можливості ClearOS
Стаття опублікована в березневому номері
У жовтні 2009 року комерційний дистрибутив ClarkConnect змінив ім'я на ClearOS і ліцензію, ставши повністю безкоштовним. Тепер ми можемо повністю оцінити можливості цього рішення.
Потрібно сказати, що ClarkConnect в силу заявлених можливостей був завжди привабливий, для адміністраторів невеликих мереж. Але вдалося спробувати його одиницям. Вільно пропонувалася Community версія дистрибутива, що мала традиційно ряд істотних обмежень, які дозволяли лише оцінити потенціал, але робили в більшості випадків його впровадження не цікавим. Дозволялося мати 10 поштових скриньок, оновлення доступно лише протягом року, відсутність можливості створення DMZ, немає антивірусної перевірки пошти, немає коштів групової роботи, підтримки і так далі. Все це було доступно в комерційній Enterprise версії.
Сьогодні розробкою і підтримкою дистрибутива займається ClearFoundation , Головне питання якої забезпечення невеликих організацій інструментом дозволяє створити безпечну і керовану середу. Пропонований ClearFoundation дистрибутив орієнтований для застосування в невеликих розподілених мережах, де він може виконувати роль шлюзу або сервера. Зі зміною принципу ліцензування ClarkConnect отримав і нову назву - ClearOS. Назва підкреслило доступність і тепер все, що було в платному варіанті можна отримати абсолютно вільно і безкоштовно.
Як шлюз ClearOS забезпечує:
- антивірусну, антиспам, антифішинг, контентную фільтрацію;
- пакетний фільтр і фільтр протоколів / додатків (7 рівень OSI);
- VPN сервер - PPTP, IPsec, OpenVPN;
- підтримку декількох підключень до Інтернет (Multi-WAN), DMZ;
- 1-to-1 NAT - зіставлення зовнішнього адреси внутрішньому;
- управління пропускною спроможністю;
- система виявлення і запобігання атак на базі Snort / SnortSAM;
- веб-проксі з контролем доступу.
Підтримуються основні види підключення до Інтернет - DSL і Ethernet з PPPoE. Не підтримуються ISDN або супутникове.
При використанні в якості серверної ОС, ClearOS дає можливість побудувати такі сервіси:
- DHCP, DNS, NTP сервіси;
- LDAP аутентифікація користувачів і груп;
- управління сертифікатами користувачів;
- контролер домену (Primary Domain Controller), взаємодія з контролером домену Windows;
- файл сервер і сервер друку;
- сервер бази даних MySQL;
- веб-сервер з підтримкою PHP
- сервер групової роботи Kolab з Outlook Connector
- повноцінний поштовий сервер - POP, IMAP, SMTP і Webmail (на основі Horde).
При цьому установка ClearOS і настройка роботи сервісів досить прості і виробляються будь-яким адміністратором, який розуміє процес. У цьому, безсумнівно, допомагає спеціальна консоль, доступна, в тому числі і через Інтернет. Забігаючи наперед скажу, що всюди в списку є російська, але його вибір практично нічого не дає, так як локалізація проведена лише частково. Але назви пунктів в консолі кажуть самі за себе, тому працювати з ClearOS легко.
На момент написання статті актуальною є версія ClearOS Enterprise 5.1, анонсована в грудні 2009 (гілка 5.x буде підтримуватися до вересня 2013).
В якості базової системи використовується CentOS 5.4, з якої ClearOS повністю сумісний по пакетах, і при необхідності відсутні додатки легко встановити з репозитария CentOS.
Вибору особливого нам не пропонують. Для закачування пропонується єдиний ISO образ розміром 690 Мб. Для 5.1 beta був доступний ще і образ для VMware. Приблизні вимоги до обладнання для різної кількості користувачів можна знайти на сайті на сторінці "System Requirements". Мінімальними (для 5 користувачів) є - процесор 500МГц, 512 Мб ОЗУ і 2 Гб місця на жорсткому диску. Підтримуються апаратні RAID контролери, крім цього в процесі установки можна створити програмний RAID масив. Пакети зібрані для i386 архітектури, тому підійде будь-який сумісний тип процесора. Окремою версії для 64-бітових систем немає, але судячи з відповіді на форумі, така можливість планується після введення нової системи збирання дистрибутива. Хоча точної дати розробники назвати не можуть.
