 |
|
|
|
|
|
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
|
|||||||||
| Home / ausgabe / 2005 / 05 | |||||||||
|
|
|
||
|
Home | ||
|
|||
|
Suchen: |
||
|
|||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
|||||||||||||||||||
|
||
|
TFT Monitor bei
Mercateo kaufen.
Neues Netbook? Ein Preisvergleich lohnt sich. Bei uns finden sie Notebooks, PDAs und Drucker mit Testberichten und Tipps. Diamant Buchhaltungssoftware – transparent und detailliert auch für die Konzernbuchhaltung. Günstige Shareware Programme als direkte Downloads im Software Portal. Bis zu 70% sparen durch Preisvergleich. |
||
|
von Thomas Leichtenstern
Die Distribution IP-Cop arbeitete sich in den vergangenen Jahren aufgrund einer Vielzahl von Features und Addons auf die vorderen Plätze im Bereich kostenloser Firewall-Router vor. Für den Betrieb benötigen Sie lediglich einen ausgemusterten Pentium I mit 90 MHz sowie 32 MByte RAM, 500-MByte-Festplatte und zwei Netzwerkkarten.
Die Entwickler konzipierten die Distribution in erster Linie für kleinere Netzwerke mit maximal 50 Clients. Legt der Admin jenseits der web-basierten Konfiguration Hand an, bekommt er mit IP-Cop auch für größere Netzwerke eine hervorragende Ausgangsbasis.
Eine grafische Installationsroutine erleichtert das Setup. Beachten Sie dabei, dass IP-Cop immer die komplette Festplatte für sich beansprucht. Testinstallationen auf einer Partition sind nicht möglich. Nach Abfrage der grundlegenden Eckdaten wie Quellmedium und Sprache bietet die Distribution die Option an, eine frühere Datensicherung einzuspielen und damit den Urpsrungszustand wiederherzustellen. Die Sicherung dieser Systemeinstellungen erfolgt über das Web-Frontend.
Die anschliessende Treiberinstallation der die Netzwerkkarten ermittelt die eingebauten Devices weitgehend automatisch. Ist das nicht der Fall, haben Sie die Möglichkeit, den Treiber manuell den jeweiligen Karten zuzuordnen. Eine Liste aller unterstützen Netzwerkgeräte finden Sie auf der IP-Cop Web-Seite [3]. Im nächsten Schritt legen Sie die IP-Adresse des grünen -- zum LAN gerichteten -- Interface fest. Für das Tastaturlayout bietet sich im Normalfall die Auswahl de-latin1-nodeadkeys an; als Zeitzone wählen Sie CET (Central Europe Time).
Die Netzwerkkonfiguration startet mit der Abfrage, ob ISDN zu aktivieren sei. IP-Cop unterstützt die meisten gängigen ISDN-Karten wie Teles, Elsa, Sedlbauer oder AVM. Der Treiber für die weit verbreitete Fritzcard PCI/PNP befindet sich jedoch im Experimentierstadium. Sollte das Setup Ihre ISDN-Karte nicht automatisch erkennen, wählen Sie in der Rubrik ISDN-Karte den passenden Treiber aus. Das zu verwendende Protokoll --in Deutschland meist DSS1-- legen Sie in der Rubrik Protokoll/Land fest.
Im folgenden Fenster finden Sie als ersten Menüpunkt Typ der Netzwerkkonfiguration. Hier legen Sie die Aufgaben der Devices fest. Red steht das externe Device, welches zum Internet zeigt, Grün die Netzwerkkarte zum LAN, Orange die DMZ und blau die WLAN-Karte. Bei einer Standardinstallation mit zwei Netzwerkkarten wählen Sie den Punkt Green + Red. Dies gilt auch, wenn Sie den IP-Cop an ein externes DSL-Modem anschliessen.
Im Punkt Adress-Einstellungen legen Sie die IP-Adressen der Karten fest. Als DSL-Nutzer mit einem externen Modem aktivieren Sie im roten Device den Punkt PPPOE. Analog-Modem- und ISDN-Benutzer überspringen diesen Abschnitt.
