Linux E X P R E S

Facebook

IPCop - firewall pro tvrďáky

Správný muž má mít nůž! Nebo aspoň speciální distribuci pro ochranu toho nejcennějšího, co má - svého Linuxu...


A správná síť firewall... Je spousta filmů, kde jsou poldové ti špatní a zase spousta těch, kde jsou na té správné straně. A kam patří tenhle? Po dlouhodobém používání verzí předchozích a krátkodobém testování verze nové mám jasno – mně určitě slouží a prozatím i chrání. I když gangsteři nejen ve filmu většinou mívají náskok...

IPCop je speciální distribuce (ISO pouhých 40MB) určená pro firewally. S IPCopem bezpečně připojíte k Internetu síť do pár minut. Tomu napovídá i motto projektu: The bad packets stop here!

Možná to znáte – jsou kousky hardwaru, ke kterým si mi, jakožto počítačový nadšenci, vybudujeme téměř citovou vazbu a neradi se jich zbavujeme. Ačkoliv už jsou technicky i technologicky zastaralé, prostě je nám líto je vyhodit. Sám mám svůj oblíbený kousek – procesor AMD K6-2/350 MHz, na který nedám dopustit a pro který jsem našel příhodné místečko ve svém file serveru. A právě pro podobné "stařečky" je určen i následující software. Nebo spíše ještě pro ty vousatější.

Jde o specializovanou linuxovou distribuci založenou na kernelu řady 2.4. A jaká je vlastně její specializace? Už podle názvu je to zřejmé – jde o softwarový firewall, který by neměl být problém nainstalovat i na hodně muzejní kousky (oficiálně od 386 nahoru). Osobně už žádnou 386 nevlastním, takže pro tuto distribuci byl přidělen PC ve speciálním malém case s tichým PSU v konfiguraci Intel Pentium 200MMX, 64MB RAM, 1.2 GB disk, 2 neznačkové síťové karty. A jak ukázalo testování, konfigurace to byla až zbytečně nadupaná.

Co dostaneme a jak to nainstalujeme

Možností instalace je několik s jednou společnou podmínkou – tou je ISO obraz (40 MB), který je k dispozici na domovských stránkách. Poté máme možnost si jej vypálit a nabootovat přímo z CD nebo z diskety případně si ISO uložit na ftp a přes boot z diskety instalovat ze serveru. Já jsem zvolil boot z CD a hned na začátku jsem byl mile překvapen – ačkoliv mi angličtina nepůsobí větší potíže, v aktuální verzi 1.4 je k dispozici i čeština! A kromě ní a standardní angličtiny ještě dalších 15 jazyků.

Instalace byla triviální a pekelně rychlá (řádově minuty). Během ní mi byla nabídnuta možnost upgradu z minulé verze (přes disketu se zálohou konfigurace). Musím se přiznat, že IPCop jsem používal již řadu měsíců, a proto jsem této instalace mohl využít. Nicméně pro účely testování jsem zvolil instalaci "na čisto".

Disk byl automaticky rozdělen, obě karty byly systémem bez problémů detekovány (můžeme samozřejmě využít i manuální konfiguraci) a kartě určené pro připojení do interní sítě (označovaná jako GREEN) jsem přidělil IP adresu a síťovou masku. Po nainstalování souborů si IPCop ještě vyžádal nastavení klávesnice, časového pásma, hostname a jméno domény. Pak už jen stačilo zadat vybraný typ síťové konfigurace. Pro účely testování (jak je z konfigurace počítače patrné) jsem vybral rozdělení do dvou segmentů – RED a GREEN.

Tato označení jsou obecně zažitá, takže se omezím jen na výčet možností – pro segment RED (tedy přístupu na Internet) můžeme kromě pevného připojení použít i modem (analog i ADSL) či ISDN. Samozřejmě v této souvislosti můžeme zvolit i způsob přidělování IP adresy pro RED – statická, přidělovaná DHCP, PPPOE či PPTP. Kromě těchto dvou standardních zón je nám k dispozici ještě ORANGE a BLUE. Počítače umístěné v oranžové zóně jsou ty, které nemohou přistupovat do modré a zelené (pouze přes striktně nastavené DMZ "pinholes") a jsou přístupné z červené zóny. Modrá zóna je určena pro bezdrátová zařízení opět s defaultním omezením přístupu do zelené zóny.

Teď jen nastavím DNS servery a bránu a konfigurace už je hotová... Aha tak ještě něco – chceme nastavit IPCop jako DHCP server? Nechceme. Takže už? Ne, ještě přihlašovací hesla k účtům root a admin a následuje reboot. Vypadá to dobře – už máme k dispozici bootovací nabídku a můžeme si zvolit dokonce boot s povoleným ACPI a podporovaný je i víceprocesorový systém. Ovšem na svém stroji ani jednu ze zvolených možností nebudu potřebovat. Možnost, kterou zvolím, zůstane předvolena i pro budoucí spuštění, což je příjemné.

