Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
IPCOP (การตดตงและใชงาน)
สามารถดาวนโหลดไดท http://www.ipcop.org
อางอง : http://www.itwizard.info/technology/linux/ipcop/install_ipcop.html
http://ball.narucha.com/setupIP-COP.html
http://www.itcompanion.co.th/Contents/IPCOP/IPCOP(Installing).html
http://www.linuxthai.org/index_linuxthai.html
http://www.itwizard.info/technology/linux/OpenVPN/OpenVPN_IPCop_host_to_net.html
วนท 16 พ.ค. 2551
โปรแกรม IPCop เปนไฟรวอลลทท างานอยบนระบบปฏบตการ Linux ในปจจบนรองรบ Kernel 2.4.x และรองรบขอตกลงของ GNU ซงท าใหระบบปฏบต และแอพพลเคชนนฟรมทกอยางทตองการ
ความสามารถของ IPCop
o HTTP ส าหรบการบรหารงานพอรตทใชคอ 81 และรองรบการเขารหส SSL ทพอรต 445 เพอความปลอดภย
o IP Table ทรองรบกฎในการหามไมใหภายนอกเขามา และอนญาตใหภายในออกไปตดตอโลกภายนอกได
o Squid รองรบความสามารถของ Proxy o Snort ทรองรบความสามารถของ IDS ซงรองรบทงการใหบรการแบบเรยลไทม และการ
อพเดตดวยมอ รวมถงการจดบรหาร Traffic Shaping ทควบคมการจราจรสามระดบคอ High Medium Low
o DHCP รองรบแมขายเปน DHCP เพอแจกหมายเลข IP address ใหกบลกขายตางๆ o System Log จดเกบลอกการบรหารระบบ และลอกของแอพพลเคชนตางๆเชน Proxy,
Firewall, IDS/IPS o Cron Server รองรบการตงเวลาในการด าเนนงานดานตางๆเชนการส ารอง และการเปดปด
ระบบ o NTP Server o รองรบ Certification Authority และ VPN Server o การแสดงคาก าหนด และการด าเนนการของระบบ และการจราจรดวยรปภาพ o รองรบการบรหารงาน และก าหนดคาตดตงในรปแบบของ Linux
IPCop แบงเครอขายออกเปน 6 แบบคอ
Green Red Orange Blue Black Magenta
Internal Internet DMZ Wireless Local VPN
โดยจะมรปแบบทเลอกทเปนดฟอลทคอ Green กบ Red ทเปน WAN (ADSL, Modem) ถาตองการตดตงเปน Network Card ตองมการเตรยมเครองไวลวงหนา
ในการตดตงเครองตองมการเตรยมดสก ซดรอม และ Network Card ตามจ านวนเครอขายทตองการ เชน 3 การดเพอสรางเครอขาย Green, Orange, Red เปนตน
ตวอยางการเชอมตอใชงาน IPCop
ทดสอบตดตง IPcop โดยตดตงผาน VMware ก าหนดดงรป สรางเครอขาย Green, Orange, Red
1. Boot เรมตนการตดตง กด Enter
2. เลอก English กด Enter
3. หนาจอตอนรบเคาะ Enter
4. เลอกวาจะตดตงจาก CDROM หรอ HTTP/FTP ถาเปน HTTP/FTP เครองตองตดตออนเตอรเนตไดในทนเลอก
CDROM และเคาะ Enter
5. IPCop จะระบใหทราบวาจะมการฟอรแมตดสกในรปนคอ IDE ดสกท 1 แลวเคาะ Enter
6. Restore config ของ ipcop เคาะ Spacebar ตก Skip แลว OK
7. หาการด Lan ฝง Green เลอก Probe มนจะ Scan หาให
8. Detected เจอ เคาะ Enter
9. การดทก าหนดคอ Green ใหระบหมายเลข IP address และ Subnet mask ทตองการเคาะ Enter
10. มขอความแจงวาตดตงเรยบรอย ถาตองการน าออกใหใช Fdisk /mbr และการบรหารงานจะใชผาน
