
Este campo opcional. Se voc quiser ter o novo nome de host em um domnio, em seguida, adicion-lo. No entanto, se voc
gosta de ter apenas o hostname sem domnio, por exemplo, porque mais curto, ento deixe em branco.
Se voc criar por exemplo uma nova entrada com o endereo IP 207.46.19.30, Hostname beaten.by e domnio samba.org, Voc
ser capaz de ping batido.by.samba.org de cada um dos seus clientes.
Note que voc no vai ficar muito feliz se voc editar diretamente o / etc / hosts arquivo no firewall, uma vez que ser substituda pela
interface de administrao web, durante a reinicializao e alguns outros eventos, uma vez que o contedo do arquivo que ser gerado a
partir da configurao feitas nesta pgina.
Alias
Esta pgina permite-lhe criar aliases de IP para sua interface RED. Isso s possvel se o seu tipo RED ETHERNET esttico. Para
todos os outros tipos de vermelho que voc no tem a possibilidade de configurar mais de um Endereo IP RED. Voc normalmente
querem fazer isso se voc tiver mais de um endereo IP pblico a fim de torn-las acessveis a partir do exterior.
Figura 4.3. Adicionar um novo apelido
Se voc clicar em Adicionar um novo apelido, Ser capaz de criar um novo alias IP. Os campos de configurao que se seguem so
disponveis:
Nome
Preencha algum nome, que lhe permite identificar facilmente as alias depois. Este apenas um smbolo e no tem outro
significado. Voc pode se referir a esse nome mais tarde dentro da configurao de firewall.
Alias IP
O endereo IP que voc deseja configurar. Note que este endereo IP tem que ser no sub-RED, caso contrrio, o assistente
de configurao apresentar um erro.
Habilitado
Alterna a configurao do alias respectivo IP ou desligado.
Abaixo da caixa intitulada Atual aliases Voc pode ver uma lista de aliases j configurado IP (se qualquer). direita voc pode ativar /
desativar o alias respectivos IP clicando no cone de seleo. Com o cone do lpis que voc pode editar o respectivo alias IP e com o
cone do lixo que voc pode remover um.
Para cada um alias configurado IP pode definir firewall mais precisa regras mais nas pginas de configurao de firewall. Por exemplo,
voc pode portforwarding de configurar uma porta especfica de um alias de IP especficos para um servidor atrs ORANGE.
Captulo 5. Menu Servios
Tabela de Contedos
Introduo
Current locaes fixa
Adicionar um host
Hosts atual
ClamAV Antivirus
42 de 151 05/03/2010 00:40
Servidor
Clientes
XLC
WLC2
Hotspot
Introduo
Figura 5.1. Menu Servios selecionados
Alm de sua funo essencial de firewall de Internet, pode EFW fornecer um nmero de outros servios que so teis em uma pequena
rede.
Estes so:
Servidor DHCP
Dynamic DNS Gerenciamento
Clamav antivirus
Time Server
Traffic Shaping
Intrusion Detection Sistema
Linesrv (foi removido na verso 2.1)
Hotspot
Em uma rede maior, provvel que estes servios sero fornecidos pelos servidores dedicados e, portanto, deve ser desativado aqui.
DHCP (Dynamic Host Configuration Protocol) permite que voc controle a configurao de rede de todos os seus computadores ou
outros dispositivos de seu Endian Firewall. Quando um computador (ou um dispositivo como uma impressora, PDA, etc) junta-se a sua
rede ser automaticamente atribudo um endereo IP vlido e sua configurao DNS e WINS ser definido a partir da mquina ALE. Para
usar Esse recurso as mquinas devem ser configurados para obter suas configurao de rede automaticamente.
Voc pode escolher se deseja fornecer este servio aos seus GREEN (rede privada) e / ou sua BLUE (sem fio) ou laranja (DMZ) da rede.
Basta assinalar a casa adequada.
Para uma explicao completa do DHCP voc pode querer ler Linux Magazine Rede Nirvana - Como fazer rede Configurao fcil como
DHCP
Figura 5.2. Mostra DHCP pgina de administrao
43 de 151 05/03/2010 00:40
Os seguintes parmetros DHCP pode ser definido a partir da web Interface:
Comece Endereo (opcional)
Voc pode especificar o menor e mais endereos que o servidor ir distribuir para outros solicitantes. O padro a mo
fora todos os endereos dentro da sub-rede de configurar quando estiver instalando o Endian Firewall. Se voc tem
mquinas em sua rede que no No utilize DHCP, e ter seus endereos IP definido manualmente, voc deve definir o
incio eo final de endereos para que o servidor no ir entregar qualquer um desses IPs atribudos manualmente.
Nota
Voc tambm deve se certificar de que todos os endereos listados no seo de arrendamento
fixo (veja abaixo) tambm esto fora deste faixa.
Endereo Final (opcional)
Especifique o maior endereo que deseja questionrio (ver acima).
Padro tempo de concesso
Isso pode ser deixada em seu valor padro a menos que voc quiser especificar seu prprio valor. O tempo de concesso o
tempo padro intervalo que usado antes da locao para um endereo IP atribudo expira e computadores ir
solicitar uma renovao de contrato de arrendamento, especificando o seu endereo IP atual.
Nota
Se voc alterar os seus parmetros de DHCP essas alteraes sero propagado para as
mquinas na sua rede, quando um pedido nova locao. Geralmente, as concesses so
renovadas pelo servidor.
O tempo mximo de locao
Isso pode ser deixada em seu valor padro a menos que voc quiser especificar seu prprio valor. O tempo de concesso o
tempo mximo intervalo durante o qual o servidor DHCP ir honrar sempre cliente pedidos de renovao de seus
atuais endereos IP. Aps o mximo tempo de concesso, os endereos IP de cliente pode ser alterado pelo servidor. Se
o intervalo de endereos IP dinmicos mudou, o servidor ir distribuir um endereo IP do novo intervalo dinmico.
Sufixo de nome de domnio (opcional)
Define o nome de domnio que o servidor DHCP ir passar para o clientes. Se um nome de host no pode ser resolvido, o
cliente ir tentar novamente, depois de anexar o nome especificado para o host original nome. Muitos servidores ISP's
DHCP definir o nome do domnio padro para seus clientes o nome da rede e dizer para chegar web, inserindo
"www", Como a home page padro do seu navegador. "www"No um nome de domnio totalmente qualificado. Mas o
software no seu computador ir acrescentar o sufixo de nome de domnio fornecidos pelo servidor DHCP do ISP para
ele, criando um FQDN para o servidor web. Se voc no deseja que seus usurios tenham a desaprender endereos
como www, definir o sufixo de nome de domnio para DHCP do ISP especificaes do servidor.
44 de 151 05/03/2010 00:40
Nota
No deve haver um ponto esquerda nesta casa.
DNS Primrio
Especifica que o servidor DHCP deve informar os seus clientes a utilizar como servidor DNS primrio. Porque Endian Firewall
funciona um DNS proxy, provavelmente voc vai querer deixar o valor padro aqui assim o servidor DNS primrio
definido como o endereo IP da caixa EFW. Se voc ter seu prprio servidor DNS, em seguida, especific-lo aqui.
DNS Secundrio
Voc tambm pode especificar um segundo servidor DNS que ser utilizado se o primrio no est disponvel. Este poderia
ser um outro servidor de DNS sua rede ou de seu provedor.
Primary NTP Server (opcional)
Se voc estiver usando Endian Firewall como um servidor NTP, ou quiser para passar o endereo de outro servidor NTP para
dispositivos na sua rede, voc pode colocar o seu endereo IP nesta caixa. O servidor DHCP vai passar este endereo
para todos os clientes quando chegar a sua rede parmetros.
Servidor NTP Secundrio (opcional)
Se voc tiver um segundo endereo do servidor NTP, coloc-la nesta casa. O servidor DHCP ir passar este endereo para
todos os clientes quando eles obter parmetros de sua rede.
Endereo do servidor WINS primrio (opcional)
Se voc estiver executando uma rede Windows e tem um Windows Naming Service (WINS), voc pode colocar o seu endereo
IP nesta caixa. O servidor DHCP ir passar este endereo para todos os hosts, quando obter parmetros de sua rede.
Endereo do servidor WINS secundrio (opcional)
Se voc tiver um segundo servidor WINS, voc pode colocar o seu endereo IP nesta casa. O servidor DHCP ir passar este
endereo para todos os hosts quando comeam os seus parmetros de rede.
Abaixo voc vai encontrar as seguintes confguration global possibilidade:
Linhas de configurao personalizada
Neste campo, voc tem a possibilidade de adicionar linhas de configurao que ser adicionado ao arquivo de
configurao do servidor DHCP. Esta certamente opcional.
Aviso
Use-o apenas se voc sabe exatamente o que voc est fazendo, desde a sintaxe errada far
com que o servidor DHCP para recusar a trabalho! Leia a documentao do servidor DHCP
ISC para ter certeza se voc precisa adicionar as linhas de configurao personalizado.
Por exemplo, voc pode usar esta configurao possibilidade de enviar a localizao dos arquivos de configurao o
seu telefone VoIP para os telefones.
Exemplo 5.1. Exemplo de uma linha confguration personalizado
option tftp-server-name "http://% (GREEN_ADDRESS) s";
bootfile opo-name "download / snom / (mac). html";
Quando voc pressiona Salvar, As alteraes ser aplicado.
Se voc tiver mquinas cujos endereos IP que voc gostaria de gerir central, mas exigem que eles sempre obter o mesmo IP fixo
endereo pode dizer ao servidor DHCP para atribuir um endereo fixo baseado no MAC endereo da placa de rede na mquina.
Isso diferente de usar endereos manual como estas mquinas ainda ir contactar o servidor DHCP para pedir o seu endereo IP e
tomar qualquer coisa que voc tenha configurado para eles.
Figura 5.3. Adicionar uma locao fixa
Voc pode especificar os seguintes parmetros de arrendamento fixo:
MAC Address
O octeto seis / dois pontos separados byte do endereo MAC Mquina que o fixo para locao.
45 de 151 05/03/2010 00:40
Aviso
O formato do endereo MAC xx: xx: xx: xx: xx: xx, no xx-xx-xx-xx-xx-xx, como mostram
algumas mquinas, ou seja, 00: e5: b0: 00:02: D2.
Endereo IP
A concesso de endereo IP esttico que o servidor DHCP sempre mo para o endereo MAC associado.
Nota
No utilize um endereo de endereo dinmico do servidor faixa.
Remark (opcional)
Se quiser, voc pode incluir uma seqncia de caracteres de texto para identificar o dispositivo com o contrato fixo.
Em seguida Endereo (opcional)
Algumas mquinas na rede podem ser clientes finos que precisam para carregar um arquivo de inicializao de um servidor de
rede. Voc pode especificar a servidor aqui, se necessrio.
Nome do arquivo (opcional)
Especifique o ficheiro de arranque para esta mquina.
Root Path (opcional)
Se o arquivo de inicializao no est no diretrio padro, ento especificar o caminho completo para ele aqui.
Habilitado
Clique nesta caixa de seleo para indicar o servidor DHCP para distribuir presente locao esttica. Se a entrada no
habilitado, ele ser armazenado em arquivos de ALE, mas o servidor DHCP no ir emitir este arrendamento.
Current locaes fixa
Esta seo mostra as atuais locaes fixa e permite a edio ou exclu-los.
Voc pode ordenar a exibio dos contratos de arrendamento fixo, clicando no ttulos sublinhados MAC Address ou IP Endereo.
Outro clique sobre o ttulo, ir inverter a sorte pedido.
Figura 5.4. Mostra a atual locao fixa
Para editar um arrendamento existente, clique sobre seu lpis cone. Os valores fixados locaes sero exibidas no Editar um existentes
arrendamento seo da pgina. O contrato de arrendamento fixo a ser editada ser destaque em amarelo. Clique no Atualizar boto
para salvar as alteraes.
Para remover um perfil existente, clique sobre seu trash poder cone. O arrendamento ser removido.
Se o DHCP habilitado, esta seo lista as locaes dinmica contidos no / var / lib / dhcp / dhcpd.leases arquivo. O endereo IP,
MAC Address, hostname (se disponvel) e de caducidade de arrendamento tempo de cada registro so mostrados, ordenados por
endereo IP.
Voc pode ordenar a exibio dos contratos de arrendamento dinmico, clicando em qualquer um dos sublinhou os quatro ttulos de
coluna. Um clique mais ir inverter a ordem de classificao.
fcil de cortar e colar um endereo MAC a partir daqui para o fixo seo de locao (ver a seo chamada "Current arrendamento
fixo"), Se necessrio.
Figura 5.5. Mostra os contratos em vigor dinmico
Lease times que j esto expirados "golpeado atravs de.
46 de 151 05/03/2010 00:40
Uma mensagem de erro ir aparecer no topo da pgina, se um erro encontrada nos dados de entrada, depois de pressionar o Salvar
boto.
Dynamic DNS (DynDNS) permite que voc faa o seu servidor disposio do Internet ainda no tem um endereo IP esttico. Para usar
DYNDNS primeiro voc deve registrar um subdomnio com um provedor de DYNDNS. Ento, sempre que o servidor se conecta
Internet e dado um endereo IP, o seu ISP deve dizer ao servidor DYNDNS este endereo IP. Quando uma mquina cliente deseja
se conectar ao servidor que ir resolver o endereo, solicitando DYNDNS servidor, que ir responder com o valor mais recente. Se isso
at data, em seguida, o cliente poder entrar em contato com seu servidor (assumindo que o seu regras de firewall permitir isso).
ALE faz o processo de manter seu DYNDNS endereo atualizado facilitado pela existncia de actualizaes automticas para muitos dos
Prestadores DYNDNS.
Adicionar um host
Figura 5.6. Mostra o dilogo que lhe permite criar um novo DynDNS configurao
Os seguintes parmetros DYNDNS pode ser definido a partir da web Interface:
Servio
Escolha um fornecedor DYNDNS no menu suspenso. Voc deve ter j est registrado com o provedor.
Por trs de um proxy
Esta caixa de seleo deve ser assinalada somente se voc estiver usando o no-ip.com e seu servio Endian Firewall est
atrs de um proxy. Este caixa de seleo ignorado se voc escolher qualquer um dos outros servios.
Habilitar coringas
Wildcards Habilitar ir permitir que voc tenha todos os subdomnios de sua dinmica de DNS hostname apontando para o IP
que o seu host (por exemplo, com essa caixa de seleo ativada, www.some.dyndns.org ir apontar para o IP que
some.dyndns.org). Esta opo est intil sem o servio no-ip.com, uma vez que s permite que isso seja ativado ou
desativado diretamente em seu site.
Hostname
Informe o nome registrado com o seu DYNDNS provedor.
Domnio
Digite o nome de domnio que voc registrou com sua DYNDNS provedor.
Nome de Utilizador
Digite o nome que voc registrou com sua DYNDNS provedor.
Senha
Digite a senha para o seu nome de usurio.
atrs de Router (NAT)
Se o seu Endian Firewall reside atrs de um dispositivo que faz NAT, preciso assinalar isto. Nesse caso, o Endian Firewall
no pode conhecer o verdadeiro endereo IP pblico que necessrio para atualizando embora. A fim de obter o
endereo IP real Endian Firewall usa checkip.dyndns.org para determinar o real endereo IP pblico.
Habilitado
Se isso no est marcada, ento Endian Firewall no ir atualizar as informaes sobre o servidor DynDNS. Ele ir manter o
informaes para que possa reativar atualizaes DYNDNS sem reentering os dados.
Hosts atual
Esta seo mostra as entradas DYNDNS voc tem atualmente configurado.
Figura 5.7. Mostra actual configurao DynDNS configurado
47 de 151 05/03/2010 00:40
Para editar uma entrada clique no seu lpis cone. O entrada de dados ser exibida no formulrio acima. Faa as suas alteraes e
clique no Salvar boto no formulrio.
Voc tambm pode atualizar o Por trs de um proxy, Use curingas e Habilitado carrapato caixas diretamente a partir da entrada do
anfitrio actual lista.
Voc pode forar EFW para atualizar as informaes manualmente premindo Force UpdateNo entanto, o melhor apenas a atualizao
quando o endereo IP de fato mudou, como o servio de DNS dinmico fornecedores no gostam de lidar com as atualizaes que
no fazer alteraes. Uma vez que o entradas de acolhimento tm sido habilitado o seu IP ser automaticamente actualizado cada
vez que muda o seu IP.
ClamAV Antivirus
ClamAV um antivrus de cdigo aberto que pode ser usado para verificar todos os trfego de entrada para vrus. Endian Firewall permite
que voc configure o mais caractersticas importantes.
Figura 5.8. ClamAV Antivirus
No Configurao do Clamav caixa voc pode definir o ClamAV como ir lidar com arquivos de entrada. As opes so:
Mx. tamanho de arquivo
Isso permite que voc defina o tamanho mximo do arquivo em megabytes que ser digitalizado pelo ClamAV.
Mx. arquivos aninhados
Aqui voc pode especificar a profundidade mxima de arquivos aninhados ClamAV far a varredura.
Mx. arquivos no arquivo
ClamAV no far a varredura de arquivos que contm arquivos de mais de especificado aqui.
Capacidade de compresso
Aqui voc pode especificar a taxa de compresso mxima de arquivos que sero examinadas pelo ClamAV.
Manipular arquivos ruim
Ao selecionar o No verificar mas passam RadioButton, todos os arquivos que no cumpram a qualquer dos parmetros
descritos acima no sero digitalizados, mas ainda vai passar. Voc pode alterar esse comportamento atravs da seleco
Bloco como vrus. Este vai bloquear todos os arquivos que no cumprem a qualquer um desses parmetros.
48 de 151 05/03/2010 00:40
Bloco de arquivos criptografados
ClamAV no pode digitalizar arquivos criptografados. Se voc no quer arquivos criptografados para passar a verificao de
vrus presente no carrapato.
Voc tambm pode alterar o intervalo de atualizao de sua assinatura clamav banco de dados selecionando o intervalo apropriado tipo
no Clamav agendamento de atualizao de assinatura seo.
Dica
Movendo o cursor do mouse sobre as dvidas que voc ir receber informaes sobre quando exatamente
o que vai acontecer actualizaes para os respectivos intervalo tipo.
Endian Firewall pode ser configurado para obter o tempo de um conhecido timeserver precisas sobre a Internet. Alm disso, pode
tambm fornecer esse tempo para outras mquinas em sua rede.
Figura 5.9. Mostra o servidor Time pgina da Web administrativa
Para configurar o sistema de tempo, certifique-se que o Habilitado caixa est marcada e digite o nome completo do timeserver que
pretende utilizar no Primary NTP Server caixa. Voc tambm pode inserir um opcional NTP Secundrio Servidor se voc quiser.
Endian Firewall ir utilizar esses servidores NTP para manter o seu tempo sincronizados. Ele faz automaticamente uma atualizao a
cada hora. Se voc fizer no quer que seu firewall para atualizar-se certifique-se a Servidores sincronizar com o tempo caixa no
controlados.
Se voc quer mudar o fuso horrio que voc pode fazer isso no Alterar o fuso horrio caixa. Basta seleccionar o seu fuso horrio a partir
da lista drop-down e bateu o Salvar boto.
Para salvar sua configurao, clique no Salvar boto.
Se voc optar por no usar um timeserver Internet, assinalando fora Servidores sincronizar com o tempo voc pode entrar no time
manualmente e clique no Instant Update boto no Atualizao de caixa do tempo.
Nota
Antes da verso 2.1, o Sincronizar com o tempo servidores opo foi chamado Desabilitar autoupdate e
sua funcionalidade foi invertido desde ento.
Nota
Antes da verso 2,1 Endian Firewall estava usando o comando ntpdate. Desde 2,1 usa o daemon ntpd
para sincronizar o horrio, que mais exato.
Nota
A primeira vez que o processo de sincronizao pode demorar alguns minutos se o tempo pr-configurado
extremamente errado.
Traffic Shaping permite priorizar o trfego IP em movimento atravs de firewall. Endian Firewall wondershaper usa para fazer isso.
Wondershaper foi projetado para minimizar a latncia e ping para garantir que trfego interativo como SSH sensvel durante o
49 de 151 05/03/2010 00:40
download ou upload dados em massa.
Figura 5.10. Mostra traffic shaping configuraes
Muitos ISPs vender velocidade como as taxas de download, e no como latncia. Para maximizar velocidades de download, configurar os
seus equipamentos para armazenar grandes filas de seu trfego. Quando o trfego interativo misturado essas filas grandes, sua
latncia tiros maneira acima, como pacotes ACK deve esperar na fila antes que eles alcan-lo. Endian Firewall exame de matrias em
suas prprias mos e prioriza o trfego do jeito que voc quer. Isto feito atravs da criao trfego em Alto, Mdio e Baixo categorias
prioritrias. Ping trfego de sempre tem a maior prioridade - para lhe mostrar o quo rpido sua conexo ao fazer downloads em
massa.
Figura 5.11. Mostra o tipo de servio de configurao
Para usar o Traffic Shaping no Endian Firewall:
Use sites bem conhecidos e rpido para estimar o carregamento mximo e velocidades de download. Preencha as velocidades
nas caixas correspondentes da Definies parte da pgina web.
1.
Habilitar moldar o trfego, verificando a Habilitar caixa. 2.
Identificar o que os servios sejam utilizados por trs do firewall. 3.
Em seguida, classificar estes em seu 3 nveis de prioridade. Por exemplo:
Interactive trfego, tais como porta SSH (22) e VoIP (voz over IP) entrar no grupo de alta prioridade. a.
Seu navegao normal do trfego e da comunicao como a web (porta 80) e streaming de vdeo / udio para a
prioridade mdia grupo.
b.
Coloque o seu trfego a granel, como compartilhamento de arquivos P2P na baixa grupo de trfego. c.
4.
Criar uma lista de servios e as prioridades com o Adicionar servio parte da pgina web. 5.
Os servios acima so apenas exemplos do potencial de trfego Shaping configurao. Dependendo do uso, voc vai, sem dvida, quer
para reorganizar as suas opes de trfego de prioridade alta, mdia e baixa.
Endian Firewall contm um poderoso sistema de deteco de intruso -- Snort - que analisa o contedo dos pacotes recebidos pelo
firewall e pesquisas para as assinaturas conhecidas de atividades maliciosas.
Figura 5.12. Intrusion Detection System pgina da Web administrativa
50 de 151 05/03/2010 00:40
ALE pode monitorar os pacotes no verde, azul, laranja e vermelho interfaces. Basta assinalar as casas pertinentes e clique no Salvar
boto.
Quanto mais ataques so descobertas as regras do Snort usa para reconhecer eles sero atualizados. Voc pode escolher entre 3 tipos
de atualizao:
Regras (subscrio no necessrio)
Sourcefire com regras VRT subscrio
Sourcefire regras VRT para registrados Usurios
Sourcefire VRT Certified As regras so as regras oficiais da snort.org. Cada regra tem sido rigorosamente testados contra os mesmos
padres o VRT usa para clientes Sourcefire. Estas regras so distribudas sob a nova VRT Certified Rules licena que restringe
comercial redistribuio. H trs formas de se obter estas regras:
Assinantes regras receber atualizaes em tempo real como so disponvel. 1.
Os usurios registrados podem acessar as atualizaes regra 5 dias aps a liberao para os usurios de subscrio. 2.
Usurios registrados recebem um conjunto de regras esttica no momento da cada grande Snort Release. 3.
Para baixar a verso mais recente, selecione o tipo de regras preferenciais e clique no Novo conjunto de regras Download boto. Para
utilizar Sourcefire VRT Certified Rules, voc precisa se registrar no http://www.snort.org, reconhecem a licena, receber a sua senha
e-mail, e se conectar ao site. V s preferncias do usurio, pressione o boto "Obter Cdigo boto "na parte inferior e copiar o
personagem 40 Oink cdigo no campo.
Nota
Linesrv foi completamente removido EM VERSO 2,1!
Linesrv um servidor para controlar remotamente a internet connection.Clients em outros hosts pode agora falar com este servidor e
dizer que deve estabelecer um certo line.Then envia para todos os clientes conectados uma mensagem de que a conexo
estabelecida. A ligao no vai ficar mortos at que cada cliente disse para o fazer, tinha um tempo limite ou que tenha sido
rescindido.
Servidor
Linesrv a parte do servidor do Tool.You LineControl precisa ativar o servidor se voc quiser usar a clientes remotos.
Figura 5.13. Linesrv
Habilitado:
Assinale esta opo para habilitar o servidor LineControl.
Salvar
Para salvar as alteraes e reiniciar o servidor LineControl imprensa no boto Salvar.
51 de 151 05/03/2010 00:40
Nota
O servidor LineControl freqentemente usada com linhas ISDN e Portanto, desejvel que a linha no
vai automtico at em um reboot.This padro quando o linesrv est habilitado.
Clientes
Existe vrios clientes para GNU / Linux / Windows e clientes escrito em Java (plattform independentes). Os clientes podem ser baixados
de linecontrol.srf.ch.
XLC
XLC um linux LineControl Cliente (linux X gtk ()). Se a sua distro no tm a bordo xlc voc pode obter o cliente a partir de
linecontrol.srf.ch.
Figura 5.14. XLC Linha para baixo
A imagem mostra o cliente com um XLC principal desconectado linha.
Figura 5.15. XLC iniciar uma conexo
A imagem mostra como conectar a linha principal.
Figura 5.16. XLC principal ligao iniciada
Os clientes XLC mostram que a principal linha est conectada.
Figura 5.17. XLC backup manualmente
52 de 151 05/03/2010 00:40
A linha principal feito manualmente eo servidor no pode LineControl Parar / iniciar a conexo de rea quando a ligao iniciada
atravs a interface grfica web.
Aviso
O LineControl s pode controlar conexo iniciada cocho o linesrv.If os clientes mostra o status "up
manualmente", voc precisa desligue a linha de cocho a GUI da Web e iniciar a ligao a partir o
cliente LineControl.
WLC2
WLC2 um cliente Windows para o Server.The LineControl Cliente funciona em Win 9x/Me/2000/XP/2003 e ca ser descarregado a
partir linecontrol.srf.ch
Figura 5.18. WLC desconectado
A linha principal desligado e voc pode se conectar a linha pressionando o boto on-line.
Figura 5.19. WLC linha de at
A principal ligao estabelecida e voc e pode fechar o ligao, pressionando o button.If offline nenhum outro usurio tem o
ligao Internet a linha cai.
Figura 5.20. WLC conexo estabelecida
Outro usurios usando o connection.You internet pode agora pressionar o boto on-line ea conexo no ser morto, at que cada
cliente disse para o fazer.
Figura 5.21. WLC backup manualmente
53 de 151 05/03/2010 00:40
A linha principal feito manualmente eo servidor no pode LineControl Parar / iniciar a conexo de rea quando a ligao iniciada
atravs a interface grfica web.
Aviso
O LineControl s pode controlar conexo iniciada cocho o linesrv.If os clientes mostra o status "up
manualmente", voc precisa desligue a linha de cocho a GUI da Web e iniciar a conexo a
partir do cliente LineControl.
Aviso
Por favor, feche ou desconectar qualquer cliente LineControl antes reiniciar o servidor LineControl.
Hotspot
Figura 5.22. Hotspot Ativao
Nesta pgina voc pode ativar o Hotspot Endian sobre a zona azul por tique-taque na caixa de seleo Ativado em AZUL e depois de
bater a Salvar boto. Para mais opes de configurao que voc tem que clicar sobre o Hotspot link interface de administrao que,
ento, abrir um novo pgina.
Nota
Para ser capaz de executar o Hotspot Endian voc ter que tm a zona azul habilitado. O IP da interface
BLUE deve pertencer a uma rede de classe C e deve terminar com um exemplo de fuga ,1
192.168.20.1/24. A ponte para a zona azul no suportar mais do que uma porta.
Nota
Normalmente, o hotspot destinado ao uso de redes sem fio, No entanto, este no obrigatria. bem
possvel ligar um switch normal porta LAN BLUE. Observe tambm que no existe ponto de acesso
wireless fornecido com o Endian Firewall.
Dica
Se voc estiver executando uma verso comunitria do Endian Firewall e so perguntando onde o Endian
Hotspot pode ser apenas a atualizao para o Endian Firewall Enterprise Edition.
Esta pgina foi modificada pela ltima vez: $ Date: 2006-11-22 00:47:05 +0100 (Wed, 22 Nov 2006) $.
Captulo 6. Firewall Menu
Tabela de Contedos
Introduo
Firewall
54 de 151 05/03/2010 00:40
Introduo
Figura 6.1. Firewall menu selecionado
No menu Firewall voc pode encontrar algumas das funes bsicas de ALE que controlam como o trfego ir fluir atravs do firewall.
Estes so:
Porto Transmisso
Externo Acesso (Administrao de controles remotos de ALE do Internet)
Zona Pinholes
Outgoing Firewall
Firewall
Esta caracterstica uma das peas mais importantes do Endian Firewall e muito provavelmente a razo para que voc use um firewall.
Endian Firewall usa um firewall netfilter padro e cria regras de firewall usando iptables. Basicamente Endian Firewall configurado
em um forma que o firewall em si o nico ponto de contato com visto do ou fora da internet. Os endereos IP pblicos podem ser
atribudos apenas a a interface RED, assim, tentar uma conexo da Internet para uma de addressess seu IP pblico atingir apenas a
interface RED do firewall e no pode ultrapassar como esta foi feita tecnicamente impossvel pelo uso de NAT. Roteamento de
endereos IP pblicos para uma zona atrs do firewall sero evitados pois isso contornar a regras de firewall.
Figura 6.2. Diagrama de controle de fluxo e sua configurao possibilidades
Se no estiver configurado de outra forma, as configuraes de firewall padro ser bloquear todo o trfego vindo do exterior. Como o
comportamento padro, o trfego a partir da Zona Verde ser permitida a passagem de cada uma das outras zonas (Azul e laranja),
pois verde a rede de confiana, mas para cada passagem de uma zona para outra NAT ser realizada a obscurecer o real fonte
endereo de e - fazendo isso - ocultar todas as informaes sobre o configurao de rede da Zona Verde. Por outro lado, no tem acesso
a partir qualquer das outras zonas ser concedido a qualquer lugar, por padro. A nica exceo o acesso interface RED, a
internet - mas ainda apenas alguns servios padro (HTTP, FTP, SMTP, DNS) so permitidas por padro ao acessar a partir da Zona
Verde e DNS apenas quando tentam acessar a partir Azul e zonas ORANGE.
Certamente Endian Firewall lhe d a possibilidade de aliviar essas fortes restries e permitem definir regras de acesso entre cada zona.
A fim de permitir o acesso a RED - a internet - voc ter que configurar isso no firewall de sada submenu. Se voc precisa dar
acesso a partir do exterior para o prprio firewall, voc necessidade de criar regras no Acesso Externo menu. Acesso de azul para
verde e de laranja para verde ou azul ser organizado pela Pinholes Zone.