Den DHCP-Server aktivieren und konfigurieren Sie im nächsten Fenster. Sollten Sie Hosts mit statischer IP-Adresse betreiben, achten Sie darauf, dass sich die Adressen nicht mit der Range des DHCP überschneiden. Schliessen Sie nun die Konfiguration mit der Eingabe der Passwörter für root und admin ab. Aus Sicherheitsgründen kann root sich ausschliesslich an der Shell und admin lediglich am Webfronted anmelden.
Nach der Installation können Sie den Rechner getrost von sämtlichen Pheripheriegeräten befreien und in ein stilles Kämmerlein verfrachten, da der laufende Betrieb keinen physikalischer Zugriff erfordert. Schalten Sie zuvor jedoch im BIOS Funktionen wie Halt on all Errors ab, da Ihr Rechner sonst unter Umständen nicht bootet. Zur nachträglichen Änderung des Setups rufen Sie das Kommando setup auf. Dieses öffnet das grafische Frontend, das Sie von der Installation kennen.
Die Konfiguration von IP-Cop erreichen Sie über die URL https://">https://<Rechner-IP>:445. Melden Sie sich bei der Authentifizierungsabfrage als User admin mit dem von Ihnen gewählten Passwort an. Die aktualisierte Liste der verfügbaren Updates, die das System selbständig erstellt, sehen Sie über den Menüpunkt System | Updates ein. Mit einem Klick auf den Link Info neben der jeweiligen Beschreibung gelangen Sie zur Download-Seite des Patches.
Die Datensicherung erreichen Sie über den gleichnamigen Punkt im Menü System. Die Sicherungssätze speichert IP-Cop zunächst lokal. Jedoch sollten Sie zumindest einen Datensatz auf einen anderen Rechner übertragen. Möchten Sie die Sicherung als Grundlage für ein Desaster Recovery verwenden, legen Sie eine formatierte Diskette ein, und drücken Sie den Button Datensicherung auf Diskette. Bei einer Neuinstallation verwendet das Setup die enthaltenen Konfigurationsdateien.
Unter der Rubrik System | SSH-Zugriff aktivieren und konfigurieren Sie den SSH-Daemon, den Sie über Port 222 erreichen. Der Punkt TCP-Forwarding erlaubt, potentiell unsichere Protokolle über einen sicheren SSH-Tunnel zu betreiben [4].
Unter Netzwerk | Einwahl konfigurieren Sie die externen Netzwerkdevices. Sollten Sie das angezeigte Device wechseln, klicken Sie auf aktualisieren, da die eingeblendeten Konfiguration von der gewählten Schnittstelle abhängen. Als DSL-Nutzer mit externem Modem wählen Sie hier PPPoE. Geben Sie unter Authentifizierung den Benutzernamen und das Passwort an, das Sie von Ihrem ISP erhalten haben. Sollte es beim Verbindungsaufbau zu Problemen kommen, finden Sie im Menüpunkt Logs detaillierte Hinweise, die Ihnen bei der Fehlerbeseitigung helfen.
Die Konfiguration des DHCP-Servers erreichen Sie über den Menüpunkt Dienste | DHCP-Servers. Im oberen Bereich DHCP finden Sie generelle Einstellungen wie Adressbereich, Leasetime und Informationen, die der Server an den Client übermittelt (DNS, NTP, WINS). Im unteren Bereich treffen Sie feste Zuordnungen von MAC zu IP-Adressen. Eingetragene Rechner bekommen dann bei der Anmeldung immer die gleiche Adresse zugewiesen.
Die Konfiguration von Dienste | Dynamischer DNS erlaubt die Zuordnung von dynamischen IP-Adressen zu statischen Domain-Namen. Dies setzt aber voraus, dass sie bei einem Anbieter wie http://dyndns.org über ein entsprechendes Konto verfügen. Dann aktualisiert IP-Cop bei jeder Einwahl die Zuordnung.
