IPCOP (การตดตงและใชงาน)

สามารถดาวนโหลดไดท http://www.ipcop.org

อางอง : http://www.itwizard.info/technology/linux/ipcop/install_ipcop.html

http://ball.narucha.com/setupIP-COP.html

http://www.itcompanion.co.th/Contents/IPCOP/IPCOP(Installing).html

http://www.linuxthai.org/index_linuxthai.html

http://www.itwizard.info/technology/linux/OpenVPN/OpenVPN_IPCop_host_to_net.html

วนท 16 พ.ค. 2551

โปรแกรม IPCop เปนไฟรวอลลทท างานอยบนระบบปฏบตการ Linux ในปจจบนรองรบ Kernel 2.4.x และรองรบขอตกลงของ GNU ซงท าใหระบบปฏบต และแอพพลเคชนนฟรมทกอยางทตองการ

ความสามารถของ IPCop

o HTTP ส าหรบการบรหารงานพอรตทใชคอ 81 และรองรบการเขารหส SSL ทพอรต 445 เพอความปลอดภย

o IP Table ทรองรบกฎในการหามไมใหภายนอกเขามา และอนญาตใหภายในออกไปตดตอโลกภายนอกได

o Squid รองรบความสามารถของ Proxy o Snort ทรองรบความสามารถของ IDS ซงรองรบทงการใหบรการแบบเรยลไทม และการ

อพเดตดวยมอ รวมถงการจดบรหาร Traffic Shaping ทควบคมการจราจรสามระดบคอ High Medium Low

o DHCP รองรบแมขายเปน DHCP เพอแจกหมายเลข IP address ใหกบลกขายตางๆ o System Log จดเกบลอกการบรหารระบบ และลอกของแอพพลเคชนตางๆเชน Proxy,

Firewall, IDS/IPS o Cron Server รองรบการตงเวลาในการด าเนนงานดานตางๆเชนการส ารอง และการเปดปด

ระบบ o NTP Server o รองรบ Certification Authority และ VPN Server o การแสดงคาก าหนด และการด าเนนการของระบบ และการจราจรดวยรปภาพ o รองรบการบรหารงาน และก าหนดคาตดตงในรปแบบของ Linux

IPCop แบงเครอขายออกเปน 6 แบบคอ

Green Red Orange Blue Black Magenta

Internal Internet DMZ Wireless Local VPN

โดยจะมรปแบบทเลอกทเปนดฟอลทคอ Green กบ Red ทเปน WAN (ADSL, Modem) ถาตองการตดตงเปน Network Card ตองมการเตรยมเครองไวลวงหนา

ในการตดตงเครองตองมการเตรยมดสก ซดรอม และ Network Card ตามจ านวนเครอขายทตองการ เชน 3 การดเพอสรางเครอขาย Green, Orange, Red เปนตน

ตวอยางการเชอมตอใชงาน IPCop

ทดสอบตดตง IPcop โดยตดตงผาน VMware ก าหนดดงรป สรางเครอขาย Green, Orange, Red

1. Boot เรมตนการตดตง กด Enter

2. เลอก English กด Enter

3. หนาจอตอนรบเคาะ Enter

4. เลอกวาจะตดตงจาก CDROM หรอ HTTP/FTP ถาเปน HTTP/FTP เครองตองตดตออนเตอรเนตไดในทนเลอก

CDROM และเคาะ Enter

5. IPCop จะระบใหทราบวาจะมการฟอรแมตดสกในรปนคอ IDE ดสกท 1 แลวเคาะ Enter

6. Restore config ของ ipcop เคาะ Spacebar ตก Skip แลว OK

7. หาการด Lan ฝง Green เลอก Probe มนจะ Scan หาให

8. Detected เจอ เคาะ Enter

9. การดทก าหนดคอ Green ใหระบหมายเลข IP address และ Subnet mask ทตองการเคาะ Enter

10. มขอความแจงวาตดตงเรยบรอย ถาตองการน าออกใหใช Fdisk /mbr และการบรหารงานจะใชผาน

http://IPCop:81 หรอ https://IPCop:445 ซงผบรหารตองจ ารหสผานของ dial และ admin ใหไดในการก าหนด