Se voc tiver servidores na DMZ em laranja e necessidade de permitir o acesso da internet, voc pode criar um encaminhamento de porta
regra. Voc pode portos flexvel frente diferente do mesmo endereo IP para diferentes servidores na DMZ ou portas diferentes de
endereos IP diferente para os mesmos servidores, exatamente como voc deseja.
Esta subseco permite configurar as configuraes de Port Forwarding para o Endian Firewall. Isso 100% opcional, ento voc pode
ignorar esta seo se voc no quiser fazer uso deste recurso.
Firewalls evitar pedidos externamente incio de acessar o protegidos do sistema. No entanto, s vezes, isso pode ser muito rigoroso.
Para exemplo, se um est executando um servidor web, ento todos os pedidos para que a Web servidor por usurios fora da rede
protegido ser bloqueada por padro. Isto significa que apenas os utilizadores na mesma rede interna pode usar este servidor web.
55 de 151 05/03/2010 00:40
Obviamente esta no a situao normal para a web servidores. A maioria das pessoas querer pessoas de de fora para poder
acessar o servidor. Isto onde Port Transmisso entra
Port Forwarding um servio que permite um acesso limitado ao LANs internas do exterior. Quando voc configurar o servidor, voc
pode Escolha o recebimento ou "ouvir"Portas no mercado interno mquinas da rede. Essas portas so diferentes para cada tipo de
servio que podem ser hospedado. Consulte a documentao que veio com seus servidores para configurar as portas nesses
servidores.
Figura 6.3. Adicionando uma nova configurao portforwarding
Uma vez que esses portos esto prontos a receber, voc pode digitar o informao que necessria para a interface de administrao
no Endian Firewall. Os campos a seguir descreve cada configurao:
Protocolo
Esta lista suspensa permite escolher qual protocolo esta regra se seguiro. Os valores possveis so TCP, UDP e GRE. A
maioria dos servidores regulares usam TCP. Alguns Servidores de jogos e chat usar UDP. O protocolo GRE usado
por exemplo, em PPTP. Se o protocolo no especificado no documentao do servidor, ento ele geralmente o
TCP.
Porta de origem
Esta a porta para que os estrangeiros iro se conectar. Em maioria dos casos, esta ser a porta padro para o servio a ser
oferecidos (80 para servidores web, 20 e 21 para servidores de FTP, 25 para a servidores de correio, etc) Se voc
quiser, voc pode especificar um intervalo de portas para a frente. Para especificar um intervalo de usar o ":"
caracteres entre dois nmeros de porta menor, primeiro nmero.
Nota
Intervalos de porta no podem se sobrepor uns aos outros.
Destination IP
o endereo IP interno do servidor (por exemplo, voc pode ter seu servidor web rodando em 192.168.0.3).
Porta de Destino
a porta que voc escolheu quando voc configurar sua servidor no primeiro pargrafo. Voc s precisa digitar o cdigo
porto, o destino ser preenchido para voc se ele no diferem.
Alias IP
Este menu dropdown permite que voc escolha qual RED IP ser afectados por esta regra. Endian Firewall tem a capacidade
de manipulao de mais de um RED IP. Com a Alias no submenu Rede menu principal, voc capaz de configurar
lhes. Se voc tiver apenas um RED IP configurado, em seguida, escolha Default IP.
Remark
Isto opcional. Como o nome diz este campo permite que voc para adicionar algum comentrio, para mais fcil identificar a
regra no regras em vigor lista.
Habilitado
Marque esta caixa para permitir que a regra atual. Voc pode desativar temporariamente uma regra, assinalando-lo.
Endian Firewall cria automaticamente uma regra NAT para cada zona de cada regra de reencaminhamento de porta configurado para
permitir o acesso a ORANGE no s da RED, mas tambm de cada uma das outras zonas.
Nota
Se voc criar uma regra de reencaminhamento da porta de um alias de IP, Endian Firewall
automaticamente gera regras NAT para conexes de sada iniciada pela mquina para que a porta tenha
sido encaminhada. Em Para alterar o endereo IP de origem para o alias respectivo IP. Esta NAT
ir ocorrer apenas para os portos de destino iguais aos encaminhada. Isso necessrio por exemplo, se
voc quiser executar um e-mail servidor dentro da DMZ e, portanto, encaminhar a porta 25 para a
mquina na rede ORANGE. Essa mquina certamente precisa enviar e-mails alias com o IP e no
com o principal endereo IP RED.
O Acesso Externo Pginas especiais NO efeito sobre o Livro Verde ou redes ORANGE. Ele est aqui para permitir que voc abra as
portas para a caixa de ALE si e no para o GREEN ou redes ORANGE.
56 de 151 05/03/2010 00:40
Como permitir o acesso externo, ento? combinado com o Port Forwarding pgina - existe um campo na pgina rotulado: 'IP de
origem, ou a rede (em branco para "ALL"):'
Este o campo que controla o acesso externo - se voc deix-la BLANK, a regra de port forwarding ser aplicada a Todos os endereos
Internet. Alternativamente, se voc coloque um endereo de rede ou acesso a este campo ser restringido s que a rede
especificado ou endereo na internet.
Figura 6.4. Adiciona uma ACL para uma regra portforwarding
Voc pode ter mais de um endereo externo - depois de ter criou o reencaminhamento da porta de entrada, ele ir aparecer na tabela.
Se voc deseja adicionar outro endereo externo, clique no Red Pencil com o sinal Plus ao lado da entrada - a tela de entrada no
topo da pgina vai mudar (que ir carregar os valores do porto encaminhamento de entrada) e permitem que voc digite um
endereo IP externo ou rede. Quando adicionado agora voc vai notar que existe uma nova entrada para esta porta transmitido na
tabela.
Nota
Voc pode ter intervalos de portas e curingas. Valid wildcards so:
* Que se traduz em 1-65535
85 -* o que se traduz 85-65535
*- 500, que se traduz em 1-500
Portos Reservados - sobre os principais Red Endereo (IP padro), alguns portas so reservadas
para os servios de ALE, so 67, 68 para fazer DHCP VERMELHO e 10443 para a interface web
em si.
Figura 6.5. Actualmente configurado regras portforwarding
Voc j observou as regras a seguir na lista As regras actuais caixa, uma vez que este o lugar onde Voc pode encontrar o cone do
lpis vermelho. Voc pode editar um registo, clicando em o Yellow Pencil cone no Ao coluna e at que voc aperte o boto atualizar
nada muda e nada est perdido. Quando voc est editando um registro que vai ver o registro de destaque em amarelo. Quando
voc edita uma porta encaminhamento regra, haver uma caixa de seleo extra marcado Substituir o acesso externo a ALL. Isto
usado como um maneira rpida e suja para abrir uma porta para ALL Internet Endereos para testar ou seja l suas razes podem
ser.
Para excluir um registro, clique no Lixeira cone no lado direito da Ao coluna.
Nota
Se voc tiver um porto enviada com vrias regras de acesso externo e excluir todas as regras de acesso
externo, a porta fica aberta para Todos os endereos, tenha cuidado.
Existe um atalho para ativar ou desativar uma porta para a frente ou acesso externo - clicar no "Habilitado"(cone na caixa de
seleo no Ao coluna) para a entrada especfico que voc deseja habilitar ou desabilitar. O cone muda para uma caixa vazia quando
a regra desativado. Clique sobre a caixa de seleo para ativ-lo novamente.
Nota
Quando voc desativar a porta para a frente, todos os associados externos regras de acesso so
deficientes, e quando voc habilitar a porta para a frente, todos os associados regras de acesso externo
esto habilitados.
57 de 151 05/03/2010 00:40
Esta subseco permite configurar o Externo Acesso definies para a mquina Firewall Endian si. Esta 100% opcional, ento voc
pode ignorar esta seo se voc no quiser fazer uso deste recurso.
Figura 6.6. Adicionar uma nova regra de acesso externo
Acesso Externo apenas controla o acesso caixa de Firewall Endian. Ele no tem efeito sobre o verde, azul ou acesso rede ORANGE.
Isso controlada no Port Forwarding seo, como descrito acima.
Se voc quiser manter sua mquina EFW remotamente, voc deve habilitar acesso na porta TCP 10443, Https. Se voc tiver habilitado
acesso SSH, voc tambm pode habilitar a porta TCP 22, ssh.
O seguinte descreve os campos de configurao do Adicionar uma nova regra caixa:
Protocolo
A lista suspensa permite escolher qual protocolo esta Estado vai seguir. Os valores possveis so TCP e UDP. A maioria dos
servidores regulares usam TCP. Se o protocolo no especificado na documentao do servidor, ento geralmente
TCP.
IP de origem, ou a rede (em branco para "ALL")
Este o endereo IP da mquina externa (s) que pretende dar permisso para acessar seu firewall. Voc pode deixar este
em branco, que permite que qualquer endereo IP para se conectar. Apesar de perigoso, Isso til se voc quiser
manter sua mquina de qualquer lugar no mundo. No entanto, se voc pode limitar os endereos IP para manuteno
remota, apenas estes endereos IP ou redes deve ser listadas nesta caixa.
Porta de Destino
Esta a porta externa que lhes permitido o acesso, ou seja, 10443.
Destination IP
Este menu dropdown permite que voc escolha que este RED IP regra afetar. Endian Firewall tem a capacidade de
manipulao mais de um RED IP. Se voc tiver apenas um RED IP configurado em seguida escolher Default IP.
Habilitado
Depois de ter introduzido toda a imprensa a informao Adicionar. Isto ir mover a regra para a prxima seo, e list-la como uma regra
ativa.
As regras actuais lista todas as regras que tm foi criado. Para remover um, clique no Lixeira cone. Para editar um, clique no Yellow
Pencil cone.
Para ativar ou desativar uma regra - clique no Habilitado cone (a caixa de seleo no Ao coluna) para a entrada em particular voc
deseja habilitar ou desabilitar. O cone muda para uma caixa vazia quando a regra est desativada. Clique novamente sobre a caixa de
seleo reativ-lo.
Figura 6.7. Displays regras actualmente configurado
Nota
Por padro, a 113 porta ser aberta. Esta uma soluo suja para fazer ligaes mais rpidas. Uma vez
que muitos servios usar um velho inseguro protocolo (ident) para cumprir as normas, que pede para o
usurio remoto que estabeleceu a conexo com o servio e fazer a maioria das mquinas no suporta
mais este servio, as ligaes de um longo tempo para estabelecer com xito, uma vez que o pedido ident
precisa de tempo limite porque o firewall ignorar esses pacotes. Esta regra abre a porta ident, de modo que
o kernel pode prontamente rejeitar o pacote ident e no h necessidade de timeout. Actualmente, esta
a nica possibilidade j que ainda no existe uma apoio para rejeitar pacotes. Endian Firewall suporta
apenas silenciosamente soltando-os.
58 de 151 05/03/2010 00:40
Esta subseco permite configurar as definies da zona Pinholes para o Endian Firewall. Isso 100% opcional, ento voc pode ignorar
esta seo se voc no quiser fazer uso deste recurso.
Nota
Esta pgina ir somente ser visveis se voc tiver permitiu o laranja e / ou na zona azul dentro Rede
Assistente.
Uma DMZ ou Zona desmilitarizada (zona laranja) utilizado como um semi-seguro ponto de transferncia entre o externo eo Red Zone
GREEN interno zona. A Zona Verde tem todas as suas mquinas internas. A zona vermelha a Internet em geral. A DMZ permite que
servidores de partes sem permitir acesso indevido rede interna por aqueles na zona vermelha.
Por exemplo, suponha que sua empresa tem um servidor web. Certamente, Voc quer seus clientes (os da zona vermelha) para poder
acess-lo. Mas e se voc tambm quiser que seu servidor web para poder enviar ao cliente ordens aos empregados na Zona Verde?
Em uma configurao de firewall tradicional, isso no funcionaria, porque o pedido de acesso Zona Verde seria ser o incio de fora da
Zona Verde. Voc certamente no quer dar todos os seus clientes de acesso directo s mquinas no lado verde, Ento como podemos
resolver isso? Ao usar o DMZ e pinholes zona.
Figura 6.8. Adiciona uma nova regra pinhole
Pinholes Zone dar mquinas no Orange (DMZ) zone (zona e tambm AZUL) acesso limitado a certos portos em Verde mquinas.
Como os servidores (as mquinas na zona laranja) tem que ter regras relaxado com relao a zona vermelha, eles so mais suscetveis a
ataques de hackers. Por apenas permitindo o acesso limitado de laranja para verde, Isso ir ajudar a prevenir o acesso no autorizado
a reas restritas devem o servidor ser comprometido.
O seguinte descreve os campos de configurao de Adicionar um nova regra:
Protocolo
A lista suspensa permite escolher qual protocolo esta Estado vai seguir. Os valores possveis so TCP e UDP. Alguns
servidores de servidores de jogos e chat uso UDP. Se o protocolo no especificado na documentao do servidor,
ento geralmente TCP.
Net Fonte
Este um menu drop que mostra a fonte de redes disponveis na mquina. Voc no vai encontrar a rede GREEN aqui, uma
vez GREEN pode - sendo a rede de confiana - o acesso a todas as zonas padro.
IP de origem
Este o endereo IP da mquina que voc deseja dar permisso para acessar seus servidores internos.
Net Destino
Trata-se de um menu drop-down que mostra a disposio zonas de destino.
Destination IP
Preencha o endereo de IP da mquina do seu verde ou azul zona que voc deseja abrir. O endereo IP deve ser parte da
zona de destino que voc selecionou antes.
Porta de Destino
Esta a porta de destino que voc deseja abrir. Esta opcional. Se voc no especificar uma porta, o acesso mquina
no se limitar a uma porta.
Remark
Voc pode adicionar uma observao que ento o ajuda a identificar mais facilmente os a regra no Regra atual lista.
Habilitado
ativa.
Figura 6.9. Lista todas as regras configuradas pinhole
59 de 151 05/03/2010 00:40
As regras actuais enuncia as regras que esto em efeito. Para remover um, clique no cone de lixeira. Para editar um, clique no cone
do lpis. Para ativar ou desativar uma regra - clique no Habilitado cone (a caixa de seleo em Na coluna Ao) para a entrada em
particular voc deseja habilitar ou desabilitar. O cone muda para uma caixa vazia quando a regra est desativada. Clique novamente em
a caixa de seleo para reativ-lo.
Esta subseco permite configurar o Outgoing Firewall definies para Endian Firewall.
Voc pode trfego globalmente PERMITEM sada para RED (Internet) ou definir o nica porta para o trfego de sada.
Os seguintes servios so permitidas por padro a partir do GREEN Zona:
HTTP
HTTPS
FTP
SMTP
POP3
IMAP
DNS
O DNS tambm permitida por padro para todos os outros zonas.
Figura 6.10. Adiciona uma nova regra de sada
Se voc gosta de adicionar uma regra de abrir as Adicione um novo regra dilogo, que ser descrito abaixo:
Remark
Voc pode adicionar uma observao depois que ajuda voc a mais fcil identificar a regra no Regra atual lista.
Habilitado
Protocolo
A lista suspensa permite escolher qual protocolo esta regra se seguiro. Os valores possveis so UDP e TCP. A maior parte
servidores regulares usam TCP. Alguns servidores de servidores de jogos e chat uso UDP. Se o protocolo no
especificado no servidor documentao, ento geralmente TCP.
Poltica
Selecione a diretiva de que voc definiu para esta regra. Os valores possveis so:
PERMITIR - Permite que o trfego que se aplica a regra.
DENY - Silently bloqueia a trfego, que se aplica a regra. Conexes Dropped ser registrado por
padro. Voc pode alternar que fora no Entrar no menu principal.
Net Fonte
Esta lista suspensa permite que voc escolha uma rea total de rede de origem. Voc vai encontrar listados cada zona do
60 de 151 05/03/2010 00:40
firewall sabe, exceto o vermelho uma, desde que por desenho da sada firewall claro, sempre a zona de destino.
Se voc gosta para definir a regra de forma mais precisa e permitir apenas um endereo IP, em seguida, selecione
usar endereo IP de origem.
Endereo IP de origem
Isto opcional, se voc escolher uma zona antes. Voc pode especificar um endereo IP, por exemplo 10.1.1.3,
ou uma rede como 10.1.1.0/24, O que voc quiser para permitir ou negar o acesso RED.
Entrar pacotes que cumprem esta regra
Assinale esta opo se voc quiser sobre o firewall para registrar todas as tentativas de conexo que cumprir a regra. Esta,
por exemplo, conveniente para fins de teste.
Nota
Em alguns pases, isso pode ser ilegal.
Endereo MAC
Isto opcional. Voc pode preencher o endereo MAC de uma placa de rede que permitido ou proibido a atravessar. Se
voc no querer especificar, o endereo IP eo endereo MAC, mas apenas o endereo MAC, em seguida, basta
selecionar uma zona dentro do source net e deixar o IP de origem em branco campo de endereo.
Endereo IP de destino
Isto opcional. Se voc quiser limitar ou negar o acesso a um endereo remoto especfico voc pode preencher um endereo
IP como 68.163.90.13 ou uma rede como 68.163.75.0/24.
Porta de destino
Este provavelmente o campo mais importante para voc, no entanto no deixa de ser opcional. Preencha um porto de
destino, se voc que esta regra deve ser limitado a um servio remoto. Por exemplo voc pode criar uma regra que
permite acesso a todos os HTTP (web) servidores, especificando a porta 80 e deixando todos os outros campos
vazios.
ativa.
Figura 6.11. Lista todas as regras actuais de sada
As regras actuais enuncia as regras que esto em efeito. Para remover um, clique no cone de lixeira. Para editar um, clique no
cone Lpis. Para ativar ou desativar uma regra - clique no Habilitado cone (o checkbox na coluna Action) para a entrada especfico
que voc deseja habilitar ou desabilitar. O cone muda para uma caixa vazia quando a regra desativado. Clique novamente sobre
a caixa de seleo para reativ-lo.
Em cima da mesa h uma caixa de seleo Entrar Aceita conexes de sada. Assinale esta caixa sobre se voc deseja que o firewall
para registrar todas as ligaes que tenham sido estabelecidos ou tentou e passou com xito o firewall sem ser bloqueada.
61 de 151 05/03/2010 00:40
Nota
Habilitar esta pode no ser legal em alguns pases, mas em alguns outros pases, esta obrigatria.
Voc pode permitir que o trfego global de sada de todas as zonas do Internet simplesmente respondendo sim para a questo
desativar o firewall de sada? no menu drop-down abaixo e clicando no salvar boto.
Figura 6.12. Globalmente permitir o trfego de sada
Voc pode voltar para as configuraes padro que limitam o acesso a RED respondendo sim para a questo habilitar firewall de
sada? no menu drop-down abaixo e depois clicando no salvar boto.
Figura 6.13. Globalmente negar o trfego de sada
Voc notar uma caixa nico, marcado Entrar aceite conexes de sada. Assinale esta caixa se voc quiser sobre o firewall para
efetuar todas as conexes que foram estabelecidas ou tentou e passou com xito o firewall sem ser bloqueada.
Nota
Habilitar esta pode no ser legal em alguns pases, mas em alguns outros pases, esta obrigatria.
Captulo 7. Proxy
Tabela de Contedos
Introduo
HTTP Proxy
Lista de Recursos
Definies comuns
Proxy upstream
Definies do registo
Gesto Cache
Restries temporais
MIME tipo de filtro
Web browser
Filtro de contedos
HTTP Antivirus
ltima Atualizao
62 de 151 05/03/2010 00:40
POP3
Configuraes globais
SIP
FTP
SMTP
Configuraes Gerais
Antivirus
AntiSpam
Configuraes Gerais
Greylisting
Domnios
BCC
O smarthost
Introduo
Figura 7.1. Proxy menu selecionado
O servidor proxy um servio que permite que seus clientes faam indirecta conexes de rede com outros servios de rede.
O cliente conecta ao servidor proxy, em seguida, solicita uma conexo, arquivo ou outros recursos disponveis em um
servidor diferente. O proxy fornece a recurso, quer por se conectar ao servidor especificado ou por servi-lo de um cache.
Em alguns casos, o procurador pode alterar a solicitao do cliente ou a resposta do servidor para fins diversos (por
exemplo, um cabealho de e-mail ser alterado ou adicionado, se o e-mail contm contedo anti-spam, propaganda ser
ser removido de um site).
Este captulo aborda o menu proxy todo.
Os submenus seguintes sero descritas neste captulo:
HTTP
POP3
SIP
FTP
SMTP
HTTP Proxy
63 de 151 05/03/2010 00:40
Lista de Recursos
A autenticao do usurio
Autenticao de usurio local, incluindo o grupo baseado usurio gerenciamento
Autenticao LDAP, incluindo MS Active Directory, Novell eDirectory e OpenLDAP
A autenticao do Windows, incluindo Windows NT 4.0 ou 2000/2003 domnios e Samba
Autenticao RADIUS
Avanados de controle de acesso
Rede de controle de acesso baseado em IP e MAC Endereos
Time base as restries de acesso
Estrangulamento Download
MIME tipo de filtro
Bloqueio de navegadores ou software no autorizado do cliente
Grupo de acesso baseado com grupos vindos do Windows activa directrio
Definies comuns
As configuraes mais comuns so parmetros essenciais relacionados com a servios de proxy
Figura 7.2. Exibe as configuraes de proxy HTTP avanada
Ativado em zona
Isso permite que o servidor proxy para escutar as solicitaes de da zona seleccionada (verde ou azul ou laranja).
Nota
Se o servio de proxy estiver desativado, todos os clientes solicitaes sero encaminhadas
diretamente para o destino endereo, sem passar o servio de proxy e, portanto,
os pedidos ir ignorar todas as ACLs configuradas.
Transparentes sobre zona
Se o modo transparente estiver habilitado, todos os pedidos de porto de destino 80 ser enviado para o servidor proxy
sem a necessidade de quaisquer alteraes na configurao especial para o seu clientes.
Aviso
Modo transparente s funciona para a porta de destino 80. Todos os outros pedidos (por
exemplo, a porta 443 para SSL) ir ignorar o Servidor Proxy.
Nota
Ao usar qualquer tipo de autenticao, o procurador no funcionar em modo transparente.
64 de 151 05/03/2010 00:40
Nota
Para forar o uso do servidor proxy no modo no-transparente, voc ter de bloquear todas
as chamadas portas normalmente utilizadas para o trfego HTTP (80, 443, 8000, 8080,
etc.)
Porta Proxy
Esta a porta do servidor proxy ir ouvir para cliente pedidos. O padro 8080.
Nota
No modo transparente, todos os pedidos do cliente para a porta 80 ser automaticamente
redirecionado para esta porta.
Aviso
No modo no-transparente, certifique-se que os seus clientes esto configurados para
utilizar esta porta. Seno eles vo ignorar o servidor proxy e todas as ACLs ser
ignorados.
Hostname Visvel
Se voc quiser apresentar uma mquina especial em erro mensagens ou para os servidores proxy upstream, em seguida,
definir isso. Caso contrrio, a mquina real de sua Endian Firewall ser utilizada. Isto opcional.
Administrador do esconderijo e-mail
Este endereo de e-mail ser mostrado no servidor proxy mensagens de erro. Isto opcional.
Erro lngua mensagens
Selecione o idioma no qual o erro de Proxy Server mensagens sero exibidas para os clientes.
ContentFilter habilitado
Ao ativar esse recurso, voc pode ativar diferentes tipos de filtros no Filtro de contedos menu.
Nota
Esse recurso s ir funcionar parcialmente para SSL conexes, como no possvel fazer a
correspondncia de padres nos dados criptografados. A filtragem de URL no entanto vai
funcionar perfeitamente.
Antivirus ativado
Isso permite proteo antivrus quando navegar atravs da world wide web.
Aviso
No possvel digitalizar para conexes criptografadas vrus.
Portas permitidas
Apenas as conexes HTTP em uma das portas ser especificado passar pelo proxy. O restante ser bloqueado
Nota
Quando usando o modo transparente esse recurso no ser trabalho.
.
Portas permitidas SSL
Como a opo de portas permitidas, mas desta vez para o SSL HTTP criptografado (HTTPS) conexes.
Nota
Quando usando o modo transparente esse recurso no ser trabalho.
Proxy upstream
Estes ajustes podem ser necessrios para proxy encadeado ambientes.
65 de 151 05/03/2010 00:40
Figura 7.3. Displays avanado HTTP proxy upstream proxy configurao
Encaminhamento Username
Se qualquer tipo de autenticao ativado para HTTP Proxy, isso permite o encaminhamento do nome de login. Isto pode
ser til para o usurio ACLs baseadas ou logon proxy remoto servidores.
Nota
Isto para a ACL ou fins de registro e no s funcionar se o proxy upstream requer um login
real.
Nota
A transmisso limitada ao nome do usurio, o senha no ser enviada.
Cliente encaminhamento endereo IP
Isso permite que o HTTP x-forwarded-for cabealho campo. Se ativado, o cliente interno endereo IP ser adicionado ao
cabealho HTTP.
x-forwarded-for: 192.168.1.37
Isso pode ser til para a fonte ACLs baseadas ou logon remota de servidores proxy. Em vez de encaminhar desconhecido,
Este campo ser completamente suprimida por padro.
Nota
Se a procurao passada em cadeia no tira neste domnio, ela ser encaminhada para o
destino de acolhimento!
Proxy upstream (host: port)
Se voc estiver usando um cache pai, em seguida, digite o IP endereo ea porta do proxy upstream. Se nenhum valor para
porto dado, a porta padro ser 80 ser utilizado.
Username Upstream
Digite o nome para o servidor proxy upstream (apenas se necessrio).
Nota
Se voc digitar uma senha, o encaminhamento de usurio (descrito acima) ser desativado.
Senha Upstream
Digite a senha para o servidor proxy upstream (apenas se necessrio).
Nota
Se voc digitar uma senha, o encaminhamento de usurio (descrito acima) ser desativado.
Definies do registo
Estas opes so para permitir que os arquivos de log de proxy HTTP.
Figura 7.4. Displays HTTP configuraes avanadas log do proxy
Entrar habilitado
66 de 151 05/03/2010 00:40
Isso permite que o Web Proxy funcionalidade de registo. Todos os clientes pedidos sero gravados em um arquivo de log e
pode ser visto dentro da interface grfica em Histricos> Proxy Histricos (Veja a seo chamada "Proxy logs das pginas").
Aviso
A ativao desta opo pode ser considerado invaso de privacidade pessoal dos seus
clientes em alguns pases e / ou quebra de outras normas legais.
Antes que voc estiver utilizando esta opo certifique-se que este ser de acordo com a
legislao nacional ou outras pessoas regulamentos.
Na maioria dos pases, o usurio deve concordar que o pessoal dados sero registrados.
No permitir que esta em um negcio ambiente sem o consentimento por escrito dos
trabalhadores Conselho.
Firewall logs de conexes de sada
Assinale esta opo se voc quiser sobre o firewall para registrar todas as conexes de sada.
Aviso
Na maioria dos pases, isso pode ser ilegal!
Entrar termos de consulta
A parte do URL dinmico contendo as consultas sero descascado por padro antes de fazer. Ativando a opo Entrar
termos de consulta ir desligar esta opo e o URL completo ser registrado.
Aviso
A ativao desta opo pode ser considerado invaso de da vida privada de alguns pases!
Useragents Entrar
Habilitar esta opo permite gravar a seqncia do useragent para o arquivo de log / var / log / squid / useragent.log. Este
registo arquivo de opo s deve ser ativado para fins de depurao eo resultado no mostrado na interface
grfica baseada log telespectador.
Gesto Cache
As definies de gesto de cache do controle dos parmetros de cache para Advanced Proxy.
Figura 7.5. Displays HTTP avanadas de gesto de cache do proxy configurao
Tamanho do cache de memria
Esta a quantidade de RAM fsica a ser utilizada para negativa em cache e objetos em trnsito. Este valor no deve
exceder mais de 50% de RAM instalada. O mnimo para este valor de 1MB, o padro 20 MB.
Nota
Esse parmetro no especificar o processo de mxima tamanho. Ela s coloca um limite de
quanta memria RAM adicional Web Proxy usar como um cache de objetos.
Harddisk tamanho do cache
Esta a quantidade de espao em disco (MB) para usar em cache objetos. O padro 500 MB. Altere esta para atender s
suas configurao. No coloque o tamanho do seu disco aqui. Se Lula pretende usar o disco inteiro, subtrair 20%
da o tamanho do disco real e use esse valor.
Min tamanho do objeto
Objetos menores que este tamanho no sero salvas no disco. O valor especificado em kilobytes, eo padro
0 KB, o que significa que no h valor mnimo.
67 de 151 05/03/2010 00:40
Tamanho mximo do objeto
Objetos maiores do que esse tamanho no sero salvos no disco. O valor especificado em kilobytes, eo padro de 4MB
(4096KB). Se voc deseja aumentar a velocidade em detrimento da poupana de largura de banda que voc
deve manter esta baixa.
No cache nesses domnios
Uma lista de sites que fazem o pedido para no ser preenchidas a partir do cache, ea resposta no deve ser armazenado
em cache. Em Por outras palavras, usar isso para forar os objetos nunca ser armazenados em cache. Todos
domnios deve ser indicado com um ponto esquerda:
. advproxy.net
. google.com
Ativar o modo offline
Habilitar esta opo permite desativar a validao de objetos em cache. Isto d acesso a mais informaes sobre cache
(obsoleto verses em cache, onde o servidor de origem deve ter sido contactado).
Isso define o controle de acesso para aceder ao servidor proxy com base no endereo de rede do cliente.
Figura 7.6. Displays avanada rede de proxy HTTP com acesso controle
Sub-admitidos
Todas as sub-redes listadas esto autorizados a acessar o proxy Server. Por padro, o sub-redes para GREEN, azul e
laranja (se disponveis) so listadas aqui.
Aviso
Se voc mudar a configurao da rede de qualquer zona com a rede de assistente descrito
no a seco "Configurao de Rede", Voc tambm precisar para alterar os valores tambm
nesta lista, especialmente se um sub-rede ser alterada.
Voc pode adicionar outras sub-redes, como por trs de GREEN ambientes maiores a esta lista.
Nota
Todas as sub-redes no listados aqui sero bloqueadas para a web acesso.
Fontes que ignorar o proxy transparente
68 de 151 05/03/2010 00:40
Ao usar o proxy transparente todas as sub-redes, IP Moradas e endereos MAC que so especificados aqui ser
permisso para se conectar diretamente URL solicitada, em vez de usando o proxy.
Nota
Os endereos MAC tm de ser inscritas no seguinte forma: 00:00:00:00:00:00
Destinos para os quais o proxy transparente contornado
Ao usar o proxy transparente e conexo com a sub-redes ou endereos IP que so especificados aqui, a conexo
no vai passar pelo proxy, mas ser estabelecida diretamente.
