Настройки

Кроме настроек, имеющихся у каждого компонента, TING содержит множество общих параметров, которые можно конфигурировать. Здесь представлен их обзор.

Администрирование

Настройки на этой странице касаются входа в TING. Параметры секции SSH описаны в Пользователи и группы.

Прослушивание интерфейсов

Предупреждение

Перед тем, как рассматривать использование интерфейсов, выбранных вручную, обязательно прочитайте эту главу, чтобы заранее знать о подводных камнях. Неверная конфигурация может привести к недоступности веб-интерфейса и/или отсутствию доступа по ssh.

И веб-интерфейс, и сервер SSH поддерживают возможность прослушивания только определённых интерфейсов. Однако, для использования данной опции необходимо знать об определённых важных моментах, которые необходимо обязательно учитывать в работе.

По умолчанию, эти службы прослушивают все адреса (интерфейсы).Если же необходимо слушать только один определённый интерфейс, должны выполняться следующие правила:

• Интерфейс должен быть всегда доступен, поэтому не пытайтесь привязываться к VPN любого типа (OpenVPN, Wireguard, …)

• Адресация должна быть только статическая, поэтому не нужно отслеживать IPv6, например

Так как веб-интерфейс не способен предсказать со 100% уверенностью, что эти правила действительно применяются, можно выбрать интерфейсы, которые не поддерживают привязку для этих служб.

Совет

В случае, если вы хотите предотвратить привязку ко всем интерфейсам (для любой службы), можно добавить интерфейс loopback в Интерфейсы ‣ Другие типы ‣ Loopback, назначить ip-aдрес и привязать к нему.

Если трафик маршрутизируется через брандмауэр, ip loopback (какой-либо частный адрес , вне диапазона loopback)) должен быть доступен непосредственно из сети, находящейся за ним. Например, можно использовать адрес 192.192.192.192/32 для доступа к веб-интерфейсу, в то время как собственная сеть использует 192.168.1.0/24.

Такие технологии, как преобразование сетевых адресов (NAT), также могут быть использованы, если на другом конце сети неизвестно о маршруте к этому единственному адресу.

Веб-интерфейс

Протокол для соединений может быть либо HTTP, либо HTTPS

HTTP

Обычный незашифрованный HTTP. Небезопасный и базовый, но широко совместимы. В большинстве случаев его не следует использовать и он никогда не должен попадать в незащищённые сети.

HTTPS

Зашифрованный («безопасный») HTTP. Защищает связь между клиентским браузером и графическим интерфейсом брандмауэра. Для работы требуется сертификат SSL/TLS. В зависимости от браузера и конфигурации сертификаты могут возникнуть проблемы с совместимостью, но обычно они легко устранимы, например, с помощью предупреждений о самоподписанных сертификатах.

Сертификат SSL

SSL-сертификат, который будет использоваться графическим интерфейсом в режиме HTTPS.