คาทตดตอในอนเตอรเนต และเครอง IPCop เสรจแลว OK

11. เลอกผงคยบอรดทตองการ, Keyboard เลอก US เคาะ Enter

12. Timezone เลอกเปน Asia/Bangkok เคาะ Enter

13. ก าหนดชอโอสต แลวเคาะ Enter

14. ก าหนดชอโดเมน แลวเคาะ Enter

15. ในการตดตงครงนเราไมม ISDN ใหเลอก Disable ISDN และเคาะ Enter

16. โดยทวไปคา Network จะก าหนดเปน Green (RED is modem/ISDN) เลอกท Network configuration

type แลวเคาะ Enter

17. เลอกรปแบบทตองการในทนเราเลอกเปน Green + Orange + Red แลวเคาะ Enter

18. เลอกท Drivers and card assignments เคาะ Enter

19. จะไดรบแจงวาการดใดยงไมถกก าหนด เคาะ Enter

20. ระบท Orange เคาะ Enter และ Red เคาะ Enter

21. เคาะ Enter เพอยอมรบคาทก าหนด

22. ก าหนด Address settings แลว OK

23. เลอกการดทตองการในทนคอ Orange และก าหนดคาหมายเลข IP ซงคา Green จะก าหนดไวอยแลว

24. ระบหมายเลข IP address และ Subnet mask (Orange) แลว OK

25. เลอกการด Red แลวเคาะ Enter ก าหนดหมายเลข IP และ Subnet Mask

ขา Red สามารถเลอกทจะรบ IP address จาก DHCP หรอ Static หรอ PPPOE หรอ PPTP ถาก าหนด

เปน manual ตองระบหมายเลข IP และ Subnet mask เอง

Set เปน static ip: 192.168.200.218 แลว OK

26. กลบมาท DNS and Gateway settings กด OK เขาไป

27. Set IP gateway และ DNS ให IPCop (Gateway=IP router) แลว OK

28. เลอกท Done แลวเคาะ Enter

29. ระบบจะใหก าหนด DHCP ถาในองคกรมอยแลวไมตองก าหนดถาไมมใหเลอก Enable และระบ IP address

เรมตนถงคาทตองการ ก าหนดคา DNS เวลาทใชดงรป แลว OK

30. ก าหนดคารหสผาน root โดยใสรหสผานทง password, Again ใหตรงกน แลว OK

31. ก าหนดรหสผาน admin ส าหรบการบรหารงานผานเวบใสรหสผานทง password, Again ใหตรงกน แลว OK

32. ก าหนดรหสผาน backup ส าหรบการ backup ใสรหสผานทง password, Again ใหตรงกน แลว OK

33. การตดตง IPCop เสรจเรยบรอยแลว OK รอเครองรสตารทเพอใชงาน IPCop

ไปท าการ config กอนทหนา Web โดยเปด IE พมพ http://IPของIPCop:81 หรอ https://IPของIPCop:445

ใส User เปน admin และ password ตามทก าหนดตามขอท 31

การตดต งโปรแกรม Addons ส าหรบ IPCop (สามารถดรายการโปรแกรมไดท http://www.ipcop.org/index.php?module=pnWikka&tag=IPCopAddons)

การท า External Access เพอเปด https และ ssh ส าหรบการท า Remote

เขาดวย IP ฝง Red (IP : 192.168.200.218 port 445)

Remote เขาดวย Putty ส าหรบการ Telnet ผาน Port 222

Remote เขาดวย WinSCP ผาน Port 222 ส าหรบ Upload ไฟล (ใชขนการสง File จากเครองลกขายไป

เครอง server) ซงสามารถดาวนโหลดไดจาก http://winscp.net

ข นตอนการตดต ง Advanced Proxy add-on

วตถประสงค เพอเพมความสามารถใหกบผทตองการสงอ านวยความสะดวกในเรองของ Proxy Server

เรมจากดาวนโหลดแพกเกจทเปน Advanced Proxy ไดจาก http://www.advproxy.net

ท าการถายโอนไฟลจากเครอง Client ทไดดาวนโหลดแพกเกจ Advanced Proxy ไวไปยงเครอง IPCop โดยใช

