Forum
Merhabalar,
Linux konusunda çok acemiyim fakat bir şekilde Linux üzerine gitmek ve bu işi öğrenmek istiyorum. Bunun için ilk olarak çalıştığım firmadaki internet çıkışını Linux kullanarak kontrol etmek istiyorum. Bu konuyu çok araştırdım fakat hiçbir yerde ayrıntılı bir anlatım bulamadım. Linux olarak CentOS 5.4 kullanmak istiyorum.
Şuan Hyper-V üzerine CentOS 5.4 kurdum ve yapılandırmasını (saatin hızlı gitmesi hariç) yaptım.
Sadece domain e (DC olarak w2k8 Entp. x64 kullanılmaktadır.) kayıtlı kullanıcıların internete çıkmalarını istiyorum. Ayrıca kullanıcılarda proxy ayarı yapmadan sadece ağ geçidine Server ip
adresini yazdığımda internete çıkabilmelerini istiyorum.
Yukarıda bahsettiğim şekilde bir yapıyı kurmak için CentOS işletim sistemi üzerine hangi programları kurmalıyım ve bunları nasıl yapılandırmalıyım ?
Yardımlarınız için şimdiden çok teşekkür ederim.
Not:
Şirket bünyesinde işletim sistemleri olarak xp x64 ve x86, 2003 server x86, 2008 server x64 ve windows 7 x64 kullanılmaktadır.
Mail alışverişi için Outlook 2002, Outlook 2003 ve Outlook 2007 programları kullanılmaktadır.
Merhabalar
CentOS 5.4 üzerinde squid kurup proxy server işlemini gerçekleştirebilirsiniz. Squid ile alakalı faydalı kaynaklar google de bolca bulunur.
transparent yapmalısın ağ geçidine gelen http isteklerini proxy yönlendirmen gerek.
server ipsini ağ geçidi olarak yazıyorsan makineyi firewall olarakda kullanacaksın demektir..o zaman çift ethernet kullanacaksın.iptables kurulu geliyor zaten.Eğer squidi paket olarak seçti isen oda kurulu olarak geliyor. Seçmedi isen yum install squid ile kurabilirsin. şimdi eğer domain kullanıcılarının internete çıkmasını istiyorsan öncelikle ldap ile dcni konuşturman gerekiyor.Ayrıca transparan olarak çkamazsın dc ile konuşturursan bunuda bil(çıkamazsın derken çıkarsın ama domain kullanıcıları diye bi ayırım yapmaz herkesi çıkarır 🙂 ).Ama madem dc kullanıcılarının çımasını istiyorsun.Dc üzerinden yönlendirme yaparsan group policy ile proxy kimse manuel proxy girmek zorunda kalmaz.Böylece sadece domain kullanıcılarına izin vermiş olursun. Diğerleri internete çıkamaz.Sarg veya lightsquid ile raporlama yapabilirsin.İyi çalışmalar.
Neden open source firewall düşünmüyorsunuz. IPCop endian gibi firewallar kullanmanızı tavsiye ederim.
buradan bilgi edinebilirsiniz
cinlop dc ise linuxu konuşturabildiysen ve squid ile kimlik doğrulaması kısaca configleri ile beraber yazar mısın ? çok işe yarar emin ol :))
Neden open source firewall düşünmüyorsunuz. IPCop endian gibi firewallar kullanmanızı tavsiye ederim.
buradan bilgi edinebilirsiniz
Amaç Linux işletim sistemini ve yapısını öğrenmek olduğundan, hazır firewall uygulaması kullanımını uygun görmüyorum.
İyi çalışmalar.
Cevaplar için herkese çok teşekkür ederim.
@Cinlop
Evet iptables ve squid kurulu geldi. Eğer yanlışım varsa düzelt lütfen. Anladığım kadarıyla iptables a, http ye gelen istekleri squid e yönlendirmesini söyleyeceğiz. Bu şekilde ağ geçidine server ip sini yazarak proxy ayarı yapmadan internete çıkabileceğiz. Peki Outlook bu şekilde bir ayarlama ile internete çıkabilir mi ? Yoksa ayrı olarak her program için kullandığı portları tek tek yönlendirme yapmamız mı gerekicek ?
