Автор Тема: (НАСТРОЙКА) IPCop: бесплатный маршрутизатор на основе Linux  (Прочитано 47605 раз)

A-l-e-k-s

  • Newbie
  • *
  • Сообщений: 1
    • Просмотр профиля
    • ООО Алекат: Cтроительный форум.
Обзор возможностей IPCop

Настройка учётной записи DSL

С этого момента административный интерфейс маршрутизатора доступен через любой браузер по IP-адресу (или имени), заданному вами ранее. Не забывайте, что нужно указывать и порт (через двоеточие).

Первое, что нужно сделать пользователям DSL, - ответить на сообщение, которое появится сразу же после входа на интерфейс IPCop (Рис. 21).
Рис. 21. Ошибка из-за отсутствия учётных данных DSL.

Ошибка связана с отсутствием учётных данных DSL, которые указываются в разделе "Сеть/Network", пункт "Dialup". Учётные данные можно задать, если войти с правами admin или root. На Рис. 22 показаны все доступные параметры подключения PPPoE/DSL.

 
Рис. 22. Параметры DSL.

Сервер DHCP

Как упоминалось ранее, сервер DHCP позволяет назначить некоторым клиентам сети статические IP-адреса. Однако прежде чем это делать, рекомендуем ознакомиться с Рис. 23 и 24, на которых показаны левая и правая части окна web-интерфейса (мы специально разделили скриншот).

 
Рис. 23. Настройки сервера DHCP (левая часть).

 
Рис. 24. Настройки сервера DHCP (правая часть).

Фиксированные адреса присваиваются на основе MAC-адресов (физический адрес сетевой карты). Пользователи Windows для просмотра МАС-адресов могут воспользоваться командной строкой, выполнив "ipconfig /all", либо посмотреть состояние подключения локальной сети, закладка "Support/Поддержка" (это справедливо для Windows XP).

Зная MAC-адрес, мы можем задать для него постоянный IP-адрес. Это делается в нижней части экрана. В нашем случае назначим адрес 192.168.0.168 (Рис. 25).

 
Рис. 25. Задание статического IP.

Для более простого поиска клиентов в дальнейшем можно занести дополнительную информацию в поле "Remark" (комментарий). Поля "Next Address", "Filename" и "Root Path" необходимы для загрузки клиентов по сети. Новые клиенты добавляются в общий список (Рис. 26).

 
Рис. 26. Список клиентов с фиксированными IP-адресами.

Перенаправление портов и DDNS

Любой NAT-маршрутизатор, в том числе IPCop, отклоняет все запросы, приходящие из Интернета. Такой подход защищает компьютеры сети от атак из Интернета, но, в то же время, блокирует доступ и к внутренним серверам, например, Web или FTP. Естественно, IPCop, как и другие маршрутизаторы, может перенаправлять внешние запросы на машины локальной сети на основе портов (Port Forwarding).

Пример перенаправления портов показан на Рис. 27. Запросы, приходящие из Интернета на порт 80 маршрутизатора, будут перенаправлены на порт 80 локального компьютера с адресом 192.168.0.168. Поле "Remark", как и ранее, может использоваться для комментариев. В нашем случае мы указали "Webserver".

 
Рис. 27. Добавление правила перенаправления портов.

Для добавления правила в список и активации нужно нажать кнопку "Add/Добавить".

Если вам нужно получать доступ к сети снаружи, то вы можете столкнуться ещё с одной проблемой - многие провайдеры назначают IP-адреса динамически, то есть при каждом следующем подключении ваш адрес будет изменяться. К счастью, для обхода этой проблемы можно воспользоваться службой DDNS, которая отслеживает изменение IP-адреса и позволяет по имени DNS всегда найти нужный адрес. Для того чтобы такое было возможным, в сети должен работать клиент, который отслеживает изменение внешнего адреса и сообщает об этом серверам Dynamic DNS. Как и многие другие маршрутизаторы, IPCop содержит встроенный клиент, который, несомненно, упростит работу с DDNS.