โปรแกรม WinSCP สงไฟลไปไวใน /tmp จากนนใชโปรแกรม PuTTy ท าการตดตงโดยใชค าสง

root@ipcop:/tmp # tar -xvzf ipcop-advproxy-2.1.9.tar.gz

root@ipcop:/tmp # cd ipcop-advproxy

root@ipcop:/tmp # ./install

เมอตดตงโปรแกรมเสรจแลว ทเมนของ IPCop web GUI จะมการเปลยนชอเมนของ Proxy เปน Advanced

Proxy

ข นตอนการตดต ง Copfilter add-on

Download โปรแกรม copfilter จาก http://www.copfilter.org/ ในทนจะใช copfilter-0.84beta3a สงไฟลน

ไปไวใน /tmp จากนนตดตงตามขนตอน

หลงจากทเราตดตงเสรจแลว จะไดหวขอใหมเพมขนมา เลอกหวขอตางๆ เปด-ปด Service ตามทเราตองการ

ดงเชน

ข นตอนการตดต ง Copfilter add-on

คณสมบตของ URL Filter

- สามารถท างานโดยเขากนไดกบ Blacklist ของ squidGuard

- มความยดหยน สามารถบลอก Categories ตาง ๆ ทไมใช hardcored

- สามารถตง schedule ใหอพเดต Blacklist อตโนมตได

- สามารถท า constraints ส าหรบ client เปนแบบ time หรอ category

- เปนของฟรแมวาจะใชงานส าหรบ commercial

ดาวนโหลด URL Filter ไดจาก http://www.urlfilter.net/download.html

สงไฟลนไปไวใน /tmp โดยผานโปรแกรม WinSCP จากนนตดตงตามขนตอน

root@ipcop:/tmp # tar -xvzf ipcop-urlfilter-1.9.3.tar.tar

root@ipcop:/tmp # cd ipcop-urlfilter

root@ipcop:/tmp/ipcop-urlfilter # ./install

VPN

แนวคดพนฐานเกยวกบ VPN

แนวคดเกยวกบ VPN คอการปองกนขอมลระหวางทมการตดตอขามเครอขายสาธารณะ

จากรปจะพบวามเครอขายสวนตวสองเครอขายตองการตดตอถงกน และกนโดยผาน VPN Gateway ซงกคอ IPCop

หลกการท างานของ IPCop คอการบรรจขอมลเขาไปการขนสงทเขารหส แลวเมอไปถงปลายทางกท าการน าขอมลทไดออกจากขอมลทเขารหส ซงการเขารหสนใชเทคนค Cryptographic ซงขอมลจะปองกนการดกฟง หรอ

การเขาไปยงขอมลทตดตอไดในเครอขายสาธารณะ

การก าหนดคาในการใชงาน VPN คอนขางจะยงยากเมอมการใชรวมกบการแปลงทอยบนไฟรวอลล (NAT) เชน IPCop ซงจะมขาทเชอมตอกนสองขางเพอทจะตดตอกบเครอขาย Green และผานการ Encapsulate เพอไมใหม

การรบกวนกบการท างานของไฟรวอลล

การตดต งใชงาน OpenVPN แบบ Host-to-Net บน IPCop

อางอง : http://www.itwizard.info/technology/linux/OpenVPN/OpenVPN_IPCop_host_to_net.html

การตดตง OpenVPN บน IPCop จะมสองแบบคอ

1. Host-to-Net Virtual Private Network (RoadWarrior)

2. Net-to-Net Virtual Private Network

ซงในทนเราจะใชโปรแกรม ZERINA OpenVPN addon ซงเปน addon ส าหรบ IPCop และในสวนของ VPN

Client ใช OpenVPN GUI for Windows

การตดต งและคอนฟก OpenVPN บน IPCop แบบ Host-to-Net Virtual Private Network (RoadWarrior)