Sadece domain e üye kullanıcıların internete çıkmalarında vazgeçtim. Peki kullanıcıları nasıl ayırt edicem ? Yani video müzik indirmeyi engelliyeceğim ama bazı kullanıcılarda bu engel olmaması gerekicek. Bu tür bir ayarlamayı nasıl yapabiliriz ?
Saygılarımla.
Yanlış hatırlamıyorsam iptables sadece useraccess loglarını log dosyasına gönderiyor ( tabi düzenlenebilir bir durum ) fakat dosya bazlı bir işlem yapacaksanız bunu konsoldan yapmanız zor. Hobi olarak uğraşılabilir fakat profesyonel pazarda bu tür bir işle uğraşmak bilgi işlem cilern işi olan işin gidişatını hızlandırmak yerine yavaşlatacaktır. Bazı arkadaşlar Open Source ve Linux bazlı UTM programlarından bahsetmişler ve şahsımca içlerinde en iyisi endian ( Yalnış haıtlamıyorsam AD içindeki LDAP tan kullanıcısı sorgusuda yapabiliyor ), tabi diğerlerini inceleyip karar vermek yine size düşüyor.
Fakat şöylede bir sorun var, Windows ve Linux firewall lar istenilirse oldukca özellştirilebilecek yazılımlar olmasına karşın temelinde yine Windows ve Linux core ve kabuk bilgisi gerektirir bu tür bir bilginiz yok ise sistemde firewall dışında bir sorun çıktığında çözüm zamanı oldukca uzayabilir yada maliyeti oldukça artabilir. Bu nedenle kapalı sistemlerden yararlanmanızda fayda görüyorum ve tahminimçe şirketiniz 150 kullanıcı üzerinde olmadığı için DrayTek 5510 UTM cihazını ve ücretsiz Smart Monitor ( network takip ve raporlama sistemini ( MSN,SMTP,POP,VOIP,DNS kayıtlarını kullanıcı adresleri ile sunar ) öneririm.
Merhaba;
Linux daha doğrusu open source dünyasına giriş yapmış olmanız hayırlı olsun. Değinmek istediğim konu tam sorduğunuz soru ile alakalı olamayabilir ancak linux sistemleri kullanmak istiyorsanız öncelikle o sistemin yapısını ve çalışma mantığını araştırmalısınız.Linux sistemlere güvenlik ve yetkilendirme gibi karmaşık ve yerine göre zorlu bir alandan giriş yapmanız hem gelişmeniz hem de sistemi öğrenmeniz açısından zor olabilir. Çünkü kullandığınız hizmetle beraber (mail,firewall,IDS/IPS,LDAP,Anti-x,database,vs...) işletim sistemini de kullanıyor ve sorunlarla karşılaştığınız zaman işletim sistemi ya da hizmet bazlı olarak mı bu sorun çıktı sorusuna cevap bulmakta zorlanabilirsiniz. Öncelikle kritik olmayan noktalarda basit uygulamalar ile sistemin mantığını kavramalı (paket yönetimi,shell yazma, script oluşturma, cron kullanımı, editörlerin yapısı ve kullanımı, komutlar ve kabuk programlar,vs...) daha sonra yavaş yavaş daha karmaşık yapılara geçmelisiniz.
Sorunuza dönersek eğer UTM tarzı yazılımlar ile bu işi yapabilirsiniz. Squid proxyinizi transparan modda çalıştırıp kullanıcılara bırakmadan dağıtımını yapabilirsiniz. AD kısmında ise nasıl bağlantı yapacağınız konusunda aşağıdaki linkler yardımcı olabilir.
http://wiki.samba.org/index.php/Samba_%26_Active_Directory
http://www.symantec.com/connect/fr/articles/active-directory-and-linux
http://www.windowsnetworking.com/articles_tutorials/Authenticating-Linux-Active-Directory.html
http://blog.scottlowe.org/2006/08/08/linux-active-directory-and-windows-server-2003-r2-revisited/
http://www.enterprisenetworkingplanet.com/netsysm/article.php/3502441/Join-Linux-to-Active-Directory-With-Winbind.htm
Öne çıkan ve kullanım açısında kolay olan UTM yazılımları Untangle ve Endian olarak göze çarpıyor. BSD tabanlı yazılımlarda mevcut ancak BSD biraz daha zorlu bir sistem olduğu için entegrede sorun yaşayabilirsiniz.
