IPCOP是一那強悍的防火牆,安裝簡單好用,很適合中小學來使用,並且有以下特點:
1.Web管理介面
2.DHCP伺服器
3.PROXY伺服器
4.VPN伺服器
5.NAT功能
6.虛擬伺服器
7.入侵偵測
8.支援SSH
9.支援ISDN
10.支援多網卡
11. 上下行流量管制
12.伺服器日誌管理
13.網路流量分析
14.版本更新機制
15.可外掛好用插件
(資料引用IPCOP繁體中文研究站)
IPCOP安裝快速而簡單,整個過程不到十分鐘:先至http://www.secureneed.com/ipcop/下載,使用燒錄程式燒入光碟,使 用光碟開機就OK。
| 站長錄的IPCOP影 音教學檔 |
安裝注意事項:
1.Ipcop的網路卡有Green,Red,Orange,Blue
Green:是指連接區域網路的網卡
Red:是指連接網際網路的網卡
Orange:是指連接DMZ網路的網卡
Blue:是指連接無線網路的網卡
2.IPcop的web管理
http://ip:81 (是內部Green的IP,其實還是會透過https)
https://ip:445
3.進入管理介面時畫面一片空白:
請使用檢示─編碼─UTF8就可
4.使用ssh:
port是使用222而不是22,如果上傳檔案使用winscp,port填入222
IPCOP功能強大,它一安裝完成後預設:
1.由內往外是沒設限制
2.由外往內則是全部deny的
如下圖:
更完整應該就是如下圖,有red、green、orange、blue
安裝完IPCOP預設設是:
1.由內往外沒設限
2.由外往內全部deny
安裝BOT之後:
1.由內往外沒設deny
2.由外往內全部deny
如是下圖:
所以我建議BOT要裝,然後才能做雙向管制。
1.如果您是使用PPPOE上網,那麼在安裝過程到設定Red卡的Address時請選PPPOE,如下圖:
2.接下來安裝完成後使用Browser進入做其他設定,分以下部份說明:
(1)連接:
介面:就是PPPOE
閒置超時:0就是disable
用IPCop重啟連接:選取
(2)重新連接:
選取持久就可
(3)PPPoE設定:
就選PPPoE plugin就可
(4)鑒定:(應該是認證,中文化怪怪的)
使用者名稱:填入帳號如aaaa@hinet.net
密碼:填入密碼
(5)DNS:
可以選自動,如果手動請自行填入168.95.1.1 或 168.95.192.1
port forwarding就是防火牆內部有server,不管是置於green或者是orange時,內部的server使用的是虛擬的ip無法對外服務,這 時就必須由ipcop防火牆轉送到內部的server才能正常提供服務:
如圖
1)當使用者要去做ftp時,使用者連到的是ipcop的對外ip,因為red的ip是合法ip能提供服務
2)這時ipcop會轉送到內部的ftp-server
關於這一部份您就要對snat和dnat有清楚的了解,可以去參加一下本站防火牆入門一書的這一部份。
我們一般管理都是使用web方式管理,由內部當然沒問題,因為內定值是允許內部網段以web管理,但是如果想從外部呢?
1.縣網中心目前把445port封鎖,由縣網中心的連線組管理,所以我們就沒辦法以445來管理,要改成其他port
2.
#cd /usr/share
#setreservedports 5445
把port由445改成5445
3.進入Web管理介面
防火牆─>外部存取(允許遠端管理IPCop)
開放tcp 81 port和tcp 5445 port
應該就可以,一般我都會設定連線範圍,這樣會更安全些。
當有新版的ipcop release時我們就可以使用這種方式進行升級:
1)使用browser連至www.ipcop.org點選左選單的downloads
2)接著點選1.4.x-series
3)選取您要下載的檔案,看清楚是1.4.11to1.4.12還是1.4.12to1.4.13的
4)至web管理介面的system-updates
選取您剛下載的檔案,例如:ipcop-1.4.13-update.i386.tgz.gpg
接著按下upload
還記得我們在安裝IPCOP時有個步驟就是要我們restore備份檔嗎?我們都選擇略過,但如果我們的IPCOP已run一段時間有log及設定的話就 可以使用restore還原了,所以備份時應該的。
1.放在磁片於IPCOP主機(不要放在windows電腦─你操作的電腦)
2.使用fdformat格式化磁碟
#fdformat /dev/fd0
Double -sided 180 tracks,18 sec/track . Total capacity 1440 KB.
Formatting...done
verifying.....