Sem restries de endereos IP
Todos os endereos IP no cliente esta lista ir substituir o seguintes restries:
Restries temporais
Os limites de tamanho para solicitaes de download
Check Browser
MIME tipo de filtro
Autenticao (ser exigido pelo padro para esses endereos, mas pode ser desligado)
Logins simultneos por usurio (disponvel apenas se autenticao habilitado)
Irrestrito endereos MAC
Todos os clientes endereos MAC nesta lista ir substituir o seguintes restries:
Restries temporais
Os limites de tamanho para solicitaes de download
Check Browser
MIME tipo de filtro
Autenticao (ser exigido pelo padro para esses endereos, mas pode ser desligado)
Logins simultneos por usurio (disponvel apenas se autenticao habilitado)
Nota
Usando endereos MAC ao invs de endereos IP podem ser til se o servio DHCP est
habilitado sem ter fixado locaes definidas.
Nota
Os endereos MAC podem ser inseridos em um desses formas:
00-00-00-00-00-00 ou 00:00:00:00:00:00
Nota
O servidor proxy pode apenas determinar os endereos MAC de clientes configurados para
as sub-redes do GREEN, BLUE ou interfaces ORANGE.
Banned endereos IP ou sub -
Todos os pedidos desses clientes (endereos IP ou sub-redes) nesta lista sero bloqueados.
Banned endereos MAC
Todos os pedidos desses clientes nessa lista ser bloqueado. Usando endereos MAC ao invs de endereos IP podem ser
til se o servio DHCP est habilitado sem ter fixado locaes definidas.
Os endereos MAC podem ser inseridos em um desses formas:
00-00-00-00-00-00 ou 00:00:00:00:00:00
69 de 151 05/03/2010 00:40
Nota
O servidor proxy pode apenas determinar os endereos MAC de clientes configurados para
as sub-redes do GREEN, BLUE ou interfaces ORANGE.
Restries temporais
Isso define o tempo de funcionamento do Web Proxy.
Figura 7.7. Exibe o tempo de proxy HTTP avanado restries configurao
A opo permitir permite acesso internet e a opo negar bloqueia o acesso web no tempo selecionado. A escolha do permitir
ou negar depender das regras relativas ao tempo que voc quiser aplicar. O padro definido para permitir o acesso a cada dia em
todo o relgio.
Nota
Restries de tempo no ser eficaz para essas clientes.
Endereos IP fonte Irrestrito
Endereos de origem Unrestricted MAC
Os membros do grupo Prolongado Se o Proxy usa Local autenticao
Isto permite-lhe introduzir limitaes de tamanho para cada download e / ou pedido de upload.
Figura 7.8. Displays HTTP avanado limite de transferncia de proxy configurao
Os valores so dados em KB. Uma razo para os limites de transferncia Pode ser que voc desejar para evitar baixar arquivos
grandes, tais como CD imagens. O padro definido para 0 KB para upload e download. Este valor desliga-se de qualquer
limitao.
Nota
Este limite se refere a cada uma nica solicitao. No a total montante de todos os pedidos.
Nota
Download de limites no ser eficaz para essas clientes:
Os membros do grupo Prolongado se usa o proxy Local autenticao
70 de 151 05/03/2010 00:40
Nota
Limites de upload ser eficaz para todos os clientes exceto:
MIME tipo de filtro
O filtro tipo MIME pode ser configurado para bloquear contedos dependendo de seu tipo MIME.
Figura 7.9. Displays HTTP proxy avanado filtro tipo MIME
Se ativado, o filtro verifica todos os cabealhos de entrada para seu tipo MIME. Se o tipo MIME solicitado listado para ser bloqueado,
o acesso a esse contedo ser negado. Desta forma, voc pode bloquear contedo, no importa a extenso de determinado
nome de arquivo.
Exemplo 7.1. Acrescentar este tipo MIME, se voc deseja bloquear o download do PDF arquivos:
application / pdf
Exemplo 7.2. Adicione estes tipos MIME, se voc deseja bloquear o download de MPEG e arquivos de vdeo
QuickTime:
application / pdf
video / quicktime
Nota
Os tipos MIME so tratados como expresses regulares. Este meios, a entrada javascript ir
bloquear todas as contedo com os tipos MIME que contenha esta palavra, como:
application / x-javascript e text / javascript
Nota
MIME tipo de bloqueio no ser eficaz para essas clientes:
Os membros do grupo Prolongado se usa o proxy Local autenticao
Web browser
Isso permite que voc controle qual o software de cliente pode ter acesso para web sites.
Figura 7.10. Displays HTTP avanado filtro de agente de proxy do usurio
71 de 151 05/03/2010 00:40
Permitir verificar Browser
Se esta opo estiver habilitada, somente os clientes selecionados sero capaz de passar o servidor proxy. Todas as outras
solicitaes sero bloqueado.
Nota
Navegador de controle de acesso baseado no ser eficaz para estes clientes:
Os membros do grupo Prolongado Se o proxy usa Local autenticao
Definies de cliente
Os clientes da Web mais importantes j esto listados. Voc pode criar suas prprias definies, editando o arquivo / var / ALE /
proxy / advanced / useragents e adicionando as informaes do navegador especfico l.
Adicionando clientes personalizados podem ser necessrios se voc quiser permitir que o seu software antivrus para download
definies actualizadas. Se voc no sabe o useragent deste software, voc pode ativar o useragent log na seo Definies
do registo e ver o arquivo / var / log / squid / useragent.log.
A sintaxe para as definies do cliente :
nome,exibir,(regexp)
nome
necessria para o processamento interno da Advanced Proxy e deve ser um nome curto em capital alfanumrica
letras sem espaos.
exibir
a seqncia que aparece na lista de GUI e deve conter o nome comum para este cliente.
(regexp)
uma expresso regular que combina com o navegador useragent string e deve ser sempre cercada por
parnteses.
Os valores so separados por vrgulas.
Aviso
Ao usar a autenticao e permitindo o registo do Web Proxy arquivos, o nome do usurio solicitante
ser registrado para alm da URL solicitada. Antes de activar ficheiros de registo durante a utilizao
autenticao, certifique-se de no violar as leis existentes.
Nota
A autenticao no ir funcionar com o proxy transparente ativado.
Sntese de mtodos de autenticao
O proxy avanado que oferece uma variedade de mtodos para o usurio autenticao.
72 de 151 05/03/2010 00:40
Figura 7.11. Displays avanada de autenticao de proxy HTTP mtodos
Nenhum
A autenticao desativado. Os usurios no precisam autenticar ao acessar sites.
Local Authentication
Este mtodo de autenticao a soluo preferida para ambientes SOHO. Os usurios precisam autenticar quando
acessando sites digitando um nome de usurio vlido e senha. A gesto do usurio reside o Endian Firewall
Servidor Proxy. Os usurios so classificados em trs grupos: Prolongado, Standard e Pessoas com mobilidade
condicionada.
Autenticao LDAP usando
Este mtodo de autenticao a soluo preferida para mdias e grandes ambientes de rede. Os usurios tero
para autenticar ao acessar sites digitando uma vlido username e password. As credenciais so verificadas em
um servidor externo utilizando o Lightweight Directory Access Protocol (LDAP).
A autenticao LDAP ser til se voc j tem um servio de diretrio em sua rede e no quero manter contas
de usurio e senhas adicionais para a web acesso.
O proxy HTTP trabalha com esses tipos de LDAP Servidores:
Active Directory (Windows 2000 e 2003 Server)
NetWare Novell eDirectory (NetWare 5.x und 6)
LDAP verso 2 e 3 (OpenLDAP)
Como uma opo de membro, para um determinado grupo pode ser necessria.
Nota
O protocolo LDAPS (Secure LDAP) no suportados.
A autenticao do Windows
Este mtodo de autenticao um dos preferidos solues para ambientes de rede de pequenas e mdias empresas.
Usurios ter que se autenticar ao acessar sites. O credenciais so verificadas em um servidor externo atuando
como um controlador de domnio. Esta pode ser uma:
Windows NT 4.0 Server ou Windows 2000/2003 Servidor (mesmo com o Active Directory ativado)
Samba 2.x / 3.x Server (funcionando como Domain Controller)
Advanced Proxy funciona com o Windows autenticao integrada (transparente) ou com padro autenticao
(explcito com nome de usurio e senha). Voc pode manter listas com nomes de usurio autorizado (whitelist) ou
nomes de usurios no autorizados (lista negra).
Nota
Grupo de trabalho pode provavelmente autenticao baseada em trabalho, mas no
recomendado nem suportada.
Autenticao RADIUS
Este mtodo de autenticao uma boa soluo para ambientes de rede de pequenas e mdias empresas. Os usurios
tero para autenticar o acesso a stios web. As credenciais so verificados contra um servidor RADIUS externo.
Voc pode manter listas com nomes de usurio autorizado (whitelist) ou nomes de usurios no autorizados
(lista negra).
Global configuraes de autenticao
As configuraes de autenticao globais esto disponveis para todos mtodos de autenticao.
Figura 7.12. Displays avanadas de autenticao HTTP proxy global Definies
73 de 151 05/03/2010 00:40
Nmero de processos de autenticao
O nmero de processos de fundo para ouvir pedidos. O valor padro 5 e deve ser aumentada se
autenticao demora muito ou integrada do Windows autenticao cai novamente para a autenticao
explcita.
Autenticao cache TTL
Durao em minutos credenciais de quanto tempo ser cache para cada sesso. Se esse tempo expirar, o
utilizador tem de introduzir novamente as credenciais para esta sesso. O padro definido para 60 minutos, o
mnimo ser de 1 minuto. O TTL sempre ser reposto quando o usurio envia uma nova pedido para o servidor
proxy dentro de uma sesso.
Nota
Se o usurio abre uma nova sesso, as credenciais deve sempre ser indicado, mesmo que
o TTL no tenha expirado para outra sesso.
Limite de endereos IP por usurio
Nmero de endereos IP de origem de um usurio podem ser registrados em ao mesmo tempo. O endereo IP ser
liberado aps o tempo definidos no Manual de / cache IP TTL.
Nota
Isto no tem efeito se executar a autenticao local eo usurio um membro do grupo
prolongado.
Usurio / IP cache TTL
Durao em minutos, quanto tempo as relaes entre cada nome de usurio eo endereo IP utilizado ser armazenada. O
valor padro 0 (desabilitado). Um valor maior que 0 apenas razovel quando se utiliza um limite de IP
simultneas endereos por usurio.
Exigir autenticao para fonte ilimitada Endereos
Por padro de autenticao necessria at mesmo para sem restries de endereos IP. Se voc no quiser exigir
autenticao para esses endereos, desmarque esta caixa.
Reino prompt de autenticao
Este texto ser mostrado na autenticao dilogo.
Domnios sem autenticao
Isso lhe permite definir uma lista de domnios que pode ser acessado sem autenticao.
Nota
Estes domnios so domnios DNS de destino e no fonte de domnios do Windows NT.
Nota
Isso s funciona para nomes de domnio DNS, e no para Endereos IP.
Exemplo 7.3. Windows Update Para permitir o acesso ao Windows Update sem autenticao
adicionar esses domnios para os lista:
. download.microsoft.com
. windowsupdate.com
. windowsupdate.microsoft.com
74 de 151 05/03/2010 00:40
Nota
Todos os domnios listados requerem um lder dot.
Autenticao de usurio local
A autenticao do usurio local permite gerenciar contas de usurio localmente sem a necessidade de servidores de autenticao
externa.
Figura 7.13. Displays HTTP usurio avanado local proxy autenticao
Gesto de Usurios
O gerente integrado usurio pode ser executado a partir da principal pgina configuraes.
Figura 7.14. Displays HTTP usurio avanado local proxy autenticao
Min comprimento da senha
Introduza o comprimento mnimo necessrio para senhas. O padro 6 caracteres alfanumricos.
Gesto de Usurios
Este boto abre o gerenciador de usurios locais.
Gerente de usurio local
O gerente do usurio a interface para criao, edio e excluir contas de usurio.
Figura 7.15. Exibe o gerenciador de usurio local para o HTTP avanada proxy
75 de 151 05/03/2010 00:40
Dentro da pgina de usurio gerente, todas as contas disponveis esto listados em ordem alfabtica.
Definies do grupo
Voc pode escolher entre trs grupos distintos:
Standard
O padro para todos os usurios. Todos os dados restries se aplicam a este grupo.
Prolongado
Use este grupo para os usurios sem restries. Membros deste grupo ir ignorar qualquer tempo e
filtro de restries.
Pessoas com mobilidade condicionada
Os membros deste grupo esto bloqueadas. Isto pode ser til se voc deseja desativar temporariamente uma conta
sem perder a senha.
Reiniciar o servio de proxy requisitos
As seguintes alteraes s contas de usurio ir exigir uma reincio do servio de proxy:
uma nova conta de utilizador foi adicionado eo usurio no um membro do grupo Standard
os membros do grupo para um determinado usurio tenha sido mudado
As seguintes alteraes s contas de usurio ser no requer um reincio do servio de proxy:
uma nova conta de utilizador foi adicionado eo usurio um membro do grupo Standard
a senha para um determinado usurio tenha sido mudado
uma conta de usurio tiver sido excludo
Criar contas de usurio
Nome de Utilizador
Digite o nome de usurio para o usurio. Se possvel, o nome deve conter apenas caracteres alfanumricos.
Grupo
Selecionar os membros do grupo para este usurio.
Senha
Digite a senha para a nova conta.
Senha (confirmar)
Confirme a senha previamente inscritas.
Criar usurio
Este boto cria uma nova conta de utilizador. Se esta nome de usurio j existir, a conta para este usurio
ser atualizado com a associao a grupos novos e senha.
Voltar pgina principal
Este boto abre o gerenciador de usurio e retorna para Avanado Proxy pgina principal.
Editar contas de usurio
Uma conta de usurio pode ser editado clicando no lpis cone. Quando editar uma conta de usurio, apenas os membros do
grupo ou senha pode ser alterada.
Embora a edio de uma conta, referindo-se a entrada ser marcados com uma barra amarela.
76 de 151 05/03/2010 00:40
Figura 7.16. Exibe a edio de um usurio com o gerente local do usurio HTTP proxy avanado
Para salvar as configuraes alteradas, use o boto Atualizao de usurio.
Nota
O nome de usurio no pode ser modificado. Este campo read-only. Se voc precisar mudar o
nome de um usurio, apagar este usurio e criar uma nova conta.
Excluir contas de usurio
Uma conta de usurio pode ser excludo, clicando no cone da lixeira. A conta ser excluda imediatamente.
Cliente de gerenciamento de senhas lado
Os usurios podem alterar suas senhas, se necessrio. A interface pode ser invocada por entrar neste URL:
https: / /ALE: 10443/cgi-bin/chpasswd.cgi
Nota
Substituir efw com o endereo IP do seu GREEN Endian Firewall.
A caixa de dilogo pgina da Web requer o nome de usurio, a corrente senha ea nova senha (duas vezes para confirmao):
Figura 7.17. Mude-se a pgina, permitindo que o usurio mudar sua senha do proxy HTTP local
A autenticao LDAP
77 de 151 05/03/2010 00:40
Este mtodo de autenticao utiliza um diretrio existente infra-estrutura para autenticao do usurio.
Figura 7.18. Displays LDAP pgina de autenticao do HTTP avanada proxy
Se voc est inseguro sobre seu diretrio interno estrutura, voc pode examinar o seu servidor LDAP usando a linha de comando
baseadas ldapsearch ferramenta.
Os clientes do Windows pode usar o livre e fcil de usar Softerra LDAP navegador para isso: http://www.ldapbrowser.com.
Configuraes LDAP comuns
Figura 7.19. Comum configuraes LDAP de proxy HTTP avanada
Base DN
Esta a base por onde comear a busca LDAP. Todos subseqente unidades organizacionais (OUs) sero includos.
Consulte a documentao do LDAP para o formato exigido do DN de base.
Exemplo 7.4. Base DN para o Active Directory
CN = Users, dc = ads, dc = local
Este ir procurar os usurios do grupo Usurios no domnio ads.local.
Exemplo 7.5. Base DN para eDirectory
ou = usurios, o = acme
Este ir procurar os usurios na unidade organizacional Usurios (e abaixo) no
Organizao acme.
Nota
Se o DN Base contm espaos, voc deve escape estes espaos com uma invertida.
Exemplo 7.6. Base DN espaos que contm
cn = internet \ Users, dc = ads, dc = local
Tipo LDAP
Voc pode escolher entre diferentes tipos de LDAP implementaes:
78 de 151 05/03/2010 00:40
Active Directory (ADS)
Novell eDirectory (NDS)
LDAP V2 e V3
Servidor LDAP
Digite o endereo IP do seu servidor LDAP.
Porto
Digite a porta na qual o servidor LDAP escutar as solicitaes LDAP. O padro 389.
Nota
O protocolo LDAPS (Secure LDAP, porta 636) no suportado.
Configuraes do Bind DN
Figura 7.20. Bind DN configuraes de autenticao LDAP no HTTP procurador avanado
Vincular username DN
Digite o nome distinto completo para um Bind DN usurio.
Nota
Um usurio Bind DN necessrio para o Active Directory e eDirectory.
Nota
O Bind DN usurio deve ter permisso para navegar na diretrio e ler todos os atributos
do usurio.
Nota
Se o usurio Bind DN contm espaos, voc deve escape estes espaos com uma
invertida.
Vincular senha DN
Digite a senha para o usurio DN Bind.
Grupo de controle de acesso baseado
Figura 7,21. Groupbased controle de acesso de autenticao no LDAP HTTP proxy avanado
Necessrio grupo (opcional)
Digite o nome distinto completo de um grupo de usurios autorizados Internet. Alm de uma correcta
autenticao, uma sociedade dentro deste grupo ser exigido para acesso web.
Nota
Se o nome do grupo contm espaos, voc deve escape estes espaos com uma
invertida.
Selees Advanced Group
A autenticao do Windows
Este mtodo de autenticao utiliza um domnio existente do Windows ambiente para a autenticao do usurio.
79 de 151 05/03/2010 00:40
Figura 7.22. Avanada de autenticao de proxy HTTP contra Windows
Alm da autenticao, voc pode definir positivo ou negativa para o usurio com as listas de controle de acesso.
Comum configuraes de domnio
Figura 7.23. Configuraes de domnio comum de autenticao do Windows em HTTP proxy avanado
Domnio
Digite o nome do domnio que pretende utilizar para autenticao. Se voc estiver executando o Windows 2000 ou
Windows 2003 Active Directory, voc ter que entrar no Nome de domnio NetBIOS.
Hostname PDC
Informe o nome NetBIOS do domnio primrio Controller aqui. Se voc estiver executando o Windows 2000 ou
Windows 2003 Active Directory, voc pode digitar o nome de qualquer controlador de domnio.
Nota
Para o Windows 2000 e acima do domnio primrio Controlador no atribudo a um
servidor especfico. O Active Directory emulador PDC um papel lgico e
pode ser atribudo a qualquer servidor.
Aviso
O nome da mquina PDC deve ser resolvido para Endian Firewall. Isso pode ser feito
adicionando o nome do host na Rede> Editar Hosts (Veja a seo chamada "configurao Host (Edit
Hosts)").
Hostname BDC (opcional)
Informe o nome NetBIOS do domnio de backup Controller aqui. Se voc estiver executando o Windows 2000 ou
Windows 2003 Active Directory, voc pode digitar o nome de qualquer controlador de domnio. Se o PDC
no responder a pedidos de autenticao, o processo de autenticao ser pedir o BDC instead.
Aviso
O nome da mquina PDC deve ser resolvido para Endian Firewall. Isso pode ser feito
adicionando o nome do host na Rede> Editar Hosts (Veja a seo chamada "configurao Host (Edit
Hosts)").
Modo de autenticao
80 de 151 05/03/2010 00:40
Figura 7.24. Modo de autenticao da autenticao do Windows em HTTP procurador avanado
Ativar autenticao integrada do Windows
Se ativado, o usurio no ser solicitado para nome de usurio e senha. As credenciais de conectado no momento
usurio ser automaticamente usada para autenticao. Este opo ativada por padro. Se a autenticao
integrada desabilitado, o usurio ser solicitado explicitamente username e password.
Manual de restries de acesso baseado
Figura 7,25. Userbased restries de acesso a autenticao do Windows de proxy HTTP avanada
Habilitado
Permite acesso as listas de controle para autorizado ou usurios no autorizados.
Use o controle de acesso positivo / domnio Autorizado Usurios
Esses usurios listado ser permitida para acesso web. Para todos os outros usurios, o acesso ser negado.
Use o controle de acesso negativa / domnio Unauthorized Usurios
Estes usurios listados ser bloqueada para acesso web. Para todos os outros usurios, o acesso ser permitido.
Nota
Se a autenticao integrada do Windows estiver habilitado, o usurio deve ser inscrito com o nome
de domnio como um prefixo para o nome de usurio, separados por uma barra invertida.
Exemplo de controle de acesso de 7,7. Listas usando usurio com base integrada autenticao
Figura 7.26. Autenticao integrada do Windows com HTTP procurador avanado
Nota
Ao usar a autenticao integrada, o usurio deve estar registrado no domnio, caso
contrrio, o nome do local estao de trabalho ao invs do nome do domnio ser
adicionado ao nome do usurio.
Exemplo de controle de acesso de 7,8. Listas usando usurio com base explcita autenticao
Figura 7.27. Autenticao explcita com HTTP avanada proxy
81 de 151 05/03/2010 00:40
Nota
Autenticao Explicit concede acesso ao usurio, mesmo se o
usurio no est conectado ao domnio, contanto que o usurio ser
o mesmo eo local senha estao de trabalho eo domnio senha
igualar.
Autenticao RADIUS
Este mtodo de autenticao utiliza um servidor RADIUS existentes para autenticao do usurio.
Figura 7.28. Exibe a configurao de autenticao RADIUS do HTTP procurador avanado
Alm da autenticao, voc pode definir positivo ou negativa para o usurio com as listas de controle de acesso.
Nota
Este mtodo de autenticao no pode lidar com criptografado conexes. Se voc estiver executando
um IAS Microsoft para RADIUS voc vai ter que desligar qualquer tipo de encriptao na sua
IAS.
Configuraes Comum RADIUS
Figura 7.29. Displays comum configuraes do RADIUS proxy HTTP avanada autenticao
82 de 151 05/03/2010 00:40
Servidor RADIUS
Digite o endereo IP do servidor RADIUS que voc quer ser usada para autenticao.
Porto
Digite a porta que ser usada para se comunicar com o servidor RADIUS. A porta padro 1645, alguns RADIUS
servidores podem usar a porta 1812 em vez disso.
Identificador
Este campo opcional e pode ser usado para identificar o Endian Firewall para o servidor RADIUS. Se Esta
deixado vazio, o endereo IP do seu Endian Firewall sero utilizados para a identificao.
Segredo compartilhado
Este o segredo compartilhado para a autenticao de seu Firewall Endian contra o servidor RADIUS. Isso deve
ser a mesma senha que voc digitou no seu raio Server.
Manual de restries de acesso baseado
Figura 7.30. Displays usurio baseado restries de acesso de HTTP procurador avanado
Habilitado
Permite acesso as listas de controle para autorizado ou usurios no autorizados.
Use usurios controle de acesso positivo / Autorizado
Esses usurios listado ser permitida para acesso web. Para todos os outros usurios, o acesso ser negado.
Use o controle de acesso negativo / Unauthorized Usurios
Estes usurios listados ser bloqueada para acesso web. Para todos os outros usurios, o acesso ser permitido.
Selees Advanced Group
Filtro de contedos
Nota
Solicitaes de usurios no grupo alargado no ser afetado pela o filtro, bem como aqueles de usurios
que tm permisso para ultrapassar o proxy.
Figura 7.31. Configuation ContentFilter Geral
Mx. Mdia de frases
Com esta opo voc pode personalizar a quantidade de pginas que esto bloqueados pelo filtro de contedo. Se muitas
crianas conectar internet atravs de seu Endian Firewall voc deve configure para um valor menor medida que
mais contedo perigoso sero filtrados em seguida.
Ativar log
Isto ir activar o registo de pedidos bloqueados.
83 de 151 05/03/2010 00:40
Nota
Se voc quiser ver IP dos clientes endereos que voc vai tem que transformar em cliente de
encaminhamento de endereos IP nos proxy upstream seo.
PICS
Isso permitir que o suporte para a Plataforma de Internet Seleo de Contedo (FOTOS: http://www.w3.org/PICS/).
PICS permite rtulos a ser atribudo com o contedo da Internet e foi inicialmente concebido para ajudar os pais e
professores de controlar o seu crianas. Hoje muitos outros servios de classificao e filtragem softwares so
construdos sobre PICS.
Salvar
Para salvar as configuraes, clique aqui.
Figura 7.32. Seleo de pginas permitidas frases que podem conter
Bloco de pginas com contedo das categorias assinalada
Quando ligado em todas as pginas ser analisado e verificado para padres que correspondem s categorias
seleccionadas. Se um dos esses padres encontrados, o site ser bloqueado.
Salvar
Clique aqui para salvar suas configuraes.
Nota
Este recurso no est disponvel para a edio de mini Endian Firewall.
Nota
Isto no ir afetar os usurios do grupo alargado, bem como usurios que no utilizam o proxy.
Figura 7.33. Seleo de categorias de listas de URL, que deve ser bloqueados pelo ContentFilter HTTP
Bloco de pginas que so conhecidos por terem contedo da assinalada Categorias
Marcando as caixas correspondentes s indicadas categorias, ser impossvel para carregar URLs que aparecem no
URL de lista para uma das categorias verificadas.
Salvar
Para salvar as configuraes, clique aqui.
Nota
84 de 151 05/03/2010 00:40
Isto no ir afetar os usurios do grupo alargado, bem como os usurios que no utilizam o
proxy.
Figura 7.34. Personalizada em preto e brancas para o HTTP ContentFilter
Permitir os seguintes sites
Acesso a sites que so especificados aqui vai ser sempre permitido.
Bloco os seguintes sites
O acesso a sites que esto listados aqui ser sempre negado.
Nota
Isto no ir afetar usurios que no utilizam o proxy e os usurios do grupo alargado.
HTTP Antivirus
Figura 7.35. HTTP pgina de configurao de antivrus
Apenas os pedidos que o retorno menor que o tamanho especificado no megabytes sero verificados.
ltima Atualizao
Mostra a data da ltima atualizao do virus-database.
Os URLs que esto inscritas aqui no sero verificados. Por favor, digite apenas URL por linha.
Por motivos diferentes, pode ser necessrio que todos os clientes devem ser aplicada para utilizar o servio de proxy. As razes podem
ser obrigatrias madeireira, de filtragem ou de autenticao.
Servio de proxy com deficincia
85 de 151 05/03/2010 00:40
Configuraes de proxy Endian Firewall:
Figura 7,36. Proxy HTTP com deficincia
O acesso do cliente: Desativar o servio de proxy permite o acesso direto a todos os clientes.
Figura 7.37. Figura que mostra com trfego no vai ser dirigida atravs do proxy HTTP
Resultado: O proxy servio nunca ser usado. Logging, filtragem e de autenticao no estaro disponveis.
Proxy servio habilitado, em execuo no-transparente Modo
Figura 7.38. Proxy HTTP activado
O acesso do cliente: Todos clientes, sem configurao de proxy explcito ir ignorar o proxy servio.
Figura 7.39. Figura que mostra com trfego no vai ser dirigida atravs do proxy HTTP
O acesso do cliente: Todos clientes configurados para o uso do proxy ir usar o proxy para todos portos de destino (80, 443,
8080, etc) e at mesmo para navegador baseado Acesso FTP.
Figura 7.40. Figura que mostra o trfego que ser redirecionado atravs do proxy HTTP.
Resultado: Depende a configurao do cliente se o servio proxy ir ser utilizado ou no. Unconfigured clientes ir ignorar o
registo, filtragem e autenticao.
Servio de proxy ativado, rodando em modo transparente
Figura 7.41. Proxy HTTP habilitado como proxy transparente
86 de 151 05/03/2010 00:40
O acesso do cliente: Todos solicitaes com destino porta 80 sero redirecionadas internamente para o servio de proxy.
Pedidos com portas de outro destino (por exemplo, 443 para https) ir ignorar o servio de proxy.
Figura 7.42. Figura mostra que o trfego que ser transparente redirecionado atravs do proxy HTTP.
Resultado: Nem todos, mas a maioria pedidos passaro o servio de proxy. Portanto, a filtragem, extrao de madeira ea
autenticao no ser confivel.
Existem diferentes maneiras de configurar os clientes para usar a Web Servio de proxy. Alguns deles so descritos nesta seo
Manual de configurao do cliente
Configurando os clientes, aplicando todas as configuraes de proxy manualmente:
Demorada e pouco fiveis
Configurao exigida por usurio
Cliente pr-configurao
Distribuio de clientes pr-navegador configurado:
Apenas razovel para mdias e grandes ambientes
Funciona apenas para o software cliente configurado
IEAK para o IE 6: http://www.microsoft.com/windows/ieak/
CCK para o Mozilla: http://www.mozilla.org/projects/cck/
Configurao do cliente atravs de DNS e DHCP
Configurao do cliente DNS usando centralizado e / ou DHCP:
Implementao Complex
Exigir personalizado proxy.pac ou wpad.dat (arquivos criados dinamicamente por Endian Firewall)
Configurao flexvel
A maioria dos navegadores suporta este mtodo de configurao
Mais informaes: http://www.web-cache.com/Writings/Internet-Drafts/draft-ietf-wrec-wpad-01.txt
Configurao de clientes utilizando polticas de grupo
Centralizado de configurao do cliente utilizando polticas de grupo:
Implementao Complex
Apenas razovel para mdias e grandes ambientes
Exige um sistema de gesto centralizada de rede (Active Directory, o ZENworks, etc)
Configurao flexvel e obrigatria
Funciona apenas para clientes Win32 e certos navegador tipos
Para forar o uso do proxy, esses requisitos devem ser atendidos:
Configurao do cliente Proper
O cliente deve ser configurado para usar o proxy servio.
Corrigir o modo de funcionamento do proxy
87 de 151 05/03/2010 00:40
A procurao deve operar em modo no-transparente.
Bloqueio de acesso directo na Web
Todo o acesso direto da web precisa ser bloqueado. Ver a seo chamada "Outgoing Firewall Administrativa Web Page".
POP3
Configuraes globais
Figura 7.43. Mostra POP3 proxy configuraes globais
Ativado em zona
Isso permite que o E-Mail POP scanner para escutar as solicitaes na zona seleccionada (verde ou azul ou laranja). Todos
os pedidos de a porta de destino 110 (POP3) ser automaticamente interceptados e transmitido ao Scanner POP3,
sem a necessidade de qualquer alteraes na configurao especial para seus clientes.
Scanner de vrus
Esta opo permite que o detector de vrus para a entrada mails usando o protocolo POP3.
Filtro de Spam
Quando ativado isso vai se transformar no filtro de spam para mails recebidos.
Ao habilitar este recurso, o firewall ir registrar todos os ligao com xito a um servidor POP3 externo.
Figura 7.44. Spamfilter configurao do proxy de POP3
Spam tag assunto
Se receber um e-mail ser reconhecido como spam esta valor ser anteposto ao sujeito de correio electrnico original.
Hits Obrigatrio
Spamassassin utiliza acessos a taxa de e-mails recebidos. Este valor spamassassin informa quantos acessos so
necessrios para uma entrada e-mail para ser reconhecido como spam. Valores como 5 ou 6, deve ser razovel.