http://IPCop:81 หรอ https://IPCop:445 ซงผบรหารตองจ ารหสผานของ dial และ admin ใหไดในการก าหนด
คาทตดตอในอนเตอรเนต และเครอง IPCop เสรจแลว OK
11. เลอกผงคยบอรดทตองการ, Keyboard เลอก US เคาะ Enter
12. Timezone เลอกเปน Asia/Bangkok เคาะ Enter
13. ก าหนดชอโอสต แลวเคาะ Enter
14. ก าหนดชอโดเมน แลวเคาะ Enter
15. ในการตดตงครงนเราไมม ISDN ใหเลอก Disable ISDN และเคาะ Enter
16. โดยทวไปคา Network จะก าหนดเปน Green (RED is modem/ISDN) เลอกท Network configuration
type แลวเคาะ Enter
17. เลอกรปแบบทตองการในทนเราเลอกเปน Green + Orange + Red แลวเคาะ Enter
18. เลอกท Drivers and card assignments เคาะ Enter
19. จะไดรบแจงวาการดใดยงไมถกก าหนด เคาะ Enter
20. ระบท Orange เคาะ Enter และ Red เคาะ Enter
21. เคาะ Enter เพอยอมรบคาทก าหนด
22. ก าหนด Address settings แลว OK
23. เลอกการดทตองการในทนคอ Orange และก าหนดคาหมายเลข IP ซงคา Green จะก าหนดไวอยแลว
24. ระบหมายเลข IP address และ Subnet mask (Orange) แลว OK
25. เลอกการด Red แลวเคาะ Enter ก าหนดหมายเลข IP และ Subnet Mask
ขา Red สามารถเลอกทจะรบ IP address จาก DHCP หรอ Static หรอ PPPOE หรอ PPTP ถาก าหนด
เปน manual ตองระบหมายเลข IP และ Subnet mask เอง
Set เปน static ip: 192.168.200.218 แลว OK
26. กลบมาท DNS and Gateway settings กด OK เขาไป
27. Set IP gateway และ DNS ให IPCop (Gateway=IP router) แลว OK
28. เลอกท Done แลวเคาะ Enter
29. ระบบจะใหก าหนด DHCP ถาในองคกรมอยแลวไมตองก าหนดถาไมมใหเลอก Enable และระบ IP address
เรมตนถงคาทตองการ ก าหนดคา DNS เวลาทใชดงรป แลว OK
30. ก าหนดคารหสผาน root โดยใสรหสผานทง password, Again ใหตรงกน แลว OK
31. ก าหนดรหสผาน admin ส าหรบการบรหารงานผานเวบใสรหสผานทง password, Again ใหตรงกน แลว OK
32. ก าหนดรหสผาน backup ส าหรบการ backup ใสรหสผานทง password, Again ใหตรงกน แลว OK
33. การตดตง IPCop เสรจเรยบรอยแลว OK รอเครองรสตารทเพอใชงาน IPCop
ไปท าการ config กอนทหนา Web โดยเปด IE พมพ http://IPของIPCop:81 หรอ https://IPของIPCop:445
ใส User เปน admin และ password ตามทก าหนดตามขอท 31
การตดต งโปรแกรม Addons ส าหรบ IPCop (สามารถดรายการโปรแกรมไดท http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopAddons)
การท า External Access เพอเปด https และ ssh ส าหรบการท า Remote
เขาดวย IP ฝง Red (IP : 192.168.200.218 port 445)
Remote เขาดวย Putty ส าหรบการ Telnet ผาน Port 222
Remote เขาดวย WinSCP ผาน Port 222 ส าหรบ Upload ไฟล (ใชขนการสง File จากเครองลกขายไป
เครอง server) ซงสามารถดาวนโหลดไดจาก http://winscp.net
ข นตอนการตดต ง Advanced Proxy add-on
วตถประสงค เพอเพมความสามารถใหกบผทตองการสงอ านวยความสะดวกในเรองของ Proxy Server
