přejít na obsah přejít na navigaci

Linux E X P R E S, Bezpečnost v síti: Nastavení IPCopu

Bezpečnost v síti: Nastavení IPCopu

ipcop.gif

V minulém díle jste si (předpokládám, že všichni úspěšně) nainstalovali IPCop. Dnes se podíváme na nastavení základních služeb systému, které jsou jeho součástí hned od počátku, projdeme si tedy základní nastavení a seznámíme se s tímto systémem.


reklama

Vzkaz pro příznivce VPN - nastavením VPN se zabývat nebudeme, pro své potřeby jsem ho nepotřeboval, a tak ho vynechám stejně jako některé další volby, které jsem nevyužil.

Vševysvětlující schéma fungování IPCopuVševysvětlující schéma fungování IPCopu

Úvodní obrazovka zobrazuje základní informace o stavu systému (dobu běhu, vytížení procesoru, IP adresu a také dostupné aktualizace systému). Protože jste instalovali starší verzi IPCopu, je jistě dobré provést jeho aktualizaci na nejnovější verzi.

Úvodní obrazovka IPCopuÚvodní obrazovka IPCopu

Aktualizace systému (Systém | Aktualizace)

Aktualizace systému se provádí ve dvou krocích. Nejprve je nutno aktualizaci stáhnout kliknutím na tlačítko Stáhnout a pak, jakmile se aktualizace objeví i v bloku níže, můžete provést její instalaci kliknutím na tlačítko Použít hned. Dole na stránce se vám pak budou objevovat nainstalované aktualizace, dostupnost těch nových pak zjistíte kliknutím na tlačítko Obnovit seznam aktualizací.

Na této stránce také můžete vybrat typ jádra, který váš systém používá. Na výběr jsou jádra pro jedno- i víceprocesorové (více-jaderné) počítače. IPCop přitom používá jádra řady 2.4.

Aktualizace IPCopuAktualizace IPCopu

Externí přístup k IPCopu (Firewall | Externí přístup)

Chcete-li k IPCopu přistupovat i z červeného (internetového) rozhraní, musíte to nejprve povolit. Stačí pouze zadat Cílový port (např. 81 pro HTTP) a kliknout na tlačítko Přidat. Pokud se budete na počítač připojovat jen z určité adresy (např. máte stálou veřejnou adresu), pak můžete tuto IP adresu zadat do políčka Zdrojová IP nebo síť. Jestliže chcete povolit přístup všem, pak se toto políčko nechává prázdné.

Na obrázku Pravidla firewallu jsem takto povolil porty 81 a 445 pro přístup do webového rozhraní (IPCop standardně šifruje komunikaci na portu 445) a také port 222, na kterém implicitně běží služba SSH pro vzdálený přístup do konzole.

Pravidla firewalluPravidla firewallu

Jaké služby mám spuštěny? (Stav | Stav systému)

Zde získáte přehled o tom, jaké služby máte spuštěny a které jsou ještě k dispozici. Služby byste měli spouštět vždy s ohledem na hardware počítače (např. velikost paměti RAM) a sledovat její využití.

Stav systémuStav systému

Synchronizace času (Služby | Časový server)

Nejen pro sledování systémového logu se vyplatí mít vždy platný čas, proto si určitě spusťte klienta NTP - zaškrtněte tlačítko Zjistit čas z NTP serveru. Zároveň můžete začít poskytovat čas pro místní síť a IPCop tak sám začne fungovat jako NTP server pro klientské počítače.

NTP server pro klientské počítače většinou nezačíná poskytovat čas ihned po svém zapnutí a je zde určitá prodleva, kdy se nejprve sám synchronizuje s ostatními servery. Jakmile si je opravdu jistý svým časem, začne ho poskytovat klientům, takže ze začátku mu dejte chvíli na zahřátí.

Synchronizace časuSynchronizace času

Zapnutí SSH (Systém | SSH přístup)

Budete-li chtít instalovat další přídavné moduly k systému, pak si pro své pohodlí nezapomeňte spustit také server SSH. O přídavných modulech budeme hovořit příště.

