toz
29-03-2004, 02:27
Con questo post vorrei creare una piccola guida su questo utile(e soprattutto gratuito) Firewall.
Per una rete casalinga 3/4 PC basta dell'hardware tipo 166Mhz/32Mb/2Gb (anche meno se non avete grosse pretese).
Per sfruttare tutte le funzione d'IPCOP, bisogna installare 3 skede di rete se usate un router/modem ethernet per il collegamento e volete avere una DMZ.
Se usate un modem(adsl o isdn o pstn)e non v'interessa avere una DMZ,ne basta una.
L'installazione si fa scaricando l'immagine iso 23Mb ( http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopDownload ) e masterizzandola su un cd.
Si fa bootare il cd sul Pc e in 10 min abbiamo il nostro firewall bell'e pronto(consiglio di disabilitare da bios ogni errore di tastiera in quanto quest'ultima ci servirà soltanto in fase d'installazione).
IPCOP è un progetto open source (in pratica una delle miriadi di distribuzioni Linux) derivante da Smoothwall( http://www.smoothwall.org/ ) anch'esso nato open source ma divenuto a pagamento nella versione con più funzioni(funzioni che,con IPCOP, troviamo gratuitamente in giro per la rete).
Altro completo Firewall è Clarkconnect ( http://www.clarkconnect.org/ ) ma anch'esso a pagamento.
Questi sono solo alcuni dei + diffusi e funzionali Firewall se cercate in rete ne troverete cmq degli altri.
Attualmente ci sono 8 aggiornamenti disponibili(sempre dalla pagina linkata sopra)che è buona cosa installare.
L'INSTALLAZIONE
Una volta messo il CD nel lettore IPCOP fa tutto da solo,vi chiederà di configurare la vostra linea ISDN (se non l'avete,disabilitatela),di selezionare i driver per la/e skeda/e di rete(la ricerca automatica a me ha sempre funzionato),di assegnare gli indirizzi alle interfacce(Red=per il collegamento internet,Green=gateway della vostra rete,Orange=per la DMZ)ed infine di dare password per 'root'(che vi servirà per accedere al sistema direttamente da tastiera o tramite client SSH)password per 'setup'(per le configurazioni avanzate sempre tramite tastiera o SSH)e la password per 'admin'(per accedere all'interfaccia WEB dalla vostra rete locale o da qualsiasi altro posto dotato di una connessione internet).
N.B.
Gli indirizzi di rete assegnati alle varie interfaccie debbono essere diversi uno dall'altro.Se abbiamo un'indirizzo IP pubblico ques'ultimo deve essere assegnato al router,mentre l'interfaccia RED di IPCOP dovrà avere un'indirizzo della stessa famiglia e come gateway l'indirizzo del router stesso.Se non abbiamo un'IP pubblico e ci colleghiamo sempre con un router,quest'ultimo potrà avere un qualsiasi indirizzo e l'interfaccia RED d'IPCOP dovrà sempre appartenere alla stessa famiglia ed avere come Gateway sempre l'indirizzo del router;fermo restando che questi dovranno essere diversi dalle famiglie d'IP che andremo ad assegnare alle interfaccie Green ed Orange.
Se ci colleghiamo con un modem l'interfaccia RED NON DOVRA' essere installata,IPCOP fara "quasi" tutto da solo.
LA CONFIGURAZIONE
Su tutti i PC delle rete dovrà essere assegnato un'indirizzo della famiglia dell'interfaccia Green,come Gateway l'indirizzo Green stesso e come DNS quelli del vostro provider.
Oppure possiamo sfruttare uno dei tanti servizi abilitando il DHCP su IPCOP :
se abbiamo installlato tutto corretamente e IPCOP è connesso alla nostra rete locale,digitando sulla barra degli indirizzi del nostro browser "indirizzoipGREEN:81" (dove "indirizzoipGREEN" sta per l'indirizzo che avete dato all'interfaccia Green) vi apparià l'interfaccia WEB del nostro firewall,andando su servizi/dhcp basterà spuntare la casella "abilita" e dare un'intervallo d'indirizzi(supponendo che il nostro IPCOP abbia indirizzo 192.168.0.1 subnet 255.255.255.0 : indirizzo di partenza 192.168.0.2 indirizzo finale 192.168.0.254, DNS 212.216.112.112 e 212.216.172.62 così facendo non servirà configurare i PC della nostra rete.
Se vi collegate tramite Modem servirà andare anche su connessioni/impostazioni ppp e qui mettere tutti i dati relativi alla nostra connessione : user,passw.....inoltre troverete numerose caselle da spuntare a seconda delle vostre preferenze.
