Настройка специфических правил для IPCop для наращивания функциональности пакета Zerina с помощью BlockOutTraffic

IPCop работает с 3-мя итерфейсами : RED, GREEN и BLUE.
Зерина по умолчанию регистрирует нас как пользователей голубого интерфейса (BLUE), что не дает нам в праве использовать все возможности сети.
Для того чтобы IPcop нас принимал нас за зеленных (GREEN), нам понадобится с помощью BlockOutTraffic создать несколько специфических привил.
Для выполнения на необходим

1. Сам IPCop 1.4.1x
2. Расширение ZERINA IPCop
3. OpenVPN клиент Linux , Windows, Mac OS X
4. Расшиоение BlockOutTraffic для IPCop

Установка пакета BlockOutTraffic-2.3.1-GUI-b2.tar.gz не должно вызвать проблем. С помощью WinSCP и PuTTy переносим пакет. Как пользоваться WinSCP можно прочитать сдесь. Как работать PuTTy, будет полезна статья Работа на сервере IPCop через SSH .

cd .. для поднятия в корень
ls - отображения католога
cd bot - переход в папку bot
ls - отображение папки bot
tar zxvf BlockOutTraffic-2.3.1-GUI-b2.tar.gz - распаковка архива BlockOutTraffic
./setup- инсталяция пакета BlockOutTraffic
Все команды можно увидить ниже на скриншотах.

для удаления пакета используем комманду ./uninstall

после установки в web интерфейсе IPCop станет доступна вкладка ADVANCED BOT CONFIG в разделе FIREWALL

т.к. зерина слушает порт 1194/udp для OpenVPN подключения, создадим правило в разделе ADVANCED BOT CONFIG

добавим его

Установка и настройка windows клиента для удаленного компьютера

Устанавим клиент для windows openvpn-2.0.9-gui-1.0.3-install.exe переносим ранее сохраненный файл настройки (клиентткий пакет) в папку "C:\Programme\OpenVPN\config\"
Далее все просто в меню выбираем "Connect"

OpenVPN или Как подключиться из дома к локальной сети на работе?

Как можно соединить удаленный компьютер(например домашний компьютер) с рабочей локальной сетью. Но сначала разберёмся с терминами:
VPN (Virtual Private Network – “виртуальная частная сеть”. Суть этой технологии в том, что при подключении к VPN серверу при помощи специального программного обеспечения поверх общедоступной сети в уже установленном соединении организуется зашифрованный канал, обеспечивающий высокую защиту передаваемой по этому каналу информации за счёт применения специальных алгоритмов шифрования. Или проще VPN - это объединение локальных сетей или отдельных машин, подключенных к сети общего пользования, в единую виртуальную (наложенную) сеть, обеспечивающую секретность и целостность передаваемой по ней информации (прозрачно для пользователей).
OpenVPN – надежное и гибкое решение для VPN, позволяющее большинству платформам семейства Unix/Linux, Windows 2000/XP, и Mac OSX безопасно устанавливать зашифрованные каналы связи между собой. Эти каналы могут быть настроены разными способами.
OpenVPN GUI - очень удобная утилита для управления VPN для Windows 2000/XP. Пожалуй, она является самым удобным решением для конечного пользователя (например, простая в использовании иконка в панели задач). OpenVPN GUI предоставляет быстрый и простой доступ к VPN настройкам для большинства пользователей.
Zerina это дополнение к IPCop-у которое позволит нам организовать легко настраеваемый сервер VPN. Для этого нам необходимо скачать установочный пакет ZERINA-0.9.4d и OpenVPN клиент в моём примере я буду использовать openvpn-2.0.9-gui-1.0.3-install.exe клиент для Windows. Также нам понадобится WinSCP и PuTTy .
Переносим пакет ZERINA-0.9.4d на наш сервер в отдельную папку например - "zerina" изпользуя WinSCP
Для перемещения пакета в WinSCP создаем сесию с IPCop-ом (192.168.0.1)

вводим логин и пароль

подключаемся...

дальше все как в любом файловом менеджере

создаем папку "zerina" (комманда F7)

копируем пакет ZERINA-0.9.4d в папку "zerina".
Теперь настал черед PuTTy он поможет нам установить пакет. Краткая статья "Работа на сервере IPCop через SSH".
cd .. для поднятия в корень
ls - отображения католога
cd zerina - переход в папку zerina
ls - отображение папки zerina
tar -xzvf ./ZERINA-0.9.4d-Installer.tag.gz - распаковка архива ZERINA
./install - инсталяция пакета ZERINA
Все команды можно увидить ниже на скриншотах.