Протокол	Протокол для соединений между веб-браузерами и графическим интерфейсом. Настоятельно рекомендуется оставить значение HTTPS.
Сертификат SSL	По умолчанию, используется самоподписанный сертификат. Сертификаты можно добавить на странице Система ‣ Доверенные сертификаты ‣ Сертификаты.
SSL шифрование	Может использоваться для ограничения выбора SSL-шифрования в случае, если системные настройки по умолчанию нежелательны. Обратите внимание, что ограничение может привести к недоступности веб-интерфейса.
Строгая транспортная безопасность HTTP	Обеспечивает загрузку веб-интерфейса по протоколу HTTPS, даже если соединение перехвачено (атака типа «человек посередине»). Не разрешает пользователю доверять недействительному сертификату для веб-интерфейса.
Порт TCP	Может быть полезным, если есть другие службы, доступные, например, через порт 80/443 (порты для веб-интерфейса по умолчанию, соответственно - для HTTP/HTTPS) внешнего IP.
Запрос HTTP	Если вы измените порт, будет создано перенаправления с порта 80/443. Установите это флажок, чтобы отключить создание правила автоматической переадресации.
Сообщения при входе	Если флажок установлен, сообщения об успешном логине (входе) в веб-интерфейс не будут протоколироваться.
Тайм-аут сессии	Время в минутах для завершения неработающих сеансов (по умолчанию - 240 минут/4 часа).
Проверка DNS Rebinding	В TING есть защита от атак при помощи перепривязки DNS путём фильтрации DNS-ответов с локальными IP. Если такая защита мешает доступу к веб-интерфейсу или разрешению имён в вашей среде, её можно отключить, установив этот флажок.
Альтернативные имена хостов	Список (через пробел) альтернативных, действительных имён хостов ( чтобы избежать ложно-положительных срабатываний при защите от атак с перепривязкой DNS и HTTP_REFERER).
Сжатие HTTP	Уменьшает размер передачи данных, но при этом немного увеличивает нагрузку на процессор.
Журнал доступа	Протоколирование всех обращений к веб-интерфейсу для отладки и анализа.
Слушать интерфейсы	Можно использовать для ограничения интерфейсов, через которые можно получить доступ к графическому интерфейсу. Это позволяет освободить интерфейса для других служб, например HAProxy.
Обеспечение соблюдения HTTP_REFERER	Происхождение запросов проверяется, чтобы обеспечить некоторую защиту от CSRF . Вы можете отключить эту функцию, если она мешает работе внешних скриптов, взаимодействующих с веб-интерфейсом.

SSH

Учётные записи пользователей могут использоваться для входа в веб-интерфейс, а также для входа в консоль (через VGA, последовательный порт или SSH). Последний вариант будет работать только в случае, если в оболочке пользователя не установлено значение /sbin/nologin.

Чтобы получить доступ к TING через SSH, необходимо настроить SSGH-доступ в разделе Система ‣ Настройки ‣ Администрирование. В секции SSH доступны следующие параметры:

SSH	Активирует безопасную службу SSH.
Группа входа	Выберите разрешённые группы для удалённого входа. Группа wheel всегда задаётся для целей восстановления, а дополнительная локальная группа может быть выбрана по Не предоставляйте удалённый доступ неадминистраторам, поскольку каждый пользователь может получить доступ к системным файлам с помощью SSH или SFTP.
Вход суперпользователей в учётную запись	Вход под root обычно не рекомендуется. Лучше входить в систему через другого пользователя и после этого переключаться на root.
Метод аутентификации	Если эта функция отключена, авторизированные ключи должны быть настроены для каждого пользователя, которому предоставлен доступ по SSH.
Порт SSH	Порт для прослушивания, по умолчанию - 22.
Слушать интерфейсы	Принимать соединения только с выбранных интерфейсов. Оставьте пустым, чтобы слушать глобально. Использовать с особой осторожностью.
Дополнительно	Открывает доступ к криптографическим настройкам:
	Алгоритмы обмена ключами	Методы обмена ключами, которые используются для генерации ключей каждого соединения.
	Шифры	Шифры для шифрования соединения.
	MAC-адреса	Коды аутентификации сообщений, используемые для обнаружения изменений трафика.
	Алгоритмы ключей хоста	Определяет алгоритмы ключей хоста, определяемые сервером.
	Алгоритмы подписи с открытым ключом	Алгоритмы подписи, используемые для аутентификации с открытым ключом.

Консоль

В случае чрезвычайной ситуации, полезно настроить консоль для доступа к брандмауэру, если сетевое подключение невозможно.

Совет

После первоначальной установки всегда проверяйте, работает ли консоль на самом деле.

Драйвер консоли	Если флажок снят, TING будет использовать старый драйвер sc.
Главная консоль	Выбор основной консоли для вывода информации. На выбранной консоли будет отображаться вывод скрипта загрузки, сообщения и меню консоли.
Вспомогательная консоль	Выбор вспомогательной консоли, если используется несколько. Сообщения о загрузке ОС, сообщения консоли и меню консоли отображаются на всех консолях.
Скорость последовательного порта	Позволяет настроить скорость передачи данных. Наиболее распространённой является 115200.
Последовательный USB-порт	Слушать на /dev/ttyU0, /dev/ttyU1, … вместо /dev/ttyu0.
Меню консоли	Чтобы разрешить физический доступ к консоли без пароля, надо снять флажок. Это позволит избежать блокировки, но за счёт того, что злоумышленники смогут сделать что угодно, если получат физический доступ к вашей системе.