3.進入webGUI的系統─備份至磁碟
圖 1. 系統─備份至軟碟
4.選取備份到軟盤─軟碟機就開始寫入,結果如下圖。
圖 2. 選取備份到軟盤
圖 3. 備份結果
下一次等你有問題重裝時就可以使用restore磁片了。
使用putty遠端管理及使用winscp上傳檔案及外掛:
ssh遠端管理:
1.於系統的ssh訪問要選取:
圖 1. ssh1
2.使用putty軟體填入IPCOP主機的IP,port請填入222
圖 2. ssh2
3.出現安全警告,請選yes
4.連線成功後打入帳號及密碼
login:root
password:
#(提示符號)
winscp上傳檔案:
1.開啟winscp
打入IP及port-222,root及密碼─login
畫面右邊─IPCOP主機,左邊是本機
※如果做用linux主機的話:
#ssh -p 222 root@192.168.2.1 (ssh)
#scp -p 222 some/file root@192.168.2.1 (scp)
#sftp -o port=222 root@192.168.2.1 (sftp)
我們可以自動作reboot的排程,讓系統於指定時間重新啟動,例如每週的星期天的晚上1點重新啟動:
1)使用web管理介面連入ipcop
2)點選system─shutdown
3)您可以線上做reboot或shutdown,也可指定排程去做reboot
3-1)指定reboot的排程
如下圖,選取你要reboot的時間,接著選取星期幾,最後選取reboot項,做save就ok了。
我們可以透過web管理介面來更改admin的密碼:
1)使用web管理登入
2)點選system─password可以進行密碼更改
登入管理介面:
點選system─GUI Settings可以看到如下畫面:
Enable Javascript:
IPCOP的web管理介面有使用JavaScript,但是有些瀏覽器不支援,那麼我們如果不做選取那麼就有可能無法正常使用
Display hostname in window title:
如果選取這個選項那麼 IPCop的主機名稱就會出現在web管理介面的每一頁。
Refresh index.cgi page whilst connected
預設當IPCOP連到網際網路時頁首頁就會更新,有個手動的“Refresh”按鈕會於最後連線時強制更新。
選取這個選項,首頁會每30秒更新。
Select the language you wish IPCop to display in:
這個選項可以指定中文顯示,不過中文顯示的語句不太恰當。
Sound
當IPCOP連線或離線時就會Beep
安裝完成IPcop後大部份都是使用webGUI來進行設定,但是像要設網卡就要使用到文字模式:
1.安裝完後於本機使用root登入(web是使用admin,密碼是不同的)
IPCOP login:root
Password:
No mail.
root@ipcop:~#
接著我們打入
root@ipcop:~#setup
setup這隻工具程式,共有八個子選單
Keyboard maping─>設定鍵盤種類
Timezone─>設定時區用
Hostname─>設定主機名稱用
ISDN Configuration─>設定ISDN(一般用不到)
Networking─>設定網路組態用(這個比較可能用到)
'root' password─設定root的密碼,本機登入或winscp或ssh用的到
'admin' password─>設定admin的密碼,web介面的預設用戶
圖 1. setup畫面
其中最重要的就是Networking
進入Networking會看到四個選項
1.Network configuration Type─設定IPcop網路類型─green+red...等
2.Drivers and card assignments─選擇網卡的種類
3.Address settings─設定網卡的ip address,可以設green,orange,ren
4.DNS and Gateway settings─設定dns位置與閘道ip address
(還記得安裝時有看到這個畫面)
圖 2. networking畫面
從系統的狀態我們可以看出系統目前的狀況,如硬碟、記憶體等....
記憶體─顯示目前IPCOP主機記憶體及swap使用量:
磁碟使用量─顯示全部及使用、剩餘的容量:
正常運行時間及使用者:
載入模組有那些:
核心版本:
1.網路介面:顯示全部的網路設備,包括PPP、IPSec和loopback
2.當前動態租約:要啟動DHCP才會有這項,顯示client目前租到的IP及其網卡MAC,到期日間
3.路由表,這個如果你拿IPCOP來當路由器的話那就必須注意一下路由是否設正確
4.ARP表
從系統狀態圖我們可以很清楚看到系統目前的狀況─CPU.MEM.SWAP.....,對於我們的系統一定要了解系統的狀態才是一個網管應做的,了解才能 找出問題所在進而解決問題。
因為我的系統有關機一段時間,所以你看到的圖有一部份沒有正確顯示
每天CPU使用量:藍色為user usage、紅色為system usage、綠色為Idle usage
每天MEM使用量:藍色─user memory、紅色─share memory、綠色為free、黃色─cache、粉紅色─buffered
每日swap量:藍色─used、綠色─free
磁碟每天使用量:
藍色─sectors read from disk per second
綠色─sectors written to disk per second
目前的IPCop擔任的工作是NAT加Qos、Proxy的話,要注意網路的流量是否異常,有無必要更新硬體,如果量太大可能換好點的網卡及增加ram可 能會改善。
Traffic on RED(目前我的RED是對外)─有流量因為我對外的網路有接通,截圖也是由RED進入
Traffic on GREEN(目前我的GREEN是對內)─無流量因為我對內的網路沒接通,所以就沒量
※圖是由左向右,進出的流量要看清楚。