88 de 151 05/03/2010 00:40
Lista Branca
E-mails provenientes destes endereos ou domnios (usando * @ domain.com) jamais sero tratados como spam.
Lista negra
E-mails provenientes desses endereos so sempre tratadas como spam.
Nota
Lista negra e lista branca para o proxy de POP3 no ser utilizado por o proxy SMTP.
SIP
O SIP Proxy um proxy / masquerading daemon para o SIP e RTP protocolo. O SIP (Session Initiation Protocol, RFC3261) e RTP
(Real-time Transport Protocol) so utilizados por Voz sobre IP (VoIP) para dispositivos estabelecer ligaes telefnicas e executar
fluxos de voz. O proxy manipula registos de clientes SIP em uma rede IP privada e executa reformulao do corpo das mensagens SIP
para fazer conexes SIP possvel atravs do firewall e, portanto, tornar os clientes SIP (como o X-Lite, kphone, linphone ou hardware
VoIP) capaz de trabalhar atrs de NAT. Sem essa procurao, conexes entre os clientes no so possveis em todos, se ambos esto
por trs NAT, uma vez que um cliente no pode chegar ao outro diretamente e, portanto, RTP conexo pode ser estabelecida entre
eles.
Figura 7.45. SIP Proxy Settings
Ativado em zona
Isso permite que o proxy SIP para escutar as solicitaes no porta seleccionada (por defeito: 5060)
Se o modo transparente estiver habilitado, todos os pedidos de porta de destino 5060 ser enviado para o proxy SIP, sem a
necessidade de quaisquer alteraes na configurao especial sobre seus clientes.
Porta SIP
Para escutar na porta de entrada SIP mensagens. (padro:5060)
RTP Porto baixo / RTP Porto alto
UDP intervalo de portas que a SIP proxy ir usar para receber e RTP trfego de sada. Por padro, o intervalo de 7070 at (e
inclusive) 7090 usado. Isso permite que at 10 chamadas simultneas (2 portas por chamada). Se voc precisar de
mais chamadas em simultneo, aumentar as faixa.
Autosave Registration
Isso permite que o proxy SIP para se lembrar de registo atravs de um reiniciar.
Tempo
Salve o arquivo de registro a cada quantidade de segundos especificada por este campo.
Outbound Proxy Host / Port
O proxy SIP si mesmo pode ser dito para enviar todo o trfego para outro proxy de sada.
Solicita Entrar
Isso permite o registo das chamadas estabelecidas. Voc vai ver o log entradas dentro logviewer siproxy. (Veja a seo
chamada "log SIProxy pgina")
Assinale esta opo se voc quiser sobre o firewall para registrar todas as chamadas conexo. Observe que em alguns pases,
isso pode ser ilegal.
Salvar e Reiniciar
Salve as configuraes e reiniciar o proxy SIP, clicando no Salve e reinicie o boto.
89 de 151 05/03/2010 00:40
Nota
Alguns dispositivos VoIP necessidade de configurao especial, a fim de poder a cooperar com o proxy
SIP. Observamos especialmente em telefones snom a necessidade de permitir Suporte para quebrado
registradores a fim de t-lo totalmente funcional.
FTP
O proxy de FTP est disponvel somente como proxy transparente. Como tal, intercepta cada conexo ftp na porta 21 se para o exterior,
analisa o recebeu contedo contra vrus e manipula-lo em vez do cliente.
Aviso
Se voc configurar seus clientes de FTP ou browsers para usar o HTTP proxy tambm para o protocolo
FTP, o proxy FTP ser contornado!
Nota
O proxy de FTP no suporta ccegas. Isto significa que o proxy precisa baixar o arquivo inteiro antes de o
detector de vrus poder digitalizar. O cliente FTP no vai ter dados sobre a conexo de controle, a fim de
tempo, mas no obter dados sobre a conexo de dados. O efeito que o usurio no v nenhum
progresso durante o download e obtm todos os dados menos uma vez depois que o arquivo foi verificado
pelo proxy.
Figura 7.46. FTP pgina de administrao de proxy
Desde o proxy FTP s suportada, basicamente, voc no tem muitas opes de configurao. Eles so:
Ativado em zona
Isso permite que o proxy de FTP na zona especificada.
Assinale esta opo se voc quiser sobre o firewall para registrar todas as chamadas conexes feitas atravs do proxy. Note-se
que em alguns pases Isso pode ser ilegal.
Aviso
Com alguns clientes FTP como navegadores da Web, o proxy FTP pode tem algum problema com a
autenticao. Se voc precisa se autenticar contra servidores FTP externos, usar clientes FTP real ou
desativar o FTP proxy.
SMTP
O escopo do proxy SMTP controlar e otimizar o trfego SMTP em geral, e para proteger sua rede contra ameaas ao usar o SMTP
protocolo. O SMTP (Simple Mail Transfer Protocol) protocolo usado Sempre que voc envia um e-mail atravs do seu cliente de
e-mail para um e-mail remoto (servidor de correio de sada). Ele tambm ser usado se voc tiver seu prprio mail servidor em
execuo no seu interface LAN GREEN () ou sua DMZ ORANGE ( interface) e esto permitindo que os e-mails para ser enviado a partir
do exterior do seu rede (solicitaes de entrada) atravs de seu servidor de email.
Aviso
A fim de baixar e-mails de um servidor de mensagens remoto com o seu clientes de correio local, o
protocolo POP3 ou IMAP ser usado. Se voc querem proteger esse trfego tambm, voc tem que usar
o proxy POP3. Verificao do trfego IMAP no suportada atualmente.
Com a funcionalidade de proxy de email, ambos os tipos de trfego (de entrada e-mail de sada) pode ser digitalizado por vrus, spam e
outras ameaas. Mail ser bloqueado, se necessrio, e os avisos sero enviados para ambos os receptor do usurio eo administrador.
Com a possibilidade de digitalizar e-mails recebidos, o proxy de email pode lidar com as conexes de entrada e passar o e-mail para
um ou mais servidores de correio interno a fim de eliminar a necessidade ter conexes SMTP de fora dentro do seu local redes.
O seguinte uma lista completa funcionalidade, que sero descritas em detalhes nas sees seguintes:
90 de 151 05/03/2010 00:40
Multi-domnio
Poltica de retransmisso configurvel por domnio
Spool visualiation & gesto
O apoio externo de autenticao
Email TLS Transport Encryption apoio
Estatsticas Mail
Dia, semana, ms, ano grficos
Spam, Vrus, voltaram Rejeitado
Mximo configurvel pelo correio tamanho de dados
Spam bloqueando
Notificao Spam
Local / Remoto Quarentena
Realtime Blacklist (RBL) de apoio
Cliente Personalizado / Remetente / Destinatrio preto / brancas
Contedo de correspondncia de regras, baseado em DNS, soma-se e estatsticos de filtragem
Auto aprendizagem / Formao
Objecto e modificao de cabealho do spam
Greylisting apoio
Verificao de vrus
Notificao de vrus
Local / Remoto Quarentena
Extenso de bloqueio
Notificao
Block proibido arquivos
Double bloquear extenso
Configuraes Gerais
Figura 7.47. Configuraes Gerais
Habilitado
Isso permite que o proxy de SMTP para aceitar pedidos de porta 25.
Nota
A retransmisso desativado sem autenticao no modo transparente.
Se o modo transparente estiver habilitado, todas as solicitaes para porto de destino 25 sero interceptadas e transmitidas
SMTP proxy sem a necessidade de quaisquer alteraes na configurao especial sobre seus clientes.
91 de 151 05/03/2010 00:40
Antivirus habilitado
Assinale esta opo sobre se voc quiser ativar o antivrus. Se voc permitir que o antivrus, voc pode configurar o antivrus
clicando no Antivirus link. Ver a seo chamada "Antivirus" para uma detalhada descrio.
SpamCheck est habilitado
Assinale esta opo sobre se voc quiser ativar o antispam. Se voc permitir que o filtro de spam, voc pode configur-lo
clicando no Spam link. Ver a seo chamada "AntiSpam" para uma detalhada descrio.
Extenso de arquivo so bloqueados
Assinale esta opo se voc gosta de permitir a extenso do arquivo bloqueador. Com isso, voc pode especificar uma lista
de extenses de arquivo que no so permitidas como attachement. Se voc ativ-lo, configur-lo clicando no
Arquivo Extenses link. Ver a seo chamada "Banned extenso de arquivo" para uma detalhada descrio.
Incoming Mail habilitado
Se voc tiver um Mailserver interno e gostaria que o SMTP proxy para encaminhar e-mails recebidos para o servidor interno
que voc precisa para assinalar esta opo no.
Nota
Voc precisar configurar os domnios de correio electrnico para o qual deve ser responsable.
Lista dos domnios responsable dentro do Pgina chegar clicando no Domnios link. Ver o
"Domains" para um descrio detalhada.
Assinale esta opo se voc quiser sobre o firewall para registrar todas as estabelecer conexes de sada. Note-se que em
alguns pases Isso pode ser ilegal.
Salve as alteraes e reiniciar
Salve as configuraes e reiniciar o proxy SMTP, empurrando este boto.
Antivirus
O Antivirus uma funcionalidade principal do mdulo de proxy de SMTP. Ele conhece quatro diferentes possibilidades para lidar com
mail contendo um vrus. Voc tambm tem a possibilidade de configurar um endereo de e-mail para notificao da ameaa
reconhecida e tratada.
Figura 7.48. SMTP Antivirus
A seo de antivrus fornece configurao o seguinte opes:
Mode
Isso permite que voc selecione o modo de lidar com infectados e-mails. Existem as seguintes possibilidades:
DISCARD
Neste modo, o e-mail no ser entregue aos seus destinatrios e excludos sem enviar uma notificao ao
remetente. Se um vrus quarentena definida uma cpia do email original ser ser enviado ou copiado
para a quarentena de vrus.
Nota
Na maioria dos casos, esta a melhor maneira de lidar com mails infectados.
BOUNCE
Neste modo, o e-mail no ser entregue aos seus destinatrios mas devolvida ao remetente na forma de uma
entrega notificao de status com a notificao de no entrega. Se um quarentena, o vrus definida
uma cpia do e-mail original ser enviado ou copiado para a quarentena de vrus.
Aviso
Enviando e-mails de notificao para o remetente na medida em que no
92 de 151 05/03/2010 00:40
realmente til como worms normalmente utilizam falsos endereos de remetentes.
Portanto tais notificaes principalmente atingir ningum, mas a pessoa certa. O
SMTP proxy no envia salta de volta para o remetente se um
sem-fim, de que o proxy SMTP sabe que normalmente Pardias o endereo do
remetente, ser reconhecido. No entanto, o benefcio pode ser menor do que os
problemas causadas por este modo.
REJEITADO
O e-mail ser rejeitado pelo MTA. Basicamente este o mesmo que BOUNCE. (removido na verso
2,1)
PASS
Mail vai passar para seus destinatrios, independentemente de m contedo.
Vrus Admin
D-lhe a possibilidade de especificar um (totalmente qualificado) e-mail do administrador quando as notificaes do vrus
devem ser enviado. (O padro vazio)
Quarentena de vrus
Local para colocar no correio infectados. A seguir possibilidades so vlidas:
deixe em branco
Desativa a quarentena
vrus da quarentena
Defina esta opo se voc gostaria de armazenar e-mails infectados no firewall. Voc vai encontrar os e-mails em /
var / amavis / virusmails /. Este o padro.
Aviso
No h possibilidade de controlar e gerir a quarentena se voc usar essa
possibilidade.
qualquer endereo de e-mail
Voc pode especificar qualquer endereo de e-mail vlido, ao qual e-mails infectados ser enviada. Com esta
variante Voc pode encaminhar todos os e-mails infectados para uma conta POP3 ou IMAP conta,
quando voc pode gerenci-los facilmente.
Nota
O endereo de email deve conter um @.
Aviso
Este endereo de e-mail deve no possui antivrus, caso contrrio, o correio de quarentena
sero bloqueados por esse servidor.
Salve as configuraes e reiniciar o proxy SMTP, clicando no salve as alteraes e reiniciar boto.
AntiSpam
O mdulo antispam conhece vrias possibilidades para proteg-lo contra o spam. Em geral spamassassin e amavisd-new so
usadas para filtrar spam. SpamAssassin incorpora vrios meios de deteco de spam. Ele tem um "Mdia Tally"Sistema onde um
grande nmero de inter-relacionados com o fogo fora de regras e at uma pontuao total para determinar se uma mensagem spam
ou no. Neste cada regra do sistema afeta a pontuao adequada cada um outra regra no conjunto de regras eo sistema tenta
equilibrar o mais spam nonspam e cada um no lado direito da marca de tolerncia.
Embora grande parte do bloco de regras muito mais simples de spam, conhecido spam e spam enviado pelos anfitries conhecidas
como spam, spammer sempre adaptar os seus mensagens para nocautear filtros de spam. Por isso necessrio tambm sempre
treinar o filtro de spam a fim de alcanar um personalizado e mais forte do filtro de estatstica (Bayes).
Nota
Enquanto os blocos de filtro de spam muito spam ele nunca bloquear todos de o spam.
93 de 151 05/03/2010 00:40
Nota
As regras sero spamassassin no ser atualizada automaticamente como as assinaturas de vrus. Aqui
Voc pode ler o porqu.
Configuraes Gerais
Figura 7.49. SMTP Antispam
Destino Spam
Isto permite-lhe definir o que deve acontecer com spam mails. As seguintes possibilidades que existem:
DISCARD
Neste modo, o e-mail no ser entregue ao seu beneficirios e excludos sem envio de uma notificao
para o remetente. Se uma quarentena de spam definida uma cpia do original e-mail ser
enviado ou copiado para a quarentena de spam.
Nota
Na maioria dos casos isso no muito til, uma vez possvel que o filtro
anti-spam pode bloquear tambm correio normal (falsos positivos) se ele estiver
configurado restritiva.
Aviso
Verifique a sua legislao local. Na maioria dos pases ilegais para excluir
e-mails sem autorizao do destinatrio.
BOUNCE
Neste modo, o e-mail no ser entregue ao seu destinatrios, mas devolvida ao remetente na forma de um
notificao de status de entrega com um no-entrega notificao. Se uma quarentena de spam
definida uma cpia original do e-mail ser enviado ou copiado para a quarentena de spam.
Aviso
Enviando e-mails de notificao para o remetente da spam no realmente til
na medida em que os spammers, ento mais do que nunca sei que eles
atingiram um email real endereo. Alm disso, os spammers a maioria no usa
seus verdadeiros endereos de remetentes. Eles quase sempre usam
falsos endereos de remetentes, assim como notificaes
sempre atingir ningum, mas o direito pessoa.
REJEITADO
O e-mail ser rejeitado pelo MTA. Basicamente este o mesmo que BOUNCE. (removido em
verso 2.1)
PASS
Mail vai passar para seus destinatrios, independentemente de contedo ruim.
Nota
Na maioria dos casos, este o melhor modo que voc pode usar. O filtro de
94 de 151 05/03/2010 00:40
spam acrescenta cabealhos de spam e mudanas o assunto do e-mail, se
reconhece o e-mail como spam. Os destinatrios podem ento usar seus clientes
mail para filtrar os e-mails prprios.
Admin Spam
D-lhe a possibilidade de especificar um (totalmente qualificado) administrador do endereo de correio electrnico para o
qual notificaes de spam deve ser enviada. (O padro vazio)
Quarentena de spam
Local para colocar em mensagens de spam. A seguir possibilidades so vlidas:
deixe em branco
spam quarentena
Defina esta opo se voc gostaria de armazenar emails de spam no firewall. Voc vai encontrar os e-mails em /
var / amavis / virusmails /. Esta o padro.
Aviso
possibilidade.
Voc pode especificar qualquer endereo de e-mail vlido, para que spam e-mail ser encaminhado. Com esta
variante Voc pode encaminhar todos os e-mails de spam para uma conta POP3 ou IMAP conta,
quando voc pode gerenci-los facilmente.
Nota
O endereo de email deve conter um @.
Aviso
Este endereo de e-mail deve no possui bloqueio de spam filtro, caso contrrio,
o correio de quarentena sero bloqueado por esse servidor.
SPAM TAG Nvel:
Se a pontuao de spam maior ou igual a este nvel, adicionar spam info cabealhos de e-mail. Voc vai encontr-los
como X-Spam-Status e X-Spam-Level cabealhos.
Nota
Este nvel no ir bloquear o correio no obstante o que voc definiu como destino spam.
Exemplo 7.9. Exemplo info cabealhos de spam
X-Spam-Status: No, score =- 1,54 tagged_above =- 4 exigida = 6,31
tests = [AWL =- 0,723, BAYES_00 =- 2,599, HTML_80_90 = 0,146,
HTML_FONT_SIZE_NONE = 0,033, HTML_FONT_SIZE_TINY = 0,533, HTML_FONT_TINY = 0,964,
HTML_IMAGE_RATIO_04 = 0,105, HTML_MESSAGE = 0,001]
X-Spam-Score: -1,54
X-Spam-Level:
SPAM nvel MARK
Se a pontuao de spam maior ou igual a este nvel, marca o e-mail como spam, adicionando a linha de assunto com ***
SPAM *** e adicione o X-Spam-Flag cabealho.
Nota
Este nvel no ir bloquear o correio no obstante o que voc definiu como destino spam.
Exemplo 7.10. Exemplo info cabealhos de spam
X-Spam-Status: Yes, hits = 12,4 tagged_above =- 10,0 required = 5.3 tests = BAYES_99,
RCVD_HELO_IP_MISMATCH, RCVD_IN_XBL, RCVD_NUMERIC_HELO, SARE_FWDLOOK,
SARE_MONEYTERMS, SARE_OEM_FAKE_YEAR
X-Spam-Level: ************
X-Spam-Flag: YES
95 de 151 05/03/2010 00:40
Nota
Os usurios podem usar X-Spam-Flag: YES como seqncia de pesquisa para o seu filtro
de cliente de correio.
SPAM nvel de quarentena
Se a pontuao de spam maior ou igual a este nvel em seguida, o ao evasiva spam que voc selecionou na spam
destino ser utilizado.
Nota
Este o nvel que pode excluir e-mails de spam se voc selecionado para DISCARD mail de
spam.
Sendernotification apenas abaixo do nvel
Se a pontuao de spam superior a este nvel sem notificao mails sero enviados para o administrador.
Assunto SPAM
String para preceder o campo de cabealho de assunto quando mensagem exceder SPAM MARK nvel.
Salve as configuraes e reiniciar o proxy SMTP clicando o salve as alteraes e reiniciar boto.
Greylisting
Greylisting um mtodo simples de defender o correio electrnico usurios contra spam de e-mail. Em suma, um agente de
transferncia de correio que usa greylisting rejeitar temporariamente qualquer e-mail de um remetente que no reconhece. O
remetente ser adiada para o tempo configurado. Se o e-mail legtimo, o servidor de origem vou tentar novamente para envi-la
posteriormente. Se o tempo de atraso decorrido, o destino ir aceit-lo. Spammers normaly no tentar enviar temporariamente
rejeitada mails, pois isso rentvel. Contudo, fontes de spam, mesmo que voltar a transmitir mais tarde so mais propensos a serem
listados DNSBLs em sistemas distribudos e assinatura, tais como pyzor.
Figura 7.50. Greylisting
Greylisting ativado
Assinale esta opo sobre se voc deseja ativar Greylisting.
Delay (sec)
Voc pode alterar o atraso de 30 segundos para (1 mximo de 3600 horas).
Destinatrio Whitelist
Com isso voc pode whitelist um endereo ou um completo domnio (uma entrada por linha).
Cliente Whitelist
Voc pode excluir um endereo Mailserver a fim de contornar Greylisting para este servidor de correio (uma entrada por
linha).
Salve as configuraes e reiniciar o proxy SMTP clicando o salve as alteraes e reiniciar boto
96 de 151 05/03/2010 00:40
Isso permite que voc bloqueie arquivos com determinadas extenses de arquivo que podem ser associadas aos mails. Mails que
contenham attachements como ser reconhecida e as aces seleccionadas sero realizados para as respectivas e-mail.
Figura 7.51. Proibido arquivos
Bloqueado extenses de arquivos
Voc pode selecionar um ou mais extenses de arquivo. A fim de selecionar vrios arquivos pressione a tecla Control e
selecione o desejado entradas com o mouse.
Nota
Extenso de arquivo do bloco deve ser ativado no gereral Definies.
Banned arquivos de destino
Isso permite que voc defina o que deve acontecer a e-mails contendo arquivos com extenses proibidas. A seguir
possibilidades que existem:
DISCARD
Neste modo, o e-mail ser no ser entregue aos seus destinatrios e excludos sem enviar uma notificao ao
remetente. Se uma quarentena para arquivos proibidos definida uma cpia do email original ser ser
enviado ou copiado para a quarentena.
BOUNCE
Neste modo, o e-mail ser no ser entregue aos seus destinatrios mas devolvida ao remetente na forma de uma
entrega notificao de status com a notificao de no entrega. Se um quarentena para arquivos
proibidos definida uma cpia do original e-mail ser enviado ou copiado para que quarentena.
Nota
Normaly pode ser sbio para usar esta variante, remetentes desde ento saber o
que esto fazendo errado.
REJEITADO
O e-mail ser rejeitado pelo MTA. Basicamente este o mesmo que BOUNCE. (removido na verso
2,1)
PASS
Mail vai passar para seus destinatrios, independentemente de m contedo.
Banned ficheiros em quarentena
Local para colocar e-mail com arquivos para banidos. A seguir possibilidades so vlidas:
deixe em branco
97 de 151 05/03/2010 00:40
spam quarentena
Defina esta opo se voc gostaria de armazenar e-mails invlidos no firewall. Voc vai encontrar os e-mails em /
var / amavis / virusmails /. Este o padro.
Aviso
possibilidade.
Voc pode especificar qualquer endereo de e-mail vlido, ao qual Bad mail ser enviado. Com esta variao pode
encaminhar todas as mensagens ruins para uma conta POP3 ou IMAP, onde voc pode control-lo
facilmente.
Nota
O endereo de e-mail deve conter uma @.
Notificao Admin
D-lhe a possibilidade de especificar um (totalmente qualificado) administrador do endereo de correio electrnico quando as
notificaes sobre o mau attachements deve ser enviada. (O padro vazio)
Bloco de extenso dupla:
assinale esta opo se quiser attachements bloco que tem um dos as seguintes extenses duplas.
filename.xxx. exe
filename.xxx. vbs
filename.xxx. pif
filename.xxx. scr
filename.xxx. morcego
filename.xxx. cmd
filename.xxx. com
filename.xxx. dll
Salve as configuraes e reiniciar o proxy SMTP, clicando no salve as alteraes e reiniciar boto.
Um mtodo frequentemente utilizado para bloquear certos tipos de spam e-mails so to chamado real-time blacklists (RBL). Estas
foram criadas por muitos diferentes organizaes e ser gerido, administrado e actualizado por eles. Se um domnio ou um
endereo IP do remetente est listado no uma dessas listas negras, o e-mail ser recusado prontamente e sem a necessidade ea
possibilidade de reunir mais informaes sobre ele. Isso economiza mais largura de banda em comparao com o RBL do mdulo
antispam, desde o e-mail no ser aceito e depois manuseados, mas recusou-se logo um endereo IP listado ser reconhecido.
Este dilogo d tambm a possibilidade de bloquear explicitamente (lista negra) ou explicitamente permitir (whitelist) remetente certos
destinatrios, endereos IP ou redes.
Um DNS-based Blackhole List (DNSBL, Real-time Blackhole List, ou RBL), publicada uma lista de endereos IP, em um formato que
pode ser facilmente consultados pelos programas de computador na Internet. Como o prprio nome sugere, a tecnologia
construda em cima do DNS da Internet ou Domnio Name System. DNSBLs so principalmente usados para publicar listas de
endereos ligados a spam.
Aviso
Pode acontecer que os endereos IP tm sido indevidamente listados por o operador de RBL. Se isso
acontecer, pode ter um impacto negativo sua comunicao, no sentido de que o correio ser recusada
sem a possibilidade de recuper-lo. Voc tambm no tm direto influncia sobre o RBLs.
Figura 7.52. Real-time Black List
98 de 151 05/03/2010 00:40
bl.spamcop.net
RBL com base na apresentao do usurio. (www.spamcop.net)
SBL-xbl.spamhaus.org
A SBL um banco de dados em tempo real de endereos IP de verificao fontes de spam (incluindo os spammers,
quadrilhas de spam e de apoio spam servios), mantido pela equipe do Projeto Spamhaus e fornecidos como um
servio gratuito para ajudar os administradores de email para gerir melhor fluxos de entrada de e-mail.
A Spamhaus Exploits Block List (XBL) um tempo real banco de dados de endereos IP de exploraes ilegais 3o partido,
incluindo proxies abertos (HTTP, meias, AnalogX, wingate, etc), worms / vrus com alto-motores de spam e outros
tipos de Trojan-exploits (cavalowww.spamhaus.org).
cbl.abuseat.org
A CBL tem seus dados de origem de spamtraps muito grande, e somente listas de IPs que apresentem caractersticas que
so especficas de proxies abertos de vrios tipos (HTTP, meias, AnalogX, wingate etc) que tenham sido abusados
para enviar spam, worms / vrus que fazer sua transmisso prprio correio direto, ou alguns tipos de trojan ou cavalo
"stealth"Spamware, sem fazer testes de proxy aberto de qualquer tipo.
A CBL faz NO lista open relays SMTP (cbl.abuseat.org).
dul.dnsbl.sorbs.net
Este contm uma lista de intervalos de endereo IP dinmico (www.au.sorbs.net).
list.dsbl.org
DSBL o Distributed Sender Blackhole List, ele publica os endereos IP dos hosts que enviaram ensaio especial
e-mail para listme@listme.dsbl.org ou outro anncio address.The principal mecanismo de entrega dos
spammers a abuso de servidores no-seguros. Por esta razo, muitas pessoas querem para saber quais so os
servidores no-seguros para que eles possam recusar-mail desses servidores. DSBL concebida como um lugar para
publicar se um servidor no seguro (www.dsbl.org).
relays.ordb.org
ORDB.org o Open Relay Database. ORDB.org um organizao sem fins lucrativos, que armazena um endereo de
IP-verificados open relays SMTP. Estes rels so ou possam vir a ser utilizados como condutos para enviar e-mails
em massa no solicitados, tambm conhecidos como spam. Ao aceder a esta lista, administradores de sistema so
permitidos optar por aceitar ou negar a troca de e-mail com os servidores a esses (endereoswww.ordb.org).
opm.blitzed.org
OPM destina-se a lista de IPs confirmado para ser executado proxies inseguro. Estes podem estar presentes devido
erros de configurao de software legitimamente-instalado, ou podem ser devido instalao de trojans, vrus e
outros malware. OPM difere de outros DNSBLs proxy aberto na medida em que tenta no teste de proxy hosts
remotos a menos que estejam implicados em denncias de abuso, e agressivamente expira IPs de idade,
especialmente aqueles conhecidos para ser usado para locaes dinmico, como clientes dial-up.
O opm.blized.org no NO lista SMTP aberto rels (wiki.blitzed.org / OPM). (Esta lista foi removido na verso 2.1)
dsn.rfc-ignorant.org
O dsn.rfc-ignorant.org uma lista que contm domnios ou redes IP cujos administradores optam por no obedecer s
RFCs, o bloco de construo "regras"Da rede (www.rfc-ignorant.org).
blackhole.securitysage.com
Esta lista comparvel lista dsn.rfc-ignorant.org -- Ele contm uma lista de nomes de domnio (em oposio a endereos
IP) que podem ser verificadas contra o domnio de um cliente de e-mail, como bem como parte do domnio (depois
do @) do remetente e endereos de destinatrios. (www.securitysage.com). (Novo na verso 2.1)
salve as alteraes e reiniciar
Nota
99 de 151 05/03/2010 00:40
Usurios avanados podem modificar a lista, editando o arquivo / var / ALE / smtpd / default / RBL.
Voc tem total controle e pode lista negra, lista de permisses especficas remetente / destinatrio ou cliente.
Figura 7,53. Preto / brancas
Remetente Whitelist / Blacklist
Existem vrias maneiras de negar (lista negra) ou permitir que (whitelist) um remetente ou domnio (uma por linha).
Os endereos desses anncios ser comparado com o remetentes de e-mail de cada e-mails recebidos.
Domnio (com subdomnios)
Permitir ou negar um domnio completo, com todas as suas subdomnios.
Exemplo 7.11. Permitir ou negar um domnio completo
endian.it
sub.example.com
Isto ir cobrir cada endereo de correio electrnico em ambos os domnios e seus subdomnios, como
mail@sub.endian.it.
Subdomnios
Permitir ou negar apenas os subdomnios do especificado domnio. Para alcanar isso, adicione um ponto inicial
para a nome de domnio.
Exemplo 7.12. Permitir ou negar apenas os subdomnios de um domnio
. endian.it
. sub.example.com
Isto ir cobrir cada endereo de correio electrnico no mbito de cada subdomnio de ambos os domnios. Por
exemplo, ele ir incluir mail@test.endian.it mas excluem info@endian.it.
Endereo
Permitir ou negar totalmente qualificado de um nico e-mail endereo ou qualquer endereo de e-mail com o
usurio especificado parte.
Exemplo 7.13. Permitir ou negar os endereos de e-mail individual ou usurio nomes.
info@endian.it
postmaster @
abuse @
Isto ir cobrir o endereo nico e-mail info@endian.it claro, e cada endereo de e-mail com postmaster ou
100 de 151 05/03/2010 00:40
abuso como parte do usurio, como postmaster@riaa.org.
Destinatrio Whitelist / Blacklist
Existem vrias maneiras de negar ou permitir que um nico destinatrio ou de domnio (uma por linha).
Esses endereos abrangidos pelo presente anncios sero comparados com o endereo de email do destinatrio de cada
e-mails recebidos.
Domnio (com subdomnios)
Permitir ou negar um domnio completo, com tudo que subdomnios.
Exemplo 7.14. Permitir ou negar um domnio completo
endian.it
sub.example.com
Isto ir cobrir cada endereo de e-mail em ambos os domnios e seus subdomnios, como mail@sub.endian.it.
Subdomnios
Permitir ou negar apenas os subdomnios do especificado domnio. Para alcanar isso, adicione um ponto inicial
para a nome de domnio.
Exemplo 7.15. Permitir ou negar apenas os subdomnios de um domnio
. endian.it
. sub.example.com
Isto ir cobrir cada endereo de correio electrnico no mbito de cada subdomnio de ambos os domnios. Por
exemplo, ele ir incluir mail@test.endian.it mas excluem info@endian.it.
Endereo
Permitir ou negar totalmente qualificado de um nico e-mail endereo ou qualquer endereo de e-mail com o
usurio especificado parte.