Аутентификация

Секция аутентификации в настройках Администрирования предлагает общие параметры безопасности для пользователей, осуществляющих вход в брандмауэр.

Сервер	Выберите один или несколько серверов аутентификации для проверки учётных данных пользователя. Несколько серверов могут иметь смысл при использовании удалённых методов аутентификации, чтобы обеспечить запасной вариант при проблемах с подключением. Если ничего не указано, по умолчанию используется Локальная база данных.
Отключить встроенную аутентификацию	Если этот параметр установлен, вход в консоль, SSH и другие системные службы могут использовать только стандартную аутентификацию учётной записи UNIX.
Sudo	Управляет возможностью использования sudo администраторами с SSH-доступом: можно запретить или разрешить с паролем/без пароля. В выпадающем меню ниже, можно выбрать разрешённые группы для использования sudo. Группа wheel всегда установлена для целей восстановления. По желанию, может быть выбрана дополнительная локальная группа.
Начальное значение OTP пользователя	Выберите группы, которым, будет доступна форма для генерации собственной затравки для OTP на странице Система ‣ Сводка ‣ Пароль.

Планировщик задач Cron

Cron - это служба, которая используется для периодического выполнения заданий. Задания Cron можно посмотреть, перейдя в разделe Система ‣ Настройки ‣ Планировщик задач Cron. Новые задания можно добавить, нажав на кнопку + в правом нижнем углу.

При добавлении нового задания или изменения существующего, вам будут предложены поля, которые напрямую отражают синтаксис cron-файла и, в основном, говорят сами за себя. Задание должно иметь имя, команду, параметры команды (если применимо), описание (необязательно, но рекомендуется) и, самое главное, расписание. Все поля, связанные с расписанием, имеют одинаковый синтаксис:

• Звёздочка * может означать «любое значение»

• Указание несколький значений возможно с помощью запятой: 1, 4, 9

• Диапазоны можно указать с помощью тире: 4-9

Имеющиеся задания cron регистрируются в системе, для предотвращения иъекций команд и повышения привилегий. Они находятся в выпадающем списке поля Команда и могут содержать дополнительные Параметры. Действия Перезапустить ... и Перезагрузить ... не требуют пояснений. Они не принимают никаких параметров и перезапускают (обычно, это медленная остановка и запуск процесса) или перезагружают (обычно, более быстрый SIGHUP) соответствующий сервис. Доступность перезапуска или перезагрузки зависит от соответствующих служб, поскольу не всё программное обеспечение поддерживает перезагрузку из-за специфики реализаций.

Оснновные команды, следущие:

Команда в интерфейсе	Команда в shell	Справочная информация
Обновление и перезагрузка псевдонимов брандмауэра	configctl filter refresh_aliases	Обновляет IP-алиасы для записей DNS и MAC-адресов, а также таблицы URL.
Проверка обновлений прошивки	configctl firmware poll	Актуализация текущего статуса обновления с зеркала прошивки для, например, удалённой проверки статуса через API. Обратите внимание, что здесь используется интервал в 25 минут.
Обновление журнала изменений прошивки	configctl firmware changelog cron	Обновление текущего состояния журнала изменений из авторитетного местоположения прошивки - для предварительного просмотра журналов изменений для новых версий. Для этой команды используется интервал в 25 минут и она также выполняется при проверке обновлений прошивки.
Автоматическое обновление прошивки	configctl auto-update	Выполняет минорное обновление, если допустимо.
Обновить и перезагрузить правила обнаружений вторжений	configctl ids update	Извлекает удалённые правила и перезагружает IDS, чтобы начать их использовать.
Периодический сброс интерфейса	configctl interface reconfigure [identifier] [1]	Выполняет цикл сброса интерфейса, который удаляет все подключения и и заново их активирует.
Скачать и перезагрузить внешние списки для прокси	configctl proxy fetchacls	Получение и активация внешних файлов ACL для настроенных списков блокировки.
Удалённое резервное копирование	configctl system remote backup	Запуск удалённого резервного копирования в указанное время, а не в ночное, как по умолчанию.
Выполнить перезагрузку	configctl system reboot	Выполняет перезагрузку в указанное время.
HA обновление и перенастройка резервной копии	configctl system ha_reconfgire_backup	Синхронизирует конфигурацию с резервным брандмауэром и перезапускает его службы, чтобы применить изменения.
Обновление чёрных списков для Unbound	configctl unbound dnsbl	Обновляет списки блокировки DNS и применяет изменения к Unbound.
ZFS pool trim	configctl zfs trim [pool] [2]	По требованию, немедленно инициирует операцию TRIM для всего свободного пространства в pool. Эта операция информирует базовые устройства хранения обо всех блоках в пуле, которые больше не являются выделенными и позволяет устройствам с технологией thin provisioning освободить место.
ZFS pool scrub	configctl zfs scrub [pool] [2]	Начинает или возобновляет процесс скраба: проверяются все данные в указанных пулах, чтобы убедиться в корректности контрольных сумм. Для реплицированных (зеркало , raid-z, draid) устройств ZFS, автоматически исправляет любые повреждения, обнаруженные во время очистки.