proxy流量圖可以很清楚看到整個proxy使用情形,於工能表上的<狀態>─<代理圖>,如果你覺得這個不太好,那你可以安 裝sarg,可能會好些,我一般於freebsd都是使用ports的方式安裝proxy加上sarg來分析proxy的使用情況。
要有代理訪問圖,首先就是要啟用<服務>─<代理服務>
啟用一段時間後你就可以看到proxy的流量圖
IPCop是使用Linux的Netfilter或IPtables,它會追蹤來自GREEN、ORANGE網路的IP位址,會根據來源、目的的IP及 ports來紀錄,我們可以從以下圖很清楚
由圖上可以看到
圖例 :局域網 互聯網 DMZ 無線網絡 IPCop VPN OpenVPN
以顏色分清楚了
協議─tcp
過期
(秒) 連接狀態─ESTABLISHED(已連線)
原有的源IP:通訊埠
原有的目標.IP:通訊埠
預期的源IP:通訊埠
預期的目標.IP:通訊埠
已標記
使用
※我們可以按IP位址做來到DNS解析
如果我們使用數據機或ISDN或者ADSL連線的話,那麼您就要來設定這一部份:
如下圖:
如果我們是使用非固定制的ADSL的話,那麼在安裝IPCOP時,選取安裝的Type時就會選到PPPoE+Green也就是─
Network configuration type --> 請選擇Green(對內網卡,接LAN) + Red(對ADSL數據機網卡) 方式
Drivers and card assignments --> 設定Red(對外網卡)的型號
Address setting --> Green 應該設過了, 進入 Red 請選 PPPoE 模式
DNS and Gateway setting --> 請保持空白
重新開機
接著進入WEB管理設定─Network的Dailup做設定,大致如下:
要注意的就是
1)Interface選pppoe
2)reconnection的部份,選取dial on demand,斷線就撥接
認證部取打入帳號及密碼,帳號是xxxxxx@hinet.net
DNS選自動或手動打入都可
最後給個名稱,如ADSL或DSL都可,再來就是一定要save了。
這一部份是數據機的設定:如下圖,請您參考您的數據機手冊進行設定,不過我想應該很少人會用到這一部份了。
詳細的說明請參考:
http://www.ipcop.org/1.4.0/en/admin/html/section-dialup.html#section-modem
這一部份要red部份是固定IP才可以設定,這個最主要的目的就是當您有多個IP時,我們的red可以設定多個IP,這時您內部的server就使用不同 的ip了,例如:
1)www5.phc.edu.tw--203.68.252.100:80---port forwarding---192.168.3.100:80
2)mail5.phc.edu.tw--203.68.252.101:25-----port forwarding---192.168.3.101:25
設定大致如下圖:
Name:www5.phc.edu.tw
Alias IP:203.68.252.100
Enable:選取
這一部份是Upload Modem Drivers,下載數據機的driver到您的pc後上傳到IPCOP,如下圖
Upload Speedtouch USB Firmware.
使用這一部份來上傳mgmt.o 到IPCOP SERVER,先下載檔案至您的pc之後再使用這一部份上傳IPCOP
http://www.speedtouch.com/support.htm
使用USB ADSL在上傳之後就可以使用USB ADSL了。
上傳ECI ADSL Synch.bin 檔案. 使用這一部份來上傳sync.bin到IPCop server
http://eciadsl.flashtux.org/
先下載後使用這一個部份上傳到IPCOP後就能正常使用ECI ADSL
上傳Fritz!DSL Driver,使用這一部份來上傳fcdsl.o到
http://www.ipcop.org/
To utilise one of Fritz!DSL fcdsl / fcdslsl / fcdsl2 / fcdslusb / fcdslslusb modem, you must upload a package to your IPCop box. Please download the tarball corresponding to your version from the IPCop Website and then upload the entire fcdsl-(your_version).tgz using the form below.
一般這個功能是會啟用,您可以在安裝IPCOP的過程當中去設定啟用它,也可以使用web的管理介面去啟用設定它
登入web管理介面─點選services─DHCP Server
這一部份是DHCP所push給Client那些東東,IP發送的啟始,您於wins及ntp可以選擇不填
default lease time可以自行更改
IP發送的結束及第二台dns等資料
給予某台電腦固定的IP,所以要填入網卡MAC及要給予的IP
網卡的MAC可以使用Windows XP的命令模式打入ipconfig /all就可以看到
至於“Next Address”、“Filename”、“Root Path”是對無硬碟的電腦時才會用到
增加完之後,如果有電腦連上或者發送固定IP時就可在這個區塊看到了。
IPCOP可以啟用Proxy服務,這個功能對一般的單位來講是很不錯的服務,不止能提升網路而且還有filter的功能,您可以於登入web管理介面, 點選service的Proxy來設定:
1)把“Transparent”這個選項選取,那麼client就不用每一台都去設定proxy這一部份
2)上層proxy server部份的設定,一般是不用去設,如果有需要的話就必須有上層proxy的port等資料才可
3)proxy所使用的port
4)Log enable,sarg才能分析做圖表
5)proxy的緩存空間可以去設定Cache management,例如我們可以設定Cache size (MB)-20000,就是20GB,最大目標文件尺寸不超過32MB,最小文件就不設定