Exemplo 7.16. Permitir ou negar os endereos de e-mail individual ou usurio nomes.
info@endian.it
postmaster @
abuse @
Isto ir cobrir o nico endereo de e-mail info@endian.it claro, e cada endereo de e-mail com postmaster
ou abuso como parte do usurio, como postmaster@riaa.org.
Aviso
Se o proxy SMTP executado em modo transparente, cada IP endereo de sub-redes
conhecidas do Endian Firewall ser autorizados automaticamente. Portanto, no possvel
barrar um destinatrio que tenha um desses ip endereos.
Cliente Whitelist / Blacklist
Voc tambm pode bloquear ou permitir que um nico endereo IP ou sub-rede a partir da qual e-mail ser enviado (um por
linha).
Exemplo 7.17. Permitir ou negar o bloco IP.
80.190.233.143
80.190.233.0/24
Nota
A lista de permisses sobrescreve as listas negras. Voc pode barrar um sub-conjunto de permisses e
em seguida um nico endereo.
Domnios
Se voc tiver habilitado e-mails recebidos e gostaria de transmitir que e-mail para um servidor de correio por trs do firewall Endian -
geralmente criadas no GREEN ou zona ORANGE - voc precisa declarar os domnios que sero aceito pelo proxy de SMTP e de
servidores para que o seu e-mail e-mails recebidos devem ser para frente. possvel especificar vrios servidores de correio trs
Endian firewall para domnios diferentes. tambm possvel e fcil de usar Endian Firewall como uma MX de backup.
Figura 7,54. Domains
101 de 151 05/03/2010 00:40
Nota
Incoming mail deve estar habilitado para activar esta funcionalidade.
BCC
Ative esta opo se voc gostaria de ter uma cpia dos e-mails a certeza de que passar pelo proxy SMTP - sendo que para um
destinatrio determinado ou de um remetente certo. Especifique se voc deseja verificar o e-mail para um destinatrio - ou um
endereo de remetente. Em seguida, digite esse endereo de e-mail para o endereo de email campo e, finalmente, adicione o
endereo que deve receber a cpia do BCC (Blind Carbon Copy) campo de endereo.
Figura 7.55. BCC
Nota
O remetente e do destinatrio do e-mail no saber que suas mensagens tm sido copiados, a menos
que lhes diga.
Aviso
Na maioria dos pases deste planeta altamente ilegal de ler outras pessoas mensagens privadas. No
abuse desse recurso.
Esta seco cobre as configuraes avanadas do proxy SMTP.
O smarthost
Se voc tiver um endereo IP dinmico, porque voc est usando uma linha ISDN ou ligao ADSL Internet dial-up, voc ter
problemas para enviar mails para outros servidores de correio. Servidores de email Mais e mais comparar DNS com o seu DNS
reverso, enquanto outros servidores de correio verificar se o seu ip endereo listado como um endereo IP dinmico e se recusam a
102 de 151 05/03/2010 00:40
aceitar a sua e-mail. Por isso, pode ser necessrio usar um smarthost para o envio e-mails.
A smarthost um servidor de email que o proxy SMTP usar como SMTP de sada. O smarthost precisa aceitar o seu e-mail e
retransmite para voc. Normalmente, voc pode usar seus provedores de SMTP como host inteligente, uma vez que ele ir
aceitar a retransmisso de e-mails e outros servidores de correio podem no.
Figura 7.56. Smarthost
Smarthost habilitado para entrega
Assinale esta opo para enviar todas as mensagens enviadas atravs do smarthost.
Endereo do smarthost
Mailserver sada para a entrega final.
Nota
Normalmente, voc pode usar seus provedores de SMTP como inteligente acolhimento, uma
vez que ir aceitar para retransmitir seus e-mails e outros servidores de correio no podem.
Autenticao necessria
Alguns servidores de correio requer autenticao. Assinale esta opo em se seu servidor de email requer autenticao.
Nome de Utilizador
Nome de usurio a utilizar para a autenticao.
Senha
Senha para usar a autenticao.
Mtodo de autenticao
Escolha o mtodo de autenticao para o seu smarthost. Os tipos suportados so SIMPLES, LOGIN, CRAM-MD5 e
DIGEST-MD5.
O proxy SMTP pode consultar um remoto servidor IMAP para autenticar usurios. Desta forma possvel utilizar o proxy SMTP remoto
com retransmitido para a autenticao de qualquer domnio externo.
Figura 7.57. IMAP Server para autenticao SMTP
Authentication habilitado
Assinale esta opo para habilitar a autenticao remota.
IMAP Server
Endereo do remoto servidor IMAP.
Nmero de daemons de autenticao
103 de 151 05/03/2010 00:40
Se voc tiver muitos usurios simultneos que voc pode aumentar a Nmero de daemons de autenticao (padro 5).
H ainda mais possibilidades de configurao avanada para a Proxy SMTP. Voc pode alterar o tamanho mximo de um nico
endereo de email, alterar o idioma das mensagens de correio de proxy de SMTP, ou fazer o servidor de correio mais restritiva e
rigorosamente RFC compatvel, a fim de lutar contra spam.
Figura 7,58. Configuraes avanadas
Helo Smtpd necessrio
Se este for activado o cliente se conectar deve enviar uma (HELO ou EHLO) no comando incio de uma sesso de SMTP
(padro habilitado).
Nota
A ativao desta ir parar algum malware UCE.
Rejeitar hostname invlido
Rejeitar o cliente a ligar quando o cliente HELO ou EHLO parmetro fornece um host invlido (default enabled).
Rejeitar remetente FQDN no
Rejeitar o cliente a ligar quando o hostname fornecido dentro do cliente comando HELO ou EHLO no totalmente
qualificado nome de domnio, tal como exigido pela RFC (default enabled).
Rejeitar destinatrio no fqdn
Rejeitar o pedido quando o RCPT TO endereo no est na forma de domnio totalmente qualificado, tal como exigido pela
RFC.
Rejeitar remetente desconhecido domnio
Rejeitar o cliente conectado ao remetente o endereo de email no tem um DNS ou registro MX (default enabled).
Rejeitar domnio desconhecido destinatrio
Rejeitar o cliente conectado quando o e-mail do destinatrio endereo no tem um DNS ou registro MX (default enabled).
SMTP Nome Helo
O nome do host para enviar com o comando EHLO SMTP ou HELO. O valor padro o IP do RED. Especifique um nome de
host ou IP endereo.
Always BCC Endereo
Opcional endereo que recebe uma cpia oculta de cada mensagem que recebida pelo sistema de proxy de SMTP.
Nota
Se o e-mail para o endereo BCC bounces ser devolvido ao remetente.
Smtpd limite de erro de disco rgido
O nmero mximo de erros de um cliente SMTP remoto autorizados a fazer, sem entregar o correio. O servidor SMTP Proxy
desconecta quando o limite ultrapassado (padro 20).
104 de 151 05/03/2010 00:40
E-Mail Lngua Templates
Permite especificar o idioma para as mensagens de erro (padro Ingls).
Mximas E-mail Tamanho
O tamanho mximo permitido (em MBytes) uma mensagem pode ter (padro 10 MB).
Esta pgina foi modificada pela ltima vez: $ Date: 2006-11-23 19:30:06 +0100 (Thu, 23 Nov 2006) $.
Captulo 8. VPN Menu
Tabela de Contedos
Introduo
OpenVPN
OpenVPN Server
IPSec
Certificados X.509
Global Settings
Reset de configurao
Tipo de conexo
Autenticao
Introduo
Figura 8.1. VPN menu selecionado
Virtual Private Networks, ou VPNs permitem que duas redes para conectar diretamente uns aos outros em detrimento de outra rede como
a Internet. Todos os dados transmitida de forma segura ao longo de um tnel criptografado, escondido dos olhares indiscretos. Do
mesmo modo, um nico computador pode tambm ligar para outra rede usando o mesmas instalaes. Em ambos os Endian Firewall
OpenVPN e IPSec protocolos so usados para criar VPNs.
Endian Firewall pode facilmente estabelecer VPNs para outros firewalls Endian. PFE tambm pode interoperar com praticamente
qualquer produto que oferea suporte a VPN OpenVPN, IPSec e tecnologias de criptografia padro, como 3DES. VPN conexes no
Endian Firewall so definidos como Net-a-Net ou Host-to-Net. Isso 100% opcional, ento voc pode ignorar esta seo se voc no
105 de 151 05/03/2010 00:40
desejam fazer uso deste recurso.
A maioria dos sistemas operacionais modernos possuem suporte para IPsec. Isto inclui Windows, Macintosh OSX, Linux e mais variantes
de Unix. Infelizmente, o ferramentas necessrias para fornecer este apoio variam enormemente e pode ser difcil configurada.
Configurao do OpenVPN a maneira mais fcil do que IPSec. Ele roda em Linux, Windows 2000/XP ou superior, OpenBSD, FreeBSD,
NetBSD, Mac OS X, e Solaris.
OpenVPN Na verso comercial do Endian Firewall um amigvel cliente para Windows, Linux e MacOSX est disponvel.
Figura 8.2. Figura de uma rede para a rede VPN
Net-a-net (gateway ou-a-gateway) link VPNs dois ou mais particulares redes atravs da Internet, criando um crypted "tnel". Em
uma rede-de-rede VPN, pelo menos uma das redes envolvidos devem estar conectados Internet com um firewall Endian. O rede
de outra (s) pode ser conectado a um ou outro Firewall Endian IPSec OpenVPN habilitado ou roteador ou firewall. Estes router /
firewalls tm endereos IP pblico atribudo por um provedor e so mais provveis usando Network Address Translation (NAT), da o
termo Net-a-Net.
Se desejar, uma VPN pode ser criado entre mquinas sem fio em seu Rede Blue e Endian Firewall. Isso garante que o trfego em seu
BLUE rede no podem ser interceptadas com sniffers wireless.
Estamos falando de um host para conexo de rede quando Endian Firewall est em uma extremidade do tnel VPN e um usurio
remoto ou mvel est na outra extremidade. O usurio mvel mais provvel que seja um usurio com um laptop pblicos
endereo IP dinmico atribudo por um provedor, portanto, os termos Host-to-Net ou Roadwarrior.
Figura 8.3. Figura de um host para a rede VPN
OpenVPN
OpenVPN um SSL / TLS com soluo de rede privada virtual. Ele utiliza o padro da indstria SSL / TLS protocolo para criar o tnel
criptografado que pode transmitir pacotes de OSI camada 2 ou 3. Preste ateno para no OpenVPN confundir com o que muitos
vendedores chamam de SSL VPN. A maioria deles somente pretenso de ser real VPNs SSL, em vez disso eles realmente so apenas
uma aplicao passagens de nvel que a aplicao do tnel s fluxos de determinados servios atravs de um tnel criptografado sem
a implementao de uma VPN todo, que em fato um site para tnel do local. Como um verdadeiro SSL VPN, OpenVPN tem a
capacidade para todo o trfego do seu tnel de camada 2 do OSI, assim mesmo o trfego ARP pode ser transmitidos para o terminal
remoto.
A principal vantagem deste tipo de VPN a facilidade de uso. Desde OpenVPN uma aplicao de ambos os lados do tnel, funciona
naturalmente no espao de usurio em vez de espao de kernel. Portanto, no precisa mesmo modificaes do kernel e, alm disso,
minimiza a probabilidade de um falha catastrfica que certamente maior para software que executado em espao de kernel. Isso
torna o conjunto muito mais fcil de introduzir em uma rede. Na verdade, sempre que voc conseguir estabelecer uma conexo TCP
normal ou UDP, como a partir de um navegador para um servidor, voc pode usar o OpenVPN. No h necessidade de NAT traversal
ou similares. Recomendamos que voc usar o OpenVPN em vez de IPSec, se voc pode escolher. O nico argumento que vem ao nosso
mente para o uso do IPSec a interoperabilidade com outros fornecedores.
Figura 8.4. Figura de uma VPN usando OpenVPN como VPN misto que combina um Host-to-Net VPN (o
Roadwarrior) e Net-a-VPNs lquido em um hub-and-spoke topologia
Endian Firewall OpenVPN implementa tanto o servidor eo cliente. O interface de administrao dividida em duas partes principais
106 de 151 05/03/2010 00:40
Openvpn Servidor e Openvpn cliente Net2Net. Basicamente, o servidor OpenVPN abre uma interface virtual (o nome da interface
comea com TAP), Cuja funo enviar bits para a OpenVPN servidor em vez do fio. A TAP interface juntado com o GREEN
ponte, de forma que cada cliente est ligado - a partir da viso do outro mquinas por trs GREEN - tambm fazem parte diretamente da
rede GREEN. Para o OpenVPN servidor no faz diferena nenhuma se o cliente se conecta a um todo lquido (Net-a-Net) ou
simplesmente uma RoadWarrior (Net-to-Host), e no faz diferena, se houver um conectado, dois ou muitos clientes.
Outra vantagem em relao ao IPSec o fato de que o OpenVPN servidor atua como um switch (hub-and-spoke). A comunicao entre o
VPN parmetros possvel e de comunicao entre o OpenVPN conectado clientes mantido dentro do tnel e vai sempre atravs do
servidor processo. No se deve deixar o TAP interface no do lado do servidor e, portanto, no deve ser decifrado e, em seguida,
re-codificado em o servidor.
Como mencionado anteriormente, a interface web OpenVPN dividido em dois partes. O OpenVPN Server e Openvpn Cliente
Net2Net menu, que pode seleccionar no topo da pgina como um submenu do Rede Privada Virtual. Se voc gostaria de criar um
tnel simples a partir de um EFW para outro, simlpy escolher um lado, como servidor e configur-lo atravs da pgina do servidor
OpenVPN. O outros actos de lado como um cliente e est configurado na pgina de cliente. No do lado do cliente no ,
certamente, no h necessidade de iniciar o servidor. Se voc tem um lado com IP dinmico, que utilizam como um cliente, desde o
cliente estabelece a ligao e pode reconectar se o endereo IP alteraes. Se voc tiver NAT entre as extremidades do lado
clientes, no h nenhum problema em tudo. Se voc tiver NAT no lado do servidor, basta frente a porta UDP 1194 para a ALE.
OpenVPN Server
O seguinte descreve o OpenVPN interface de administrao do servidor que voc pode encontrar clicando na guia Servidor OpenVPN
no topo do pgina.
Global Settings
Figura 8.5. Configuraes Globais
Esta caixa contm configurao comum para o OpenVPN servidor.
OpenVPN Server habilitado
Assinale esta opo se voc gosta de permitir ao servidor OpenVPN em esta mquina.
IP Pool
Preencha o iniciar e terminar o endereo IP de uma gama de ip GREEN rede que voc gostaria de atribuir aos clientes
OpenVPN conectando a este servidor. Note que com o Net-a topologia de rede, apenas o EFW remoto receber
um IP a partir deste intervalo e no o estaes de trabalho para trs.
Porto
Esta a porta na qual o servidor OpenVPN ir ouvir para receber os pedidos.
Protocolo
Esta opo permite alterar o protocolo de UDP ao TCP.
Aviso
No selecione TCP como protocolo, a menos que voc saiba exatamente O que voc est
fazendo!
Block respostas DHCP provenientes de tnel
Desde o toque do dispositivo virtual do servidor OpenVPN se juntou com a ponte GREEN, pacotes de difuso de sua
GREEN zona passar o tnel. Isso inclui solicitaes DHCP a partir de estaes de trabalho. Se o cliente do
outro lado est em modo de bridge, DHCP respostas retornar a partir dele, se o controle remoto lado tem um
servidor DHCP em execuo. Isso pode causar problemas - se voc no deseja que o servidor DHCP remoto para atribuir
107 de 151 05/03/2010 00:40
endereos IP para as estaes de trabalho locais dentro GREEN assinalar esta opo para bloco de respostas.
Nota
Preste ateno, isso no ir bloquear as respostas DHCP provenientes de seu local de DHCP
e ir para o controle remoto rede! Voc precisa de bloque-los no lado remoto.
Certificado CA
Esta a representao de texto de sua certificao Autoridade de Certificao. Isso necessrio em cada cliente OpenVPN
que quer se conectar ao servidor OpenVPN.
Download CA Certificate
Ao clicar neste link voc pode baixar o CA Certificado que necessria por cada cliente OpenVPN para ser capaz
de se conectar ao servidor OpenVPN.
Os usurios que tm permisso para se conectar a openvpn
Figura 8.6. Utilizadores que tm permisso para se conectar a openvpn
Abaixo da caixa de configuraes globais, voc vai encontrar a possibilidade para gerenciar contas que podem se conectar ao
servidor OpenVPN.
Todos os utilizadores conhecidos sero listados em uma tabela. Cada linha tem os cones de ao aps o que sero aplicadas para
os respectivos usurio:
Configurar redes
Ao clicar neste boto voc ser redirecionado para um nova janela onde voc pode administrar esta rede do usurio
configuraes.
cone Ativado
Se este aparece como um assinalada a opo, o usurio habilitada e pode se conectar. Clique nele para ativar ou
desativar o usurio. Note que a desativao de um usurio estiver conectado no no chut-la, ele
simplesmente se recusa a reconexo.
cone de lixeira
Clique nele para remover a conta.
cone Lpis
Clique nele para editar a respectiva conta. Isto abrir uma nova pgina que ser descrito mais adiante Adicionar conta.
Abaixo, voc vai encontrar um nico boto, Adicionar Conta, Que permite que voc adicione uma nova conta. Este boto abrir
uma nova pgina que ser descrito mais tarde no Adicionar conta seo.
Adicionar conta
Figura 8.7. Adicionar conta
108 de 151 05/03/2010 00:40
Se voc criar uma nova conta, voc encontrar o seguinte campos de configurao:
Nome de Utilizador
Preencha o nome de usurio para ser criado
Senha
Escolha uma senha para a nova conta.
Verificar senha
Preencha a senha mesmo que acima. Isto s para efeitos de verificao, a fim de garantir que voc digitou o
senha corretamente.
Rede remota
Isso no necessrio se o cliente remoto que utiliza a se com essa nova conta, no modo de ponte. De outra maneira
voc precisa especificar o endereo de rede do GREEN remoto rede de forma a deixar o Firewall Endian criar
correto roteamento entradas de ambos os lados.
Mscara de rede remota
Preencha a mscara de rede do cliente remoto se estiver configurado para ser em modo de encaminhamento.
usar este firewall como gateway padro
Marque esta a de que voc gostaria de ter o cliente remoto Criar entradas de encaminhamento para redirecionar todo o
trfego de o lado remoto atravs do tnel VPN para a ALE, onde ento pode deixar a interface RED. Voc
normalmente querem que esta em roadwarriors, a fim de aplicar polticas de segurana, caso contrrio do lado
oposto, certamente tem a sua prpria conexo Internet e um possvel intruso pode entrar pela VPN e compromisso
da Rede Verde local. Basicamente, esta opo faz o seguinte, do lado oposto:
Cria uma rota de host que envia todo o trfego com RED nosso endereo IP como destino para o endereo IP
que utilizado como gateway padro.
1.
Remove a entrada de rota padro. 2.
Cria uma nova rota de entrada padro com o nosso VERDE Endereo IP como gateway. 3.
empurrar a caminho de zona azul
Esta opo permitir o acesso do novo usurio ao seu BLUE zona.
Nota
Esta opo s est disponvel se voc tiver configurado sua zona azul.
push rota para a zona de laranja
Esta opo permitir o acesso do novo usurio ao seu Zona laranja.
Nota
Esta opo s est disponvel se voc tiver configurado sua zona laranja.
109 de 151 05/03/2010 00:40
O status da conexo e de controlo
A seguir est abaixo da caixa de usurios que esto autorizados a conectar a openvpn e mostra-lhe todos os jogadores conectados
usurios.
Figura 8.8. Estatuto de conexo e de controlo
A tabela mostra as seguintes informaes:
Usurio
O nome do usurio que est conectado ao servidor.
Assigned IP
O endereo IP que foi atribudo ao cliente por o servidor. Este endereo IP pertence faixa de IP GREEN
configurado acima.
Real IP
O verdadeiro endereo IP pblico do conectados cliente.
RX
O volume de dados que foram recebidos atravs deste tnel.
TX
O volume de dados que tenha sido transmitido por meio deste tnel.
Conectado desde
A data / hora quando o cliente se conectou.
Uptime
A quantidade de tempo que o cliente j est respectivos conectado.
As seguintes aes podem ser executadas em cada um conectado usurio:
Matar
Mata a conexo imediatamente. O usurio pode reconectar e isso vai acontecer desde que o cliente openvpn no
o lado remoto ir ligar automaticamente logo que reconhece a desconexo, que ter at um par de
minutos.
Ban
Bane o usurio. Na verdade, esta desactivada e, em seguida, retrocede o usurio em uma linha. O usurio no pode
reconectar.
Esta seo descreve a configurao do cliente OpenVPN fornecido com o Endian Firewall. Com este cliente, voc pode ter o
Endian Firewall conectar a um servidor OpenVPN remoto. Normalmente, voc ir Use isto se voc gostaria de criar uma rede para
conexo de rede para outro ALE. A configurao do cliente necessita as seguintes informaes para ser capaz de se conectar
com xito para um servidor remoto OpenVPN:
Nome de Utilizador
Senha
Certificado CA do controle remoto servidor.
Voc vai ter o certificado da CA do servidor se voc empurra o Download CA Certificate link Openvpn pgina de configurao do
servidor - no controle remoto do Endian Firewall curso. Isso necessrio para adicionar uma informao adicional aleatrio que
um deve ter. Desta forma no possvel para atacantes se conectar VPN, s encontro o nome de usurio ea senha. Eles
tambm precisam do certificado, a fim de ser capaz de se conectar.
VPN tnel e controlo
Esta pgina lista estatuto de relatrios para os tneis configurados. Voc notar que esta pgina recarrega a cada cinco segundos, a
fim de atualizar a exibio de status se o status de alguns clientes alteraes.
Figura 8.9. Tnel VPN e controle
110 de 151 05/03/2010 00:40
O seguinte descreve os itens de configurao exibida de cada cliente e suas possibilidades de ao:
Status
Exibe o status da conexo dos respectivos tnel. Os seguintes valores no existem:
fechado
O tnel est fechado. No h conexo para o host remoto.
estabelecido
O tnel para o host remoto est estabelecido e de trabalho.
Conectando ...
O cliente est realmente tentando se conectar o host remoto.
resolver erro
O cliente no conseguiu resolver o controle remoto hostname. Provavelmente o hostname no existe ou
voc tem um problema com a resoluo de DNS.
invlido ca cert
O certificado CA invlido. Talvez voc forneceu o certificado errado. Outra possibilidade Pode
ser que a data de seu anfitrio est errado, ento que o certificado ainda no vlidas.
Falha na autenticao
O cliente no pode autenticar para o host remoto. Voc pode ter fornecido o errado Nome de
usurio ou senha.
Remote Address
O host remoto para o qual o cliente deve conectar.
Opes
Exibe as opes de configurao, se forem definidas. Possivelmente, os valores so:
ponte
O cliente est no modo de ponte.
suspensa DHCP
Os blocos de cliente DHCP respostas provenientes do tnel.
Remark
Descrio conexo opcional.
Ao
Para editar um tnel j existente, clique sobre seu lpis cone. O tnel de valores VPN ser exibido na adicionar tnel VPN
Definies seo da pgina.
Para remover um tnel j existente, clique sobre seu lixeira cone. Voc ser perguntado se voc realmente deseja remover
o tnel, e se voc escolher Sim, A configurao do tnel ser removido.
Para ativar ou desativar uma regra - clique no Habilitado cone (a caixa de seleo no Aco coluna) para a entrada em
particular voc deseja ativar ou desabilitar. O cone muda para uma caixa vazia quando um tnel desabilitado.
Clique sobre a caixa de seleo para ativ-lo novamente
Abaixo voc encontra um nico boto Adicionar tnel configurao, Que permite que voc crie um novo cliente de configurao
para conectar a um firewall Endian ou remoto outro tipo de servidor OpenVPN.
Adicionar um tnel VPN
Se voc apertar o boto Adicionar tnel configurao vai chegar a esta pgina.
Figura 8.10. Adicionar um tnel VPN
111 de 151 05/03/2010 00:40
A fim de criar uma nova configurao do tnel que voc precisa fornecer as seguintes informaes:
Conecte-se
Endereo IP ou nome de host pblico (FQDN) do controle remoto Endian Firewall (ou servidor OpenVPN outros).
Usurio e Senha
Nome de usurio e senha da conta criada no OpenVPN o host remoto.
Bridged / Routed
O cliente OpenVPN pode correr em qualquer encaminhadas ou ponte modo. A diferena est em que camada OSI o cliente
agir. Se voc especificar ponte modo, o clientes virtuais TAP dispositivo ser juntado at a ponte da
Zona Verde (br0). Como Membro da ponte, todo o trfego criado no mbito do GREEN rede tambm vai ser
transmitido atravs do tnel para o remoto lado. Isto inclui o trfego ARP e outros protocolos que so abaixo do
TCP. Desta forma, o tnel funciona como um switchport. Voc pode usar este por exemplo, se voc precisa ser capaz de
navegar o controle remoto de servidores do Microsoft Windows. Para acessar hospeda no lado remoto certamente
voc deve usar o mesmo verde endereo de rede em ambos os lados, pois na verdade esses dois GREEN redes
vai ser realmente parte da mesma fsica rede.
Nota
Mas ateno, esta opo no bem dimensionado e manda muito trfego desnecessrio
atravs do tnel! Use-o apenas Se voc realmente precisa dele.
Com roteado modo que os clientes TAP dispositivo permanecer sozinho e no vai se juntou ponte VERDE. O dispositivo
ir obter um IP endereo atribudo pelo servidor OpenVPN remoto que seleciona-lo IP da sua piscina configurado.
As duas zonas verdes so parceladas e as duas redes sero encaminhadas. Isso tudo acontece dentro de uma
camada OSI mais elevados. A fim de fazer esse trabalho, voc precisa ter diferentes GREEN endereos de rede,
uma vez que as duas redes neste modo no so o mesmo e precisam ser distinctable. Voc tambm precisa especificar
GREEN sua rede local e mscara de rede do controle remoto OpenVPN servidor, a fim de permitir que o cliente
definir o necessrio rotas.
bloco de respostas DHCP vindo do tnel
Se voc selecionou o modo roteado, isso no lhe interessam em tudo. Caso contrrio, se voc selecionou o modo bridge, as
TAP dispositivo virtual do cliente OpenVPN est associado ao Ponte VERDE. Portanto transmisso de pacotes de
sua zona GREEN vai passar pelo tnel. Isso inclui solicitaes DHCP a partir de estaes de trabalho. Como o
servidor do outro lado tambm parte desta ponte verde, as respostas DHCP ir retornar a partir dele Se o
controle remoto funciona um servidor DHCP. Isso pode causar problemas - se voc no deseja que o servidor DHCP remoto
para atribuir endereos IP para estaes de trabalho locais na zona verde. Assinale esta opo em se gostaria de
bloquear essas respostas.
Nota
Preste ateno, isso no ir bloquear as respostas DHCP provenientes de seu local de DHCP
e ir para o controle remoto rede! Voc precisa de bloque-los no lado remoto.
Remark
Uma descrio de conexo opcional.
Certificado da CA
Endian Firewall do servidor OpenVPN certificado da CA. Voc comea Este certificado, pressionando o Download CA
Certificado link OpenVPN no servidor remoto pgina de configurao.
Certificado da CA
Voc pode colar o contedo da CA atestados (texto) essa caixa ou ...
CA upload de arquivos
... voc pode fazer o upload do arquivo de certificado CA.
112 de 151 05/03/2010 00:40
Salvar
Clique em "salvar" para adicionar a sua configurao.
Situao: voc tem trs filiais, com trs Endian Firewall e voc precisa se conectar a uma rede de escritrios em exclusivo como estrela
topologia hub (-and-spoke), com tneis criptografados.
Nota
O relgios em cada extremidade da VPN EFW tnel deve ser at data antes de configurar uma
VPN, caso contrrio a conexo no pode ser estabelecido se o CA certificado ainda no vlido por
causa de um relgio errado.
Configurar Endian Firewall OpenVPN servidor
Um dos trs Endian firewall deve agir como servidor OpenVPN (o hub):
V para a seo do servidor OpenVPN (VPN> OpenVPN Server)
Figura 8.11. Openvpn Server
1.
Defina um intervalo de endereos IP que ser usado para atribuir um interna (GREEN) endereo IP para os outros dois
Endian Firewalls.
2.
Assinale a caixa Enabled. 3.
Agora adicione 2 utilizadores, office1 e office2 (um para cada firewall Endian que ser conectado ao nosso servidor
OpenVPN Endian Firewall) pressionando Adicionar conta boto no Os usurios que tm permisso para se conectar
openvpn seo.
Figura 8.12. Utilizadores que tm permisso para se conectar a openvpn
4.
Preencha as informaes no Adicionar Novo usurio itens do formulrio. Neste caso, assumimos que o
suficiente para usar o modo roteado. Voc precisa especificar a rede GREEN endereo e mscara de rede da filial
respectivos. (office1 e office2). Se voc quiser que o novo usurio para poder conectar ao seu AZUL ou
Zona laranja voc tem que assinalar a respectiva rota push a zona azul laranja / checkbox.
Figura 8.13. Adicionar um novo usurio
5.
113 de 151 05/03/2010 00:40
Repita o passo 4 e 5 para o segundo usurio.
Figura 8.14. Lista de usurios permitidos
6.
Ok. O Endian Firewall em Office0 pronto para receber conexes VPN de outros escritrios. 7.
Baixe o arquivo de certificado CA, clicando no link Download CA Certificate. Voc precisar deste arquivo de ambos os
outros firewalls.
Aviso
Preste ateno para manter esse arquivo privado.
8.
Figura 8.15. Openvpn Server CA Certificado
Configurar o Endian Firewall OpenVPN Cliente Net2Net
Agora temos que configurar o Firewall do Endian office1 e office2.
V para o office1 Endian Firewall web interface, para a seco de cliente Openvpn Net2Net (VPN> OpenVPN 1.
114 de 151 05/03/2010 00:40
Net2Net cliente).
Figura 8.16. Configurar o Office 1 Endian Firewall
Clique no boto adicionar tnel configurao.
Figura 8.17. Adicionar Office 0 tnel
Abastecimento as seguintes informaes:
Conecte-se: Inserir o Office0 Endian Firewall RED interface Endereo IP ou o nome completo do host (Ex.
office0.endian.it)
Nome de Utilizador: O nome de usurio Criado em Office0 Endian Firewall (consulte "Configurar
o Endian Firewall do servidor OpenVPN" Ponto 4 e 5) (neste caso: office1)
Senha: A senha para o usurio
Encaminhadas: Neste caso, provavelmente seria melhor escolher roteado.
Remark: Inserir um descrio da conexo (opcional)
Carregar arquivo CA: Clique em o Navegue boto e escolha o arquivo que voc salvou antes na
etapa 8.
2.
Clique em Salvar boto. 3.
Repita o passo 1 a 4 para o office2 Endian Firewall. 4.