I MOD
Come scritto sopra,in giro per la rete ci sono numerosi mod,alcuni utili e stabili,altri no!
in questa pagina http://www.dageek.co.uk/ipcop/addonz/dansguardian.htm trovate dei mod tra cui forse il + diffuso per IPCOP : DANSGUARDIAN che altro non è che un "demone" che serve a filtrare la navigazione,blocca siti porno,di droga....
Quest'ultimo ha l'indubbio vantaggio di poter essere aggiornato tramite l'interfaccia web di IPCOP (previa installazione del pacchetto che aggiunge una voce ai menù).
Altri mod su
http://www.supporting-role.net/software/ipcop/software-list.php
http://fsmeby.no-ip.com/ipcop/
GLI STRUMENTI
Assolutamente necessari per poter lavorare con IPCOP sono Putty ( http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html ) e WINscp ( http://winscp.sourceforge.net/eng/download.php )
N.B.
ATTENZIONE IPCOP INSTALLA SSH SULLA PORTA 222 E NON SULA "CANONICA" 22
LE CONSIDERAZIONI
Io uso IPCOP a casa ed al lavoro.
Da casa con un modem analogico e 3 PC ( uno per me,uno per mia moglie e uno per mia figlia)non ho mai avuto problemi,IPCOP non si è mai bloccato e DANSGUARDIAN si è rilevato insostituibile per i click selvaggi di mia figlia.
DANSGUARDIAN però ha rallentato visibilmente la navigazione dal PC di mia figlia (l'unico sul quale è attivo).
Dal Lavoro abbiamo una rete con 14 PC sul lato Green(dansguardian attivo su 5 postazioni)+ 2 PC sul lato Orange(web Server e Mail Server)e debbo dire che purtroppo il PC ( 500Mhz,128Mb,13Gb) su cui è installato IPCOP in momenti d'intenso traffico stenta....tra l'altro troppo spesso l'interfaccia Web ,da remoto, non è accessibile.....spererei tanto che fosse un problema di quella fetecchia di Zyxel 650...appena m'arriva il Cisco 827,vi saprò dire di più.
A breve proverò a mettere su un pacchetto per la gestione QoS se qualcun'altro lo ha gia fatto....
Spero che questa breve e incompleta guida possa essere d'aiuto a qualcuno e che, soprattutto, chiunque usi IPCOP posti qui le sue considerazioni ed esperienze.
Per una rete casalinga 3/4 PC basta dell'hardware tipo 166Mhz/32Mb/2Gb (anche meno se non avete grosse pretese).
Per sfruttare tutte le funzione d'IPCOP, bisogna installare 3 skede di rete se usate un router/modem ethernet per il collegamento e volete avere una DMZ.
Se usate un modem(adsl o isdn o pstn)e non v'interessa avere una DMZ,ne basta una.
L'installazione si fa scaricando l'immagine iso 23Mb ( http://www.ipcop.org/cgi-bin/twiki/view/IPCop/IPCopDownload ) e masterizzandola su un cd.
Si fa bootare il cd sul Pc e in 10 min abbiamo il nostro firewall bell'e pronto(consiglio di disabilitare da bios ogni errore di tastiera in quanto quest'ultima ci servirà soltanto in fase d'installazione).
IPCOP è un progetto open source (in pratica una delle miriadi di distribuzioni Linux) derivante da Smoothwall( http://www.smoothwall.org/ ) anch'esso nato open source ma divenuto a pagamento nella versione con più funzioni(funzioni che,con IPCOP, troviamo gratuitamente in giro per la rete).
Altro completo Firewall è Clarkconnect ( http://www.clarkconnect.org/ ) ma anch'esso a pagamento.
Questi sono solo alcuni dei + diffusi e funzionali Firewall se cercate in rete ne troverete cmq degli altri.
Attualmente ci sono 8 aggiornamenti disponibili(sempre dalla pagina linkata sopra)che è buona cosa installare.
L'INSTALLAZIONE
Una volta messo il CD nel lettore IPCOP fa tutto da solo,vi chiederà di configurare la vostra linea ISDN (se non l'avete,disabilitatela),di selezionare i driver per la/e skeda/e di rete(la ricerca automatica a me ha sempre funzionato),di assegnare gli indirizzi alle interfacce(Red=per il collegamento internet,Green=gateway della vostra rete,Orange=per la DMZ)ed infine di dare password per 'root'(che vi servirà per accedere al sistema direttamente da tastiera o tramite client SSH)password per 'setup'(per le configurazioni avanzate sempre tramite tastiera o SSH)e la password per 'admin'(per accedere all'interfaccia WEB dalla vostra rete locale o da qualsiasi altro posto dotato di una connessione internet).