Мережеві карти підхоплюються на етапі установки без будь-яких проблем, в комплекті є драйвера для бездротових карт, але офіційно WiFi в ClearOS не підтримуються, а розробники рекомендують використовувати апаратну точку доступу.
установка ClearOS
Установка проводиться в псевдографічні консолі в текстовому режимі. Процес досить простий і труднощів викликати не повинен. У списку мов для установки пропонується російську мову, але цей вибір практично ніяк не позначиться на мові інтерфейсу. По ходу необхідно буде відповісти на ряд стандартних запитань. Програма попередить, що всі дані на жорсткому диску, а також підключених USB і Fireware пристроях будуть знищені. Для підтвердження подальших дій необхідно ввести слово "ClearOS". В подальшому можна вибрати ручну розмітку диска, тому всі ці застереження всього лише перестраховка
Ключовий момент установки - вибір режиму роботи сервера, від якого залежать подальші кроки. Пропонується два варіанти:
- Gateway - дистрибутив буде використовуватися як шлюз, забезпечуючи підключення до Інтернет, контроль вхідних і вихідних з'єднань, плюс сервіси про які говорилося раніше, буде потрібно наявність як мінімум двох мережевих карт;
- Standalone - дистрибутив встановлюється на сервер знаходиться всередині мережі, необхідна одна мережева карта.
Потім в консолі режим роботи сервера ClearOS при необхідності легко змінюється. Після в два етапи вибираємо модулі, які будуть визначати функціональність майбутньої системи. 
За замовчуванням активований тільки модуль "Graphical console", всі інші адміністратор повинен вибрати сам. Безпека один з принципів, на якому будується ClearOS, нічого зайвого не встановлюється, і не запускається. Всі встановлені модулі в подальшому слід налаштувати і запустити в роботу. Таким чином, встановлена система буде мати тільки ті сервіси, які дійсно необхідні. У режимі Gateway адміністратор вказує тип підключення до Інтернет і статичний LAN адресу однієї мережевої карти. Надалі IP внутрішнього інтерфейсу можна змінити, і перевести зі статичного на DHCP, але сенсу в цьому зазвичай немає.
Після копіювання файлів на жорсткий диск побачимо єдине повідомлення російською мовою, що вимагає зробити перезавантаження. Після якої потрапляємо в графічну консоль "Setup Wizard", що допомагає зробити первинні настройки. Для реєстрації використовуємо обліковий запис root і пароль, вказаний в процесі установки.
У першому ж вікні пропонують вибрати мову інтерфейсу, в списку є російський. Далі виробляємо уточнення налаштувань мережевих інтерфейсів. Тут вже можна вказати параметри для третьої (і т.д.) мережевих карт, ім'я вузла, адреси DNS серверів. На відміну від більшості дистрибутивів призначених для побудови шлюзів, тут немає обмежень. Наприклад, всі дистрибутиви базуються на SmoothWall, дозволяють використовувати тільки чотири інтерфейси, ролі яких чітко задані - WAN (RED), DMZ (ORANGE), LAN (GREEN) і WiFi (BLUE). У ClearOS таких обмежень немає, можна налаштовувати інтерфейси як завгодно. Зокрема для 3 мережевої карти вказати DMZ, WAN або LAN. Та й надалі консоль дозволяє для будь-якого інтерфейсу додатково задати і віртуальний IP-адреса (алиас). Також на цьому кроці можна змінити режим роботи сервера. До списку з Gateway і Standalone, доданий ще і "Standalone No Firewall". Далі нічого цікавого - часовий пояс, домен, і назва організації, вулиця і місто (мінімум для генеруються сертифікатів). Всі установки згодом легко змінюються в консолі. По закінченню роботи Setup Wizard переходимо в основне вікно консолі. Але для віддаленого управління краще використовувати веб-інтерфейс, який доступний тільки з LAN, необхідно підключитися браузером до 81 / https порту. Наприклад, https://192.168.1.1:81.
Консоль управління ClearOS
Інтерфейс консолі логічний і продуманий. Переведені лише деякі пункти, але проблем з його освоєнням не буде. Всі терміни загальновживані, тому з установками розібратися легко. Налаштування логічно розбиті на 7 пунктів, перейти до яких можна як з верхнього меню реалізованого у вигляді списку або вибрати колонці зліва. Останній варіант більш зручний, так як не потрібно "ловити" потрібний пункт. Велика частина налаштувань після зміни застосовуються автоматично і відразу, тобто ніякої додаткової кнопки активації натискати не потрібно. Тому потрібно бути уважним, щоб не закрити собі доступ до сервера.