[1]

identifier: надо указать внутреннее имя интерфейса, отображаемое в назначениях или на странице обзора, например: lan, wan, optX

[2] (1,2)

pool: надо указать имя пула ZFS для выполнения действия

Общие

Общие настройки в основном касаются сетевых параметров, например, имени хоста. Их можно найти в меню Система ‣ Настройки ‣ Общие. Доступны следующие настройки:

Параметр	Пояснение
Система
Хост	Имя хоста без доменной части, например: ting
Домен	Домен, например company.com, home, office, work и т.п. Не используйте local в качестве доменного имени - это имя зарезервировано и приведёт к тому, что локальные узлы, работающие с mDNS (avahi, bonjour и т.д.), не смогут разрешить локальные узлы, не работающие с mDNS. Используйте варианты вида example.net, home.arpa и т.п.
Часовой пояс	Установите часовой пояс, ближайший к вам.
Язык	Язык интерфейса.
Тема	Внешний вид графического интерфейса. Дополнительные темы можно установить при помощи плагинов.
Доверенные сертификаты
Хранить промежуточный	Если установлен флажок, будет разрешено использование локально определённых промежуточных центров сертификации. Рекомендуемая настройка - не установлено. В таком случае, будут храниться только корневые сертификаты - это предотвратит перекрёстную подпись, которая может привести к поломке в случае, когда они включены, но срок их действия истёк позже в цепочке.
Построение сетей
Выбрать IPv4 через IPv6	По умолчанию, если имя хоста разрешает адреса IPv6 и IPv4, будет использоваться IPv6. Если флажок установлен, то вместо IPv6 будут использоваться адреса IPv4.
DNS-серверы	Список DNS-серверов с указанием шлюза (опционально). Эти DNS-серверы также используются для службы DHCP, служб DNS и для клиентов PPTP VPN. При использовании нескольких WAN-соединений, на каждом шлюзе должно быть не менее одного уникального DNS-сервера.
Домен поиска DNS	Введите дополнительный домен для добавления в локальный список поиска доменов. Используйте ., чтобы отключить локальный список поиска доменов для разрешения имен.
Настройки DNS-сервера	Позволить переопределить список DNS-серверов DHCP/PPP на WAN Если этот параметр установлен, DNS-серверы, назначенные сервером DHCP/PP в глобальной сети, будут использоваться для собственных целей (включая службы DNS). Однако они не будут назначаться клиентам DHCP и PPTP VPN. Исключить интерфейсы Выпадающий список из доступных интерфейсов для исключения. Не используйте локальную службу DNS в качестве сервера имен для этой системы При включении локальных служб DNS, таких как Dnsmasq и Unbound, TING будет использовать их в качестве сервера имен. Включите этот параметр, чтобы это предотвратить.
Переключение шлюзов	Если соединение, на котором находится основной шлюз, не работает, переключить на следующий доступный.

Прочее

Все остальные настройки, не подходящие для других разделов.