Spuštění přístupu přes SSHSpuštění přístupu přes SSH

Webová proxy (Služby | Proxy)

Webová proxy snižuje zatížení internetového připojení a v případě duplicitních dotazů (uživatelé zadají stejnou internetovou stránku) rozesílá data uložená v cache paměti, tzn. data nejsou znovu stahována z Internetu, ale přímo ze serveru. Abyste nemuseli na klientských počítačích nastavovat do každého prohlížeče parametr odkazující na adresu proxy serveru, je dobré spustit tzv. transparentní proxy. V podstatě stačí zaškrtnout políčko Povoleno na Green a Transparentní na Green a potvrdit tlačítkem Uložit.

Za zmínku ještě stojí zaškrtávací políčko Povolit záznam, které vám umožní v nabídce Záznamy | Záznamy proxy sledovat, na které stránky chodí uživatelé vaší sítě. Také zde můžete omezit maximální velikosti příchozího a odchozího souboru.

Velikost cache se nastavuje podle vlastních zkušeností a také velikosti operační paměti počítače. Nechat přednastavenou velikost (50 MB) bude pro začátek jistě dobrou volbou.

Webová proxyWebová proxy

Traffic shaping (Služby | Traffic shaping)

V této nabídce můžete nastavit rychlost stahování (downlinku) a odesílání (uplinku) dat. Rychlost se zadává v kb/s (neplést s kB/s). IPCop zde standardně neumí žádné speciality (chcete-li pokročilejší shaping, zkuste pana Google, jistě vám odpoví), ale pro začátek to stačí.

Pomocí tří úrovní priorit (nízká/střední/vysoká) můžete nastavit, který port bude mít vyšší váhu proti ostatním. Pokud je priorita nastavena na vysokou, bude mít přenos na tomto portu dostupnou větší šířku pásma než ostatní. Zaškrtnuté políčko povolen pak udává, zda je dané pravidlo aktivní.

Pomocí tohoto základního systému pravidel budete moci přesunout porty používané pro stahování přes různé výměnné sítě do té nejnižší úrovně a tak alespoň trochu odlehčit pásmo pro přenos běžných dat (internetových stránek).

Traffic shapingTraffic shaping

Další tipy

Stav

V hlavní nabídce Stav najdete informace o stavu systému, sítě, dál grafy systému, provozu a webové proxy. Poslední volba Připojení zobrazuje aktivní připojení procházející přes váš počítač s IPCopem. Chcete-li tedy rychle zjistit, co se děje v síti a jak se daří vašemu počítači, hledejte odpovědi na tyto otázky právě zde.

Stav sítěStav sítě

Záznamy | Záznamy proxy

Pokud jste zapnuli logování proxy serveru, můžete zde sledovat stránky, které navštěvují uživatelé vaší sítě. V případě potřeby tak není problém dohledat, kdy se kdo nacházel.

Služby | Server DHCP

Chcete-li využívat všech výhod serveru DHCP, pak určitě věnujte další čas nastavení všech důležitých voleb, které vám DHCP server umožňuje nastavit. Dole na stránce pak můžete snadno vytvořit trvalá zapůjčení pro počítače, kterým byla daná IP adresa zapůjčena - to se hodí např. pro další identifikaci počítačů v záznamech proxy serveru.

Nastavení DHCP serveruNastavení DHCP serveru

IPCop toho nabízí víc - nejen to, co nyní vidíte. Příště se podíváme na instalaci přídavných modulů, které vám umožní blokovat nepovolený obsah, vypnout v určitou dobu síťové rozhraní nebo komunikovat se zařízením UPS. Zatím si však projděte i ostatní nabídky.

Přiřazení IP adres s konkrétním počítačem (trvalé výpůjčky)Přiřazení IP adres s konkrétním počítačem (trvalé výpůjčky)

Nahoru

(Jako ve škole)
 