เรมจากดาวนโหลดแพกเกจทเปน Advanced Proxy ไดจาก http://www.advproxy.net
ท าการถายโอนไฟลจากเครอง Client ทไดดาวนโหลดแพกเกจ Advanced Proxy ไวไปยงเครอง IPCop โดยใช
โปรแกรม WinSCP สงไฟลไปไวใน /tmp จากนนใชโปรแกรม PuTTy ท าการตดตงโดยใชค าสง
root@ipcop:/tmp # tar -xvzf ipcop-advproxy-2.1.9.tar.gz
root@ipcop:/tmp # cd ipcop-advproxy
root@ipcop:/tmp # ./install
เมอตดตงโปรแกรมเสรจแลว ทเมนของ IPCop web GUI จะมการเปลยนชอเมนของ Proxy เปน Advanced
Proxy
ข นตอนการตดต ง Copfilter add-on
Download โปรแกรม copfilter จาก http://www.copfilter.org/ ในทนจะใช copfilter-0.84beta3a สงไฟลน
ไปไวใน /tmp จากนนตดตงตามขนตอน
หลงจากทเราตดตงเสรจแลว จะไดหวขอใหมเพมขนมา เลอกหวขอตางๆ เปด-ปด Service ตามทเราตองการ
ดงเชน
ข นตอนการตดต ง Copfilter add-on
คณสมบตของ URL Filter
- สามารถท างานโดยเขากนไดกบ Blacklist ของ squidGuard
- มความยดหยน สามารถบลอก Categories ตาง ๆ ทไมใช hardcored
- สามารถตง schedule ใหอพเดต Blacklist อตโนมตได
- สามารถท า constraints ส าหรบ client เปนแบบ time หรอ category
- เปนของฟรแมวาจะใชงานส าหรบ commercial
ดาวนโหลด URL Filter ไดจาก http://www.urlfilter.net/download.html
สงไฟลนไปไวใน /tmp โดยผานโปรแกรม WinSCP จากนนตดตงตามขนตอน
root@ipcop:/tmp # tar -xvzf ipcop-urlfilter-1.9.3.tar.tar
root@ipcop:/tmp # cd ipcop-urlfilter
root@ipcop:/tmp/ipcop-urlfilter # ./install
VPN
แนวคดพนฐานเกยวกบ VPN
แนวคดเกยวกบ VPN คอการปองกนขอมลระหวางทมการตดตอขามเครอขายสาธารณะ
จากรปจะพบวามเครอขายสวนตวสองเครอขายตองการตดตอถงกน และกนโดยผาน VPN Gateway ซงกคอ IPCop
หลกการท างานของ IPCop คอการบรรจขอมลเขาไปการขนสงทเขารหส แลวเมอไปถงปลายทางกท าการน าขอมลทไดออกจากขอมลทเขารหส ซงการเขารหสนใชเทคนค Cryptographic ซงขอมลจะปองกนการดกฟง หรอ
การเขาไปยงขอมลทตดตอไดในเครอขายสาธารณะ
การก าหนดคาในการใชงาน VPN คอนขางจะยงยากเมอมการใชรวมกบการแปลงทอยบนไฟรวอลล (NAT) เชน IPCop ซงจะมขาทเชอมตอกนสองขางเพอทจะตดตอกบเครอขาย Green และผานการ Encapsulate เพอไมใหม
การรบกวนกบการท างานของไฟรวอลล
การตดต งใชงาน OpenVPN แบบ Host-to-Net บน IPCop
อางอง : http://www.itwizard.info/technology/linux/OpenVPN/OpenVPN_IPCop_host_to_net.html
การตดตง OpenVPN บน IPCop จะมสองแบบคอ
1. Host-to-Net Virtual Private Network (RoadWarrior)
2. Net-to-Net Virtual Private Network
ซงในทนเราจะใชโปรแกรม ZERINA OpenVPN addon ซงเปน addon ส าหรบ IPCop และในสวนของ VPN
Client ใช OpenVPN GUI for Windows
การตดต งและคอนฟก OpenVPN บน IPCop แบบ Host-to-Net Virtual Private Network (RoadWarrior)
1. ท าการ Enable ssh access บนเครอง IPCop
2. ท าการตดตงโปรแกรม ZERINA OpenVPN addon
