přejít na obsah přejít na navigaci

Linux E X P R E S, Seznamte se: IPCop - ochránce vaší sítě

Seznamte se: IPCop - ochránce vaší sítě

ipcop.gif

V následujícím seriálu se podíváme na jedno praktické využití linuxové distribuce IPCop na střední škole. Nebude to zrovna to nejtypičtější využití této prakticky jednoúčelové distribuce (firewallu), ale snad vás nezklame. V následujících článcích naleznete odpovědi na to, jak si systém nainstalovat, jak ho spravovat a co vlastně IPCop umí. Dnes si však zodpovíme tu nejzákladnější otázku, která nás asi napadne - Proč použít IPCop?


Krátký úvod pro neznalé

IPCop je linuxová distribuce, jejíž instalační médium má něco málo přes 50 MB a jako taková je primárně určena k jedinému účelu - fungovat jako firewall, tzn. chránit počítače vnitřní sítě před útoky zvenčí a zprostředkovat jim za to přístup na internet. Postupem času však požadavky uživatelů IPCopu vzrostly, a tak se dnes IPCop může pochlubit mj. třeba podporou VPN.

VPN (Virtual Private Network) vám umožní přistupovat do vnitřní počítačové sítě (např. zobrazit si síťové disky) i z míst mimo ni - např. z pohodlí domova, jediné, co potřebujete, je připojení na internet. Jedna z implementací je OpenVPN.

Jaký hardware na spuštění IPCopu potřebujete?

Jednoduše řečeno - nějaký počítač. Volba hardwaru záleží na množství služeb, které bude IPCop provádět. Pro začátek vám tedy bude stačit starší vyřazený počítač, později si můžete koupit něco mnohem lepšího a rychlejšího. Jediné, čím se bude počítač lišit od pracovních stanic, jsou dvě síťové karty - jedna je určena pro spojení s vnitřní sítí a ta druhá pro spojení s internetem.

Je to zdarma, kdo se o to bude starat?

Ano, je to zdarma. Po instalaci a nastavení počítače získáte stroj, který bude fungovat tak dlouho, dokud bude fungovat použitý hardware, na kterém běží. Aktualizace vychází a budou vycházet, ale jejich instalace je na vašem rozhodnutí. Obecně platí, že aktualizovat má smysl pouze v situaci, kdy by IPCop obsahoval nějakou opravdu závažnou chybu nebo byste po něm chtěli nějakou novou funkci, jinak si nebudete muset systému vůbec všímat.

Doporučeným příslušenstvím počítače je záložní zdroj UPS, který vám zajistí, že počítač poběží i v případě krátkodobého výpadku proudu. Těch je během roku hned několik, a tak se tato investice dříve či později vyplatí.

Kdo mi to nainstaluje?

Člověk, který se v tom vyzná. S naším článkem byste to mohli zvládnout i vy, ale je třeba dobrá znalost stroje nazývaného Počítač. Instalace s "nějakou konfigurací kolem" vám pak může zabrat 2-3 odpoledne, podle vašich zkušeností. Přitom se nevyplatí spěchat, systém, který získáte, bude fungovat řadu let, a tak je dobře si všechny kroky předem rozmyslet.

O IPCopu jsme na LinuxEXPRESu již před časem psali, chcete-li se podívat na IPCop z trochu jiného úhlu pohledu, zkuste článek IPCop - firewall pro tvrďáky.

Proč IPCop použít?

I když jsem vám na začátku článku slíbil zodpovězení této otázky, je pravdou, že si ji budete muset zodpovědět každý sám za sebe. Proto zde nastíním, proč a k čemu jsem ho použil já a zbytek bude na vás. Seznam všech vlastností a funkcí IPCopu pak najdete přímo na domovské stránce projektu, o řadě z nich se budeme také zmiňovat v následujících dílech našeho seriálu.

