完美的Linux防火墙第一部分 - IPCop-系统运维-优客志

完美的Linux防火墙第一部分 - IPCop
版本2.3
作者：Joseph Guarino

本文档介绍如何安装GNU / Linux GPL IPCop防火墙并创建小型家庭办公网络。在第二部分中，我们将介绍如何创建一个用于托管自己的Web服务器或邮件服务器的DMZ和用于过滤Web和电子邮件流量的Copfilter代理。

这是一个快速和肮脏的概述，创建一个IPCop防火墙，没有任何形式的保证！

什么是IPCop
IPCop项目是一个GNU / GPL项目，为互联网社区提供了独特的独特防火墙功能。其全面的网络界面，文档良好的管理指南及其涉及和有用的用户/管理邮件列表使任何技术能力的用户感到宾至如归。它远远超出了大多数Linux发行版中可用的简单ipchains / netfilter实现，甚至是商业竞争对手的防火墙功能集。

由于不断变化的威胁，防火墙不得不遭受巨大的变态。 IPCop是提供这样一系列默认特性的又一个例子，甚至还有一大批可选的插件，可以提供更多的功能。

一些IPCops令人印象深刻的基本安装功能包括：安全的https Web管理GUI，DHCP服务器，代理（Squid），DNS代理，动态DNS，时间服务器，流量整形，流量/系统/防火墙/ IDS图形，入侵检测（Snort） ISDN / ADSL设备支持和VPN（IPSec / PPTP）功能。仿佛这些基本功能并不令人惊讶，有几十个附加组件可以进一步将IPCop的功能从Web过滤扩展到防病毒扫描。

您的IPCop的前提条件
IPCop安装通常运行25分钟，您可以使用相对适度的硬件要求完成它，如386处理器，32MB RAM和> 300MB磁盘，以及3个网卡（2个，如果不需要DMZ）。如果您计划使用缓存代理，IDS或其他附加组件，请考虑RAM /处理器的附加功率。

构建您的IPCop您需要什么

386处理器，32MB内存，300MB硬盘和3个网卡
2 x 5端口10/100/1000交换机或第3层交换机
网络电缆
刻录ISO光盘

建筑决策：细分
安装前必须考虑的一个重要考虑是网络架构（分段/地址空间）。 IPCop使用红色，绿色，蓝色和橙色的颜色编码系统来描述接口/网段在保护网络方面的角色或安全级别。颜色编码是逻辑的，因为它代表了从限制到允许的连续的网络访问。 RED接口是您不可信赖的接口/段，如Internet，而Green是内部网络的可信接口/段。此外，Blue是无线设备的单独部分，而Orange则适用于DMZ，或者您可以在Internet上使用任何可公开访问的服务器。在这种情况下，我们只配置一个绿色/红色/橙色网络安装，其中有3个网络接口，其中一个是有线宽带提供商电缆调制解调器（以太网）。

了解并拣配您的地址空间
在您开始之前，重要的是要知道您的ISP TCP / IP设置。您的ISP为您提供DHCP地址还是静态IP地址？在很多情况下，只需访问您的ISP的“支持”页面即可提供此信息。大多数ISP使用DHCP动态分配IP地址空间，以便获得适用于您的RED接口的非静态IP地址。记下您的ISP将在您安装之前使用TCP / IP设置。
在构建您的IPCop解决方案时，您可以选择设置NAT（网络地址转换）网络地址空间。绿色，蓝色和橙色网络完全依赖于每个网络上将拥有多少个节点或机器。标准机构定义的3个网络空间，IETF，可用于这些NAT网络，它们是：

10.0.0.0 - 10.255.255.255（10/8前缀）
172.16.0.0 - 172.31.255.255（172.16 / 12前缀）
192.168.0.0 - 192.168.255.255（192.168 / 16前缀）

如果您的绿色网络包含15个主机，您可以使用192.168.1.2-16。您的绿色界面将运行DHCP并将地址传递到此范围内的内部网络。相同的逻辑适用于您的Orange或DMZ网络上的地址空间，选择适合您所需主机/网络数量的网络空间。

安装你的IPCop

验证IPCop网站的硬件兼容性。
下载ISO并烧录它们。
连接所有物理层，即以太网电缆，将显示器，键盘和鼠标连接到将作为您的IPCop的机器
启动光盘。
运行简单的基于提示的安装。注意：这些都是非常不言而喻的步骤，如选择您的语言。箭头键，Tab和Enter将帮助您导航。

安装过程

选择你的语言。
在这种情况下选择您的安装介质，CD。
配置网卡配置网卡的最快方法是选择Probe选项。如果您知道网卡信息，可以从Select选择您的确切界面。

接下来，当您询问输入您的绿色界面时，您必须位于您选择的地址空间（我们的示例中为192.168.1.x）内的地址。在IP地址字段中输入192.168.1.1。

接下来，IPCop将格式化并将其自身复制到您的硬盘驱动器。见下文。

安装完成后，系统将提示您重新启动并运行安装程序，如图所示。见下文。

初始设置
安装了IPCop后，我们现在必须在设置中输入一些进一步的配置信息，使我们的设置完成。

输入键盘，时区和主机名/域。
ISDN设置由于您不使用ISDN，您应该选择禁用它
网络配置类型 - 选择要运行的接口配置，方法是选中“网络配置类型”并按Enter键。

在我们的例子中，您将选择红/橙/绿。

由于我们有3个接口并且只设置了绿色，所以重复上述红色和橙色接口的接口设置选项。
配置RED接口使用DHCP，因为这是连接到互联网的接口（即您的ISP）。然后将您的ORANGE接口配置为使用192.168.10.x地址空间。对于红色选项卡到DHCP框，并通过按Enter键选择它。所以如果您的绿色网络将包含15个主机，您可以使用192.168.1.2-16。要设置此功能，只需在此范围内添加192.168.1.2-16，并向下选择“确定”。

密码设置 - IPCop有2个用户将被要求为root和admin设置密码。将这两个设置为强大的密码> 8个字符的密码，不是任何语言的单词，并且包含Caps。一个很好的例子是1luv19c0p。根密码将用于登录，并通过SSH添加任何附加组件或升级。管理员用户日常管理您的IPCop。

在IPCop安装结束时，系统将要求您重新启动。重新启动后，转到LAN上的另一台机器，并强制您的网络接口卡使用ifconfig（Linux / Unix）或ipconfig（Windows）更新动态（DHCP）地址。验证您在192.168.1.x上的地址设置的新网络上是否处于活动状态。通过此验证的连接到IPCop的安全的https Web界面。输入https://192.168.1.1:445或https://192.168.1.1:81并以admin用户身份登录。

验证所有设置和连接。然后查看这个伟大的GNU开源防火墙的所有功能。在第二部分中，我们将如何讨论设置动态DNS，使用Copfilter过滤电子邮件/ Web /代理，并允许访问您所选择的DMZ或橙色网络中的Web /邮件服务器。在此之前，请查看www.IPCop.org网站和快乐黑客！