IPCOP parte 1 configurazione

[Pega]

Ciao a tutti, sto valutando la possibilità di utilizzare IPCOP come firewall per la mia lan.
Dispongo di un adsl telecom con 8 ip statici, ed un router d-link 504t con 4 porte lan ma nessuna ethernet (non so se può essere un problema).
Ho installato Ipcop su un PII/333 con 64 mb ram (ne ho altri 256 disponibili) e due nic così configurate:
green: 192.168.0.251/255.255.255.0 lato lan
red: 192.168.1.251/255.255.255.0 lato router
il router ha come ip lato lan: 192.168.1.250/255.255.255.0 mentre come ip pubblico ha un 85.xxx.xxx.146/255.255.255.248, come gateway 85.xxx.xxx.145 e come dns 212.216.112.112 e 212.216.172.62.
Finora ha funzionato tutto mettendo il router direttamente sulla lan (fa nat e firewall e naturalmente l'ip ERA 192.168.0.250) ed i pc andavano su internet, ora voglio mettrere tra router e lan il firewall Ipcop.

L'installazione è andata tutto ok.
Ho attivato l'accesso ssh per accedere con un client ftp e putty.
Ora i passi successivi quali sono?
Ho scaricato addons-2.3-CLI-b2.tar, ipcop-advproxy-1.0.10.tar e ipcop-urlfilter-1.5.1.tar però come faccio a sapere se sono compatibili per Ipcop 1.4.9?
Così come è il pc può fare da firewall o ha bisogno di altro?
Il problema è che sono completamente a digiuno di linux.
Grazie.

[roxy1974]

Innanzi tutto ottima scelta almeno per me che utilizzo ipcop da anni.
Ma le porte lan , non vorrei dire una cazzata sono porte ethernet.
Come vuoi fare tu , devi fare ADSL->ROUTER->IPCOP->SWITCH->LAN, quindi sei costretto a comperare uno switch , praticamente da una porta lan del router esce il cavo di rete che va a ipcop nella RED (configurata con la stessa rete del router 192.168.1.251), dalla GREEN di ipcop esce un cavo di rete che va' allo SWITCH.
Nella tua lan il GATEWAY sara' l' ip della green , nel modem dovrai fare un NAT 1:1 perche' ipcop fa per forza di cose il NAT anche lui!!!.
Per URLFILTER E ADVPROXY , funzionano con la 1.4.9, almeno le ultime versioni , che sono quelle che tu hai installato.

[Pega]

Originariamente inviato da roxy1974
Innanzi tutto ottima scelta almeno per me che utilizzo ipcop da anni.

Wow che fortuna... posso stressartiallora un po?

Originariamente inviato da roxy1974
Ma le porte lan , non vorrei dire una cazzata sono porte ethernet.
Come vuoi fare tu , devi fare ADSL->ROUTER->IPCOP->SWITCH->LAN, quindi sei costretto a comperare uno switch , praticamente da una porta lan del router esce il cavo di rete che va a ipcop nella RED (configurata con la stessa rete del router 192.168.1.251), dalla GREEN di ipcop esce un cavo di rete che va' allo SWITCH.
Nella tua lan il GATEWAY sara' l' ip della green , nel modem dovrai fare un NAT 1:1 perche' ipcop fa per forza di cose il NAT anche lui!!!.

Scusa e se faccio ADSL-->ROUTER-->IPCOP(RED)--> | <-IPCOP(GREEN)<--ATTACCO DI RETE DELLA LAN???

Originariamente inviato da roxy1974
Per URLFILTER E ADVPROXY , funzionano con la 1.4.9, almeno le ultime versioni , che sono quelle che tu hai installato.

Bene, per ora li ho solo installati, speriamo di farli funzionare alla grande.

Altra cosa: così come è installato il firewall di default va già bene? posso metterlo in produzione o devo prendere ulteriori accorgimenti?
Oltre a URLFILTER E ADVPROXY devo installare altro?
In pratica mi serve solo un firewall ben carozzato e magari un accesso (LDAP???) con id e password univoche per gli user.

Grazie.

[roxy1974]

Originariamente inviato da Pega
Wow che fortuna... posso stressartiallora un po?



Scusa e se faccio ADSL-->ROUTER-->IPCOP(RED)--> | <-IPCOP(GREEN)<--ATTACCO DI RETE DELLA LAN???

attacco di rete della lan, uno SWITCH !

Bene, per ora li ho solo installati, speriamo di farli funzionare alla grande.

Altra cosa: così come è installato il firewall di default va già bene? posso metterlo in produzione o devo prendere ulteriori accorgimenti?
Oltre a URLFILTER E ADVPROXY devo installare altro?
In pratica mi serve solo un firewall ben carozzato e magari un accesso (LDAP???) con id e password univoche per gli user.


Grazie.