Параметр	Пояснение
Параметры криптографии
Аппаратное ускорение	Выберите метод аппаратного ускорения, если он присутствует. Обратитесь к полной справке для получения рекомендаций по аппаратным средствам.
Тепловые датчики
Аппаратное обеспечение	Выберите между драйвером термодатчика Отсутствует/ACPI и драйверами для конкретного процессора AMD/Intel.
Периодические резервные копии
Периодическая резервная копия RRD	Периодическое резервное копирование данных RRD, которые будут автоматически восстановлены во время следующей загрузки.
Периодическая резервная копия аренд DHCP	Периодическое резервное копирование аренд DHCP, которые будут автоматически восстановлены во время следующей загрузки.
Периодическая резервная копия NetFlow	Периодическое резервное копирование данных NetFlow, которые будут автоматически восстановлены во время следующей загрузки.
Периодическая резервная копия Captive Portal	Это позволит периодически сохранять данные сессий Captive Portal, чтобы чтобы автоматически подгрузить при следующей загрузке.
Средства энергосбережения
Использовать PowerD	PowerD позволяет настраивать функции энергосбережения. Доступные режимы: максимальный (высокая производительность), минимальный (максимальное энергосбережение), адаптивный (сбалансированный), высокоадаптивный (сбалансированный, но с более высокой производительностью).
В режиме питания от сети переменного тока	Установка режима питания при работе от сети переменного тока (от сети). По умолчанию: высокоадаптивный.
В режиме питания от батареи	Установка режима питания при работе от батареи. По умолчанию: высокоадаптивный.
В режиме нормального питания	Если утилита питания PowerD не может определить состояние питания, она использует данный режим для управления. Значение по умолчанию: высокоадаптивный.
Настройки диска / памяти (требуется перезагрузка)
Файл обмена	Добавление файла подкачки размером 2 Гб. Это может увеличить производительность за счёт увеличения износа жёсткого диска, особенно флэш-памяти.
/var/log RAM-диск	Если включить эту опцию, для /var/log будет использоваться RAM-диск вместо жёсткого диска. Это приведёт к потере данных журнала при перезагрузке.
/var/log использование оперативной памяти	Процент оперативной памяти, используемой для RAM-диска. Значение «0» означает неограниченный объём - включает в себя всё пространство файла подкачки swap.
RAM-диск /tmp	Если включить эту опцию, для /tmp будет использоваться RAM-диск вместо жёсткого диска.
/tmp использование оперативной памяти	Процент оперативной памяти, используемой для RAM-диска. Значение «0» означает неограниченный объём - включает в себя всё пространство файла подкачки swap.
Системные звуки
Звук включения/выключения	Включение/отключение звуковых сигналов через встроенный динамик («PC Speaker»).

Параметры

Здесь находятся настройки, которые входят в файлы loader.conf и sysctl.conf, что позволяет настраивать низкоуровневые параметры системы. Их можно установить на странице Система ‣ Настройки ‣ Прочее.

Здесь можно просмотреть посмотреть на текущие активные настройки и создать новые. Список возможных значений можно получить, выполнив команду sysctl -a в оболочке TING. В зависимости от возможностей загрузчика и поддержки модулей ядра, могут быть доступны дополнительные настройки.

Журналирование

Локальное журналирование

Настройки локального журнала можно найти в разделе Система ‣ Настройки ‣ Журналирование, вкладка Общие. Обычные файлы журналов будут использовать стандартный шаблон названия на диске: /var/log/<application>_[YYYYMMDD].log (один файл в день). Наш пользовательский интерфейс обеспечивает интегрированное представление, объединяющее все собранные файлы. Имеющиеся настройки могут изменить представление на диске, в зависимости от ограничений по пространству и времени на ротацию журнала.

Многие плагины имеют свои собственные журналы. В пользовательском интерфейсе они сгруппированы с настройками этого плагина. В основном, они записываются в var/log в текстовом формате, так что вы их можете просмотреть или проследить за ними с помощью команды tail.