Cevaplar için çok teşekkür ederim.
Öncelikle bana önerilen işletim sistemleri yada UTM yazılımlarının Hyper-V ile uyumlu olmaları benim için çok önemli. Öneride bulunan arkadaşlar bunu göz önünde bulundururlarsa çok sevinirim. Çünkü önerilen programları denemek epey bir vaktimi alıyor ve aslında sonucun baştan belli olması beni üzüyor.
Daha öncede belirttiğim gibi şuan Hyper-V üzerine Centos 5.4 kurdum ve stabil çalışıyor. Centos üzerinde Squid ve iptables kurulu geliyor. Anladığım kadarıyla çoğunluk Dansguardian kullanıyor. Yani benim şuan tek eksiğim dansguardian. Bu üçlü üzerine çalışmalara devam edeceğim. Eğer ortaya sağlam bir yapı çıkar ise buradan neler yaptığımı yazarım.
Saygılarımla.
Endian bildiğim kadarı ile Linux tabanlı bir dağıtım, sorunsuz çalışacağını düşünüyorum
Tekrar Merhaba. Konu almış gitmiş başını ama bi kaç gündür bakamıyordum.Şimdi soruna gelecek olursak iptables üzerinde 25 110 portlarını veya belki sen spam gateway makinen vardır onun smtp portu olarak 25 portunu değiştirmişsindir ona izin verirsen hiç bir problem ile karşılaşmadan outlook kullanabilirsin.Port yönlendirme dediğimiz zaten firewall olarak kullanıyorsan makineyi onda sysctl.conf dosyasında net.inet.ip.forwarding=0 --->1 yaparsan yani sıfır değerini bir yaparsaan çekirdek yönlendirmesini yapmış olursun.biraz iptables üzerinde çalışırsan sorunu çözersin.kullanıcı bazlı yapmayacaksan mac bazlı yapabilirsin.ip bazlı yapabilirsin.şunu belirteyim.mac bazlı centos veya redhat kernele sahip sistemlerde control list oluşturacaksan squidi mac ile beraber yeniden derlemen gerekir bilgine.
erol beyin sorusuna gelince centos üzerinde squid ile yetkilendirmede openldap, active directory, mysql, squid auth hepsi ile yetkilendirme yaptım.
yetkilendirme konusunda siz başlayın erol bey veya kim yapmak istiyorsa takıldığı yerde burda konu açılsın ben yardımcı olayım.Makale becerim pek yok.
Endian ve pfsense üzerindede bu yetkilendirme işlemlerini yaptım.Ama bu pfsense endian gibi sistemler beni kısıtladığını düşündüğğüm için kullanmıyorum.(connection secreenlerini koyabilirm.)Ordaki özellikleri centos redhat veya fedora üzerinde uyguluorum.Bence linux öğrenmek isteyenlerde böyle yapmalı.AKsi halde bize pek bişey katmaz o sistemler.
Burda şunuda söylemeden geçemeyeceğim.Ya bazen link veriyoruz ama şuda bir gerçek yani bu konuda araştırma yapan adamda googlede key wordler ile pekala arama yapıp bunları bulabilir.Şunuda söyliyeyim özellikle türkçe kaynakların bir çoğu ya yazar hatasından dolayı veya güncel sürümünü yitirmişliğinden dolayı kurduğunuz sistemde çalışmıyor.Bunun sonucundada linux öğrenmek isteyen kişi pes edip bırakıyor.Dökümanların veya forumların güncel başlıklarından sorunların çözümünü takip etmelisin derim.Bence elimizden geldiği kadarı ile çözümü burda yazalım.Tabi bu benim görüşüm.
sen nasıl ve configte neler yaptığını anlat ad entegrasyonu için uygulayıp çalıştıranlar belki makele olarak yazarlar.
banada lazım ad entegrasyonu.