6)檔案文件最大允許的大小-進
7)檔案文件最大允許的大小-出
最後一定要save
※至於proxy的運作原理等有空我會把圖及文字部份補上。
啟用BOT外掛的時後
啟用BOT時,就需要設定一條規則 GREEN ----> ipcop access 允許(要定義proxy-port 800)
才能正常
一般來講我們想從外連到家中的電腦可以會遇到一個問題,那就是大部份的人都使用非固定制的ADSL,也就是每次您取到的IP都是不一樣的,那就無從得知家 中那台server目前的IP是多少,還好DNS(dynamic DNS)提供解決的方法。
動態DNS服務讓我正常使用domain name連到家中的機器,它必須申請一組帳號及密碼,填入相關資料後,當我們家中的server有改變IP時會通知動態DNS服務器自動指向家中那中server的新的IP,IPCOP已內建這一部份,只要您做好設定就可正常使用。
1)首先連至http://www.dyndns.com/申請帳號及密碼並填入相關資料
2)登入IPCOP的管理介面選取services中的dynamic dns,如下圖:
首先於ADD a Host中填入您申請時的相關資料,按ADD
3)在setting部份選取第The classical RED IP used by IPCop during connection,如下圖,記得按save
IPCOP上的DNS proxy可以讓我們手動去新增主機及其IP,主機可以是Local端或網際網路上的,如下圖:
要讓這個有做用,client的dns就必須設定成IPCOP主機的IP,或者在DHCP設定部份設定DNS server為IPCOP主機的IP
這一部就是做流量控制,做的是整體部份的流量控制,如果您要的是range或單ip就要使用到外掛了。
1)設定:
設定啟動,接著設定上傳及下載的限制
2)新增服務:
設定優先等級、使用的port、協議是TCP還是UDP、是否啟用
3)流量控制服務:
新增完成後就可以於此區塊看到您新增的了。
一般來講電腦的時間都或多或少會快或慢,這時我們都會使用到ntp自動校時,在unix中都是使用crontab排程,在IPCOP中當然也有,操作如 下:
1)登入IPCOP的web管理介面
2)點選services-Time server,會出現如下的畫面
Obtain time from a Network Time Server要選取才會從time server做同步
主時間服務器:time.stdtime.gov.tw
更新時間:每一個:1日
記得按下save(保存)
3)你也可以手動設定時間,如下圖:
1.先至snort註冊
註冊位置:
https://www.snort.org/pub-bin/register.cgi
註冊完畢後,先登入來取得Oink Code
2.再進入Web管理介面
服務->入侵檢測
把剛的snort取得的Oink Code,貼到Oink Code這個欄位
接著按下<下載新的規則設定>就OK了。
3.你會收到一張註冊的mail,內有你的帳號與password
如果再防火牆內部有server,例如置於green或者orange時就必須使用port forward設定:
登入web管理介面─firewall─port forwarding
1)填入內部server的IP及port,來源的port,例如圖的ftp server,使用192.168.3.2,port使用21PORT,給予一個名稱如ftp,記得enable
2)增加enternal access
3)編輯這一條規則
4)刪除這一條規則
5)啟用這一條規則
6)停止這一條規則
這個部份是設定是否開永ping的動作,在管理介面的firewall的option中,如下圖:
Disable ping response
1)No--都允許ping
2)Only RED--只有RED對外的網卡不允許ping
3)All Interfaces--所有的介面都不可的ping
這一部份可以讓我從外部連進防火牆來管理,一般都不允許,經由這個設定可以讓我們回到家可以連進學校的IPCOP進行設定:
1)登入web管理介面的firewall的Extenal access,如下
Add a new rule:
填入:
1)是TCP或UDP
2)Source IP, or network (blank for "ALL")來源IP或網段,空白就是全部,所以建議要填來源IP或網段
3)Destination port:就是對一台IPCOP要讀取的port,如您想連入管理就填445,如果445被學術網路deny後
請參考http://www.phcno1.net/modules/tadbook2/view.php?book_sn=6&bdsn=109改port如5445
4)Enabled:要選取,才能啟用這一條規則
5)Remark:就給這一條規則一個名稱
6)按下ADD後就可以Current rules:看到您剛加入的規則,可以於action點選pen進行修改
Port Forwarding Settings
1)support the GRE protocol.
2)port ranges and wildcards.
*就是表示1-65535
85-* 表示 85-65535
*-500 表示 1-500
這一部份就是您要有設定Blue和orange時才會看到,所以您有安裝三張以上網卡,並且有機器放在這一部份就必須設定了。
DMZ pinholes提供了可靠從Orange (DMZ)到Green的讀取
從Blue要到Green也是要使用到DMZ pinholes
Source Net:是下拉選單可以秀出這台機器可使用的來源網路
Source IP:你想要允許去讀取內部機器的
Destination Net: 是下拉選單可以秀出這台機器可使用的網路
The Destination IP:在Green或Blue區域上可被接受要求的機器 is the machine in the Green or Blue zone that will receive the request.