После установки в Web интерфейсе IPcop-а

в закладке VPN появится новый пункт OPENVPN

в пункте OPENVPN создадим General Root Certificat

заполним таблицу

после генерирования сертификата в закладке OpenVPN будет создана запись как на скриншоте выше

добавим клиента , тип подключения Host-to-Net VPN (roadwarrior)

заполняем данные ползователя, потом сохранить

запись о клиенте VPN создана

для того что бы скачать настройки для клиента, нужно нажав на иконку с пирамидой

теперь настало запустить наш OpenVPN сервер, нажмем кнопку старт сервер

наш OpenVPN сервер запущен

Расширение возможностей IPCop. Установка IPCop Firewall Addon Server. /// Лабораторная работа № 1 ///

Но сначала
Предупреждение!!!
С помощью дополнительного ПО, мы будем изменять конфигурацию IPCop.
Внимание дополнения создаются разными людьми со всего мира не исключено, что измение настрек IPCop может снизить защищённость вашего маршрутизатора!!!

Если это не пугает тогда скачиваем установочный файл IPCop Firewall Addon Server
кототорый является менеджером установок дополнений, впоследствии поможет нам более ефективно работать с дополнениями через web интерфейс.

Также нам нужен WinSCP ( WinSCP - это графический клиент SFTP для Windows с открытым исходным кодом. Он также поддерживает [устаревший] протокол SCP. Предназначен для защищённого копирования файлов между компьютером и серверами, поддерживающими эти протоколы.) он доступен в двух вариантах как плагин к фару и отдельная самостаятельная программа. Выбор дело вкуса или привычек.

PuTTy (Telnet и SSH-клиент, т.е. программа для безопасного подключения к удаленному компьютеру (например, веб-серверу) и выполнения на нем различных команд. PuTTY ведет логи, позволяет настраивать шрифты, цвета и разрешение консоли, допускает сохранение в своей памяти ключей авторизации, поддерживает работу через прокси-сервер. Работает без инсталляции, с домашней страницы можно скачать исходники, а также версию для UNIX.)

обновление IPCop до версии 1.4.11

ipcop-update-1.4.11.i386.tgz.gpg
Description: The file to update your installation.
Version: 1.4.11 | File size: 6.85 MB | Released: 2006-08-23

Для обновления необходимо, через веб интерфейс перейти System -> Updates -> Upload update file указать путь к скаченому архиву обновления ipcop-update-1.4.11.i386.tgz.gpg
-> Upload

Как востановить root пароль к IPCop?

Чтобы восстановить root пароль к IPCop, необходимо иметь доступ к компьютеру где установлен IPCop, клавиатуру и монитор. Далее перезагрузить компьютер - это можно сделать с любого компьютера из сети, набрав в Internet Explorer https://192.168.0.1:445/ или http://192.168.0.1:81/ перейти System -> Shutdown -> Reboot. Лично я его просто выключил. Подключил клавиатуру и монитор. Включил. При выборе загрузки нажал клавишу "а", и дописал к строке через пробел "single" затем Enter. Загрузился в командной строке, с помощью команды "passwd" поменял пароль, затем подтвердил. А потом перезагрузил компьютер, ведь пароль уже был изменен.

Работа на сервере IPCop через SSH

Работа на сервере IPCop через SSH (Secure SHell - это программа для входа в другие компьютеры, доступные по сети, для выполнения команд или программ на удаленных компьютерах и для передачи файлов с одного компьютера на другой. Она обеспечивает строгую проверку подлинности и безопасности соединений по незащищенным каналам, и используется как замена rlogin, rsh, и rcp. Дополнительно, ssh обеспечивает безопасность X-овых соединений и безопасное перенаправление иных, необходимых вам TCP соединений.)
Для подключения нам необходимо знать имя пользователя, пароль и IP адресс сервера.
В составе windows нет клиента для работы с протоколом SSH. Поэтому в качестве программы-клиента я рекомендю использовать программу PuTTY, последнюю версию которой можно скачать здесь. Вообще, вы можете использовать любой ssh-клиент. Например, SecureCRT, F-Secure SSH и так далее. Вот пример настроек для программы PuTTY:

После запуска в окне конфигурации достаточно указать имя сервера в поле Host name (or IP address) и выбрать Protocol: SSH.