Se tudo estiver ok, a pgina VPN> OpenVPN Server> Openvpn cliente Net2Net em seu office1 e office2 firewall deve
mostrar-lhe isto:
Figura 8.18. Conectado ao Office 0 tnel
e Office0 Endian Firewall deve mostrar-lhe o seguinte sobre o VPN > OpenVPN Server pgina:
Figura 8.19. Connected Office 1 e 2 clientes
5.
115 de 151 05/03/2010 00:40
Com esta configurao de suas estaes de trabalho no office1 e office2 redes deve ser capaz de alcanar a rede verde de sua
Office0.
Para se conectar ao servidor OpenVPN Endian Firewall voc pode escolher de uma lista de projetos livres que implementar um cliente
openvpn com uma interface grfica do usurio. Um que voc pode encontrar em Mathias Sundman OpenVPN GUI do site. Voc
openvpn pode tambm fazer o download a partir do OpenVPN Homepage, Que faz fornecer o pacote de cdigo fonte ou um pacote
Microsoft Windows Installer. Cada distribuio de Linux deve ter um grande pacote prprio de e ela tambm tem sido portado para
outros derivados do Unix.
Dica
Endian Firewall Enterprise Edition tem um pacote de Linux, bem como como um pacote do Windows do
cliente OpenVPN disponvel para download em o VPN> OpenVPN> Download seo.
Em seguida, voc precisa de um vlido e principalmente Endian Firewall compatvel arquivo de configurao. O servidor OpenVPN no
Endian Firewall:
funciona como servidor claro, para a instalao do openvpn deve agir como cliente (- Cliente), A fim de
estabelecer com xito um conexo.
Audies sobre o padro porto 1194 (- porto 1194).
usa o UDP protocolo (- proto udp).
encapsula Ethernet 802,3, portanto, usa TAP (dispositivos- dev TAP).
usa Modo de chave esttica (- auth-user-pass).
usa compresso LZO rpido (- comp-lzo).
Exemplo 8.1. Uma linha de comando para iniciar openvpn no seu RoadWarrior
cliente openvpn - - puxar - comp-lzo - NOBIND - dev TAP - ca / caminho / para-a-ca-auth
certificate.pem - user-pass - remoto your.remote.efw
Exemplo 8.2. Um arquivo de configurao exemplo para openvpn no seu RoadWarrior
cliente
dev tap
proto udp
your.remote.efw remoto
resolv-retry infinite
NOBIND
persist-chave
persist-tun
ca caminho-para-a-ca-certificate.pem
auth-user-pass
comp-lzo
Nota
Faa o download do certificado da CA usando o link apropriado no Configurao do servidor OpenVPN pgina
e copie o arquivo de certificado para o local para onde voc apontar com o - ca parmetro.
IPSec
IPSec (IP Security) uma soluo de VPN genricos padronizados. Comparado a OpenVPN, criptografia e autenticao j feito sobre o
OSI camada 3, como uma extenso do protocolo IP. Portanto IPsec deve ser implementadas no IP, que parte do kernel. Desde
IPSec uma protocolo padronizado compatvel com a maioria dos fornecedores que implementam IPSec. Comparado a configurao
do OpenVPN IPSec e da administrao devido sua complexidade geralmente bastante difcil e, devido ao seu design alguns
situaes so impossveis de se lidar em comparao com OpenVPN, especialmente se voc tm que lidar com NAT. No entanto,
Endian Firewall implementa um fcil de usar interface de administrao, com possibilidades de autenticao diferente. Ns
enfaticamente que voc use o IPSec apenas se voc precisar por causa de fins de interoperabilidade. Use OpenVPN sempre que
possvel, especialmente se o NAT est em The Game.
necessrio ter uma chave pr-compartilhada / senha / frase secreta ou um certificado X.509, antes de tentar configurar uma ou
116 de 151 05/03/2010 00:40
Roadwarrior Net-a-Net conexo VPN. Estes so os mtodos de autenticao, que identificar o usurio tentar acessar o VPN. Eles
sero necessrios no VPN fase de configurao.
O pr-compartilhada mtodo de autenticao de chave ou PSK uma forma muito simples mtodo que permite ligaes VPN a
estabelecer rapidamente. Para este mtodo, voc entra em uma frase de autenticao. Isso pode ser qualquer carter string -
semelhante a uma senha. Esta frase deve estar disponvel para autenticao no Endian Firewall e VPN no cliente.
O mtodo PSK envolve etapas menos de certificado autenticao. Ele pode ser usado para testar a conectividade de VPN e
familiarizar-se com o processo de estabelecer uma conexo VPN. Os usurios experientes podem querer seguir direto para o a
seo "Root Gerar / Host Certificados" antes de tentar configurar um RoadWarrior ou uma rede para conexo de rede VPN.
O pr-compartilhada mtodo chave no deve ser usado com Roadwarrior como todas as conexes roadwarriors deve usar o mesmo
pr-compartilhada chave.
Nota
O relgios em cada extremidade da VPN EFW tnel deve ser at data antes de configurar uma
VPN.
Certificados X.509
Certificados X.509 so uma maneira muito segura de conexo VPN servidores. Para implementar certificados X.509 tem de gerar ou
instalao dos certificados em Endian Firewall ou usar uma outra certificao autoridade em sua rede.
X.509 Terminologia
Certificados X.509 no Endian Firewall e muitos outros implementaes so manipulados e controlados
pelo OpenSSL. SSL, ou o Secure Sockets Layer, tem sua prpria terminologia.
Certificados X.509, dependendo de seu tipo, pode conter criptografia de chaves pblicas e privadas,
frases e informaes sobre a entidade que se referem. Esses certificados so destinadas a ser
validados por autoridades de certificao (Certificate Authorities) ou CAs. Quando usado por
navegadores da web, os certificados de CA do major, pagar para, CAs so compilados em todos os
navegadores. Para validar um host certificado, o certificado passado para o CA adequado
executar a validao. Em redes privadas ou hosts nicos, a CA pode residir em uma mquina
local. No caso EFWs, este o Endian Firewall, em si.
Solicitar a assinatura de certificao so os pedidos de assinatura certificados X.509 no assinados que
so passados para CAs. A certificao, por sua vez gerar um certificado X.509 atravs da assinatura do
pedido. Estes so devolvido entidade requerente como certificados X.509 vlido. Estes
certificados assinados, ento, obviamente, de ser conhecido pelo CA.
Voc ver que os certificados X.509 e solicitaes podem ser armazenados no disco rgido em trs
formatos diferentes, geralmente identificados por suas extenses. Formato PEM o padro para
OpenSSL. Ele pode conter todas as informaes associadas com certificados em formato de
impresso. DER formato contm apenas a chave informao e nenhuma informao extra X.509. Este
o padro formato para a maioria dos navegadores. Formato PEM envolve cerca de cabealhos formato
DER chaves. Certificados PKCS # 12, PFK ou P12 conter as mesmas informaes PEM como
ficheiros em formato binrio. Usando o openssl comando, PEM e PKCS # 12 arquivos podem ser
transformados no respectivamente outro formato.
Para usar um certificado, voc deve import-lo para o lado do outro CA, tambm. A implementao do IPSec no Endian Firewall
contm o seu prprio construdo em CA. CAS pode rodar em mquinas RoadWarrior tambm.
Se a implementao IPSec RoadWarrior no tiver CA recursos, voc pode gerar um pedido de certificado, import-lo para ALE
ALE para que CA pode assinar. Ento voc tem que exportar o resultando certificado e import-lo para o RoadWarrior originrios de
IPSec software.
Global Settings
Figura 8.20. VPN configuraes globais
Digite os detalhes do servidor VPN, ou o seu domnio totalmente qualificado nome ou o endereo IP pblico da interface RED. Se voc
estiver usando uma servio de DNS dinmico, voc deve usar o seu nome DNS dinmico aqui.
VPNs e DNS Dinmico
Se o seu provedor muda o seu endereo IP, estar ciente de que o Net-a-Net VPNs podem ter de ser
reiniciado de ambas as extremidades do tnel. Roadwarriors tambm ter de reiniciar as suas ligaes
117 de 151 05/03/2010 00:40
nesta estojo.
Ativar a VPN no Endian Firewall, selecionando Local VPN Hostname / IP e clique no Salvar boto. O VPN em Azul opo s ser visvel
Se voc tiver configurado uma placa de interface de rede BLUE. Para habilitar uma VPN sobre o seu clique na conexo sem fio na
BLUE VPN BLUE Habilitado caixa de seleo e clique em no Salvar boto.
Figura 8.21. Status da conexo VPN e janela de controle: viso inicial
Esta caixa lista cada conexo configurada e seu status. Para cada conexo que voc vai ver as seguintes informaes:
Nome
O nome da conexo respectivos
Tipo
O tipo de ligao (Net-a-Net ou Net-to-Host) com ela tipo de autenticao.
Nome comum
Este campo preenchido somente se a autenticao de certificado ser utilizado. Ela contm o valor que foi inserido
no certificado remoto como nome comum. Normalmente, este o hostname da mquina remota.
Remark
Uma nota breve para tornar mais fcil para identificar o conexo.
Status
Mostra o status da conexo respectivos. O seguintes valores so possveis:
FECHADO
a conexo fechada.
OPEN
a conexo estabelecida.
Os itens seguintes simbolizam a Aes voc pode fazer para cada conexo respectivas:
Reinicie o cone
Ao clicar sobre o cone da conexo ser reiniciado. Use esta em ambos os lados se o seu ip muda de endereo para
exemplo.
Opo Enabled
Para habilitar ou desabilitar uma conexo - clique no Habilitado cone para a entrada em particular voc deseja habilitar ou
desabilitar. O cone muda para uma caixa vazia quando uma conexo est desativada. Clique na caixa para permitir que
novamente.
cone Lpis
Clique sobre este cone se voc quiser editar esse particular entrada de conexo.
cone de lixeira
Ao clicar sobre o cone da conexo ser removido.
Aviso
A interface de administrao no perguntar se voc realmente deseja remover a conexo!
Para criar uma conexo VPN usar o Adicionar boto. A pgina de conexo VPN aparecer (ver a seco "Connection Type").
Esta parte necessrio para criar ou importar certificados CA raiz. O caixa mostra duas linhas especiais marcadas com informaes
sobre o registro certificados. Se voc j criou ou importou os certificados que vai ver as linhas preenchidas com informaes.
direita voc vai encontrar dois smbolos no Aes coluna. Ao clicar no cone de informaes azul voc vai carregar uma pgina com o
certificado impresso como texto simples e como ASCII blindado sada.
Exemplo 8.3. Exemplo de sada certificado de texto simples.
Certificado:
118 de 151 05/03/2010 00:40
Data:
Version: 3 (0x2)
Serial Number: 0 (0x0)
Signature Algorithm: md5WithRSAEncryption
Issuer: C = AF, O endian, CN = endian CA
Validade
Not Before: May 30 16:21:28 2006 GMT
No Depois: Mar 11 06:56:08 2022 GMT
Assunto: C = AF, O endian, CN = endian CA
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (bit 2048)
Modulus (2048 bit):
00: c2: 9f: 79:09:84:88:6 e: 8f: 9f: ser: 50:36:62:2 E:
25:63: ac: 1d: e4: ff: 7e: B1: f0: f1: 42: C8: A0: a6: 33:
32:43:56: d0: 5A: E1: 77:14: EC BA:: f8: 44:22: e9: aa:
E8: 70:19: e1: 38:50:28:56:48: A8: 7f: a7: EB: 0e: A8:
Ba um 27:9:: A4: 0a: fb: 59:7 f: 1f: 4c: d4: 20:78:05:2 E:
06:2 a: 5c: f2: 6f: 70: EE: C2: D2: 3b: 34:35:80: E8: da:
DC: C8: 32:34:95 cb:: F0: 0A: 75:04: f6: 0B: 26: d6: 9b:
AB: 0e: 01:60: f0: fe: 2a: a6: 40: E6: A7: 47: e2: 71:11:
25:71: c4: 03:99: fd d8: 07:00:7 e: e6: 28:12:97:29:
3F: ad: 68:54:01:8 d: ed: 26:97: c9: 85:8 c: 32: bf: 0b:
58:82:2 e: 38:71:26:58:3 c: 75:96:27 DF:: 4b: 35:0 d:
F5: aa: C5: 5a: e7: f1: 73: A1: F0: 5e: A2: ab: 4b: 3f: a7:
60:6 F: 36:55: d6: C5: 76:71:23: B6: 9b: 44: B3: 2c: bf:
83: b3: CC: 17:05:7 d: 0a: EA: 1e: 83:28:91:8 a: 79:6 b:
ec: 45:65: c5: 40: cd: e5: 43 CE:: 72:77:74:6 c: 28:31:
FA: b1: 49: e8: 41:94:93:93:8 a: 57:14:88: e2: b0: E1:
3D: d2: 7c: A2 CE:: 35:85: cc: 7b: c9: 37:61:47:1 d: 85:
db: d1
Exponent: 65537 (0x10001)
Extenses X509v3:
X509v3 Subject Key Identifier:
C7: EE: A4: 68:68: A7: A9: 4B: 1E: 95:09:66:84:50:94:0 F: 7A: FA: B4: 62
X509v3 Authority Key Identifier:
keyid: C7: EE: A4: 68:68: A7: A9: 4B: 1E: 95:09:66:84:50:94:0 F: 7A: FA: B4: 62
CA DirName: / C = AF / S endian = / CN = endian
srie: 00
X509v3 Basic Constraints:
CA: TRUE
Signature Algorithm: md5WithRSAEncryption
35: a7: 2e: 5d: 66: ef: 23:37:36: FE: 3a: 18:4 f: 3b: 1f: e0: 76: bd:
07:85:6 b: 06:33: f5: 56:15:6 b: 3b: 08:81:0 a: 5a: f6: 32: bb: e1:
3a: C6: 76:94 AC:: 09:30:6 c: 82:32:6 d: a0: DD: 14: a4: 5a: 27:57:
6b: 86:81: EC: c9: bb: 78: cc: 79:8 b: db: 4a: 71:8 f: 94: f8: 59: C5:
8a: A6: f4: 9c: C6: C5: 8b: 24:5 d: cd: a8: C6: f1: 15: ed: 1a: d9: 49:
56:6 c: 08:9 b: 8e: d0: 08:85: ca: 3e: D9: 27:70: e2: d4: 53:4 a: 89:
CE: 79:47: c0: 2a: 7f: 96: fc: 87:20:11:86: C4: bd: 72: a0: f3: 50:
89: d3: a8: 3d: 0d: 90:1 e: 67:8 e: 15:02:7 b: A4: 46:46:20:8 c eb::
25: cf: D5: 1b: 25:98:2 c: 9c: 38:90:68: e1: d2: B1: 3c: d1: EA: 24:
F9: c0: 6B: 0D: 38: d1: 65:73:94:30:9 b: A5: ce: d9: C5: 86: CA: 79:
B2: bd: 9f: 82:1 a: 37:3 b: 54:2 b: 72: B5: 55:44: ff: CE: f0: f7: 6c:
50: c2: CA: 35: f5: 86: A3: 41:70:46: df: 06: ce: 5e: 3F: 07: fa: 79:
a9: 01: be: f9: 21 ff:: a7: e2: bc de anncios:: 9f: a7: 04:36:67: ff: 19:32:
e7: 47: c7: EB: 3e: 2d: 73:22:31:0 c: 4d: 07: c0: 7a: f8: 3D: 81: e2:
da: 68:1 c: 48
O discette azul cone permite que voc baixe o certificado como arquivo codificado PEM, que voc pode, ento, de importao de outros
dispositivos.
Exemplo 8.4. Contedos Exemplo de um CA exportados.
----- BEGIN CERTIFICATE -----
MIIDbDCCAlSgAwIBAgIBADANBgkqhkiG9w0BAQQFADAyMQswCQYDVQQGEwJBRjEP
MA0GA1UEChMGZW5kaWFuMRIwEAYDVQQDEwllbmRpYW4gQ0EwHhcNMDYwNDMwMTYy
MTI4WhcNMjIwMzExMDY1NjA4WjAyMQswCQYDVQQGEwJBRjEPMA0GA1UEChMGZW5k
aWFuMRIwEAYDVQQDEwllbmRpYW4gQ0EwggEiMA0GCSqGSIb3DQEBAQUAA4IBDwAw
ggEKAoIBAQDCn3kJhIhuj5 + + UDZiLiVjrB3k/36x8PFCyKCmMzJDVtBa4XcU7Lr4
RCLpquhwGeE4UChWSKh / p + l/H0zUIHgFLgYqXPJvcO7C0js0NYDo 1 sOqCeauqQK
2tzIMjSVy/AKdQT2CybWm6sOAWDw/iqmQOanR + JxESVxxAOZ2P0HAH7mKBKXKT + t
aFQBje0ml8mFjDK/C1iCLjhxJlg8dZYn30s1DfWqxVrn8XOh8F6iq0s/p2BvNlXW
xXZxI7abRLMsv4OzzBcFfQrqHoMokYp5a + xFZcVAzeVD7HJ3dGwoMfqxSehBlJOT
ilcUiOKw4T3SfKLONYXMe8k3YUcdhdvRAgMBAAGjgYwwgYkwHQYDVR0OBBYEFMfu
pGhop6lLHpUJZoRQlA96 + rRiMFoGA1UdIwRTMFGAFMfupGhop6lLHpUJZoRQlA96
+ rRioTakNDAyMQswCQYDVQQGEwJBRjEPMA0GA1UEChMGZW5kaWFuMRIwEAYDVQQD
EwllbmRpYW4gQ0GCAQAwDAYDVR0TBAUwAwEB/zANBgkqhkiG9w0BAQQFAAOCAQEA
NacuXWbvIzc2/joYTzsf4Ha9B4VrBjP1VhVrOwiBClr2MrvhOsZ2lKwJMGyCMm2g
3RSkWidXa4aB7Mm7eMx5i9tKcY + U + FnFiqb0nMbFiyRdzajG8RXtGtlJVmwIm47Q
CIXKPtkncOLUU0qJznlHwCp/lvyHIBGGxL1yoPNQidOoPQ2QHmeOFQJ7pEZGIIzr
Jc/VGyWYLJw4kGjh0rE80eok + cBrDTjRZXOUMJulztnFhsp5sr2fgho3O1QrcrVV
RP/s8PdsUMLKNfWGo0FwRt8Gzl4/B/p5qQG + + SH / p + K8rZ + nBDZn/xky50fH6z4t
cyIxDE0HwHr4PYHi2mgcSA ==
----- END CERTIFICATE -----
Figura 8.22. Certificado VPN janela autoridades: viso inicial
119 de 151 05/03/2010 00:40
Para criar uma Autoridade Certificadora EFW ou CA, digite seu CA nome no Nome CA caixa. O nome deve ser diferente do nome
da mquina Endian Firewall de host, para evitar confuso. Por exemplo, efwa para o CA e ALE para o host. Ento clique no Gerar
Raiz / Host Certificados boto. O Gerar Raiz / Host Certificados pgina ir aparecer. Preencha o formulrio e ambos raiz um certificado
X.509 e anfitrio ser gerados.
O seguinte descreve os itens no formulrio:
Nome da Organizao
O nome da organizao que pretende utilizar no certificado. Por exemplo, se a sua VPN est ligando escolas de
um distrito escolar, voc pode querer usar algo como "Alguns Distrito Escolar.
Hostname Endian Firewall
Este deve ser o nome de domnio totalmente qualificado do seu Endian Firewall. Se voc estiver usando um servio de DNS
dinmico (ver a seco "Dynamic DNS Administrativa Web Page"), Us-lo.
Seu endereo de email
Seu endereo de e-mail, assim que a gente pode se apossar de voc.
Seu Departamento de
Este o nome do departamento ou organizao secundria. Continuando o exemplo do distrito escolar, este poderia ser XX
Fundamental Escola. Isto opcional.
Cidade
A cidade ou o endereo postal para sua mquina. Esta opcional.
Estado de Provncia
O estado ou provncia, associada discusso endereo.
Pas
Esta seleo de menu pull down contm todas as ISO reconhecido nome do pas. Use-o para selecionar o pas
associada ao certificado.
Aps preencher o formulrio, clique no Gerar Raiz / Host Certificados boto para gerar os certificados.
Se desejar, voc pode gerar vrios raiz e de acolhimento certificados em um nico Endian Firewall, e depois export-los para o formato
PKCS12 arquivos criptografados com uma senha. Voc pode ento envi-las como anexos para outros sites. Usando o PKCS12
Upload arquivo parcela desta pgina web, voc pode subir e descriptografar os certificados em uma mquina local Endian
Firewall. Voc gera o PKCS12 arquivo no remoto Endian Firewall, proprietria da CA por criar a ligao que se destina para o
tnel para o seu local Firewall conforme descrito no o "Host-to-Connection Net", mais adiante neste documento. Se voc
selecionar Gerar um certificado no lado remoto conforme descrito no a seo chamada "Autenticao", Ser criar o arquivo que
voc precisa aqui.
Se voc j tiver criado um certificado da CA em outra mquina, voc pode simplesmente fazer o upload do arquivo de certificado, a fim
de dar ao local Endian Firewall a oportunidade de verificar os certificados remoto. Basta empurrar o Navegue boto e escolher o
certificado da CA arquivo. Ento, finalmente, empurre o Upload Certificado CA boto. Em seguida, o CA ser visvel dentro da caixa
acima.
Reset de configurao
Ao pressionar a Reset boto na frente pgina voc vai apagar toda a configurao de VPN da Endian Firewall. Isso poderia ser
necessria, por exemplo, se voc precisar remover o CA porque voc quer criar um novo.
Aviso
Isso remove a configurao de IPSec inteiro, incluindo Certificados, Chaves e configuraes de conexo.
Uma vez que voc empurrou o Adicionar boto, uma pgina ser parece que pede o tipo de conexo desejada. A seguir descreve o
procedimento.
Tipo de conexo
Figura 8.23. Seleo de tipo de conexo VPN
120 de 151 05/03/2010 00:40
Selecione Host-to-Net (Roadwarrior) para usurios mveis que precisam acessar a rede ou VERDE Net-a-Net para conceder aos
usurios em outra rede acesso sua rede GREEN e permitir que os usurios da rede GREEN para acessar a outra rede.
Escolha o tipo de conexo que voc deseja criar e clique no Adicionar boto.
A pgina web que aparece ao lado contm duas sees. O Conexo seco ir variar, dependendo da tipo de conexo voc est
adicionando. O Autenticao seo ser o mesmo.
Host-to-Net Connection
Figura 8.24. VPN Host-to-entrada conexo Net
A seguir descibes cada campo da conexo caixa de configurao se voc selecionou Host-to-conexo Net:
Nome
Escolha um nome simples (somente minsculas, sem espaos) para identificar essa conexo.
Interface
Selecione o Endian Firewall da interface de rede RoadWarrior ir se conectar a, ou vermelho ou azul.
Selecionando a interface RED permitir a RoadWarrior para ligar-se a partir da Internet. Selecionando a
interface ser BLUE permitir que o RoadWarrior para se conectar rede verde de um rede local sem fio.
Sub-rede local
padres para a rede GREEN. Se desejar, voc pode criar uma sub-rede da sua rede GREEN a limitar RoadWarrior
acesso sua rede GREEN. Exemplo para este campo: 10.1.1.0/255.255.255.0.
Remark
permite que voc adicione um comentrio opcional, que aparecer na janela de conexo Endian Firewall VPN para este
conexo.
Habilitado
Clique no Habilitado caixa de seleo para permitir esta conexo.
Editar configuraes avanadas quando terminar.
Clique no Editar configuraes avanadas quando feito caixa de seleo se voc precisar modificar EFW's
configuraes padro para IPSec.
Net-a-Net Connection
Figura 8.25. Net VPN para conexo de rede de entrada
121 de 151 05/03/2010 00:40
Nota sobre IPSec Terminologia
IPSec usa os termos direito e esquerdo para os dois lados de uma conexo ou tnel. Estes termos no
tem significado real. IPSec vai orientar-se baseado em endereos de rede e rotas. Uma vez que
determina que conexo de rede, esquerda ou direita, para usar para chegar ao outro lado de
uma conexo, todos os outros direitos ou parmetros deixou seguir. Muitos pessoas utilizam para o
lado esquerdo de uma ligao local e para a direita o lado remoto. Isso no necessrio. melhor
pensar no termos como "Pgina 1"E"lado A"De um velho Gravar LP.
A seguir descibes cada campo da conexo caixa de configurao se voc selecionou Host-to-conexo Net:
Nome
Escolha um nome simples (somente minsculas, sem espaos) para identificar esta conexo.
Endian Firewall lado
Escolha um lado para esse Endian Firewall, direito ou esquerdo, que sero utilizadas nos arquivos de configurao de
IPSec identificar este lado Endian Firewall de conexo em esta mquina. O outro lado uma identificao
simblica para uma lado do tnel VPN. Voc livre para escolher um lado para local no final do tnel VPN,
desde que voc use o mesmo lado para identificar o firewall local nas mquinas remotas configurao.
Sub-rede local
padres para a rede GREEN. Se desejar, voc pode criar uma sub-rede da sua rede GREEN a limitar RoadWarrior
acesso sua rede GREEN. Exemplo para este campo: 10.1.1.0/255.255.255.0.
Remote Host / IP
Digite o endereo IP esttico da Internet do controle remoto servidor IPSec rede. Voc tambm pode entrar no pleno
nome de domnio qualificado do servidor remoto. Se o controle remoto servidor est usando um servio de
DNS dinmico, voc pode ter que reiniciar o VPN se o seu endereo IP mudar.
Sub-rede remota
Digite o endereo de rede remota de rede e de sub-rede mscara no mesmo formato que o Local Subnet
campo. Esta rede deve ser diferente o Sub-rede local desde IPSec configura entradas da tabela de roteamento
para enviar pacotes IP para o correto rede remota.
Remark
permite que voc adicione um comentrio opcional, que aparecer na janela do Endian Firewall VPN conexo para esta
conexo.
Habilitado
Clique no Habilitado caixa de seleo para permitir esta conexo.
Editar configuraes avanadas quando terminar.
Clique no Editar configuraes avanadas quando feito caixa de seleo se voc precisar modificar EFW's
configuraes padro para IPSec.
Autenticao
A segunda seo trata da pgina web com autenticao. Em Por outras palavras, esta a forma como esse Endian Firewall ir
certificar-se da tnel estabelecida por ambos os lados da interface falar com os seus Nmero oposto. Endian Firewall tem
envidado todos os esforos para apoiar tanto PSKs e certificados X.509.
Figura 8.26. Input autenticao VPN
122 de 151 05/03/2010 00:40
Existem quatro opes mutuamente exclusivas, que podem ser usados para autenticar uma conexo:
Use uma chave pr-compartilhada
Digite uma frase secreta para ser usado para autenticar os outros lado do tnel. Escolha esta opo se voc deseja uma
simples Net-a-rede VPN. Voc tambm pode usar PSKs enquanto experimentava em criao de uma VPN. No
use PSKs para autenticar tneis para roadwarriors.
Pedido de certificado Upload
Algumas implementaes RoadWarrior IPSec no tm o seu CA prprio. Se quiserem usar o IPSec construda na
Califrnia, eles podem gerar o que um pedido de certificado chamado. Esta uma certificados X.509 parcial
que deve ser assinado pelo CA a uma certificado completo. Durante o upload de solicitao de certificado, o
pedido assinado eo novo certificado ser disponvel na pgina do VPN site principal.
Carregar um certificado
Neste caso, o peer IPSec tem uma CA disponvel para uso. Certificado da AC Ambos os pares e atestado de acolhimento
deve ser carregado.
Gerar um certificado
Neste caso, o peer IPSec ser capaz de fornecer uma De certificados X.509, mas no tem capacidade para gerar at
mesmo um pedido de certificado. Neste caso, complete o necessrio campos. Os campos opcionais so
indicados por pontos vermelhos. Se esta certificado por uma rede de conexo internet, o Nome completo do usurio ou do
sistema Hostname campo pode ter a internet totalmente qualificado nome de domnio do ponto. O nome da
organizao opcional utilizado para isolar diferentes parcelas de uma organizao do acesso ao Green faixa EFW's
sub-rede, o Sub-rede local em a parcela definio de conexo desta pgina web. O PKCS12 File Senha campos
de garantir que os certificados de acolhimento gerada no pode ser interceptada e comprometidos ao ser
transmitido ao ponto IPSec.
Esta pgina foi modificada pela ltima vez: $ Date: 2006-11-22 23:32:04 +0100 (Wed, 22 Nov 2006) $.
Captulo 9. Histricos
Tabela de Contedos
Introduo
System Log Page
Page Log SMTP
Clamav Entrar Page
Introduo
Menu Figura 9.1. Histricos selecionados
123 de 151 05/03/2010 00:40
A pgina de administrao composto Histricos dessas sub-pginas:
Entrar Resumo
Entrar Definies
Proxy Histricos
Firewall Histricos
IDS Histricos
Filtro de Contedo Histricos
Openvpn Entrar
Sistema Histricos
SMTP Entrar
ClamAV Entrar
Log SIProxy visualizador
Proxy Anlise Relatrio (novo na verso 2,1)
As pginas do visualizador de registo compartilhar um conjunto comum de interface recursos para selecionar as informaes de registro
para ser exibido e para exportao, que informaes para sua mquina local. Por padro, o visualizador de log sempre mostra que as
linhas de log mais reais que aparecem nos arquivos de log. O informao apresentada como uma lista (geralmente marcado log) de
todas as entradas de registo na seco principal da janela. Se essa lista muito longo para caber em um tamanho razovel janela,
apenas as ltimas entradas de logs so exibidos. Nessa situao, o Antigos e Mais recentes ligaes na parte superior e inferior desta
seco a janela se tornar ativo e voc pode us-las para a pgina com a lista de Dados Histricos.
Como a quantidade de dados criados pelos arquivos de log podem tornar-se literalmente enorme, arquivos de log so alternados
semanalmente, a fim de manter o real pequeno arquivo. Durante uma rotao do arquivo de log ser afastado, comprimido a fim de
economizar espao em disco e e uma nova ser criada. Portanto voc vai ter um arquivo de log para cada semana e cada arquivo de log
pode conter mais ou menos dados, em seguida, a ltima. Os arquivos de log arquivados assim permanecer no o disco por 52
semanas at que eles sero excludos.
O visualizador de log permite que voc navegue atravs de todo o montante de linhas de registo. Se voc chegar ao final de um arquivo
do prximo arquivo ser usado automaticamente. A fim de saber exatamente onde voc est dentro do linhas de registo a seguinte
linha informativa exibe algumas informaes:
Nmero total de linhas que correspondem aos critrios selecionados: 1054 - Imagem: 1 / 14 - Offset: 1 / 8
Como diz a linha, o primeiro nmero mostra a quantidade total de linhas que correspondem aos critrios selecionados. Pode ser que as
linhas so ciso no mais arquivos de log diferentes, por isso em algumas situaes, voc precisa salto para trs, no entanto, onde h
espao suficiente para caber dentro de todas as linhas da pgina.
Os nmeros aps o rtulo Arquivo informa sobre o real logfile voc est mostrando e do nmero total de arquivados e no arquivados
os arquivos de log para o servio em curso.