Destination Port:機器上的等待要求的埠
按下Enabled box 並且按下Add. ,那麼規則就會出現在下面的列表中,但是我們還是可以去編輯修改規則的。
這一部份可以允許你去設定在Blue網段的Wireless Access Points去連結IPCOP(當你有安裝Bule部份的網卡才能去設定這一部份)
設定Blue access的步驟:
1.要安裝支援網卡
2.連接一台 AP到Blue那張網卡,使用AP上的LAN Ethernet port
3.我們可以使用動態或固定IP,不過我都建議使用固定IP
如果你只是提供Blue網段去上網瀏覽網頁,你就只要加入無線AP Router的IP Address or the MAC Address
你將可以從Blue網段去瀏覽IPCop’s web interface,如果你沒有做另外的設定是不能去讀取Green網段的
要連到Green的網段:
1. 使用DMZ Pinholes
2. 設定VPN也可以
在In the Add Device部份:
你可填入無線AP的IP Address或者是the MAC Address,或者是在Blue網段上的任何設備心想去透過Ipcop連到網際網路。
當你填入所有的資料,點選Enabled按下Add,規則就會出現在底下的區塊中並且是啟用的,你還是可以去修改它的。
移除:點選垃圾桶
編輯:按下黃色的筆
enable或disable按“Enabled”按鈕
如果Blue network有啟用DHCP,那麼在第三個區塊中就會出現DHCP的租約情況
這個可以讓你很快速去增加設備,就只要按下“Blue Pencil” 按鈕把一個設備增加到可用設備的列表中,如果需要的話你也可以去修改。
VPN,“虛擬私有網路”,是指在公眾網路架構上所建立的企業網路,且此企業網路擁有與私有網路相同的安全、管理及效能等條件。所以一般學校或公司的內部電腦都是要透過VPN才能存取的。以下是IPCOP對IPCOP的net-to-net的簡單做法,沒有用到ca認證部份,有空我會補上這一部份,並且最近買了一台zywall2,我也會嘗試zywall2到IPCOP做NET-to-NET的VPN。
(1)點選VPN或虛擬專用網
(2)填入本地主機的IP,對選取啟用─保存
(3)連接狀態和控制:─新增
(4)點選網絡到網絡的VPN
(5)
1.給個名稱,如my-vpn
2.本地子網:192.168.5.0/255.255.255.0(本地內部網段)
3.遠端主機:140.127.243.65(遠IPCOP主機的red卡IP)
4.遠端子網:192.168.8.0/255.255.255.0(遠端內部網段)
5.pre-shared-key:dfasdfiujjj-euu(兩端ipcop主機給個一個子串)
這樣就可以了,ping看看對方的IP及內部網段
SSH連接到IPCOP
#vi /etc/rc.d/rc.sysinit
/usr/sbin/syslogd -m 0 (把這個註掉)
如下所示
#usr/sbin/syslogd -m 0
系統日誌服務也是一樣:
#usr/sbin/klogd -u klogd -j /var/empty
關閉前:(請注意日誌服務及內核日誌服務)
關閉後:
從System log(系統日誌)可以得知IPCOP的使用情況,例如何時重開機及更新等,如下圖:
也可使用export成文字檔
這一部份就是被IPCOP防火牆的blocked,可能是攻擊、或者是你自行的block規則。
Setting區塊部份:
Month, Day, << (Day before), >> (Day after),Update and Export
看字就知道,不用解釋了吧!
The Log:
從這裡就可看出每一個被防火牆drop的封包了,你可看到:
1)time of the event
2)the Source and Destination IP addresses and ports
3)the protocol used for that packet
4)IPCop Chain and Interface involved.
ipcop本身就強大,但是透過安裝外掛會使IPCOP功能更上一層,所以這一部份就是介紹一些常用外掛的安裝。
ipcop的外掛程式大部份都可以使用add-on server安裝,不然都是同樣使用上傳─>解壓縮─>安裝
在add-on網站上很有很詳細的說明安裝及設定的步驟,可以參考看看,但是是英文的,所以我才會把它寫下來,安裝時要注意版本
有的只能用於1.4.8以前,但IPCOP的繁體中文研究網中有講到可以修改/var/ipcop/general-functions.pl的$General::version = '1.4.10';來進行安裝,還真的可以,但我還未確定都可以正常使用。研究中。
有個網站可以去看看:
IPcop addon binaries
新版1.4.11的外掛可以參考:
http://mh-lantech.css-hamburg.de/ipcop/download.php?list.23
IPcop外掛管理套件:
1.連至IPCop Firewall Addon Server
目前最新版本是Addon-Server Version 2.3
(27 August 2005 -Addon server 2.3 b2 is released. Version 2.3 will only work on IPCop 1.4.4 and later.)
下載位置
http://firewalladdons.sourceforge.net/
2.將檔案傳到IPcop主機上(addons-test-2.3-CLI-b2.tar.gz)
將檔案放在/root下,個人習慣。
#cd /root
#tar zxvf addons-test-2.3-CLI-b5.tar.gz (解壓縮)
#cd addons
#./setup -i
3.使用Web管理介面檢查一下,就會多一個ADDONS管理選單
觀看站長錄的IPCOP─Addon安裝影音教學
這套就像MC,很像norton commander的檔案管理
安裝步驟:
1.下載Midnight Commander
2.檔案下載至Client端,不用上傳到IPcop主機,我們要使用ADDONS管理員來裝這個外掛
3.登入Web管理─>ADDONS─>ADDONS
4.瀏覽看你下載放置在何處( MidnightCommander-4.6.0-CLI-b1.tar.gz)
5.按UPLOAD按鈕
6.這樣就完成了,方便吧!