Власне настройки, очевидно, слід починати з самої останньої за списком вкладки ClearCenter. Створюємо новий обліковий запис на сайті і потім реєструємося в вікні консолі. На початку слід додати нову систему в акаунт. Вибираємо "I am adding a new system to my account ". 
Від запиту на нову підписку на підтримку ClearSDN можна відмовитися. Після підтвердження ліцензії, нова система з'явиться в списку відомих в акаунті на СlearСenter. Тепер з СlearСenter можна отримати дані по роботі фільтрів, налаштувати оновлення антивірусних і антиспам баз, правил контентного фільтра, відправку попереджень електронною поштою, проводити моніторинг основних подій, онлайн резервування налаштувань і багато іншого.
Переходимо в "Software Modules". За замовчуванням всі модулі поставляються на диску, виняток "Advanced Firewall" і "File volume encryption utility", які завантажуються з онлайн сховища. Після установки нового модуля, в меню консолі з'являється відповідний пункт. В "Software Updates" доступна інформація про стан окремих пакетів програм і можливості їх відновлення.
Основні настройки доступні в ClearOS
В меню Directory створюються настройки LDAP, облікові записи і групи. Для нового облікового запису вказується крім традиційних даних (логін, пароль, адреса, телефони), також і сервіси до яких користувач отримує доступ - Web, Mail, Proxy, FTP, Windows Network, VPN. Тут же задається обмеження на розмір поштової скриньки від 50 Мб до 4 Гб (крок 100Мб і 1 Гб). Включення облікового запису в групу спрощує опис доступу до файлових ресурсів. За замовчуванням в ClearOS вже є дві вбудовані групи - All Users або Domain Admins, але можна створити будь-яку їх кількість на розсуд адміністратора. При їх цьому ніяких додаткових налаштувань не вводиться - тільки назва групи і короткий опис.
Установка LDAP, дані організації, а також експорт і імпорт налаштувань (CSV, ODS, XLS) проводиться в підміню Setup. Тут все зводиться до заповнення заздалегідь запропонованих полів.
У меню Network, як зрозуміло з назви, зібрані всі мережеві настройки. Зокрема тут редагуються правила пакетного фільтра, налаштування серверів DHCP, DNS і VPN. При наявності декількох підключень Інтернет (інтерфейсів з роллю External), настройка маршрутизації проводиться в Multi-WAN. Установок не багато - вага (weight), маршрути в залежності від джерела (користувача) і призначення пакета.
Якщо необхідно надати доступ до певного сервера або сервісу із зовні, ClearOS пропонує два варіанти - DMZ і 1-to-1 NAT (потребуватиме додаткового IP-адреси на зовнішньому інтерфейсі), настройки яких виробляються в однойменних вкладках. Інтерфейс дозволяє вказати як трансляцію всього діапазону портів, так і окремих TCP / UDP портів: з Інтернет в DMZ і DMZ-LAN.
Налаштування правил пакетного фільтра для вхідних і вихідних з'єднань, а також Port Forwarding можна сказати стандартна. 
Вказуємо то, що потрібно дозволити або заблокувати. Для вихідних з'єднань передбачені дві політики за замовчуванням:
- Allow all outgoing traffic - specify block destinations - дозволити всі підключення, крім явно заборонених;
- Block all outgoing traffic - specify allowed destinations - заблокувати всі з'єднання, за винятком явно дозволених.
Адміністратор може самостійно вибрати найбільш підходящий варіант.
Налаштування VPN не складна. Єдиний мінус ClearOS полягає в тому, що неможливо налаштувати IPsec через NAT, тобто технологія NAT-Traversal не підтримується. Однак присутність модулів ядра ip_nat_pptp, а також ip_nat_irc і ip_nat_ftp дозволяє декільком користувачам підключатися до зовнішнього сервера за відповідним протоколом.