ดาวนโหลดโปรแกรม ZERINA OpenVPN addon ไดท http://www.zerina.de/zerina/?q=download
อพโหลดไฟล ZERINA-0.9.4d-Installer.tar.tar จากเครอง PC ไปยงเครอง IPCop
โดยสงไปไวใน /tmp โดยผานโปรแกรม WinSCP จากนนตดตงตามขนตอน
root@ipcop:/tmp # tar -xvzf ZERINA-0.9.5b-Installer.tar.gz
root@ipcop:/tmp # ./install
3. ท าการสราง Configuration file ซงเปนขนตอนทส าคญ หามขามขนตอนนเดดขาด วธการคอ ทหนาเวบเพจ
ของ IPCop ใหเลอกเมน VPNs --> OpenVPN ทสวนของ Global settings ใหคลกทป ม Advanced Server
options และใหคลกป ม Save Advanced options โดยไมตองเปลยนแปลงคาใด ๆ
4. ท าการคอนฟกคาของ VPN ตามขนตอนตอไปน
สวนของ Global settings ใหใสคาขอมลดงรป และคลกป ม Save โดย :
- Local VPN Hostname/IP เปน Public IP ของ IPCop นนเอง
- OpenVPN Subnet : OpenVPN ตองการ extra virtual subnet ซงตองเปน subnet ทตองไมตรงกบท
ใชบน IPCop หรอทใชกบ Client side ในทนเลอกเปน 10.0.0.0/24 โดย IP ในชดนจะถกจายใหกบ
เครองทเปน Remote user (VPN Client) เมอมการ connect เขามา ถงแมเครอง Remote จะไดรบ IP ท
ไมเปนชดเดยวกนกบ Green Interface แตมนกสามารถทจะคยกบ Green Interface ได
ในสวนของ Certificate Authorities ดงรปขางลางใหคลกป ม Generate Root/Host Certificates
แลวใหท าการปอนขอมลคลายกบรป โดยในสวนของ PKCS12 ซงอยสวนลางของรป ไมตองปอน ซงจะใชในกรณ
ทม Certificate อยแลว แลวใหคลกป ม Generate Root/Host Certificates
จากนนจะไดผลดงรปลางน
ตอไปเปนสวนของ Client Certificate ใหท าการคลกทป ม Add ของสวน Client status and control ดงรป
จากนนใหเลอก Host-to-Net ดงรป แลวคลกป ม Add
จากนนใหปอนขอมลคลายกบรปขางลาง แลวคลกป ม Save
จากนนจะไดผลดงรปขางลาง
จากรปขางบนใหคลกทรป (Download Client Package (zip)) เพอดาวนโหลดไปไวทเครอง VPN Client
เพอจะไดน าไปใสไวในต าแหนง config ของโปรแกรม VPN Client ตอไป
Start OpenVPN ดวยการคลกป ม Start OpenVPN Server แลวสถานะของ Current OpenVPN Server Status
จะ RUNNING ดงร ป
5. ตดตงโปรแกรม OpenVPN GUI for Windows (VPN Client)
ดาวนโหลดโปรแกรมจาก http://openvpn.se/
6. ใหท าการแตกไฟล (unzip) client package ทดาวนโหลดมาในขนตอนกอนน ไวในต าแหนง C:\Program
Files\OpenVPN\config
7. ท าการเชอมตอ VPN Client ไปยง VPN Server ดวยการคลกขวาทไอคอน แลวเลอกเมน Connect ดงรป
8. ใหท าการปอนรหสผานตามทไดก าหนดไวในขนตอนกอนหนาน (PKCS12 File password) และเมอ connect
ไดแลว icon ของ VPN Client ท taskbar จะเปนดงรป
9. เมอใชค าสง ipconfig จะไดผลดงรป ซงทดลองใชงานเครอง VPN Client เชอมตอเขาไปยง VPN Server เมอ
เชอมตอ VPN ไดแลวจะได IP เพมมาอก IP เปน 10.0.0.6/255.255.255.252
10. ลองมาทดสอบดวยการ ping โดยครงแรกยงเชอมตอ VPN และครงทสอง ท าการเชอมตอ จะไดดงรป