Os prximos nmeros aps o rtulo Offset, Mostra que a posio atual dentro do arquivo de log. O nmero informado pela primeira vez
sobre o nmero da pgina que voc est exibindo no momento, enquanto o segundo est para o total de pginas que o arquivo de log
atual contm.
Figura 9.2. Itens navegao Genricos
124 de 151 05/03/2010 00:40
A seguir desribes os elementos da interface comum que voc pode usar para fazer efeito para as linhas de log exibido:
Filtro
O Filtro campo de edio permite que voc defina um termo de pesquisa que sero pesquisados nos arquivos de log. O
espectador em seguida, exibe somente as linhas que contm o termo de busca. Este campo tambm aceita
expresses regulares compatveis com Perl. Depois de alterou o valor neste campo, voc precisa pressionar o Atualizar boto
de modo a reflectir as alteraes na sada logviewer.
Antigos
Este boto permite-lhe saltar para trs dentro cronologically as entradas de log. O boto ir desaparecer se no houver mais
velhos entradas de log.
Mais recentes
Este boto permite que voc cronologically salto adiante no as entradas de log. O boto ir desaparecer se no houver novos
entradas de log.
Ir para compensar
Em vez de empurrar a Antigos ou Mais recentes botes quanto tempo voc precisa para chegar a um pgina desejada, voc
pode simplesmente ir diretamente a uma pgina especfica se voc sabe a posio exata. Voc pode certamente tambm
saltar para uma posio estimada e em seguida, usar o Antigos/Mais recentes botes para atingir a posio desejada.
Ir para arquivo
Permite-lhe saltar directamente para um arquivo especfico arquivados. Pressionando o Antigos boto novamente e,
novamente, permite que voc volta pgina por pgina. Se voc chegou ltima pgina o arquivo atual, o prximo
arquivo de log mais velho ser aberta se voc empurre o Antigos boto novamente. Usando Ir para arquivo apenas uma
possibilidade mais rpido atingir um ponto desejado dentro do montante total dos dados.
Exportao
Pressionando o Exportao Transferncias boto um formato de arquivo de texto (LOG.DAT), Contendo o informaes
da pgina Histricos atual, a partir do Endian Firewall para o seu computador. Dependendo de como seu computador est
configurado, pressionar o Exportao boto iniciar um dilogo de download do arquivo em seu computador, mostrar o
contedo do LOG.DAT na janela do navegador da Web ou abrir o arquivo em um editor de texto. Nestes ltimos casos, voc
pode salvar LOG.DAT como um formato de arquivo de texto se necessrio.
Nesta seo voc pode configurar algumas opes teis.
A pgina dividida em quatro sees. Cada um deles so descritos abaixo:
Entrar opes de visualizao
Figura 9.3. Configurao de log visualizador
Permite-lhe ter efeito sobre a sada das linhas de log:
Nmero de linhas a mostrar
Especifica como linhas de log que voc deseja que o visor do registro para exibir em uma pgina.
Classificar em ordem cronolgica inversa
Assinale esta opo sobre se voc gostaria que o visualizador de eventos para mostrar cronologicamente mais
novas linhas de registo primeiro.
Resumos de log
Figura 9.4. Configurao de resumos de log
Isso permite que voc configurar na pgina de resumo, que ser descrito posteriormente neste documento:
Faa resumos para dia xxx
Permite definir por quantos dias voc quiser salvar os resumos dirios no disco.
125 de 151 05/03/2010 00:40
Nvel de detalhe
Permite-lhe decidir o nvel de detalhe da ficha de registro. Voc pode escolher entre as seguintes possibilidades:
Baixo, Medium, Alto. Devido a essa configurao, o ficha ir fornecer-lhe menos, mais ou muito
informao.
Log remoto
Figura 9.5. Configurao de log remoto
possvel deixar firewall Endian registrar todos os seus arquivos de log tambm para um servidor syslog remoto. Isto muito
til se voc gostaria de ter todos os logs de sua empresa em um registo centralizado servidor e ele til, por exemplo,
ter acesso aos arquivos de log caso de um desastre fatal. A fim de permitir o registo remoto voc necessrio fornecer o
nome ou endereo IP do syslog remoto servidor no campo de texto chamado Syslog servidor e, em seguida, marque a
caixa de seleo Habilitado. Endian Firewall, em seguida, ir registrar como bem para o servidor syslog remoto a arquivos de
log local.
Nota
Atualmente todos os servios no capaz de usar syslog. Portanto, alguns s pode escrever
em arquivos de log e no podem fazer para um servidor syslog remoto. Servios que
atualmente no podem usar syslog so: todos os tipos de servios HTTP (web de
administrao servidor proxy HTTP, HTTP filtro de contedo, HAVP), proxy FTP, IDS
(snort).
Firewall log
Figura 9.6. Configurao de firewall log
Normalmente, se Endian Firewall tem um endereo IP pblico e portanto, a porta para o exterior, h muito pacotes
que ser bloqueado pelo firewall. Nem todos estes so hostis tentativas dos atacantes, mas mesmo assim, ser
registados e criar quantidade de dados. Aqui voc tem a possibilidade de configurar globalmente o que voc gostaria
de ter registrado e que no:
Entrar pacotes com BAD constelao de flags TCP
TCP permite que toda a gente definir sinalizadores nas constelaes que no fazem sentido. Constelaes podem
confundir firewalls e / ou computadores em geral, e permitir uma atacante para reunir mais
informaes do que voc gostaria de compartilhar. Especialmente portscanners fazer isso. Endian Firewall
blocos de tentativas nesse sentido. Assinale esta opo sobre se voc quiser t-lo registrados. Voc ir
encontrar essas tentativas no log do firewall resultante como pacotes que passou na cadeia BADTCP.
Entrar portscans
Voc pode habilitar a deteco de portscan, assinalando esta caixa de seleo. A deteco de portscan ser
realizada utilizando o netfilter match psd. Voc vai encontrar o registrado portscans no firewall log
resultante como pacotes que passou a cadeia PortScan.
Nota
Portscans nunca ser bloqueado! Eles s ser registrada! Se voc no tiver
configurado as portas para ser transmitiu um portscan de um Firewall Endian no
revelar nada de interesse para o atacante desde no h nada
aberto.
Faa novas conexes sem bandeira SYN
Os pacotes que devem estabelecer uma conexo TCP deve ter definido o sinalizador SYN. Se ele no est definido,
no sensato. Endian Firewall ir bloquear tais pacotes e voc pode efetuar as tentativas de se
assinalar esta opo no.
Entrar recusou pacotes
Se voc marcar esta on, Endian Firewall ir registrar todos os tentativas de ligao que tem sido negado pelo
Endian Firewall. Desde Endian Firewall como padro nega tudo tentativas de conexo e permite
apenas que voc tenha definido, Isso certamente levar a um bando de dados desnecessrios, por isso
voc pode alternar esta off. Pode ser til para verificar quais portas que voc precisa abrir para as
aplicaes que esto utilizando portas que voc no conhece.
126 de 151 05/03/2010 00:40
Entrar aceite conexes de sada
Assinale esta opo sobre se voc gostaria de registrar todas as globalmente conexes que tenham obtido
aprovao Endian Firewall sem ser descartada. Voc pode usar isto para testar se o seu novas regras
criadas esto corretas como esta permite que voc veja as ligaes feitas por seus aplicativos.
Nota
Verifique a sua legislao local! Ativando esta pode ser proibidos por lei de
privacidade na maioria dos pases! Mas alguns os pases podem impor por lei para
permitir que isto (por exemplo, a lei antiterror em Itlia). Se voc precisar
habilit-lo, pensar sobre o apoio de seus registros desde que voc
provavelmente tambm precisar deles depois de um caso fatal
desastre! Assegurar que ningum tem acesso a cpias de segurana e
arquivos de log (direito de privacidade)!
Nesta seo voc pode ter uma vista sobre sobre os registros dos selecionados dia
Figura 9.7. Mostra o registro resumos
Nota
Os resumos sero gerados diariamente durante horas da noite. Endian Firewall, por conseguinte, deve
estar em funcionamento durante a noite, a fim ter os resumos de cada dia.
Nota
Na verso 2.1 existem quatro tipos mais de resumos que so no mostrado nesta imagem para
mant-lo em um tamanho razovel. Eles so:
Clamav
Servidor DHCP
Kernel
SSHD
Esta pgina oferece-lhe a possibilidade de ver os arquivos que foram sido armazenados em cache pelo servidor web proxy do Endian
Firewall. O proxy da Web inativo aps a primeira instalao de ALE, e pode ser ativado (e desactivado) atravs de uma pgina de
administrao especfica (Proxy> HTTP> Entrar Definies).
127 de 151 05/03/2010 00:40
Nota
Devido grande quantidade de informao que tem que ser processado, o Web Proxy pgina pode
demorar um tempo considervel para aparecer aps a sua seleco inicial ou uma Atualizar.
Existem vrios controles nesta pgina, alm dos controles descrito na seo de introduo:
IP de origem
Esta caixa suspensa permite que voc seletivamente olhar para web atividade pertencente proxy para endereos IP individuais
sobre o local rede, ou a actividade relacionada com ALL mquinas que tm utilizado o proxy.
Ignorar filtro
A caixa permite que voc digite um texto de expresses regulares seqncia de caracteres para definir quais tipos de arquivo
deve ser omitido da web logs de proxy. Os couros padro seqncia ficheiros de imagem (gif.,. Jpeg, . png &. png),
arquivos de estilo (. CSS) e arquivos JavaScript (. js).
Permitir ignorar filtro
Assinale esta opo para permitir que o Ignorar filtro: ou carrapato-lo para desativ-lo.
Restaurar padres
Este boto permite-lhe restaurar as configuraes de fbrica para o acima de controles e filtros.
Para esta pgina, as informaes constantes do Log: seco da janela composta de:
O Tempo quando o arquivo foi solicitado e cache.
O IP de origem endereo do sistema local solicitando o arquivo.
O Nome de Utilizador, Se aplicvel, da usurio autenticado que recuperou o arquivo. Isso mostra um trao se os usurios
no precisam de no autenticar para ter acesso ao cache.
O Website - Ou, mais precisamente o URL para cada um dos arquivos solicitados e cache.
Nota
O Website URL entradas nestes registros so tambm hiperlinks para as pginas da web ou ficheiros
referenciados.
Esta pgina mostra os pacotes de dados que foram registrados pelo EFW firewall.
Nota
Nem todos os pacotes negados so tentativas hostis de crackers para ganhar acesso sua mquina.
Pacotes bloqueados comumente ocorrem para um nmero de razes inofensivo e muitos podem ser
ignorados. Entre estes podem ser tentativas de conexes para a ident "/ port" auth (113), que esto
bloqueadas por padro no Endian Firewall.
Os controles nesta pgina so os elementos bsicos que so descritos em detalhe na introduo.
Figura 9.8. Exibe o log de firewall
128 de 151 05/03/2010 00:40
O Log: seo da pgina contm uma entrada para cada um dos pacotes que foram descartados pelo firewall. Includo :
o tempo do evento
o firewall Cadeia incumbida para a entrada de log
a interface (iface) Atravs do qual o pacote veio
o protocolo (Proto) Utilizados para esse pacote.
o fonte endereo IP
a porta de origem (src porto)
o Endereo MAC do remetente
Nota
Este ser em branco se o respectivo interface no apoio MAC. Por exemplo, todos os tipos de
conexes PPP.
o Destino endereo IP
o porto de destino (porta dst) Para que o cliente conectado.
Voc pode obter informaes sobre os endereos IP listados, clicando em um endereo IP. Endian Firewall executa uma pesquisa DNS e
quaisquer relatrios informao disponvel sobre seu registro, posse e geogrfica posio. Ao clicar em um nmero de porta voc ir
obter algumas informaes sobre o servio que normalmente usa essa porta.
Esta pgina mostra incidentes detectados pelo EFW Intrusion Detection System (IDS). O sistema IDS est inativo por padro aps a
instalao do Endian Firewall e pode ser ativado (e desativado) atravs de uma pgina de administrao especfica (Servios >
Intrusion Detection).
Os controles nesta pgina so os elementos bsicos que so descritos em detalhes na seo de Introduo. Esses logs composto por
um nmero de itens para cada incidente detectado:
O Data: e hora do incidente.
Nome: - Uma descrio do incidente.
Prioridade: (se disponvel). Este o gravidade do incidente, classificado como 1 ( "mau"), 2 ( "not too bad"), & 3 (
"possivelmente ruim").
Tipo: - Uma descrio geral da incidente (se disponvel).
IP Info: - As identidades IP (endereo & porto), da origem e de destino envolvidos no incidente. Cada IP endereo um
hiperlink, que voc pode usar para realizar uma pesquisa de DNS para que o endereo IP e obter todas as informaes
disponveis sobre a sua matrcula e propriedade.
Referncias: - URLs hiperlink para qualquer fontes de informao disponveis para este tipo de incidente.
SID: - O Snort nmero de ID (se disponvel). "Snort" o mdulo de software utilizado pela ALE a fornecer o IDS funo, e
SID o cdigo de identificao usado pelo mdulo Snort para identificar um padro especfico de ataque. Este parmetro um
129 de 151 05/03/2010 00:40
hiperlink para web Pgina carregando a entrada relevante no banco de dados de intruso Snort assinaturas.
Esta pgina d-lhe a possibilidade de ver as pginas que foram bloqueada pelo filtro de contedo HTTP. O filtro de contedos est
inativo por padro aps a instalao da ALE, e pode ser ativado (e desactivado) atravs de uma pgina de administrao especfica (>
Proxy HTTP-Proxy) e pode ser configurado no Proxy> HTTP> Filtro de Contedo seo.
Nota
Devido grande quantidade de informao que tem que ser processado, o Filtro de Contedo pgina pode
ter um considervel quantidade de tempo para carregar aps a sua seleco inicial ou uma Atualizar.
Existem vrios controles nesta pgina, alm do comum controles descritos no incio desta seo:
IP de origem
Esta caixa suspensa permite que voc seletivamente olhar para web atividade relacionada proxy para endereos IP simples
sobre o local rede, ou a actividade relacionada com ALL mquinas que tm utilizado o proxy.
Ignorar filtro
A caixa permite que voc digite uma seqncia de expresses regulares texto para definir quais tipos de arquivo deve ser
omitido da web proxy logs. Os couros padro seqncia ficheiros de imagem (gif.,. Jpeg,. Png &. Png), arquivos de
estilo (. CSS) e arquivos JavaScript (. js).
Permitir ignorar filtro
Assinale esta opo para permitir que o Ignorar filtro: ou carrapato-lo para desativ-lo.
Restaurar padres
Este boto permite-lhe restaurar as configuraes de fbrica para nesta seo.
O Tempo o arquivo foi solicitado.
O IP de origem endereo do sistema local solicitando o arquivo.
O Website - Ou, mais precisamente o URL para cada arquivo solicitado e cache.
Nota
O Website URL entradas nesses logs tambm so hiperlinks para as pginas da web ou ficheiros
referenciados.
O Status - Negado. Que atualmente pode ser somente NEGADO, Uma vez que os pedidos de pginas permitidas sero
no ser registrado aqui. (antes da verso 2.1 foi utilizado bloqueado em vez de negada)
Esta pgina permite que voc veja o arquivo de log do servidor OpenVPN e os clientes OpenVPN.
O Tempo o evento aconteceu.
O nome do Tunnel, Em que o evento ocorreu. Este campo mostra local, Se a linha est ligada ao servidor OpenVPN local
em execuo no Endian Firewall.
Exemplo 9.1. Entrar linha do servidor OpenVPN
16 de maio 20:34:03 local TUN / TAP dispositivo tap1 abertas
Se ela est relacionada a um cliente OpenVPN rodando no Endian Firewall, este campo apresenta o nome do host remoto para o
qual ligado ea identificao do Processo no local do cliente OpenVPN colchetes.
Exemplo 9.2. Log linha de um cliente OpenVPN
11 de maio 05:20:03 solaria.endian.it [3827] Initialization Sequence Completed
O dados openvpn que quer mostrar voc.
Este registo muito til para depurar as conexes OpenVPN que no funcionam como suposto. Por favor, d uma olhada no OpenVPN
Homepage para encontrar mais alguns informaes especficas.
System Log Page
Figura 9.9. Display de logs do sistema
130 de 151 05/03/2010 00:40
Esta pgina permite que voc visualize o sistema e diversas outras logs. (Ver a Introduo sobre como usar os controles comum). H
onze diferentes categorias, seleccionados atravs da Seo lista suspensa:
Endian Firewall (padro) - Geral ALE eventos como PPP perfil de economia e de conexo e desconexo de ligaes dial-up
modem.
RED - O trfego enviado atravs da interface que est fornecendo a interface PPP para ALE. Isto inclui as seqncias de dados
enviadas e recebidas de modems e outras interfaces de rede. Este pode ser um recurso muito til na resoluo de
problemas "falha de conexo" situaes.
DNS - Mostra um log da atividade para dnsmasq, a utilidade do servio de nomes de domnio.
Servidor DHCP - Mostra um log de actividade a funo de servidor DHCP do Endian Firewall.
SSH - Fornece um registro de usurios que tm conectado ao e fora do firewall Endian atravs de uma rede atravs do
Interface SSH.
NTP - Mostra um log da atividade para o ntpd Funo de servidor.
Cron - Proporciona um registo de actividade do daemon cron.
Login / Logout- Oferece um cadastro de usurios que tenham entrado para e fora do Endian Firewall. Isto inclui ambos os
locais de log-ins e logins atravs de uma rede via SSH interface.
Kernel - um registro da atividade no kernel o Endian Firewall.
Backup - Quando criada uma cpia de segurana (ou tentei) ele ser registrado.
IPSec - um registro de todas as atividades da o mdulo de software de VPN usado pelo Endian Firewall.
Page Log SMTP
Esta pgina mostra os ficheiros de registo relativas a processos alm do SMTP proxy, incluindo o postfix Envio Mail Agent eo filtro de
contedo amavis.
O dados que os servios de escrever para o logfile.
Clamav Entrar Page
Esta pgina mostra os arquivos de log do daemon antivrus clamav e atualizador assinatura vrus freshclam.
Figura 9.10. Exibe o visualizador de log clamav
131 de 151 05/03/2010 00:40
Clamav-se, habitualmente, no tem de fazer log realmente muito, desde o servios que fazem uso de log clamav aos seus arquivos de
log-se se encontrar um vrus. Este log til para ver informaes sobre clamav atualizaes de assinatura.
Como voc pode ver abaixo as linhas mostram quando o processo de atualizao comeou eo que foi feito. Em Endian Firewall ClamAV
atualiza automaticamente a cada hora completa, portanto voc ver essas linhas aparecem a cada hora. O ltimo duas linhas de
mostrar a verso da base instalada atualmente assinatura e quantos assinaturas de vrus que eles contm.
16 de maio 08:01:00 freshclam [27206]: daemon started.
16 de maio 08:01:00 freshclam [27206]: ClamAV processo de atualizao comeou em Tue May 16 08:01:00 2006
16 de maio 08:01:00 freshclam [27206]: main.cvd est atualizado (verso: 38, sigs: 51206, f-level: 7, builder: acab)
16 de maio 08:01:00 freshclam [27206]: daily.cvd est atualizado (verso: 1463, sigs: 4343, f-level: 8, construtor: aeriana)
Se novas assinaturas est pronto para instalar eles sero automaticamente baixado, instalado e, em seguida, o daemon do ClamAV ser
recarregado automaticamente sua base de dados de assinaturas. Voc vai encontrar um registo de tais como a abaixo se isso
acontece:
15 de maio 13:01:00 freshclam [12157]: daemon started.
15 de maio 13:01:00 freshclam [12157]: ClamAV processo de atualizao comeou em Tue May 15 13:01:00 2006
15 de maio 13:01:00 freshclam [12157]: main.cvd est atualizado (verso: 38, sigs: 51206, f-level: 7, builder: acab)
15 de maio 13:01:08 freshclam [12157]: daily.cvd atualizado (modelo: 1463, sigs: 4343, f-level: 8, construtor: aeriana)
15 de maio 13:01:08 freshclam [12.157]: banco de dados atualizado (55.549 assinaturas) de db.local.clamav.net (IP: 213.92.8.5)
15 de maio 13:01:08 clamd [27017]: SelfCheck modificao Database: detectado. Forcing reload.
15 de maio 13:01:08 clamd [27017]: Reading databases from / usr / share / clamav
15 de maio 13:01:08 freshclam [12157]: Clamd sucesso notificado sobre a atualizao.
15 de maio 13:01:08 clamd [27.017]: banco de dados corretamente Reloaded (55.549 vrus)
Como as linhas de log mostrar-lhe, aps o download do novo signaturefile daily.cvd, A atualizao daemon freshclam notifica o
servidor de antivrus clamd sobre a modificao que recarrega imediatamente todas as suas assinaturas de vrus.
Nota
Cada linha mostra-lhe informaes do processo, aps o timestamp. Este o nome do processo, a
identificao de processo na praa colchetes.
Esta pgina mostra os arquivos de log do proxy SIP siproxd.
Para esta pgina, as informaes constantes das Histricos Log: seco da janela composta de:
Figura 9.11. Proxy Relatrio de Anlise
132 de 151 05/03/2010 00:40
Esta pgina mostra os arquivos de log do Squid Analysis Proxy Generator (SARG). Voc apresentado com duas opes:
Habilitar
Isso transforma SARG sobre se a caixa de seleo est marcada por diante.
Respeitamos a sua privacidade dos usurios e anonymize seu IP Endereos
Assinale esta opo sobre se voc deseja ocultar o seu IP dos usurios endereos.
Nota
Em alguns pases pode ser ilegal para mostrar IP de seus usurios endereos.
Nesta pgina voc no encontrar os itens de navegao genrica como esta logs especiais sero mostrados em uma pgina
completamente nova. Ao clicar no Dirio / Semanal / Relatrio Mensal links uma nova pgina com o respectiva anlise ir aparecer.
Esta pgina foi modificada pela ltima vez: $ Date: 2006-11-16 05:15:57 +0100 (Thu, 16 Nov 2006) $.
Captulo 10. Hotspot
Tabela de Contedos
Introduo
Hotspot
Contas
Saldo de
Conexes de usurio
Ticket Rates
Estatsticas
Active Connections
Entrar Connection
Definies
Dialin
Senha
Editor de modelo
Modelo de impresso
Sites permitidos
Fazer logon
Login Successful
Introduo
Figura 10.1. O Endian Hotspot
133 de 151 05/03/2010 00:40
O Hotspot Endian um hotspot poderoso. Ele pode ser usado para conexes sem fio, bem como para conexes de rede normal. Isto
significa que voc pode facilmente conectar um ponto de acesso sem fio interface BLUE ou apenas um switch normal. Com Endian
Hotspot voc pode gerenciar os usurios e seus permitido acesso baseados em tempo de pr-pago ou ps-pago bilhetes. Tambm
possvel especificar sites que esto disponveis sem ter para entrar?
Nota
Para ser capaz de executar o Hotspot Endian voc ter que tm a zona azul habilitado. O IP da interface
BLUE deve pertencer a uma rede de classe C e deve terminar com um exemplo de fuga ,1
192.168.20.1/24. A ponte para a zona azul no suportar mais do que uma porta.
Nota
Normalmente, o hotspot destinado ao uso de redes sem fio, No entanto, este no obrigatria. bem
possvel ligar um switch normal porta LAN BLUE. Observe tambm que no existe ponto de acesso
wireless fornecido com o Endian Firewall.
Dica
Se voc estiver executando uma verso comunitria do Endian Firewall e so perguntando onde o Endian
Hotspot pode ser apenas a atualizao para o Endian Firewall Enterprise Edition.
Hotspot
Este o menu principal do Hotspot Endian. Quase todos os ajustes so configurado nesse menu. Voc tem que usar este menu se voc
quiser controlar contas, especificar as taxas de ingresso, modificar as configuraes ou ter um olhar para o arquivos de log e as
estatsticas.
Contas
Figura 10.2. Gesto Conta
134 de 151 05/03/2010 00:40
Ao clicar no link Contas no submenu desta pgina, voc ser apresentado com uma lista de todas as contas habilitado para este
hotspot. Se voc quer mostrar as contas com deficincia, voc vai ter que marcar a Mostrar caixa de utilizadores com deficincia que ir
recarregar o pgina e mostrar ambos habilitados e os deficientes. Se voc deseja exibir qualquer usurio com os critrios de
pesquisa certeza de que voc pode digitar o seu filtro no campo de texto apropriado e em seguida, bateu entrar.
A lista em si consiste em cinco colunas:
Nome de Utilizador
Essa coluna exibe o nome do usurio.
Nome
Esta coluna mostra o nome real do usurio.
Active
Mostra se o usurio ainda est ativo ou no - se voc no escolher para mostrar aos usurios com deficincia voc vai ver Sim
aqui para cada usurio.
Vlido at
Ir exibir a data at que o usurio atual est vlidas.
Aes
Neste menu, voc pode encontrar trs ligaes para cada usurio. Se voc pretende editar o usurio atual que voc tem que
clicar sobre o Editar link. Ao clicar no Saldo link voc ser presenteado com uma Pgina de saldo de crdito do usurio ao
mesmo tempo, clicando no Conexes link, voc ver uma lista de todos os conexes do usurio atual.
Se voc quiser adicionar um novo usurio voc pode fazer isso clicando no Adicionar ligao nova conta no topo da lista.
Nota
No possvel excluir usurios. Desativ-los em seu lugar.
Figura 10.3. Adicionar uma nova conta
135 de 151 05/03/2010 00:40
Este o Informao do usurio dilogo que mostrada se voc quiser adicionar uma nova conta ou editar um j existente (ento
claro que com todos os valores conhecidos alread preenchido). A maioria dos Os campos devem ser auto-explicativo, mas vamos
descrev-los de qualquer maneira.
Nome de Utilizador
Neste campo, voc tem que digitar o nome de usurio. Este o nico campo obrigatrio.
Senha
Neste campo voc pode digitar a senha para o novo conta. Isso mostrado em texto puro. Se voc no tem o tempo
para pensar em uma senha adequada apenas deixar este campo vazio ea senha ser gerado automaticamente.
Vlido at
A data at a conta ser vlido. Se voc quiser alter-lo voc pode inserir a nova data manualmente ou clique em o ...
e selecione a nova data from the calendar popup.
Habilitado
Esta opo especifica se a conta est habilitado ou no. Se esta assinalada a conta est activa. Se voc quiser
desativar um usurio selecione esta opo desligada.
Ttulo
O ttulo do usurio. Um bom exemplo seria o Dr.
Firstname
O primeiro nome do usurio.
Apelido
O sobrenome do usurio.
Linguagem
Aqui voc pode selecionar o idioma nativo do usurio se disponvel. Caso contrrio Ingls deveria ser uma boa escolha.
City of Birth
A cidade de nascimento do usurio.
Birthdate
Aqui voc pode inserir a data de nascimento do usurio.
Tipo de documento
Isso permite que voc especifique o tipo de documento utilizado para identificar o usurio.
Documento emitido pela
Aqui voc pode especificar o emitente do documento que foi usado para identificar o usurio.
Documento de identificao
Este campo permite especificar a identificao do documento nmero.
Salvar
136 de 151 05/03/2010 00:40
Apertando este boto, voc vai salvar o inscrito informao.
Imprimir
Esta opo s est disponvel durante a edio de um j conta existente. Pressionando este boto uma caixa de dilogo ser
aberta para imprimir as informaes do usurio.
No lado direito da tela voc vai notar a Ingressos seo. Se voc quiser adicionar um novo bilhete para o usurio basta selecionar o
tipo apropriado do bilhete e bateu o Adicionar boto. Abaixo voc ver uma lista de todos os Os bilhetes para este usurio com as
seguintes informaes:
Tipo de Bilhete
O tipo de bilhete.
Data de criao
O bilhete em que este foi criado.
Ao
Se o bilhete no tenha sido utilizado ainda assim voc ser capaz de Excluir -lo aqui, clicando no link apropriado.
Nota
Se o bilhete j tenha sido utilizado nenhum link Excluir vai estar disponveis.
Nota
Se um usurio tem dois pr-pagos e ps-pagos bilhetes quando log em que ele vai usar
automaticamente o seu pr-pago bilhete de primeira e somente se que o bilhete (s) termo (s) o ps-pago
do bilhete ser cobrado. Se no entanto, o usurio no tem uma ps-pagos e os bilhetes pr-pagos
bilhete de ficar sem dinheiro a conexo ser interrompida.
Saldo de
Figura 10.4. Saldo de
A janela de equilbrio usurio dividida horizontalmente em duas principais seces. A seco inferior mostra uma lista de todos os
bilhetes para o usurio atual contendo o seguinte:
Nome do Bilhete
Este o nome do tipo de bilhete.
Valor
A quantidade de dinheiro que foi usado ou pagas.
Nota
Se o valor for positivo isto ir representar um pagamento.
Data / Hora
A data ea hora em que o bilhete foi emitido.
Durao
137 de 151 05/03/2010 00:40
A durao da sesso.
Nota
Pagamentos no tm uma durao.
Traffic
O trfego que tem sido usada durante esta sesso.
Nota
Pagamentos no usam qualquer tipo de trfego.
Transformados
Aqui voc pode ver se este bilhete foi processado pelo ASA.
Nota
Esta funcionalidade est disponvel apenas se o ASA est habilitado. ASA um software de
gesto hoteleira escrito especialmente para o Sul Hotis tirolesa. No vou entrar em detalhes
da ASA aqui.
Tentativas
Este campo ir mostrar o nmero de tentativas ao se conectar o cido acetilsaliclico.
Nota
da ASA aqui.
Mensagem
Aqui voc vai encontrar a mensagem de retorno ASA se houver.
Nota
da ASA aqui.
Na seco superior da janela voc pode encontrar alguns mais informao dividida em 3 partes. Na parte esquerda voc vai encontrar
algumas informaes sobre o usurio, contendo as nome bem como a username, O cidade de nascimento, O birthdate, O
documento identificao Nmero e emisso de parte do documento.
A parte central contm informaes sobre o Saldo da conta. O surf disponveis tempo o primeiro, seguido pelo utilizados surf
tempo. Na terceira linha voc pode ver a quantidade de dinheiro que este usurio tem j pago - Este ser exibidos na moeda
que voc definiu na pgina de configuraes. O quarto linha mostra quanto desse dinheiro foi gasto at agora. Finalmente, o
ltima linha mostra a valor de dinheiro que ainda dvida para pagar. Esta grande caixa ser exibida no verde se tudo j foi
pago.
No Pagamento coluna direita voc pode quer ver uma mensagem de que tudo j foi paga ou voc pode escolher a quantidade
de dinheiro que o usurio quer pagar essa quantia e Bill clicando no Conta boto.
Conexes de usurio
Figura 10.5. Conexes de usurio
138 de 151 05/03/2010 00:40
Nesta janela voc pode ver todas as conexes do usurio que voc especificado. A janela dividida em duas partes - na parte superior
voc pode ver o informaes do usurio, Enquanto mostra a parte inferior todos os dados referentes as conexes. A lista com
todos os conexes com seis colunas:
Nome de Utilizador
O usurio deste usurio.