В меню налаштувань Gateway знаходяться установки специфічних сервісів при використанні ClearOS в якості шлюзу - перевірка трафіку антивірусом ClamAV, вибір активних правил IDS Snort і так далі. У вкладці Intrusion Prevention виводиться список IP, заблокованих плагіном до Snort - SnortSAM. Щоб уникнути блокування довірених вузлів реалізований білий список "Exempt List". Його користувачі не проти поспілкуватися в робочий час, пограти в ігри, скачати файли з P2P. Все це відволікає від роботи і ставить під удар безпеку організації. За допомогою модуля аналізу протоколів вбудованого в ClearOS цю проблему легко вирішити. Основа модуля пакет L7-Filter (), який є надбудовою для Netfilter. За допомогою правил побудованих на регулярних виразах пакет L7-Filter визначати протокол або додаток, навіть якщо воно працює не на стандартному порту. Відповідні настройки проводяться у вкладці "Protocol Filter configuration", де вказуються протоколи, які будуть блокуватися. Веб-інтерфейс дозволяє легко додати своє правило.
В "Proxy and Filtering" задаються списки контролю доступу, а також правила блокування контенту для Squid, AdZaper і DansGuardian. Інтерфейс ClearOS дозволяє вказати порядок доступу користувачеві на основі логіна, IP або МАС адреси. Є можливість створення правил для періоду часу. Порядок налаштування простий. Переходимо в "Web Proxy" і включаємо / відключаємо контентний фільтр, блокування спливаючих вікон, максимальний розмір викачуваного файлу і розмір кеша. Проксі сервер можна перевести в прозорий режим за допомогою одного перемикача.
Одним з пунктів можливостей який привернув мою увагу, є можливість управління пропускною спроможністю дозволяє обмежити або зарезервувати ширину каналу. Розглянемо її трохи докладніше. Відповідні настройки проводяться в підміню "Bandwidth". За замовчуванням функція регулювання відключена. Вказуємо швидкість (в кб / сек) для Upload і Download, ця установка глобальна і для правильної роботи модуля тут варто ввести коректне значення. 
Власне правила налаштовуються в двох вкладках "Add Bandwidth Rule" і "Add Advanced Rule". У першій вказується - режим (обмеження, резерв), сервіс (вибираємо зі списку протокол), напрямок (в / з мережі або системи), значення і Greed. У другій вкладці правила трохи різноманітніше. Тут вказуємо назву, окремий IP-адресу, порт або діапазон джерела або призначення, напрямок (Download / Upload), Rate і Selling. Створені правила будуть показані в основному вікні "Bandwidth", де їх можна лише відключити або видалити. Відредагувати наявний настройки можна.
У вкладці Server доступні настройки всіх сервісів, які забезпечує ClearOS - веб, SMTP / POP / IMAP поштові, FTP, Print, MySQL, доступ до WebMail (за допомогою Horde). Тут же налаштовується антиспам, антивірусна перевірка електронної пошти, також сірий список і карантин. Кількість доступних сервісів залежить від встановлених модулів і може відрізнятися в конкретній системі. Все досить просто, слід заповнити лише запропоновані пункти і / або запустити сервіс. При розумінні процесу проблем бути не повинно, все працює "з коробки". Окремо хочу сказати про Flexshares - сервісі забезпечує простий спосіб організації доступу до Samba, FTP, Web і Mail ресурсів. 
Щоб створити новий ресурс слід вказати його назву та короткий опис. Та й в назвах краще використовувати символи англійського алфавіту, це дозволить уникнути неприємних сюрпризів. Далі вибираємо користувача або групу, які будуть власниками ресурсу. Потрібний каталог на сервері (в / var / flexshare / share) буде створений автоматично. Далі слід налаштувати до нього доступ одним або декількома способами. Для кожного будуть доступні специфічні настройки. Наприклад, для організації Samba ресурсу (в File) досить його активувати і вказати права доступу (читання, або читання / запис). Опціонально активується кошик і журнал подій. Відповідно для кожного випадку повинні бути налаштовані самі сервіси. Так Samba налаштовується в Windows Settings. На початку вказуємо домен і пароль адміністратора, потім вибираємо режим роботи (Primary Domain Controller або Simple File and Print Server). Тут же активується підтримка друку і WINS.
Також хотілося відзначити модуль звітів, що надає інформацію по роботі обладнання та системи, мережевої активності, а також окремих модулів. 
***
Можливостей у ClearOS більш ніж достатньо, про всі розповісти не вийде. Завдання статті показати наявний потенціал. Варто звернути увагу на документацію проекту, яка хоч і англійською, але досить докладно пояснює деякі моменти настройки. Документація до версії 5.х ще не закінчена, але все що потрібно можна переглянути в версії 4.х.