一般我們安裝squid都會安裝log分析程式,IPCop提供代理日誌的Log但是好像不太好說,所以一般我都會安裝SARG,使用freebsd時會方便,文光國中就是使用freebsd+squid+SARG現在來講一下怎樣安裝:
1.下載sarg外掛
2.sarg_2.0.7_ipcop_1.4.4.tar.gz上傳至IPcop主機的/root下,使用winscp
3.tar zxvf sarg_2.0.7_ipcop_1.4.4.tar.gz
4.cd /root/src/sarg
5.執行./install
6.執行sarg-reports manual產生sarg的統計頁面
產生最新統計sarg-reports today
產生每日統計sarg-reports daily
產生每週統計sarg-reports weekly
產生每月統計sarg-reports monthly
7.使用瀏覽器登入IPcop─>誌選單─>SARG
其實你可以發現http://firewalladdons.sourceforge.net/這個網站的每個外掛都有很詳細的安裝及設定步驟,可以看看,但是是英文的。
新版下載:for ipcop1.4.11
http://sourceforge.net/project/showfiles.php?group_id=144798&package_id=160049&release_id=352488
最近很多學校都說網路怪怪的,好像很慢說,我是有建議使用b2d-server的NTOP來做分析,但是這一台電腦在網路的架構中位置必須放置正確才能使分析資料正確,學校都使用hub,所以比較沒問題,如果使用switch就可能複雜些。現在我講一下安裝NTOP外掛:
(1)下載NTOP外掛
(2)使用winscp上傳至主機的/root下
(3)tar zxvf ntop_ipcop_1.4.8.tar.gz
(4)cd ntop
(5)./install
(6)使用瀏覽器登入─>服務─> ntop
(7)啟動Ntop
(8)Ntop Webinterface (http)可看結果
(9)或使用http://ip:6666
admin的預設帳號密碼:
帳號:admin 密碼:ipcop(你可以自行更改admin->configure/webuser)
但個人建議,要使用NTOP真的再三考慮你的電腦是不是夠強,因為它分析太詳細了,所以很吃記憶體,1G我們可能也不夠。
在IPCOP1.4.18安裝ntop久掛
如果直接安裝會有問題,因為1.4.18的函式庫是libpcap.so.0.9.7
ln -s libpcap.so.0.9.7 libpcap.so.0.8.3
/usr/lib/ 路徑下,新增一個link
就可順利安裝了
這個可以擋p2p,身為網管一定安裝來試看看
(1下載p2pblock外掛p2pblock_ipcop_1.4.8_v2.1.7.tar
(2)使用winscp上傳至/root
(3)tar zxvf p2pblock_ipcop_1.4.8_v2.1.7.tar
(4)cd p2pblock
(5)./install
(6)執行/var/ipcop/l7filter/l7update
(7)重開機
新版:
http://mh-lantech.css-hamburg.de/ipcop/download.php?view.160
這個外掛使用 iptables,string-match, layer7-Filter and ipp2p-filter 技術去阻擋 Kazaa, emule, WinMx, Bittorrent and Applejuice, Soulseek, Freenet.
使用web介面去選取那些通訊協定要阻擋.
當重新啟動後被選取的通訊協定就會被擋
新連線的會在p2pblock啟動後被擋,已存在的連線是沒辦法擋的。
安裝:
Copy檔案到Ipcop解開
tar xvfz p2pblock_ipcop_1.4.11_v2.1.9.tar.gz
切換到p2pblock目錄下
./install
新的模組安裝所以要重新啟動系統
在重新啟動後你必須要為layer7-filter更新新樣式
執行:
/var/ipcop/l7filter/l7update
This is done by a cronjob every night (only new patterns will be downloaded).
連入web介面 Services=>p2pblock去設定、啟動模組.
反安裝:
/var/ipcop/p2pblock/setup/setup -u
※新版的p2pblock2.5有支援ipcop1.4.15
1)先安裝layer7-filter for ipcop1.4.15
2)安裝p2pblock2.5
(P2PBlock在setup程序中對IPCop版本有識別,修改後就能順利安裝編輯/var/ipcop/general-functions.pl
把$General::version = '1.4.15'
(改成需要的任何一個,裝好了P2PBlock後再改回來)
安裝步驟:
1.使用winscp將檔案copy到IPCOP主機的/root (port是222)
2.使用putty登入主機解壓縮
tar -xzf ipcop-advproxy-1.1.0.tar.gz(依你下載的版本而異)
3.ipcop-advproxy-1.1.0/install
4.使用瀏覽器進入設定Advanced Proxy add-on
Advanced Proxy add-on的使用文件:
http://www.advproxy.net/documentation.html
如果log檔滿了,可以編輯 /etc/logrotate.conf 把 rotate 52 改成rotate 1
或者加裝第二顆HD也可以。
平常我看到中小學的mrtg流量都異常,很多每在晚上或白天作大量下載,所以就要給予限制,我們可以使用Timelimit來限製上網時間及MAC,安裝如下:
1.先安裝Addon Server MOD
2.下載Timelimit-x.x.xGUI-b2.tar.gz
3.使用web進入─add-on部份安裝。
4.不必重啟動就OK.
設定:
1.規則命名,輸入要限制的MAC和時間。
2.按下'apply rule now' 啟用
3.當你設定的規則是在早上11設定的,要從早上8點到下午6點,那麼規則要生效必須是隔天,不是今天。
4.要刪除規則就選取規則後按delete就可。
5.如果要編輯規則就選取後接edit.
6.If you want to allow a machine for some reason while it is normally blocked, just select the rule, edit the time and press allow.