N.B.
Gli indirizzi di rete assegnati alle varie interfaccie debbono essere diversi uno dall'altro.Se abbiamo un'indirizzo IP pubblico ques'ultimo deve essere assegnato al router,mentre l'interfaccia RED di IPCOP dovrà avere un'indirizzo della stessa famiglia e come gateway l'indirizzo del router stesso.Se non abbiamo un'IP pubblico e ci colleghiamo sempre con un router,quest'ultimo potrà avere un qualsiasi indirizzo e l'interfaccia RED d'IPCOP dovrà sempre appartenere alla stessa famiglia ed avere come Gateway sempre l'indirizzo del router;fermo restando che questi dovranno essere diversi dalle famiglie d'IP che andremo ad assegnare alle interfaccie Green ed Orange.
Se ci colleghiamo con un modem l'interfaccia RED NON DOVRA' essere installata,IPCOP fara "quasi" tutto da solo.
LA CONFIGURAZIONE
Su tutti i PC delle rete dovrà essere assegnato un'indirizzo della famiglia dell'interfaccia Green,come Gateway l'indirizzo Green stesso e come DNS quelli del vostro provider.
Oppure possiamo sfruttare uno dei tanti servizi abilitando il DHCP su IPCOP :
se abbiamo installlato tutto corretamente e IPCOP è connesso alla nostra rete locale,digitando sulla barra degli indirizzi del nostro browser "indirizzoipGREEN:81" (dove "indirizzoipGREEN" sta per l'indirizzo che avete dato all'interfaccia Green) vi apparià l'interfaccia WEB del nostro firewall,andando su servizi/dhcp basterà spuntare la casella "abilita" e dare un'intervallo d'indirizzi(supponendo che il nostro IPCOP abbia indirizzo 192.168.0.1 subnet 255.255.255.0 : indirizzo di partenza 192.168.0.2 indirizzo finale 192.168.0.254, DNS 212.216.112.112 e 212.216.172.62 così facendo non servirà configurare i PC della nostra rete.
Se vi collegate tramite Modem servirà andare anche su connessioni/impostazioni ppp e qui mettere tutti i dati relativi alla nostra connessione : user,passw.....inoltre troverete numerose caselle da spuntare a seconda delle vostre preferenze.
I MOD
Come scritto sopra,in giro per la rete ci sono numerosi mod,alcuni utili e stabili,altri no!
in questa pagina http://www.dageek.co.uk/ipcop/addonz/dansguardian.htm trovate dei mod tra cui forse il + diffuso per IPCOP : DANSGUARDIAN che altro non è che un "demone" che serve a filtrare la navigazione,blocca siti porno,di droga....
Quest'ultimo ha l'indubbio vantaggio di poter essere aggiornato tramite l'interfaccia web di IPCOP (previa installazione del pacchetto che aggiunge una voce ai menù).
Altri mod su
http://www.supporting-role.net/software/ipcop/software-list.php
http://fsmeby.no-ip.com/ipcop/
GLI STRUMENTI
Assolutamente necessari per poter lavorare con IPCOP sono Putty ( http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html ) e WINscp ( http://winscp.sourceforge.net/eng/download.php )
N.B.
ATTENZIONE IPCOP INSTALLA SSH SULLA PORTA 222 E NON SULA "CANONICA" 22
LE CONSIDERAZIONI
Io uso IPCOP a casa ed al lavoro.
Da casa con un modem analogico e 3 PC ( uno per me,uno per mia moglie e uno per mia figlia)non ho mai avuto problemi,IPCOP non si è mai bloccato e DANSGUARDIAN si è rilevato insostituibile per i click selvaggi di mia figlia.
DANSGUARDIAN però ha rallentato visibilmente la navigazione dal PC di mia figlia (l'unico sul quale è attivo).
Dal Lavoro abbiamo una rete con 14 PC sul lato Green(dansguardian attivo su 5 postazioni)+ 2 PC sul lato Orange(web Server e Mail Server)e debbo dire che purtroppo il PC ( 500Mhz,128Mb,13Gb) su cui è installato IPCOP in momenti d'intenso traffico stenta....tra l'altro troppo spesso l'interfaccia Web ,da remoto, non è accessibile.....spererei tanto che fosse un problema di quella fetecchia di Zyxel 650...appena m'arriva il Cisco 827,vi saprò dire di più.
A breve proverò a mettere su un pacchetto per la gestione QoS se qualcun'altro lo ha gia fatto....
Spero che questa breve e incompleta guida possa essere d'aiuto a qualcuno e che, soprattutto, chiunque usi IPCOP posti qui le sue considerazioni ed esperienze.