Der zunächst trivial anmutende Punkt Dienste | Hosts bearbeiten hat bei näherer Betrachtung durchaus seine Berechtigung: Wie bereits beschrieben verfügt IPCop über einen DNS-Relay namens dnsmasq. Dieser leitet DNS-Anfragen in erster Linie an einen öffentlichen Nameservice weiter, jedoch nur, wenn sich die Adresse nicht lokal über die Datei /etc/hosts auflösen lässt. Der unter Dienste | Zeitserver zu konfigurierende NTP-Server stellt auf Wunsch allen Rechnern im Netz die aktuelle Zeit zur Verfügung.
Über Dienste | Traffic Shaping stellen Sie grundlegende Bandbreitenbegrenzungen ein. Neben der globalen Bandbreitenzuordnung besteht jedoch nur die Möglichkeit, bestimmten Ports Prioritäten aber keine Limits zuzuweisen. Abhilfe schafft das Addon QOS für IP-Cop [5], das Sie jedoch nur benutzen sollten, wenn Sie mit der grundlegenden Funktionsweise von Quality of Service vertraut sind.
Einige Spiele, Instant Messanger und Filesharing-Programme benötigen einen direkten Zugriff von Aussen auf interne Rechner. IP-Cop stellt unter dem Menüpunkt Firewall | Port-Weiterleitung das dafür notwendige Werkzeug zur Verfügung. Das Feld Quell-Port gibt an, an welchem Port IP-Cop die Anfragen entgegennimmt; Ziel-Port und Ziel-Adresse, wohin er sie weiterleitet. Der Punkt Firewall | externer Zugang öffnet Ports direkt zum Firewall-System.
Die Administrationsoberfläche zum verwalten virtueller Netzwerke finden Sie im Menüpunkt VPNs. Der Zugriff eines einzelnen Rechners auf das VPN stellt nur ein mögliches Szenario dar. In so einem Fall geben Sie im Feld Lokaler VPN Hostname/IP Ihre öffentliche IP-Adresse ein. Sollten Sie über keine statische verfügen, verwenden Sie alternativ eine Dyndns-Adresse. Klicken Sie auf Hinzufügen und wählen Sie als Verbindungstyp Host-zu-Netz. In der folgenden Maske definieren Sie das lokale Subnetz -- also den Adressbereich Ihres LANs, welches Sie erreichen möchten. Über die Authentifizierungsmethode Pre-Shared Schlüssel legen Sie das Passwort für den Zugriff auf das VPN fest.
Der Hauptpunkt Status fasst alle Informationen über den aktuellen Zustand des Systems zusammen. Status | Systemstatus informiert über gestartete Dienste, geladene Kernel-Module, gemountete Dateisysteme und benötigten Arbeitsspeicher. Status | Netzwerkstatus stellt die Konfiguration der Netzwerkkarten und Routingtabelle dar. Über den Punkt Status | Systemdiagramme erreichen Sie eine grafisch aufbereitete Analyse zur Speicher- und CPU-Last.
Ähnlich verhält es sich bei den Netzwerkdiagrammen. IP-Cop legt für jedes Interface ein Diagramm an, das über eingehenden und ausgehenden Datenverkehr informiert. Aktuell offene Verbindungen ersehen Sie im Punkt Status | Verbindungen. Zur Analyse der Log-Dateien stellt die Distribution eine Reihe grafischer Frontends zur Verfügung. Diese brechen die kryptischen Nachrichten auf ein benutzerfreundliches Niveau herunter.
Die etwas mickerig geratene Proxy-Konfiguration erweitert Marco Sondermanns Addon Advanced Proxy [6], das auf der Heft-CD enthalten ist. Zur Installation laden Sie das Paket ipcop-advproxy-1.0.6.tar.gz via SCP (scp -P 222 ipcop-advproxy-1.0.6.tar.gz root@<Rechnername>:/root/) auf den Rechner mit IP-Cop. Loggen Sie sich anschließend via SSH auf dem Rechner ein, wechseln Sie in das Verzeichnis /root und geben den Befehl tar xfvz ipcop-advproxy-1.0.6.tar.gz ein.