 
Рис. 28. Настройка клиента DDNS.

При настройке, вам будет предложено создать учётную запись DDNS. Отметим, что некоторые серверы предлагают эту услугу бесплатно, например http://www.dyndns.org/. После регистрации вы получаете имя и пароль, которые следует указать в соответствующих полях интерфейса IPCop (Рис. 28). Клиент IPCop Может работать через HTTP-прокси (флажок "Behind a Proxy"), как это требуют некоторые провайдеры. А галочка "Enable Wildcards" позволяет создавать суб-домены.

И, наконец, IPCop должен определять свой IP-адрес для DDNS. В большинстве случаев внешним считается адрес "красного" интерфейса, как показано на Рис. 29. Второй параметр интересен лишь при наличии дополнительного маршрутизатора между IPCop и Интернетом.

 
Рис. 29. Способ определения IP-адреса DDNS.

Прокси-сервер

Прокси-сервер, в основном, используется для кэширования Web-страниц. При использовании прокси браузер пользователя обращается не напрямую к сайту, а к прокси-серверу. А он уже отвечает за связь с сайтом. Но перед тем как обратиться к сайту, прокси-сервер просматривает свой кэш в поиске запрашиваемой страницы, а также появление новой версии страницы в Интернете. Тогда из Интернета запрашивается лишь обновлённая информация, остальная берётся из кэша. Это позволяет снизить нагрузку на используемый канал, увеличить скорость обработки запросов, и, соответственно, снизить трафик.

Существует два типа прокси. В классическом варианте прокси-сервер отвечает на определённом порту, обычно 8080 или 3128. Пользователи же должны соответствующим образом настроить свои браузеры. Второй вариант - прозрачный прокси, он перехватывает запросы соединений HTTP, не требуя настройки на клиентской стороне. В этом случае обход прокси невозможен, и этот вариант для многих компаний более предпочтителен, поскольку позволяет ограничить доступ на некоторые сайты.

IPCop поддерживает оба типа прокси, хотя по умолчанию прокси-сервер отключён. Для включения нужно перейти в раздел "Services -> Proxy". Прокси-сервер можно включить отдельно для каждого из интерфейсов. На Рис. 30 показано, как можно активировать прокси-сервер для "зелёного" интерфейса ("Enabled on Green"). Если установлен беспроводной адаптер, для него также можно включить прокси ("Enabled on Blue").

 
Рис. 30. Настройка прокси-сервера.

Флажок "Transparent" делает прокси-сервер прозрачным. В этом случае настройка порта в браузерах клиентов не требуется. Размер кэша прокси-сервера настраивается в разделе "Cache Management", сам же кэш физически располагается на жёстком диске маршрутизатора. Мы ограничили размер кэша отметкой 40 Гбайт, максимальный размер кэшируемого файла - 32 Мбайт; минимальный размер не задали.

Совет. При выборе большого размера кэша, после нажатия на кнопку "Save/Сохранить", web-интерфейс какое-то время не будет реагировать на ваши действия. Происходит выделение дискового пространства. Следует немного подождать.

В заключение отметим, что прокси позволяет ограничивать размер передаваемых файлов, что особенно полезно для тех, кто платит за каждый принятый мегабайт.

Мониторинг

Настроив IPCop, вы можете забыть о его существовании. Но если у вас есть желание, то можете контролировать состояние IPCop, благо, для этого есть множество экранов состояния, а также графиков использования ресурсов. На Рис. 31 - 34 показаны некоторые из них.

 
Рис. 31. Список сервисов.

 
Рис. 32. Время работы.



 
Рис. 33. Статус сети (отображает результаты команды ifconfig).

 
Рис. 34. Трафик "зелёного" интерфейса.

Журналирование

Хотя просмотр журнала гораздо скучнее диаграмм, он всё же может существенно помочь в деле выявления проблем. Для просмотра журналов нужно перейти по закладке "Logs/Журналы".


 
Рис. 35. Запись об ошибке обновления DDNS.