1. ท าการ Enable ssh access บนเครอง IPCop

2. ท าการตดตงโปรแกรม ZERINA OpenVPN addon

ดาวนโหลดโปรแกรม ZERINA OpenVPN addon ไดท http://www.zerina.de/zerina/?q=download

อพโหลดไฟล ZERINA-0.9.4d-Installer.tar.tar จากเครอง PC ไปยงเครอง IPCop

โดยสงไปไวใน /tmp โดยผานโปรแกรม WinSCP จากนนตดตงตามขนตอน

root@ipcop:/tmp # tar -xvzf ZERINA-0.9.5b-Installer.tar.gz

root@ipcop:/tmp # ./install

3. ท าการสราง Configuration file ซงเปนขนตอนทส าคญ หามขามขนตอนนเดดขาด วธการคอ ทหนาเวบเพจ

ของ IPCop ใหเลอกเมน VPNs --> OpenVPN ทสวนของ Global settings ใหคลกทป ม Advanced Server

options และใหคลกป ม Save Advanced options โดยไมตองเปลยนแปลงคาใด ๆ

4. ท าการคอนฟกคาของ VPN ตามขนตอนตอไปน

สวนของ Global settings ใหใสคาขอมลดงรป และคลกป ม Save โดย :

- Local VPN Hostname/IP เปน Public IP ของ IPCop นนเอง

- OpenVPN Subnet : OpenVPN ตองการ extra virtual subnet ซงตองเปน subnet ทตองไมตรงกบท

ใชบน IPCop หรอทใชกบ Client side ในทนเลอกเปน 10.0.0.0/24 โดย IP ในชดนจะถกจายใหกบ

เครองทเปน Remote user (VPN Client) เมอมการ connect เขามา ถงแมเครอง Remote จะไดรบ IP ท

ไมเปนชดเดยวกนกบ Green Interface แตมนกสามารถทจะคยกบ Green Interface ได

ในสวนของ Certificate Authorities ดงรปขางลางใหคลกป ม Generate Root/Host Certificates

แลวใหท าการปอนขอมลคลายกบรป โดยในสวนของ PKCS12 ซงอยสวนลางของรป ไมตองปอน ซงจะใชในกรณ

ทม Certificate อยแลว แลวใหคลกป ม Generate Root/Host Certificates

จากนนจะไดผลดงรปลางน

ตอไปเปนสวนของ Client Certificate ใหท าการคลกทป ม Add ของสวน Client status and control ดงรป

จากนนใหเลอก Host-to-Net ดงรป แลวคลกป ม Add

จากนนใหปอนขอมลคลายกบรปขางลาง แลวคลกป ม Save

จากนนจะไดผลดงรปขางลาง

จากรปขางบนใหคลกทรป (Download Client Package (zip)) เพอดาวนโหลดไปไวทเครอง VPN Client

เพอจะไดน าไปใสไวในต าแหนง config ของโปรแกรม VPN Client ตอไป

Start OpenVPN ดวยการคลกป ม Start OpenVPN Server แลวสถานะของ Current OpenVPN Server Status

จะ RUNNING ดงร ป

5. ตดตงโปรแกรม OpenVPN GUI for Windows (VPN Client)

ดาวนโหลดโปรแกรมจาก http://openvpn.se/

6. ใหท าการแตกไฟล (unzip) client package ทดาวนโหลดมาในขนตอนกอนน ไวในต าแหนง C:\Program

Files\OpenVPN\config

7. ท าการเชอมตอ VPN Client ไปยง VPN Server ดวยการคลกขวาทไอคอน แลวเลอกเมน Connect ดงรป

8. ใหท าการปอนรหสผานตามทไดก าหนดไวในขนตอนกอนหนาน (PKCS12 File password) และเมอ connect

ไดแลว icon ของ VPN Client ท taskbar จะเปนดงรป

9. เมอใชค าสง ipconfig จะไดผลดงรป ซงทดลองใชงานเครอง VPN Client เชอมตอเขาไปยง VPN Server เมอ

เชอมตอ VPN ไดแลวจะได IP เพมมาอก IP เปน 10.0.0.6/255.255.255.252

10. ลองมาทดสอบดวยการ ping โดยครงแรกยงเชอมตอ VPN และครงทสอง ท าการเชอมตอ จะไดดงรป