Wechseln Sie nun in das neu erstellte Verzeichnis ipcop-advproxy/ und starten Sie das Installations-Skript mit dem Aufruf ./install. Zur Konfiguration wechseln Sie auf das Webfrontend, wo Sie unter Dienste den neuen Unterpunkt Advanced Proxy finden. In den allgemeinen Einstellungen legen Sie fest, in welchem Modi der Proxy arbeitet und auf welchem Port er lauscht.
Richtig auf die Sprünge helfen Sie Squid mit der Cache-Verwaltung. Gute Ergebnisse erzielen Sie mit den Richtlinien zur Speicherersetzung (heap GDSF) und Cache-Ersetzung (cheap LFUDA). Im Offline-Modus liefert Squid Seiten aus dem Zwischenspeicher aus, wenn diese nicht mehr erreichbar sind. Zur personenbezogenen Authentifizierung bietet Advanced Proxy unter der Rubrik Authentifizierungsmethode verschiedene Einstellungen. Zur Wahl stehen neben der lokalen noch zentrale Anmeldedienste wie LDAP, Windows und Radius.
Das auf Squid-Guard basierende Addon URL-Filter [7] bietet eine Fülle benutzerfreundlicher Filter-und Sperroptionen für den Squid-Proxy. Die Installation gestaltet sich identisch mit der des Advanced Proxy. Tauschen Sie lediglich den Paketnamen gegen ipcop-urlfilter-1.4.1.tar.gz und verfahren Sie, wie beschrieben.
Nach erfolgreicher Installation finden Sie im Menüpunkt Dienste nun die Rubrik URL-Filter. Die Sperrkategorien legen grundlegend fest, welche Web-Seiten generell zu filtern sind. Die lokale Dateiumleitung erlaubt Ihnen, häufig gezogene Downloads lokal bereitzustellen um den Traffic zu senken. Mit der zeitbasierten Zugriffskontrolle legen Sie fest, in welchem Zeitraum der Proxy für bestimmte Hosts erreichbar ist. Gelangt ein Anwender an das Zeitlimit, sperrt der Proxy diesen bis zum nächsten Intervall.
In aller Regel werkelt der Cop vor sich hin, ohne durch grossartige Allüren auf sich aufmerksam zu machen. Sollte es doch einmal zu Störfällen kommen, steht ihnen eine große deutsche IP-Cop-Community [8] mit Rat und Tat zur Seite.
| Infos |
|
[1] IPCop-Homepage: http://www.ipcop.org
[2] RFC 1918: http://rfc.net/rfc1918.html [3] Liste der unterstützten Netzwerkgeräte: http://ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopHCLv01 [4] TCP-Forwarding: http://www.tu-chemnitz.de/docs/lindocs/RH73/RH-DOCS/rhl-rg-de-7.3/s1-ssh-beyondshell.html [5] QOS für IP-Cop: http://www.mhaddons.tk [6] Adv-Proxy: http://www.advproxy.net/ [7] URL-Filter: http://www.urlfilter.net/ [8] Deutsches IPCop Forum: http://ipcop-forum.de |
Copyright © 2005 Linux New Media AG
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links" nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedruckten Fassung entsprechen.
Druckerfreundliche Version |
Feedback zu dieser Seite
|
Datenschutz |
© 2010 Linux New Media AG |
Last modified: 2008-04-22 14:01
[Linux-Magazin]
[LinuxUser]
[EasyLinux]
[Linux-Community]
[Ubuntu User]
[Linux Technical Review]
[Linux Magazine]
[Linux Pro Magazine]
[Ubuntu User]
[EasyLinux Poland]
[Linux Magazine Poland]
[Linux Magazine Brasil]
[EasyLinux Brasil]
[Linux Magazine Spain]