Для любителей интерфейса командной строки IPCop может предоставить доступ непосредственно к оболочке (только под учётной записью "root"). Кроме того, такой доступ окажется полезным и в том случае, если по какой-то причине web-интерфейс станет недоступен. На Рис. 36 показана команда shutdown now -r.


 
Рис. 36. Завершение работы из командной строки

Конечно, командная строка позволяет и устанавливать дополнительное ПО. Но мы не рекомендуем изменять конфигурацию IPCop, если вы не особенно хорошо разбираетесь в Linux. Кроме того, дополнительное ПО может снизить защищённость маршрутизатора.

Заключение

Кроме всего перечисленного, маршрутизатор IPCop способен ещё на многое. Например, он содержит встроенную систему Snort для обнаружения вторжений, которую можно настроить на отслеживание всех интерфейсов. (Наш материал по Snort можете найти здесь).

Мы не рассмотрели управление полосой пропускания ("Traffic shaping"). Но вы тоже можете включить эту функцию через модуль WonderShaper. Можно задать разные приоритеты (высокий, средний или низкий) для различных сервисов или портов.

Приятно удивило наличие встроенного сервера IPsec VPN, который позволяет объединить две сети через Интернет, (как между двумя IPCop, так и между IPCop и другим IPsec-маршрутизатором). Технология VPN позволяет также подключить удалённый узел к вашей сети (любой клиент IPsec подключается к IPCop). Сервер IPsec может работать с общим ключом/паролем или с сертификатом X.509. К сожалению, документация IPCop по VPN недостаточно подробна. Поэтому можно рекомендовать ознакомиться с другими ресурсами, указанными на странице поддержки сайта IPcop.

Если ваше желание создать маршрутизатор собственными руками ещё не исчезло, вы можете использовать большое количество дистрибутивов. Вариант IPCop содержит ряд несомненных преимуществ: простота установки, широкие возможности, прекрасный дизайн пользовательского интерфейса.

Ссылки на другие обзоры Linux-маршрутизаторов/брандмауэров на сайте THG.ru.

"Брандмауэр m0n0wall: надёжное программное решение";
"SmoothWall Express Firewall 2.0: межсетевой экран на базе Linux";
"Сервер ClarkConnect: надёжность Linux плюс дружественный интерфейс".
« Последнее редактирование: Декабрь 21, 2008, 10:26:12 pm от A-l-e-k-s »

werwolf

  • Full Member
  • ***
  • Сообщений: 213
    • Просмотр профиля
    • E-mail
Вот ссылка на оригинал статьи
http://www.thg.ru/network/ipcop/index.html

werwolf

  • Full Member
  • ***
  • Сообщений: 213
    • Просмотр профиля
    • E-mail
вот нашел на просторах сети такой блог http://ipcop-ru.blogspot.com/
давно не обновляемый, но может кому-то и пригодится размещенный там материал.

rivermort

  • Newbie
  • *
  • Сообщений: 2
    • Просмотр профиля
Доброго времени суток! скажите, умеет ли маршрутизатор работать каскадный прокси? очень на работе нужно.

RDT

  • Jr. Member
  • **
  • Сообщений: 51
    • Просмотр профиля
Доброго времени суток! скажите, умеет ли маршрутизатор работать каскадный прокси? очень на работе нужно.
в прокси IPCop можно указать:
Upstream proxy (host:port) + username + password
IPCop 1.4.21

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 392
    • Просмотр профиля
Цитировать
умеет ли маршрутизатор работать каскадный прокси?
Что Вы подразумеваете под каскадным прокси?
Вообще в настройках встроенного прокси-сервера есть возможность указать адрес, порт, имя пользователя и пароль для вышестоящего прокси-сервера.


rivermort

  • Newbie
  • *
  • Сообщений: 2
    • Просмотр профиля
СПАСИБО! Завтра же поставлю на работе :)

Rigard

  • Jr. Member
  • **
  • Сообщений: 50
  • Русские не сдаются
    • ICQ клиент - 395822659
    • Просмотр профиля
    • http://vkontakte.ru/busko_nikolay
Может еще и опишем установку аддонов пошагово для новичков (таких как я), что бы легче освоение было???