Z rozhodnutí školy bylo mým úkolem zavést internet na jeden z domovů mládeže. Kromě hromady kabelů a nějakých "chytrých" krabiček wifi jsem chtěl k tomuto účelu nainstalovat také server, který by mi zajistil následující. Instalovaný server měl:

  • Omezit rychlost přístupu studentů na internet. Představa, že se studenti budou věnovat chatování a brouzdání po internetu, že si sem tam stáhnou nějaký užitečný program, je mylná. Z tohoto důvodu jsem chtěl snížit jejich rychlost připojení na mnou stanovenou hranici a nedat jim všanc celou šířku pásma, kterou je škola připojena do internetu.
  • Zamezit v přístupu na stránky s nevhodným obsahem. I když jsme zdravotnická škola a studují u nás především děvčata, i tak myslím, že to je velké plus, které je třeba. Jinak řečeno, při přístupu na stránky s pornografickou tématikou se místo očekávaných obrázků objeví obrázek jiný (např. "Přístup není dovolen.")
  • Kešovat přenos internetových stránek. Zobrazované internetové stránky se tak ukládají do keše na serveru a jakmile si další z klientských počítačů vyžádá ta samá data (stejnou internetovou stránku), pošlu mu server tato uložená data. Tím se zrychluje odezva serveru a zároveň šetří přenosová šířka pásma. Pro školy jsou tyto "duplikované" požadavky více než typické.
  • "Vypínat internet" v určitou dobu. Určitě nejen pro mě by bylo dost nepříjemné, když by můj spolubydlící trávil noci na počítači (internetu) a výuku ve škole pak sladce prospal. Vypnutím internetu nemyslím vypnutí počítače s IPCopem, ale vypnutí jeho síťového rozhraní.
  • Mít přehled o tom, co se děje. Zda je mnou nastavená rychlost sítě dostatečná, kdy je největší aktivita v síti, kolik klientů se připojuje, zda to počítač zvládá atd.
  • Mít s celou instalací co nejméně práce. Co si budeme povídat, práce to je placená nějak, někdy a něčím. Tzn. čím méně práce pro mě, tím lépe.

S jistotou můžu říci, že by mi všechny výše uvedené požadavky splnila kterákoliv linuxová distribuce. Sporný by byl pouze poslední požadavek týkající se času potřebného na instalaci celého systému, a tak jsem raději sáhl po něčem, co je k tomuto účelu již postaveno a hlavně přednastaveno - tím je bezesporu IPCop.

Jediný zádrhel, na který jsem v tomto okamžiku narazil, byl chybějící počítač, a tak jsem koupil, vlastně škola koupila, počítač nový. Budete-li stát před stejným problémem, pak doporučím nějaký počítač v ceně do 10 000,- KČ, který by měl na tuto činnost ve většině případů bohatě stačit. Když jsem ho šel objednat, mohl jsem tak s klidným srdcem říci "Chtěl bych ten nejlevnější počítač, co tu máte - jen mi do něj dejte druhou síťovou kartu."

Stažení a vypálení instalačního média

IPCop si můžete stáhnout přímo ze stránek projektu po kliknutí na odkaz Downloads v hlavním menu. Trošku matoucí pak je rozbalený strom poslední verze IPCopu (v době psaní článku to byla verze 1.4.21), která obsahuje jen menší změnu programu, a tak autoři programu nevytvářeli znovu oficiální aktuální obraz instalačního média. Z tohoto důvodu je nutné stáhnout instalační obraz předchozí verze IPCopu (1.4.20) a po instalaci systému teprve provést jeho aktualizaci.

Jak uvidíte v příštích dílech, aktualizace nainstalovaného IPCopu je hračka.

Proto si rozbalte strom IPCopu 1.4.19/1.4.20 a stáhněte si vámi zvolené instalační médium. Běžně to bude verze pro instalaci z CD - soubor ipcop-1.4.20-install-cd.i386.iso. Obraz instalačního CD vypálíte v Linuxu např. pomocí programů Brasero či K3B. Ve Windows můžete použít např. program Nero.

Kromě tohoto instalačního CD můžete provést instalaci i z USB - externí disketové mechaniky, externího (flash) disku, mechaniky ZIP či PXE síťové karty. Pro zavedení instalace z těchto médií slouží ostatní instalační obrazy IPCopu, např. ipcop-1.4.20-install-usb-hdd.i386.img.gz pro zavedení z flash-disku. Sám jsem instaloval klasicky z CD/DVD ROM mechaniky, s instalací z jiného média nemám zkušenosti.