Обзор локальных настроек:

Отключить локальное журналирование	При необходимости, можно отключить локальное журналирование (например, чтобы избежать износа устройства хранения) и настроить удалённое протоколирование.
Размер файла для чередования журналов (в КБ)	Ограничение размера файла журналов, вместо сохранения одного журнала каждый день.
Счётчик чередуемых элементов	Настройка количества дней хранения журналов или количество файлов, если используется опция выше «Размер файла для чередования».
Журнал веб-сервера	Если установлен этот флажок, ошибки процесса веб-сервера lighttpd для графического интерфейса или портала авторизации Captive Portal будут записываться в главном системном журнале.

Удалённое журналирование

Настройки для удалённого журнала находятся в разделе Система ‣ Настройки ‣ Журналирование, вкладка Удалённо.

Для работы удалённого журналирования по протоколу syslog необходимо иметь установленный сервер Syslog: локальный или во внешней сети.

Параметр	Пояснение
Включить удалённое журналирование	Включение/отключение отправки сообщений журнала на сервер syslog.
IP-адрес источника	Этот параметр позволит связываться с одним интерфейсом, а не со всеми. Если вы выбираете один IP-адрес, все удаленные syslog-серверы должны иметь такой же тип адреса. Если вы хотите использовать IPv4 и IPv6 удаленные syslog-серверы, необходимо связать со всеми интерфейсами. Если ни один не выбран, процесс будет связываться со всеми интерфейсами.
Протокол IP	Данный параметр определяет предпочитаемый тип адреса: если IP выбранного типа не будет найден на выбранном интерфейсе, будет использоваться другой тип.
Транспортный протокол	Протокол, используемый для отправки сообщений на сервер. Если используется udp, syslog-ng автоматически передаёт пакеты Групповой адресации (если указан адрес назначения Групповой адресации). Протокол tcp не поддерживает многоадресную рассылку. Протокол tls используется для защищённой передачи данных - для него доступны дополнительные настройки.
Удалённые syslog-серверы	IP-адреса серверов с номером порта (или без - тогда будет использоваться порт по умолчанию: 514).
Сертификат [3]	Клиентский сертификат для протокола tls. При возникновении проблем с транспортным сертификатом, обязательно проверьте общий системный журнал.
Required trusted SSL/TSL connection [3]	Если эта настройка включена, система будет проверять подлинность сертификатов SSL/TLS, предъявляемых узлами во время соединения. Если сертификат не может быть проверен или к нему нет доверия, соединение будет отклонено. Это помогает предотвратить потенциальные риски безопасности, связанные с недоверенными или недействительными сертификатами, обеспечивая установление только безопасных и надёжных соединений.
RFC 5424	Форматировать сообщения согласно RFC5424 .
Журналировать всё	При установленном флажке, будут журналироваться события со всех источников событий, в противном случае - только из отмеченных в форме.

[3] (1,2)

Доступны, если выбран транспортный протокол tls.

Источники событий для удалённого журналирования:

Примечание

При использовании syslog через TLS, убедитесь, что оба конца сети настроены правильно (сертификаты и имена хостов): ошибки сертификата довольно часто встречаются в таких установках. В TING, общий системный журнал, обычно, содержит больше деталей. В случае отслеживания сообщений syslog-ng - это хороший ресурс.

Реконфигурация не всегда мгновенно применяет настройки tls. В таких случаях, лучше остановить, а затем запустить syslog при помощи веб-интерфейса.

Для активации всех изменённых настроек, надо нажать кнопку Применить.

Чтобы очистить все журналы системы, воспользуйтесь кнопкой Очистить файлы журналов.

Журналирование межсетевого экрана

Чтобы добавить в журнал запись логов правил межсетевого экрана, на нужных правилах включаем в настройках Журналирование межсетевого экрана нужные Вам пункты.

Далее, в Межсетевой экран ‣ Правила, выбираем нужный интерфейс (WAN, LAN и.т.д.), затем нужное правило и нажимаем кнопку редактирования (значок карандаша), прокручиваем страницу вниз, находим пункт Журналирование и включаем его:

Совет

Включить/отключить журналирование можно прямо в таблице правил, на левом краю, при помощи кнопки :

После этого, логи данного правила также будут пересылаться на сервер Syslog.