Modicus

  • Newbie
  • *
  • Сообщений: 4
    • Просмотр профиля
Цитировать
Может еще и опишем установку аддонов пошагово для новичков (таких как я), что бы легче освоение было???
Приветствую! Недавно описал пошаговый процесс установки с картинками, в том числе и установку некоторых аддонов. Если интересно - modicus.su

P.S. В свою очередь мне интересно было бы узнать ваше мнение о статье, что можно убрать, что добавить и вообще нужна ли она и полезна...

Rigard

  • Jr. Member
  • **
  • Сообщений: 50
  • Русские не сдаются
    • ICQ клиент - 395822659
    • Просмотр профиля
    • http://vkontakte.ru/busko_nikolay
Неплохо написано, для начала конечно же хороший шаг...

Теперь только улучшения данной статьи... Как говорится не стоит останавливаться на достигнутом... В нем (IPCop) много чего можно описать, что помогло бы многим. Но есть одно "НО"! Сейчас все находится в подвешенном состоянии, когда уже "ребенку показали конфетку (IPCOP 1.9.x), но не дали ощутить по полной". Я считаю что 1.4.21 сейчас является лучшим средством для достижения необходимых результатов по потребностям, т.к. 1.9.х много что не может. Но версию пред-2ой официальной она оправдывает. И его "НО" заключается в том что порой в ней нет той изюминки какую уже придумали для 1.4. Харе писать демагогии...

Предлагаю описать еще пару интересных addon'ов для IPCOP (BOT, LightSquid), вот они очень пригождаются - это тема для следующей статьи.

Добавить еще стоит в статью про обновлении версии 1.4.20 до 1.4.21 это очень просто.

А саму статью все-же разбить на несколько. и уже начать писать содержание.

werwolf

  • Full Member
  • ***
  • Сообщений: 213
    • Просмотр профиля
    • E-mail
Цитировать
Может еще и опишем установку аддонов пошагово для новичков (таких как я), что бы легче освоение было???
Приветствую! Недавно описал пошаговый процесс установки с картинками, в том числе и установку некоторых аддонов. Если интересно - modicus.su

P.S. В свою очередь мне интересно было бы узнать ваше мнение о статье, что можно убрать, что добавить и вообще нужна ли она и полезна...

хорошая статья
теперь еще можно сравнить IPcop и IPfire

Alex_tag

  • Newbie
  • *
  • Сообщений: 1
    • Просмотр профиля
Доброго времени суток!
Прошу гуру ответить на вопрос: можно ли к серверу IpCop подключить два кмпьютера без коммутатора?

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 392
    • Просмотр профиля
Если локальная сеть между двумя ПК, подключенными к Ipcop не нужна, а нужен лишь доступ в интернет с обоих ПК, то легко. Поставьте в Ipcop три сетевые карты RED, GREEN и BLUE, настройте на GREEN и BLUE адреса из разных подсетей, подключите первый ПК к GREEN , второй - к BLUE и настройте их.

Armenco

  • Гость
раньше в инет все клиенты выходили через netgearовский FVS114 VPN Firewall подключенный к DSL модему.. IP netgear 192.168.37.250  и на клиентах IP статика + шлюз 192.168.37.250 + DNS провайдерские... в принципе вполне сносно.. но хотелось бы свою машину поставить.. решил попробовать IPCop.. можно ли в грине указать IP 192.168.37.250 чтобы меньше всего менять в настройках клиентов? и еще после всех настроек вроде еще какую команду надо было выполнить ... типа # [sudo] iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ?

raven6

  • Global Moderator
  • Sr. Member
  • *****
  • Сообщений: 392
    • Просмотр профиля
Igorek
[?]
Цитировать
можно ли в грине указать IP 192.168.37.250
Конечно можно. И даже ИМХО нужно.

Цитировать
После всех настроек вроде еще какую команду надо было выполнить ... типа # [sudo] iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE ?
Нет, не нужно. Все работает и без этого.