Timelimit 的完整使用:
http://mh-lantech.css-hamburg.de/ipcop/wiki/index.php?title=Timelimit4_en
如果你要更細的對網路限制做設定,那麼可以試試BlockOutTraffic:
Standalone 安裝:
1.下載最新版的BOT
2.copy BOT-<version>-GUI-b<buildnumber>.tar.gz 到IPCop主機的/root下 使用winscp
3.使用putty登入主機
4.tar zxvf BlockOutTraffic-<version>-GUI-b<buildnumber>.tar.gz *
5. ./setup
Addons Server安裝
1.先下載安裝Addon Server
2.下載最新版的BOT
3.使用web登入後─>IPCop WebGUI -> Addons -> Addons webpage─>上傳
4.這樣就完成安裝了。
反安裝很簡單,
Uninstall BOT:
IPCop WebGUI -> Addons -> Addons webpage給remove就可
如果使用Standalone Installation
./uninstall
就可以了。
設定請參考:
http://blockouttraffic.de/gettingstarted.html
這個真的很實用。
安裝步驟:
1.先下載安裝Addon Server
2.IPCop 1.4.4/1.4.10 Version of the MOD (SquidGuard-1.2.0-GUI-b11.tar.gz IPCop 1.4.4/1.4.10)
3.使用web管理的add-on上傳。
4.完成安裝,不必重啟動IPCOP
squidguard 將IP分成三個等級─Priviledged, Banned and Network
1.Priviledged不受限制能夠任意瀏覽internet,如管理員的IP
2.Banned不能瀏覽,如你要限制的那些人的IP
3.Network能夠在過濾的情況下上網,像一般電腦
copfilter是IPCOP的反病毒反郵件的外掛程式,它可以來掃瞄HTTP、FTP、SMTP和POP3,我們可使用web介面來管理,很方便使用,它 還可以使用郵件方式通知管理者。
安裝步驟:
先啟用squid
透過web 管理介面的 -> Services -> Proxy
Enabled on Green
Transparent on Green
Then click Save.
1.下載http://www.copfilter.org/downloads.php( copfilter-0.84beta2.tgz)
2.使用winscp上傳至IPCOP主機的/root下
3.解壓縮
cd /root
tar xzvf Copfilter-x.x.tgz
4.安裝
cd Copfilter-x.x.x
./install
官方安裝文件:
http://www.howtoforge.com/perfect_linux_firewall_ipcop_p2
安裝完成記得要去設定Copfilter的email選項,接著去作細部設定,再來就是測試看看是否真的可行。
設定文件請參考:
http://members.inode.at/m.madlener/copfilter/README
安裝完成會於選單多出Copfilter:
圖 1. copfilter1
圖 2. copfilter2
圖 3. copfilter3
圖 4. copfilter4
1.下載ZERINA-0.9.3b-Installer.tar.gz
2.使用winscp上傳至/root/zerina/(這個add-on只能在 IPCop 1.4.10 運作)
3.#tar -xzvf ./ZERINA-0.9.3b-Installer.tar.gz
4.# ./install
5.使用webGUI進入管理的虛擬專用網就會多個─openVPN了。
圖 1. openvpn1
※這個不能使用add-on server安裝
圖 2. openvpn2
完整的使用設定可以參考:
http://home.arcor.de/u.altinkaynak/howto_openvpn.html
圖 3. openvpn3
雖然是英文的但都很簡單,看圖做做看。它的說明都很清楚說。
安裝完後再到
http://openvpn.se/download.html
下載openvpn-2.0-gui-1.0-install.exe
這是在winxp的client用的,直接安裝
將openvpn上產上的client Certificate 解壓縮copy到
c:Program FilesOpenVPNconfig下
然後在檔案xxxx-TO-IPCop按右鍵
選擇start openvpn on this config file選項即可
※在ipcop|openvpn |Client status and control 的status選項要是 "closed"才能正常連線
*client設定參考http://blog.mypage.idv.tw/post/1/21
openvpn for 1.4.11 下載處:
http://www.zerina.de/files/stable/ZERINA-0.9.4d-Installer.tar.gz
原文來自--http://thinkhole.org/wp/2006/03/28/ipcop-openvpn-howto
步驟一:安裝IPCOP
您可以參考我的線上書有談到如何安裝IPCOP(1-1)
在/etc/hosts中加入
192.168.1.2 ipcop
$ grep ipcop /etc/hosts 192.168.1.2 ipcop
然後我們只要打入ping ipcop自動就會用到ping 192.168.1.2了。
步驟二:啟用ssh
參考我線上書籍(1-6)
步驟三:下載並使用scp把OpenVPN的外掛傳到IPCOP上
http://home.arcor.de/u.altinkaynak/openvpn.html(下載Openvpn外掛-ZERINA installer)
一般我都使用wget直接去抓取。
$ scp -P 222 ZERINA-0.9.3b-Installer.tar.gz root@ipcop: root@ipcop's password: ********* ZERINA-0.9.3b-Installer.tar.gz 100% 327KB 326.5KB/s 00:00
步驟四:解壓縮安裝外掛
$ ssh -p 222 root@ipcop
建一個目錄將外掛拷貝到該目錄下後解開
root@ipcop:~ # mkdir zerina root@ipcop:~
# mv ZERINA-0.9.3b-Installer.tar.gz zerina root@ipcop:~
# cd zerina root@ipcop:~
# tar -xzvf ./ZERINA-0.9.3b-Installer.tar.gz
現在你應可以看到以下的檔案
root@ipcop:~/zerina # ls
_GPL library.addons _README updatefiles install patch.tar.gz uninstall
執行install script
root@ipcop:~ # ./install
就會完成安裝