Top články z OpenOffice.cz

Příspěvky

Bezpečnost v síti: Nastavení IPCopu
Pavel 3. 03. 2009, 22:56:28
Odpovědět  Odkaz 
Chtel jsem vyzkouset na starem pocitaci (notebook), ale nedokaze rozpozbat druhou sitovku. Jedna je integrovana primo na desce a druha je pcmcia. Zkousel jsem i usb sitovku a taky nejde. Je nejaka sance jak zavest ovladac?
Martin Šín Re:Bezpečnost v síti: Nastavení IPCopu
Martin Šín 4. 03. 2009, 06:37:24
Odpovědět  Odkaz 
Verze 1.4.x přichází s podporou PCMCIA, ale je možné že IPCop nepodporuje vaší síťovku... Můžete mrknout na seznam kompatibilního HW (http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopHCLv01), jinak bych raději sáhl po klasickém počítači, s kterým zřejmě nebude takový problém.
Nastavení IPCopu
Ivo 16. 03. 2015, 19:01:25
Odpovědět  Odkaz 
Dobrý den,
díky volbě dodavatelské firmy někdy před 5 lety používáme IPCop pro data a telefon v síti cca 25 PC s win7 (pouze forma sdílení), vše do pátečního dne fungovalo, kdy jsme zjistili, že je disk zaplněný logy...nejspíš automaticky, se přerušil tok dat přes HTTP (POP3 a VoIP jely bez problémů). Po vymazání starých logů se disk uvolnil a rovněž ihned začala data přes HTTP chodit. Nicméně po smazání logů jsme nebyli schopni navázat vzdálený kontakt s ipcopem (venkovní veřejná adresa s portem 445) a tedy zobrazení grafického rozhraní aplikace. Hledáme teď někoho, kdo této aplikaci rozumí, zda by byl ochoten zjistit příčinu a navrhnout či provést úpravu či opravu. Je možné že v umístění /var/log byly nějaké informace nutné pro ovládání aplikace externě? Jak se na lokálním PC s IPCopem spustí grafické rozhraní? Můžete nám doporučit někoho konkrétního poblíž našeho sídla v Ostravě?
Děkuji za jakoukoliv radu a pomoc.
Ivo Kadlčík, Ostrava, ivo.kadlcik@seznam.cz
IPCop
Roman 17. 03. 2015, 13:03:53
Odpovědět  Odkaz 
Dobrý deň
IPCop som používal v škole 6 rokov a momentálne už mi beží aj ako firewall chrániaci náš Obecný úrad (to je ale už verzia 2 a vy asi používate ešte 1.4 - usudzujem podľa portu 445, ktorá v 2. už nepoužíva). Priznám sa, že so zaplnením logov som sa za celý čas nestretol a to mi v škole bežalo cez IPCOp takmer 100PC a používal som Squid(=proxy) aj Squidguard(=urlfilter). V proxy sa dá logovanie vypnúť, ak ho nepotrebujete, tak by ste to mohli spraviť (ja som ho mal zapnuté, pre kontrolu, či žiaci nechodia na nevhodné stránky). Do webového rozhrania sa priamo z PC kde beží IPCop nedostanete, môžete tam spustiť len setup, ktorým sa dá zmeniť konfigurácia (rozhrania, IP atď..). Ak máte nainštalovaný napr. mc alebo nano, tak konfiguráciu môžete zmeniť aj priamo zápisom do konfiguračných súborov (ja som to používal vtedy, keď som vytváral špeciálne pravidlá v proxy, ktoré webové rozhranie neposkytovalo). Nie som exprert na linux (aj keď posledných 7 rokov už iný systém nepoužívam), ale nemyslím si, že vymazanie logov by mohlo spôsobiť nefunkčnosť systému.
Roman

Přidat názor

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Martin Šín

Martin Šín

Martin Šín (*1980) vystudoval pedagogickou fakultu a nyní pracuje jako učitel matematiky a výpočetní techniky na střední škole. Ve volném čase překládá a také hraje hry (ani jedno mu příliš nejde). V práci se snaží prosazovat open-source programy.


  • Distribuce: Debian
  • Hodnocení autora: **

| proč linux



Public Relations

QNAP uvedl novou modelovou řadu NAS TVS-x82T

Společnost QNAP uvedla na trh novou modelovou řadu NAS TVS-x82T, kterou tvoří tři různé modely (TVS-1282T, TVS-882T a TVS-682T). Nová řada je založena na vícejádrových procesorech Intel Core aktuální generace se 14nm výrobním procesem. Díky nim mohou nové NASy nabídnout dostatek výkonu i pro aplikace náročné na CPU.

Pokračování ...


CIO Agenda 2016