版本2.3
作者:Joseph Guarino
本文档介绍如何安装GNU / Linux GPL IPCop防火墙并创建小型家庭办公网络。 在第二部分中,我们将介绍如何创建一个用于托管自己的Web服务器或邮件服务器的DMZ和用于过滤Web和电子邮件流量的Copfilter代理。
这是一个快速和肮脏的概述,创建一个IPCop防火墙,没有任何形式的保证!
什么是IPCop
IPCop项目是一个GNU / GPL项目,为互联网社区提供了独特的独特防火墙功能。 其全面的网络界面,文档良好的管理指南及其涉及和有用的用户/管理邮件列表使任何技术能力的用户感到宾至如归。 它远远超出了大多数Linux发行版中可用的简单ipchains / netfilter实现,甚至是商业竞争对手的防火墙功能集。
由于不断变化的威胁,防火墙不得不遭受巨大的变态。 IPCop是提供这样一系列默认特性的又一个例子,甚至还有一大批可选的插件,可以提供更多的功能。
一些IPCops令人印象深刻的基本安装功能包括:安全的https Web管理GUI,DHCP服务器,代理(Squid),DNS代理,动态DNS,时间服务器,流量整形,流量/系统/防火墙/ IDS图形,入侵检测(Snort) ISDN / ADSL设备支持和VPN(IPSec / PPTP)功能。 仿佛这些基本功能并不令人惊讶,有几十个附加组件可以进一步将IPCop的功能从Web过滤扩展到防病毒扫描。
您的IPCop的前提条件
IPCop安装通常运行25分钟,您可以使用相对适度的硬件要求完成它,如386处理器,32MB RAM和> 300MB磁盘,以及3个网卡(2个,如果不需要DMZ)。 如果您计划使用缓存代理,IDS或其他附加组件,请考虑RAM /处理器的附加功率。
构建您的IPCop您需要什么
- 386处理器,32MB内存,300MB硬盘和3个网卡
- 2 x 5端口10/100/1000交换机或第3层交换机
- 网络电缆
- 刻录ISO光盘
建筑决策:细分
安装前必须考虑的一个重要考虑是网络架构(分段/地址空间)。 IPCop使用红色,绿色,蓝色和橙色的颜色编码系统来描述接口/网段在保护网络方面的角色或安全级别。 颜色编码是逻辑的,因为它代表了从限制到允许的连续的网络访问。 RED接口是您不可信赖的接口/段,如Internet,而Green是内部网络的可信接口/段。 此外,Blue是无线设备的单独部分,而Orange则适用于DMZ,或者您可以在Internet上使用任何可公开访问的服务器。 在这种情况下,我们只配置一个绿色/红色/橙色网络安装,其中有3个网络接口,其中一个是有线宽带提供商电缆调制解调器(以太网)。
了解并拣配您的地址空间
在您开始之前,重要的是要知道您的ISP TCP / IP设置。 您的ISP为您提供DHCP地址还是静态IP地址? 在很多情况下,只需访问您的ISP的“支持”页面即可提供此信息。 大多数ISP使用DHCP动态分配IP地址空间,以便获得适用于您的RED接口的非静态IP地址。 记下您的ISP将在您安装之前使用TCP / IP设置。
在构建您的IPCop解决方案时,您可以选择设置NAT(网络地址转换)网络地址空间。 绿色,蓝色和橙色网络完全依赖于每个网络上将拥有多少个节点或机器。 标准机构定义的3个网络空间,IETF,可用于这些NAT网络,它们是:
10.0.0.0 - 10.255.255.255(10/8前缀)
172.16.0.0 - 172.31.255.255(172.16 / 12前缀)
192.168.0.0 - 192.168.255.255(192.168 / 16前缀)
如果您的绿色网络包含15个主机,您可以使用192.168.1.2-16。 您的绿色界面将运行DHCP并将地址传递到此范围内的内部网络。 相同的逻辑适用于您的Orange或DMZ网络上的地址空间,选择适合您所需主机/网络数量的网络空间。
安装你的IPCop
验证IPCop网站的硬件兼容性。下载ISO并烧录它们。
连接所有物理层,即以太网电缆,将显示器,键盘和鼠标连接到将作为您的IPCop的机器
启动光盘。
运行简单的基于提示的安装。注意:这些都是非常不言而喻的步骤,如选择您的语言。箭头键,Tab和Enter将帮助您导航。
安装过程
- 选择你的语言。
- 在这种情况下选择您的安装介质,CD。
- 配置网卡配置网卡的最快方法是选择Probe选项。 如果您知道网卡信息,可以从Select选择您的确切界面。
接下来,当您询问输入您的绿色界面时,您必须位于您选择的地址空间(我们的示例中为192.168.1.x)内的地址。 在IP地址字段中输入192.168.1.1。
接下来,IPCop将格式化并将其自身复制到您的硬盘驱动器。 见下文。
安装完成后,系统将提示您重新启动并运行安装程序,如图所示。 见下文。
初始设置
安装了IPCop后,我们现在必须在设置中输入一些进一步的配置信息,使我们的设置完成。
- 输入键盘,时区和主机名/域。
- ISDN设置由于您不使用ISDN,您应该选择禁用它
- 网络配置类型 - 选择要运行的接口配置,方法是选中“网络配置类型”并按Enter键。
在我们的例子中,您将选择红/橙/绿。
由于我们有3个接口并且只设置了绿色,所以重复上述红色和橙色接口的接口设置选项。
配置RED接口使用DHCP,因为这是连接到互联网的接口(即您的ISP)。 然后将您的ORANGE接口配置为使用192.168.10.x地址空间。 对于红色选项卡到DHCP框,并通过按Enter键选择它。 所以如果您的绿色网络将包含15个主机,您可以使用192.168.1.2-16。 要设置此功能,只需在此范围内添加192.168.1.2-16,并向下选择“确定”。
密码设置 - IPCop有2个用户将被要求为root和admin设置密码。 将这两个设置为强大的密码> 8个字符的密码,不是任何语言的单词,并且包含Caps。 一个很好的例子是1luv19c0p。 根密码将用于登录,并通过SSH添加任何附加组件或升级。 管理员用户日常管理您的IPCop。
在IPCop安装结束时,系统将要求您重新启动。 重新启动后,转到LAN上的另一台机器,并强制您的网络接口卡使用ifconfig(Linux / Unix)或ipconfig(Windows)更新动态(DHCP)地址。 验证您在192.168.1.x上的地址设置的新网络上是否处于活动状态。 通过此验证的连接到IPCop的安全的https Web界面。 输入https://192.168.1.1:445或https://192.168.1.1:81并以admin用户身份登录。
验证所有设置和连接。 然后查看这个伟大的GNU开源防火墙的所有功能。 在第二部分中,我们将如何讨论设置动态DNS,使用Copfilter过滤电子邮件/ Web /代理,并允许访问您所选择的DMZ或橙色网络中的Web /邮件服务器。 在此之前,请查看www.IPCop.org网站和快乐黑客!
进化型IT是系统,网络和安全解决方案的独立提供商。 请随意发表评论或建议 。 非常感谢我的好姐姐安东尼纳在编辑这篇文章的帮助。
2006授权在知识共享署名 - 非商业性_分享2.5
Joseph Guarino - 进化IT - www.evolutionaryit.com