Pokud chcete provést instalaci např. z flash disku, pak se vždy předem podívejte, zda to váš počítač umí. Informace o tom naleznete v manuálu k základní desce počítače nebo v BIOSu počítače.

To je pro dnešek vše, příště se podíváme na vlastní instalaci IPCopu. Pokud si vypálíte instalační CD již dnes, příště se vám bude hodit.

Nahoru

Odkazy

Příspěvky

Seznamte se: IPCop - ochránce vaší sítě
hawkmoon 16. 02. 2009, 06:35:00
Odpovědět  Odkaz 
Pekne, ipcopa pouzivam, ani nevim ,ze uz nejakej ten rok bezi, ... za zkousku by stali mozna i dalsi podrobne rozebrat ... ClarkConnect , monowall, pfSense, SmoothWall atd ... :) toto tema mi tu schazelo a tesim se na pokracovani !!
Re:Seznamte se: IPCop - ochránce vaší sítě
kulich 16. 02. 2009, 08:53:34
Odpovědět  Odkaz 
Já používám BrazilFW a skoušel jsem i Ipcop.Jinak jsem si hrál i s ClarkConnect a to je už jiné řešení serveru a routru dohromady a ve verzi free max 10 uživatelů, pro malou síť ideální.
Seznamte se: IPCop - ochránce vaší sítě
Ondřej Neufinger 16. 02. 2009, 09:09:17
Odpovědět  Odkaz 
Zajímavé, už se těším na další pokračování :)
Seznamte se: IPCop - ochránce vaší sítě
majkro 16. 02. 2009, 10:41:39
Odpovědět  Odkaz 
Stejne na takovou krabicku potrebujete PC. Neni lepsi pouzit rovnou napr. debian, nebo distro s dlouhodobo podporou? Za tu praci to stoji, ja ted mam nainstalovane pfSense. Takovej pohrobek po byvalem adminovi. Bohusel aby se v tom prase vyznalo. O webovem rozhrani nemluvim.
Martin Šín Re:Seznamte se: IPCop - ochránce vaší sítě
Martin Šín 16. 02. 2009, 11:52:24
Odpovědět  Odkaz 
Z časových důvodů není. IPCop vznikl před 6 lety a stále se na něm pracuje, tak myslím ještě nějakou dobu vydrží. Pokud přijdete k práci někoho jiného a máte se o to začít starat, je zpravidla lepší to udělat sám a "jinak". ;-)
Re:Seznamte se: IPCop - ochránce vaší sítě
hawkmoon 16. 02. 2009, 12:14:59
Odpovědět  Odkaz 
prave jsem nemel moc casu studovat a nastavovat iptables atd ... , tak jsem sahl po ipcopu pouzivam na nem openvpn, port forwarding, dmz atd ... chystam se vyzkouset m0n0wall , ale neni zatim cas ...
Boháč David Re:Seznamte se: IPCop - ochránce vaší sítě
Boháč David 20. 02. 2009, 20:30:30
Odpovědět  Odkaz 
Osobně bych tam dal taky raději nějakou distribuci ala Debian nebo Slackware a rozjel si už rovnou více služeb než jenom firewall. Nakonfigurovat iptables neni nic složitého mimoto tuto práci za vás udělá i nějaký iptables generator kterých je na internetu několik. Neni to sice ono jako si to pěkně nastavit ručně ale pro většinu použití to stačí.
Re:Re:Seznamte se: IPCop - ochránce vaší sítě
kulich 20. 02. 2009, 21:26:01
Odpovědět  Odkaz 
Pro více služeb a firewal radši ClarkConnect má kompletní web rozhraní a pochopí to i začátečník.

Odpovědět

Nejsou podporovány žádné značky, komentáře jsou jen čistě textové. Více o diskuzích a pravidlech najdete v nápovědě.
Diskuzi můžete sledovat pomocí RSS kanálu rss



 
 

Top články z OpenOffice.cz