Installa questo http://firewalladdons.sourceforge.ne...uttraffic.html e potrai bloccare tutto dalla LAN a interneto Lan a IPCOP, esempio neghi con una regola tutto quello che dalla GREEN va verso internet e quindi la porta 80 e consenti l' accesso solo a ipcop , cosi li costringi ad usare il PROXY e se se non lo fai trasparente il proxy , abiliti anche l' accesso con USER/PASSWORD.

[Pega]

Ok, ho capito che ci viole lo swith
Va bene anche per BlockOutTraffic che dagli screen mi sembra una cannonata.

Ora quello che non mi è chiaro sono le seguenti cose:

1) così come è installato di default il firewall va gia bene per svolgere il suo ruolo, quindi posso collegarlo al router e quindi alla lan tramite swith?

2) quando parli di proxy trasparente cosa intendi? purtroppo sono a digiuno di linux e quindi ipcop, ragion per cui non so proprio come eventualmente fare per ovviare a questo, tranne se me lo dici tu naturalmente

3) ho capito che sui client il gw da impostare sarà l'ip della nic green del firewall e non + l'ip del router (come è adesso), il router d-link 504t fa nat e firewall attualmente (li lascio?), quindi che accorgimenti devo prendere per fare un NAT 1:1 come dici tu?

4) gli utenti per ldap li devo ricerare ex novo oppure ipcop li può pescare da un server win2003 ad?

5) esiste un manuale da comprare di ipcop, tutte le info che ho trovate (e che sono riuscito ad interpretare) oltre ad essere in inglese non spiegano tutti i possibili settaggi che si vedono accedendo al firewall da browser..

Grazie.

[roxy1974]

Si ipcop funge subito da firewall, devi creare una connessione pppoe con ip statici, visto che il tuo router che si collega.
Per proxy trasparente si intende un proxy che non va impostato nel browser , ma che in ogni caso tutto il traffico della porta 80 viene convogliato in altra porta e gestita dal proxy, quindi ,log sulle pagine aperte. ecc.
Beh a questo punto disabilita il firewall e imposta il router in BRIDGE MODE (ho visto nel manuale che c'e' questa opzione pag 43), che sarebbe un NAT 1:1 .
PEr LDAP non saprei cosa dirti , mai utilizzato, cmq vai su ADVPROXY nel menu e in fondo alla pagina abilita LDAP , poi SAVE and RESTART e poi prova nella configurazione.
Che io sappia manuali non ci sono se non quello ufficiale www.ipcop.org .

[Pega]

Originariamente inviato da roxy1974
Si ipcop funge subito da firewall, devi creare una connessione pppoe con ip statici, visto che il tuo router che si collega.

Ok, questa è gia ok in quanto il router funziona da 1 anno con nat e firewall attivi.

Originariamente inviato da roxy1974
Per proxy trasparente si intende un proxy che non va impostato nel browser , ma che in ogni caso tutto il traffico della porta 80 viene convogliato in altra porta e gestita dal proxy, quindi ,log sulle pagine aperte. ecc.

Come si fa?

Originariamente inviato da roxy1974
Beh a questo punto disabilita il firewall e imposta il router in BRIDGE MODE (ho visto nel manuale che c'e' questa opzione pag 43), che sarebbe un NAT 1:1 .

Ok.

Originariamente inviato da roxy1974
Installa questo http://firewalladdons.sourceforge.n...outtraffic.html e potrai bloccare tutto dalla LAN a interneto Lan a IPCOP, esempio neghi con una regola tutto quello che dalla GREEN va verso internet e quindi la porta 80 e consenti l' accesso solo a ipcop , cosi li costringi ad usare il PROXY e se se non lo fai trasparente il proxy , abiliti anche l' accesso con USER/PASSWORD.

porco cane... non riesco a farlo. Credo di essere deficiente!!!

[roxy1974]

per fare il proxy trasparente su ipcop vai in ADVPROXY e ce' la relativa voce.
Cosa noin riesci a fare l' autentificazione co utente/password?

[Pega]

Originariamente inviato da roxy1974
per fare il proxy trasparente su ipcop vai in ADVPROXY e ce' la relativa voce.
Cosa noin riesci a fare l' autentificazione co utente/password?

Servizi-->Advanced proxy--> Transparent on Green (attivo la checkbox).

C'è altro da attivare in questa sezione?

Scusami ma te l'ho detto che sono completamente a digiuno.

Grazie ancora.

Ah altra cosa: come faccio ad abilitare anche l' accesso con USER/PASSWORD? devo creare gli utenti su ipcop o dove?

Grazie mille.

[roxy1974]

si hai attivato il proxy trasparente.
In fondo alla pagina c'ee il menu Authentication method, attiva quello che vuoi, pero' cosi' devi togliere il trasperente e mettere nei clients l' indirizzo del proxy