Внимание IPCop использует не стандартный порт 222.

Рекомендуется сохранить настройки указав произвольный текст в поле Saved Sessions внашем случаи я выбрал IPCop и сохранив их кнопкой Save. В дальнейшем вы сможете начать работу с сервером загрузив эти настройки. Для этого достаточно сделать двойной щелчок на указанном ранее имени в списке Saved Sessions.

В начале работы на приглашение login as : укажите ваше регистрационное имя (по умолчанию root), затем на приглашение root@192.168.0.1`s password: укажите пароль.

Мы подключены и можем работать, попробуем выполнить команду ping.

Установка IPCop продолжение

выбираем раскладку клавиатуры

выбираем часовой пояс

имя сервера

домен

выбираем какие интерфейсы будем использовать

у меня кабельный модем и сеть, я выбрал GREEN + RED

настраиваем GREEN + RED интерфейс

выбираем интерфейс который будем настраивать

прописываю адресса данные мне провайдером (Ip адресс и маску)

прописываем DNS сервера и шлюз

вводим пароль администратора для коммандной строки

вводим пароль для веб интерфеса

перезагружаем компьютер

Установка IPCop

Перед началом установки необходимо опредилится какие задачи будет выполнять IPCop.
IPCop поддерживает следующие сетевые интерыейсы:

1. RED Network Interface

Это подключение к интернет, опасная зона. Первоначальная задача IPCop защищать зеленое, голубое и оранжевое подключение от красного.


2. GREEN Network Interface

- это наша локальная сеть


3. BLUE Network Interface

зто дополнительная сеть, позволяющая подключить беспроводные устройства отдельно от локальной сети.


4. ORANGE Network Interface

это дополнительная сеть которая позволяет помещать публично доступные серверы (почтоввый сервер, web-сервер и т.д.) в отдельную сеть. Компьютеры подключенные к этой сети не могут добраться напрямую до ЗЕЛЕНЫХ или СИНИХ

Для удобства зеленому интерфейсу присваеваем 192.168.1.1, голубому - 192.168.1.1 и оранжевому - 192.168.3.1. На машинах в зеленой сети 192.168.1.2/254, беспроводные - 192.168.2.2/254 и для наших серверов 192.168.3.2/254.
На рисунке ниже все это представленно наглядно

У меня до подключения уже была сеть, мне было лень менять 192.168.0.2/254 на 192.168.1.2/254, поэтому на зеленом инферсейсе у меня 192.168.0.1

Установка IPCop. Вставляем диск IPCop в CD-Rom, перезагружаем компютер в биосе выставлем загрузку с CD-Rom.


Теперь наш компьютер будет загружатся используя CD-Rom.
Внимание все данные на вашем жестком диске при установке IPCop будут удалены.

что и написано на на рисунке ниже

Если нам не жалко содержимого HDD то смело жмем ENTER.
В течении загрузки на экран поступает много системной информации, мы на ниё не обращаем внимания, если проблема аппаратных средств будет обнаружена, загрузка может остановиться. и тогда нам придеться читать чтоб разобратся в чем проблема.

После нескольких секунд, появится меню выбора языка установки.
Выбираем нужный нам язык интерфейса, думаю в 99 % случаев это будет наш родной - английский :-).

С этого момента, в установке, все диалоги, меню и веб-страницы будут на выбранном вами языке.



выбираем источник на котором находиться дистрибутив, у нас это CD-Rom.

После нажатия Enter установщик создаст разделы на жёстком диске и отформатирует их.

процес установки файлов начат

В этом пункте мы можем востановить настройки IPCop, если у нас осталась дискета востановления от предыщего установленого IPCop-а.

после установки, нам предложат выбрать драйвер сетевой карты для зеленого интерфейса.
в большинстве случаев можно довериться автоматическому определнию карты, нажав Probe. Если автоматически драйвер не будет установле, тогда нужно будет выбрать его вручную нажав Select.

находим нужную карту - Ok.

прописываем адресс и прерывание карты

карта установленна

устанавливаем IP адресс, в моем случае 192.168.0.1
маска 255.255.255.0

на этом первоначальная установка законченна.