Endereo IP
O endereo IP do usurio teve durante o respectivo conexo.
Endereo MAC
O endereo MAC a partir do qual o usurio se conectar.
Iniciar Connection
O horrio de incio e data da conexo.
Parar de conexo
A hora ea data em que a conexo wos parado.
Durao
A quantidade de tempo quanto tempo durou essa conexo.
Ticket Rates
Endian Firewall lhe d a possibilidade de especificar mais de um taxa de passagem. Voc pode at especificar se voc quer uma taxa a
ser ps-pago ou pr-pago. Voc pode criar diferentes taxas para ambos os tipos. Isto principalmente til se voc quiser vender
pr-pagos diferentes tipos, por exemplo 4 pr-pago 15 bilhetes minutos deve ser mais caro do que 1 pr-pago 1 hora bilhete.
Figura 10.6. Ticket Rates
Nesta lista voc pode ver as tarifas do bilhete diferente, o seguinte so as colunas:
Nome
O nome que voc deu para a taxa de ingresso.
Cdigo
Este o cdigo do ASA para a sua taxa de ingresso. Embora isto possa ser usado apenas para o sistema de gesto hoteleira
ASA o campo obrigatrios.
Preo por hora
Este o preo por hora que voc especificar.
Aes
Aqui voc pode escolher Editar ou Excluir uma taxa de bilhete, clicando no respectivo link.
139 de 151 05/03/2010 00:40
Figura 10.7. Adicionar ou editar uma taxa de bilhete
H quatro opes de configurao para cada bilhete taxa:
Nome
O nome que pretende para esta taxa de ingresso.
Cdigo
Isso til apenas para a gerncia do hotel ASA.
Nota
Este campo obrigatrio, no entanto.
Unidade de comprimento
Esta opo permite especificar quanto tempo uma unidade desta taxa de bilhete vai durar. As opes disponveis so:
15 minutos
30 minutos
45 minutos
1 hora
2 horas
3 horas
ps-pago
Enquanto o primeiro 6 entradas de mostrar-lhe a quantidade de tempo que tem que ser pago antecipadamente (pr-pago), o
comprimento ser ps-pago ser paga depois que o usurio tenha utilizado o hotspot e no , portanto, limitando o
usurio a priori.
Preo por hora
Aqui voc pode especificar o preo por hora para uma real taxa de passagem. Isso til se por exemplo voc quer que o
preo por hora por 3 horas para ser mais barato que o preo por hora para 15 minutos. Este exemplo ir mostrar-lhe
como definir os preos por hora. O montante aps a unidade de comprimento o dinheiro que voc vai ter ao vender um
bilhete desta taxa.
Exemplo 10.1. Especificando os preos por hora
15 minutos: 3 Euros = preo> horria tem que ser ajustado para 12 euros.
3 horas: 21 euros preo => hora tem que ser ajustado para 7 Euro.
Salvar
Pressionando este boto voc ir guardar o bilhete categoria.
Estatsticas
Figura 10.8. Estatsticas
140 de 151 05/03/2010 00:40
Nesta pgina voc pode ver uma panormica das conexes agrupadas por usurio, bem como um resumo na parte inferior da tabela. A
seguir colunas sero exibidas:
Nome de Utilizador
O nome do usurio.
Nota
O nome de usurio est vinculado. Ao clicar neste link voc vai ser redirecionado para a pgina
de equilbrio para o usurio.
Montante utilizado
Aqui voc pode ver quanto dinheiro cada usurio gastou durante o uso o hotspot.
Pago
Isso mostra o quanto foi pago pelo usurio.
Durao
Nesta coluna voc pode ver quanto tempo o usurio foi conectado.
Traffic
Esta coluna mostra o trfego que o usurio fez durante a sua tempo de conexo.
Voc pode escolher dois tipos de viso diferentes: Filtro Perodo e Abrir Itens de Contabilidade.
Ao usar o filtro perodo voc pode definir uma data de incio e um fim respectivamente, no De e At textfields. Alternativamente, voc
pode usar o ... botes para usar o calendrio popup para entrar as datas. Ao usar itens Open Contabilidade todos os pagamentos ainda
em aberto sero ser exibido.
Active Connections
Conexes Figura 10.9. Active
Nesta pgina voc pode ver todas as conexes realmente ativo na hotspot. A lista contm as seguintes colunas:
Nome de Utilizador
O nome do usurio que est conectado.
Iniciar a ligao
A data de incio e tempo da ligao.
Durao
A quantidade de tempo que o usurio j est conectado.
Endereo IP
O endereo IP que foi atribudo interface que conectado ao hotspot.
MAC Address
O endereo MAC da interface que foi usada para conectar o hotspot.
Ao
Para cada conexo ativa, voc ver uma Fechar conexo link. Ao clicar neste link voc pode matar a ligao respectiva.
141 de 151 05/03/2010 00:40
Entrar Connection
Figura 10.10. Connection Log
Neste site voc pode ver o log de conexo. O registro mostrar em uma tabela com seis colunas:
Nome de Utilizador
O nome do usurio.
Endereo IP
O endereo IP que foi usada para a conexo.
MAC Address
O endereo MAC que foi usado para se conectar Hotspot.
Iniciar a ligao
A data de incio e tempo da ligao.
Stop Connection
A data ea hora da conexo.
Durao
A durao da ligao.
No alto da pgina h uma Exportar como CSV link. Ao clicar neste link vai baixar um arquivo de texto contendo as entradas de log
em CSV (valores separados por vrgula) formato.
Definies
Figura 10.11. Configuraes
Esta pgina consiste de duas sees principais, o Global Definies e JHotel configuraes ASA. JHotel ASA uma plataforma de
gesto do Sul do Tirol hotel e no ser descrito aqui.
As configuraes globais contm trs variveis de configurao:
Homepage login depois de bem sucedida
Esta homepage ser exibido depois que um usurio com xito fazer logon.
Moeda
142 de 151 05/03/2010 00:40
Aqui voc pode especificar o smbolo da moeda local.
Sair do usurio em Idle-Timeout
Depois de quantos devem ser um usurio registrado para fora, quando fazendo nada.
Salvar
Clique neste boto para salvar as configuraes.
Dialin
Figura 10.12. Dialin
Esta pgina mostra o status da conexo do Endian Firewall. A descrio da janela de estado pode ser visto aqui.
Senha
Figura 10.13. Senha
Nesta pgina voc pode definir a senha para o usurio do hotspot. Para fazer isso voc tem que entrar a nova senha duas vezes no
Senha e Novamente campos e em seguida, bateu a Salvar boto.
Editor de modelo
Figura 10.14. Template Editor
143 de 151 05/03/2010 00:40
Nesta pgina voc pode modificar a mensagem que ser mostrada para o seu clientes antes logging in Endian Hotspot fornece um
plenamente caracterizado interface grfica do usurio para editar esta mensagem. Para salvar essa mensagem voc s tem que acertar o
cone do disco no canto superior esquerdo do editor janela.
Se voc quiser editar uma outra lngua basta clicar sobre o adequado Smbolo bandeira no lado esquerdo da tela. A pgina ser
recarregada com as novas configuraes linguagem - mais uma vez bateu o cone do disco para salvar o texto.
Nota
Voc no precisa necessariamente ter de inserir apenas texto simples. Voc pode formato esta pgina da
maneira que quiser, desde que as informaes que voc fornecimento ser em conformidade com as leis
do seu pas.
Modelo de impresso
Figura 10,15. Impresso modelo
144 de 151 05/03/2010 00:40
Nesta pgina possvel editar a folha de informao que ir ser impresso e entregue a um usurio depois que ele foi registrado para o
Endian hotspot. Por favor, note que voc ter de usar espaos reservados para o informao a ser concluda. Marcadores vlidos so:
$ title - este ser substitudo pelo ttulo do usurio.
$ firstname - este ser substitudo pelo primeiro usurio nome.
$ lastname - este ser substitudo pelo usurio do passado nome.
$ username - este ser substitudo pelo usurio que h de novo username.
$ password - este ser substitudo por a senha do usurio.
Para salvar o seu, clique sobre a folha de impresso cone do disco no canto superior esquerdo da janela do editor. Voc pode alterar
esse texto para todos os idiomas disponveis, clicando no adequado Smbolo bandeira.
Sites permitidos
Figura 10.16. Admitidos sites
145 de 151 05/03/2010 00:40
Esta a pgina onde voc pode especificar sites, endereos IP e sub-redes que so acessveis sem autenticao. Voc s tem que
adicionar uma entrada por linha. O acesso ser permitido para cada pgina e de sub-rede que so especificados aqui e salvos, clicando
no Salvar boto.
Agora que temos falado sobre o lado do servidor do Endian Hotspot permite falar sobre a ligao no clientside. O que faz exatamente um
usurio tem que fazer para poder usar endian hotspot? Na verdade, no poderia ser qualquer mais fcil ...
Figura 10.17. Endian Hotspot pgina inicial do cliente
Primeiro de tudo o cliente tem que ir a um terminal que est conectado ao Endian hotspot. Ele ser presenteado com uma tela de boas
vindas que mostra o contedo da pgina que tenha sido especificado no Editor de modelo seo. Por clicando no apropriado Smbolo
bandeira o usurio pode escolher o idioma que ele quer. Se o ASA ativado todos os clientes da casa podem login usando o Entrar
para hspedes ligao que pode ser encontrado no menu esquerda, logo acima do normal Fazer logon link que o caminho a
percorrer se quer ASA portadora de deficincia ou o usurio no uma casa de hspedes.
Fazer logon
Figura 10.18. Login Normal
146 de 151 05/03/2010 00:40
Cada usurio pode se conectar ao normal Endian Hotspot fornecendo sua username e password neste formulrio e em seguida, bater
no Fazer logon boto. Depois de inserir um nome de usurio vlido e password popup vontade aparecer.
Figura 10,19. Login para hspedes
Se o ASA est habilitado a todos os hspedes da casa pode acessar clicando em login para hspedes aqui e, em seguida, fornecer o
seu nome eo sobrenome, bem como sua data de nascimento e, finalmente, bater o Enviar boto. Atingir Fechar Se voc quiser fechar a
janela. Depois login bem-sucedido outro popup vai aparecer.
Nota
Por favor note que o ltimo nome tem de ser inscrito no primeiro campo de texto.
Login Successful
Figura 10.20. Login Successful
Se voc ver esse pop-up que voc est conectado com sucesso dentro Desde que o fato de que voc est usando um pr-pago o
bilhete do temporizador ser exibido um contagem regressiva. Se voc estiver usando o pagamento ps-pagos o cronmetro comear
com 00:00:00 cima e contar.
Se voc quiser sair voc pode fazer isso clicando no Logoff link.
Esta pgina foi modificada pela ltima vez: $ Date: 2006-11-21 09:19:11 +0100 (Tue, 21 Nov 2006) $.
147 de 151 05/03/2010 00:40
Apndice A. GNU Free Documentation License
Verso 1.2, Novembro de 2002
Copyright 2000,2001,2002 Free Software Foundation, Inc.
Free Software Foundation, Inc.
51 Franklin St, Fifth Floor,
Boston,
MA
02110-1301
E.U.A.

A todos permitido copiar e distribuir cpias deste documento de licena, mas modific-lo no permitido.
Verso 1.2, Novembro de 2002
Tabela de Contedos
PREMBULO
VERBATIM COPYING
MODIFICAES
TRADUO
RESCISO
PREMBULO
O propsito desta Licena fazer um manual, livro ou documento funcional e til seja livre ", no sentido de liberdade: assegurar a todos a
efetiva liberdade de copiar e redistribui-lo, com ou sem modificaes, comercialmente ou no. Secundariamente, esta Licena para o autor e
editor uma forma para obter crdito para o seu trabalho, apesar de no ser considerado responsvel pelas modificaes feitas por outros.
Esta licena um tipo de "copyleft", que significa que o derivado obras do documento devem ser livres no mesmo sentido. Ele
complementa a GNU General Public License, que uma licena copyleft Concebido para software livre.
Ns fizemos esta Licena para que seja usada em manuais para software livre, porque software livre precisa de documentao livre: um
livre programa deveria vir com manuais que ofeream as mesmas liberdades que o software faz. Mas esta Licena no est limitada a
manuais de software, que pode ser usada para qualquer trabalho em texto, independentemente do assunto ou se publicado como um
livro impresso. Ns recomendamos esta Licena principalmente para trabalhos cujo propsito instruo ou referncia.
Esta licena se aplica a qualquer manual ou outro trabalho, em qualquer meio, que contenha um aviso colocado pelo detentor dos direitos
autorais dizendo ele pode ser distribudo sob os termos desta Licena. Essa nota concede uma licena mundial, isenta de royalties, de
durao ilimitada, para usar que trabalham sob as condies aqui. O "Documento", abaixo, se refere a qualquer tal manual ou trabalho.
Qualquer membro do pblico um licenciado, e ser tratado como "voc". Voc aceita a licena se copiar, modificar ou distribuir o trabalho
de uma maneira que requerem permisso de acordo com lei de direitos autorais.
Uma "Verso Modificada" do Documento de qualquer trabalho contendo o Documento ou uma parte dele, quer copiada exatamente, ou com
modificaes e / ou traduzido para outro idioma.
Uma "Seo Secundria" um apndice ou um front-matter seo inicial do Documento que trata exclusivamente da relao dos editores
ou autores do documento para a Assunto geral do Documento (ou assuntos relacionados) e no contm nada que possa estar diretamente
dentro do assunto geral. (Portanto, se o Documento em parte um livro de matemtica, a Seo Secundria pode no explicar nada de
matemtica). A relao poderia ser uma questo de ligao histrica com o assunto ou com assuntos relacionados, ou de situao jurdica,
comercial, filosfico, tico ou poltico que lhes digam respeito.
"Sees Invariantes" so certas Secundrio Sees cujos ttulos so designados, como sendo de Invariantes Sees, na nota que diz que o
Documento publicado sob desta Licena. Se uma seo no se encaixa na definio acima de Secundria, ento no permitido ser
designada como Invariante. O Documento pode conter nenhuma Seo Invariante. Se o documento no identificar as Sees Invariantes,
ento no h nenhuma.
"Textos de Capa" so certos trechos curtos de texto que so listada como Textos de Capa Frontal ou Textos de Quarta Capa, no nota que
diz que o Documento publicado sob esta Licena. A Texto de Capa Frontal pode ter no mximo 5 palavras, e um Texto de Quarta Capa
pode ser em mais 25 palavras.
Uma cpia "Transparente" do Documento significa uma cpia legvel por mquina, representada num formato cuja especificao
disponvel ao pblico em geral, que adequado para a reviso do documento diretamente com editores de texto genricos ou (para
imagens compostas de pixels) programas de pintura genricos ou (para desenhos) algum amplamente editor de desenho disponveis, e que
adequada para a entrada de texto formatadores ou para traduo automtica para uma variedade de formatos apropriados de entrada
para formatadores de texto. Uma cpia feita em um outro modo transparente formato de arquivo cuja marcao, ou ausncia de marcao,
foi organizado para impedir ou desencorajar modificaes subsequentes pelos leitores no Transparente. Um formato de imagem no
Transparente se usado em qualquer quantidade substancial de texto. Uma cpia que no "Transparente" chamada "Opaque".
Exemplos de formatos apropriados para cpias Transparentes incluem plancie ASCII sem marcao, Texinfo formato de entrada, LaTeX
input format, SGML ou XML usando uma DTD disponibilizada publicamente, e HTML padro simples, PostScript ou PDF projetados para a
modificao humana. Exemplos de formatos de imagem transparentes incluem PNG, XCF e JPG. Formatos opacos incluem formatos
proprietrios que podem ser lidos e editados somente por processadores de texto proprietrios, SGML ou XML para os quais a DTD e / ou
ferramentas de processamento geralmente no esto disponveis, ea mquina gerado HTML, PostScript ou PDF produzido por alguns
148 de 151 05/03/2010 00:40
processadores de texto para a sada apenas para fins.
"Pgina de Ttulo" significa, para um livro impresso, a prpria pgina do ttulo, alm das pginas seguintes so necessrios para manter, de
forma legvel, o material que esta Licena requer que aparea na pgina do ttulo. Para trabalhos em formatos que no tem uma pgina de
ttulo, como tal, "Ttulo Page ", o texto prximo da apario mais proeminente do trabalho ttulo, que precede o incio do corpo do texto.
Uma seo "Intitulada XYZ" significa uma subunidade denominada do Documento cujo ttulo ou precisamente XYZ ou contm XYZ em
parnteses seguinte texto que traduz XYZ em outra lngua. (Aqui XYZ representa o nome de uma seo especfica a seguir mencionadas,
como "Agradecimentos", "Dedicatria", "Apoio", ou "Histrico".) Para "Preservar o Ttulo" de uma seo assim quando voc modifica o
Documento significa que ela continua sendo uma seo "Intitulada XYZ" de acordo com esta definio.
O documento pode incluir Garantia em seguida ao anncio que afirma que esta Licena se aplica ao documento. Estes Garantia
Disclaimers so consideradas como inclusas por referncia nesta Licena, mas apenas com relao s notas de garantia: qualquer outra
implicao que estas Notas de Garantia possam ter anulada e no tem nenhum efeito sobre o significado desta Licena.
VERBATIM COPYING
Voc pode copiar e distribuir o Documento em qualquer meio, comercialmente ou no, desde que esta Licena, a notas de copyright, ea
nota de licena dizendo que esta Licena se aplica a Documento sejam reproduzidas em todas as cpias, e que voc adicionar nenhum
outro quaisquer que sejam as condies desta Licena. Voc no pode usar medidas tcnicas para obstruir ou controlar a leitura ou cpia
mais das cpias que voc fizer ou distribuir. No entanto, voc pode aceitar compensao em troca de cpias. Se voc distribuir uma grande
o suficiente nmero de cpias, voc deve tambm respeitar as condies na seo 3.
Voc tambm pode emprestar cpias, sob as mesmas condies acima mencionadas, e voc pode exibir cpias publicamente.
Se voc publicar cpias impressas (ou cpias em um meio que normalmente tem capas impressas) do documento, nmero maior que 100,
e os Aviso de licena do Documento obrigar Textos de Capa, voc deve incluir o cpias em capas que tragam, clara e legivelmente, todos
esses Textos de Capa: Textos de Capa Frontal na capa, e Back-Cover Texts nas costas tampa. Ambas as capas tambm precisam identificar
clara e legivelmente voc como o editor dessas cpias. A capa frontal deve apresentar o ttulo completo Com todas as palavras do ttulo
igualmente proeminentes e visveis. Voc pode adicionar outro material nas capas. Cpias com mudanas limitadas para o cobre, enquanto
que preservem o ttulo do Documento e satisfazer estas condies, podem ser tratadas como cpias literais em outros aspectos.
Se os textos requeridos em qualquer das capas for muito volumoso para caber legvel, voc deve colocar os primeiros listados (quantos
couberem razovel) na capa verdadeira, e continuar o resto nas adjacentes pginas.
Se voc publicar ou distribuir cpias Opacas do Documento nmero maior que 100, voc deve ou incluir uma leitura ptica Transparent
cpia junto com cada cpia Opaca, ou informar em ou com cada Opaco copiar um endereo de rede a partir do qual o general rede usando
o pblico tenha acesso ao pblico utilizando download-padro protocolos de rede uma cpia Transparente completa do Documento, livre de
material adicionado. Se voc usar a ltima opo, voc deve ter razoavelmente passos prudente, quando voc comea a distribuio de
cpias Opacas em quantidade, para assegurar que esta cpia transparente permanecer acessvel no local indicado por pelo menos um
ano aps a ltima vez que voc distribuir uma cpia Opaca (diretamente ou atravs de seus agentes ou distribuidores) daquela edio para
o pblico.
solicitado, mas no exigido, que voc contate os autores do Documento bem antes de redistribuir qualquer grande nmero de cpias,
dar-lhes uma oportunidade de prover voc com uma verso atualizada do Documento.
MODIFICAES
Voc pode copiar e distribuir uma Verso Modificada do Documento nas condies das sees 2 e 3 acima, desde que voc a Verso
Modificada estritamente sob esta Licena, com a Verso Modificada tomando o papel do Documento, de forma a licenciar distribuio e
modificao da Verso Modificada para quem quer possui uma cpia do mesmo. Alm disso, voc deve fazer essas coisas no Verso
Modificada:
GNU FDL Modificao Condies
Usar na Pgina de Ttulo (e nas capas, se houver) um ttulo distinto daquele do Documento, e daqueles de anterior verses (que
deveria, se houvesse algum, estarem listados na Histria seo do documento). Voc pode usar o mesmo ttulo de uma anterior
verso se o editor original daquela verso lhe der permisso.
A.
Listar na Pgina de Ttulo, como autores, uma ou mais pessoas ou entidades responsveis pela autoria das modificaes na Verso
Modificada, conjuntamente com pelo menos cinco dos principais autores do Documento (todos seus autores principais, se ele tem
menos de cinco), a menos que voc libera a este requisito.
B.
Estado na Pgina de Ttulo o nome do editor Verso Modificada, como o editor. C.
Preservar todas as notas de copyright do Documento. D.
Adicionar uma nota de copyright apropriada para o seu modificaes adjacente s outras notas de copyright. E.
Inclua, imediatamente aps as notas de direitos de autor, um Aviso de licena dando ao pblico permisso para usar a modificao
Verso sob os termos desta Licena, na forma mostrada no Adenda abaixo.
F.
Preservar nessa nota de licena as listas completas das Sees Invariantes e Textos de Capa requeridos dados no Documento de
nota de licena.
G.
Incluir uma cpia inalterada desta Licena. H.
Preserve a seo intitulada "Histrico", preserve a sua Ttulo, e adicionar mesma um item dizendo pelo menos o ttulo, ano, novo
autores, e editor da Verso Modificada, tal como consta no ttulo Page. Se no houver uma seo intitulada "Histrico" no
documento, criar uma dizendo o ttulo, ano, autores e editor da Documento como dados em sua Pgina de Ttulo, em seguida,
adicione um item descrevendo a Verso Modificada, tal como na frase anterior.
I.
Preservar o local de rede, se algum, dado no Documento de acesso pblico a uma cpia Transparente do Documento, e Da mesma
forma as localizaes de rede dadas no Documento para as anteriores verses que se baseava. Estes podem ser colocados na
Histria " seo. Voc pode omitir uma localizao na rede para um trabalho que foi publicado pelo menos quatro anos antes do
Documento, ou se o editor original da verso refere-se a d a permisso.
J.
Para qualquer seo intitulada "Agradecimentos" ou "Dedications", Preserve o ttulo da seo e preservar a seo em toda
substncia eo tom de cada contribuinte agradecimentos e / ou dedicatrias dados.
K.
Preservar todas as Sees Invariantes do Documento, inalteradas em seus textos e em seus ttulos. Nmeros de seo ou
equivalentes no so considerados parte dos ttulos da seo.
L.
Apagar qualquer seo intitulada "Apoio". Tal seo no ser includa na Verso Modificada. M.
No mude o ttulo de qualquer seo a ser intitulada "Apoio" ou entrar em conflito com ttulo de qualquer Seo Invariante. N.
149 de 151 05/03/2010 00:40
Preserve quaisquer notas de garantia. O.
Se a Verso Modificada incluir novas sees ou matria apndices que se qualifiquem como Sees Secundrias e no contenham material
copiado do Documento, voc pode optar por designar alguma ou todas aquelas sees como invariantes. Para fazer isso, adicione seus
ttulos para o lista de Sees Invariantes na nota da Verso Modificada licena. Estes ttulos devem ser distintos de quaisquer outros ttulos
de sees.
Voc pode adicionar uma seo intitulada "Apoio", desde que no contm nada alm de endossos da sua Verso Modificada por vrias
partes - por exemplo, declaraes de revisores ou de que o texto tem sido aprovado por uma organizao como a definio oficial de um
padro.
Voc pode adicionar uma passagem de at cinco palavras como Texto de Capa Frontal, e uma passagem de at 25 palavras como Texto de
Quarta Capa, ao final do lista de Textos de Capa na Verso Modificada. Somente uma passagem de Texto de Capa Frontal e uma de Texto
de Quarta Capa podem ser adicionados por (ou atravs de arranjos feitos por) qualquer entidade. Se o documento j inclui um texto de
capa para a mesma capa, adicionado previamente por voc ou por arranjo feito pela mesma entidade est agindo em seu nome, voc pode
No possvel adicionar um outro, mas voc pode substituir o antigo, com permisso explcita do editor anterior que adicionou a um velho.
O autor (es) e editor (es) do Documento no por este Licena dar permisso para usar seus nomes para publicidade ou para defesa ou
apoio implcito de qualquer Verso Modificada.
Voc pode combinar o Documento com outros documentos publicados sob esta Licena, nos termos definidos no seo 4 acima para
verses modificadas, desde que voc inclua na combinao todas as Sees Invariantes de todos os originais documentos, sem
modificaes, e liste todas elas como Sees Invariantes de seu trabalho combinado em sua nota de licena, e que preserve todas as Notas
de Garantia.
O trabalho combinado somente precisa conter uma cpia desta Licena, e mltiplas Sees Invariantes idnticas podem ser substitudas
por uma nica cpia. Se houver mltiplas Sees Invariantes com o mesmo nome, mas contedo diferente, faa o ttulo de cada seo
nico adicionando no final do mesmo, em parnteses, o nome do autor original ou editora desta seo, se conhecido, ou ento um nmero
nico. Faa o mesmo ajuste nos ttulos de seo na lista de Sees Invariantes na nota de licena do trabalho combinado.
Na combinao, voc precisa combinar quaisquer sees intituladas "Histria" nos vrios documentos originais, formando uma seo
"Histria Intitulado", da mesma forma combine quaisquer sees intituladas "Agradecimentos", e quaisquer sees intituladas "Dedicatria".
Voc deve apagar todas as sees intituladas "Apoio".
Voc pode fazer uma coleo consistindo do Documento e outros documentos publicados sob esta Licena, e substituir as cpias
individuais desta Licena nos vrios documentos com um nico exemplar, que includos na coleo, desde que siga as regras do presente
Licena para cpia exata de cada um dos documentos em todos os outros aspectos.
Voc pode extrair um nico documento de tal coletnea, e distribu-lo individualmente sob esta Licena, desde que voc insira um cpia
desta Licena no documento extrado, e siga esta Licena em todos os outros aspectos relacionados cpia literal do documento.
Uma compilao do Documento ou seus derivados com outros documentos separados e independentes ou de obras pblicas, ou em um
volume de um armazenamento ou distribuio, chamada um "agregado" se os direitos autorais resultantes da compilao no usado
para o limite legal direitos dos usurios da compilao para alm de que os trabalhos individuais licena. Quando o Documento includo
em um agregado, esta Licena no no se aplica aos outros trabalhos no agregado que no so eles prprios trabalhos derivados do
Documento.
Se a tampa do requerimento do Texto da seo 3 for aplicvel a estas cpias do Documento, ento, se o documento for inferior a metade do
todo o agregado, Capa do Documento Textos podem ser colocados em capas que encerrem o Documento dentro do agregado, ou o
eletrnico equivalente de cobre se o documento est em formato electrnico. De outra maneira eles devem aparecer como capas impressas
que envolvam o conjunto agregado.
TRADUO
Traduo considerada um tipo de modificao, ento voc pode distribuir tradues do Documento sob os termos da seo 4. A
substituio de Sees Invariantes por tradues requer especial permisso dos detentores dos direitos de autor, mas voc pode incluir
tradues de algumas ou todas as Sees Invariantes em adio ao verses originais dessas Sees Invariantes. Voc pode incluir um
traduo desta Licena, e todas as notas de licena no Documento, e qualquer Nota de Garantia, desde que tambm incluem a verso
original em Ingls desta Licena e as verses originais das notas e isenes. Em caso de desacordo entre a traduo ea verso original
desta Licena ou um pr-aviso ou aviso, a verso original prevalecer.
Se uma seo no Documento for intitulada "Agradecimentos", "Dedicatria", ou "Histria", a exigncia de seo (4) de Preservar seu Ttulo
da seo (1) tipicamente exigir a mudana real ttulo.
RESCISO
Voc no pode copiar, modificar, sublicenciar ou distribuir o Documento exceto quando expressamente previsto sob esta Licena. Qualquer
outra tentativa copiar, modificar, sublicenciar ou distribuir o Documento nula, e automaticamente rescindir seus direitos sob esta Licena.
Contudo, partes que tenham recebido cpias, ou direitos de voc sob esta Licena no tero suas licenas terminadas desde que tais
partes se mantenham em total conformidade.
A Free Software Foundation pode publicar novas verses revisadas da GNU Free Documentation License de tempos a tempos. Estas novas
verses sero semelhantes em esprito verso actual, mas podem diferir em detalhes para enderear novos problemas ou preocupaes.
Ver http://www.gnu.org/copyleft/.
Cada verso da Licena dado uma verso distinto nmero. Se o Documento especificar que uma verso particular de desta Licena "ou
150 de 151 05/03/2010 00:40
qualquer verso posterior" se aplica a ele, voc tem a opo de seguir os termos e condies quer dessa verso especificada ou de
qualquer verso posterior que tenha sido publicada (no como rascunho) pela Free Software Foundation. Se o documento no especificar
uma verso nmero da presente Licena, voc pode escolher qualquer verso j publicada (no como rascunho) pela Free Software
Foundation.
Para usar esta Licena num documento que voc escreveu, inclua uma cpia da Licena no documento e coloque o seguinte e direitos
autorais Avisos licena logo aps o ttulo:
Exemplo de lista de Sees Invariantes
Copyright (c) ANO SEU NOME. dada permisso para copiar, distribuir e / ou modificar este documento nos termos da
GNU Free Documentation License, Verso 1.2 ou de qualquer verso posterior publicada pela Free Software Foundation;
sem Sees Invariantes, Textos de Capa Frontal, e sem Back-Cover Texts. Uma cpia da licena includa na seo
intitulada "GNU Free Documentation License ".
Se voc tiver Sees Invariantes, Textos de Capa Frontal e Back-Cover Textos, substitua o "with ... Texts." consonncia com esta:
Exemplo de lista de Sees Invariantes
com as Sees Invariantes sendo LISTE SEUS TTULOS, com os Textos de Capa da Frente sendo LISTE, e com os Textos de
Quarta Capa sendo LISTA.
Se voc tiver Sees Invariantes, sem Textos de Capa, ou alguma outra combinao dos trs, mescle estas duas alternativas para se
adequar ao situao.
Se o documento contiver exemplos no triviais de cdigo de programa, ns recomendamos publicar estes exemplos em paralelo sob a sua
escolha do livre licena de software, tais como a GNU General Public License, para permitir seu uso em software livre.
151 de 151 05/03/2010 00:40

Endian PDF

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Endian PDF

Enviado por

Direitos autorais:

Formatos disponíveis

Guia de Administrao

Você também pode gostar