步驟五:建立設定檔:
使用https://ipcop:445/ 並點選VPNs之後選OpenVPN. 點選進階伺服器選項按鈕,不要做任何更改後直接存檔。
步驟六:
依照OpenVPN/ZERINA HOWTO去做
....明天再來譯
我們會安裝二台IPCOP,設定一樣,等一台斷線後馬上接手,如下圖:
安裝步驟:
1.先使用winscp上傳到IPCOP主機
2.使用putty連入安裝
3.進入web介面可以看到(service)多了一個hHIGH AVAILABLE SERVICE點選進入設定
4.control設enable然後保存
5.setting把1-2-4-5-6設成一樣,advertisement frequency數字小的為master,大的為slave
共設一個虛的IP--virtual IP-Address,那麼client的gateway就要設這個,至於7就本台IPCOP的green
6.Master's settings,當主機不通時的做去,依個人設定
7.onlinecheck control,主機會ping以下機器以測線路是否通,您可以自己更改:
Banish IP/MAC Address/Domain Block Module for IPCop
Banish 是ipcop的外掛,它可以很容易去擋IP或一段IP或 MAC Addresses、domains
1.下載最新版
ftp://ftp.sidsolutions.net:2121/banish/current-banish.tar.gz
2.安裝:
tar xzvf current-banish.tar.gz
或
tar xzvf banish*tar.gz
cd banish*
./install_Banish.sh
或
sh install_Banish.sh
3.移除:
/usr/local/bin/uninstall_Banish.sh
4.安裝完成後會在「防火牆」的選單多出一個「Banish」
4-1.新增banish的規則:
在Resource欄填入IP Address,CIDR, MAC Address或者完整的網域
鉤選Enabled
在Remark欄填入說明
最後點選Add
5.啟用、停用Banish規則:
很簡單只要在active欄選取後會出現打;就是啟用、未打;就是停用
6.編輯規則:
只要點選該筆規則後的那支筆就可進行編輯。
7.刪除規則:
只要點選該筆規則後的那垃圾桶就可進行刪除。
最後你還可以進行排序。
安裝 Webmin 1.3.40(到http://www.webmin.com/下載)
# cp webmin-1.3.40.tar.gz /usr/local
# cd /usr/local
# tar xzvf webmin-1.3.40.tar.gz
# cd webmin-1.3.40
# ./setup.sh
安裝過程大部份採預設值也就按Enter就可以了,安裝完成使用:
http://ip位址:10000
就可進入webmin
啟動 webmin:# /etc/webmin/start
停止 webmin:# /etc/webmin/stop
參考網站:純手工部落格
下載:
http://mh-lantech.css-hamburg.de/ipcop/download.php?view.161
(qos_ipcop_1.4.11.tar.gz 檔案會更新所以請注意檔名)
1)使用WinSCP上傳檔案到IPCOP
2)使用ssh登到IPCOP
3)安裝
#tar xfz qos_ipcop_1.4.11.tar.gz
./install
安裝完成後會在「服務」─「QOS」
QOS部份可以參考小弟線上書對QOS的說明
個人覺得一定要測過才能知道有無符合您所在網路環境。
這裡有篇user-guide
http://mh-lantech.css-hamburg.de/ipcop/e107_files/downloads/qos_userguide.pdf
4)反安裝:
/var/ipcop/qos/bin/uninstall
有空再來寫個實例。
測試環境:ipcop-1.4.11
ipcop1.4.16還有一點問題,正努力中
◎安裝:
1)先下載所需檔案
layer7_ipcop_1.4.11.tar.gz
l7blocker_ipcop_1.4.11.tar.gz
使用winscp上傳到ipcop主機 tmp
使用ssh登入到ipcop主機
cd /tmp
tar zxvf layer7_ipcop_1.4.11.tar.gz //解開
cd layer7
./install
cd ..
tar zxvf l7blocker_ipcop_1.4.11.tar.gz
cd l7blocker
./install -i
2)到GUI管理介面中-->服務--> LAYER7 BLOCKER 選項
如果有問題請重新reload系統應該就可以正常使用了。
在IPCOP1.4.18中安裝L7-filter
1)修改 /var/ipcop/general-functions.pl
$General::version = '1.4.18'; ---->改成1.4.11
2)上傳套件到ipcop主機 tmp
cd /tmp
tar zxvf layer7_ipcop_1.4.11.tar.gz
cd layer7
./install
3)安裝l7blocker外掛
上傳套件到ipcop主機 tmp
cd /tmp
l7blocker_ipcop_1.4.11.tar.gz
cd l7blocker
./install -i
4)下載http://www.pmail.idv.tw/plog/download.php?id=384的
layer7_modules_2.4.34.rar
解壓縮後
把modules 複製到
/lib/modules/2.4.34/kernel/net/ipv4/netfilter
/lib/modules/2.4.34/kernel/drivers/net
安裝ok後在改回1.4.18
修改 /var/ipcop/general-functions.pl
foxy(1.9.3) 就選擇 gnutella 就可以阻擋。
參考文件:http://www.pmail.idv.tw/plog/index.php?load=read&id=279
rkhunter主要是來檢查ipcop主機上是否有一些安全上的問題,在Linux主機上一般我都會把它裝上,這一次在IPCOP上實作,主要可以來查看rootkit、後門程式....
安裝:
1)下載外掛:
http://mh-lantech.css-hamburg.de/ipcop/download.php?list.23
Rootkithunter 1.2.9 suuprt ipcop1.4.11
2)使用winscp上傳到ipcop主機 /tmp
3)使用ssh登入到ipcop主機
tar xfz rkhunter_1.2.9_ipcop_1.4.11.tar.gz
./installer.sh
◎uninstallrkhunter(反安裝)
web管理介面--->服務--->RootKitHunter
run rkhunter 就可以來做檢測了
update rkhunter 升級到新的版本
結果如果有問題就可以網到google查一下應就可找到答案了
ipcop的英文論壇--(讚)
mh-addon
banish外掛
advproxy外掛
ipcop1.4.11外掛
...增加中...