Už je čas vyzkoušet funkčnost – prosté řešení bývá nejlepší, takže ping na tento stroj a pokud je vše ok, můžeme se podívat na to, proč jsem si IPCop zamiloval – v prohlížeči zadáme https://adresa_IPCopu:445 (případně http://adresa_IPCopu:81). Vše bylo (alespoň v mém případě) nastaveno korektně a v prohlížeči naběhlo sympatické webové rozhraní ala Webmin.

Ovládání a konfigurace

Uživatelské rozhraní je vpravdě přítulné a návykové, takže i ti, kteří se Linuxu obávají, nebudou mít problém. V minulosti jsem tohle distro našel vlastně kvůli jednomu staršímu pánovi, kterému už jen slovo Linux nahání strach. Nejdříve jsem mu jeho firewall předinstaloval, ale pak si sám osahal i instalaci a zvládal i ve svém linuxově nadprůměrném věku vše bez obtíží.

Samozřejmě pokud patříte mezi striktní zastánce příkazové řádky a textových konfigurací, nebude se vám tato vymoženost asi tak moc zamlouvat. K IPCop serveru můžeme ale přistupovat i přes SSH (tento přístup je třeba nejprve povolit ve zmíněném webovém rozhraní). Ačkoliv jsem měl, jak jsem zmínil výše, již funkční striktně nastavený IPCop, tohle testování jsem si chtěl trošku vychutnat. Takže jsem se pustil do elaborování a zkoušení různých možností.

Do zelené zóny jsem umístil počítač s nainstalovaným poštovním serverem. Takže z červené zóny bude přijímat zprávy pouze pro doménu a zelená bude mít zelenou i pro posílání zpráv do internetu. S posíláním e-mailů ven samozřejmě problém nebyl, protože přenos byl vyžádán ze zelené zóny. Dovnitř to ale s defaultním nastavením samozřejmě nejde (což je dobře). A k tomu tu máme možnost nastavit mapování portů (port forwarding). Nádhera – takže stačí zadat nové pravidlo pro smtp port a přesměrovat jej na daný mail server v zelené zóně.

Fungovalo napoprvé. Vyzkoušel jsem to i s jinými více či méně "nutnými" porty a fungovalo i to. Pokud chceme port povolit jen na chvilku, není problém – pravidlo odškrtneme a je to. Znovu ho psát nemusíme, stačí jen odfajfkovat. Co tu máme dál – chceme se na IPCop dostat z červené zóny, takže si povolíme externí přístup na TCP port 445 případně i IP adresu, ze které budeme přistupovat a je to. Osobně se ale řídím pravidlem "čím méně otevřených portů, tím lépe".

Užitečné funkce

K funkcím nejdůležitějším (kromě výše zmíněných) řadím proxy server. Používání proxy nepovažuji sice za bezpodmínečně nutné, ale určitě se hodí. A konfigurace proxy? Jednoduchá a přímočará od začátku do konce. Někteří profesionálové možná budou jisté věci postrádat, ale obecně si myslím, že je dostačující. Můžeme si zvlášť povolit proxy pro zelenou a modrou zónu, nastavit logování, transparentnost, port a několik dalších možností. Existují i ISP, kteří vás nutí používat jejich proxy. I na to pamatuje IPCop volbou upstream proxy serveru.

V této verzi stojí za povšimnutí i implementace traffic shapingu. V podstatě slouží k nastavení priority jednotlivých procesů (portů) – takže můžeme například udělit větší prioritu tcp portu 80 na úkor portů používaných pro p2p sítě atd. A málem bych zapomněl na opravdu podstatný kousek tohoto firewallu – detekci vniknutí (v tomto případě Snort), který je možno nastavit pro jednotlivé zóny. Standardně hlavně pro zónu Internetu – červenou. V této verzi funguje stahování nových pravidel, což je zcela jistě informace více než příjemná.

Pro někoho je důležitá i funkce DHCP serveru – i zde máme velmi jasné možnosti nastavení a systém pamatuje i na trvalá zapůjčení IP na základě MAC síťové karty. Další zajímavou možností je automatická aktualizace data a času pomocí NTP serveru a následně možnost používat IPCop jako NTP server pro vaši síť. Příjemná věc, kterou nastavíme za několik málo vteřin. VPN – tady se omezím jen na suché konstatování, že IPCop může spolupracovat téměř s každým VPN produktem, který podporuje IPSec a standardní kódování jako např. 3DES.

Logy, grafy, updaty

Procházení logů a grafů je, dle mého názoru, možné hodnotit pouze superlativy. Na přiložených obrázcích můžete krásně vidět, o čem to vlastně mluvím. Je to jasné, přehledné a čitelné – co víc si přát. Můžeme aktivně procházet logy pokusů o průnik, proxy, firewallu, sytému... Oním slůvkem "aktivně" mám na mysli hlavně reverzní DNS záznamy k logovaným IP adresám, takže si jedním kliknutím můžeme zobrazit, kdože se vám to pokoušel vniknout do systému.

Co se grafů týče, jsou k dispozici pro systém (CPU, paměť, disk), síť (provoz na jednotlivých zónách), proxy a IPTables. Vše barevně a přehledně. Co se updatů IPCopu týče, lze je bez problémů provést přes webové rozhraní. Totéž platí o vytvoření záložní diskety, kterou můžeme použít při další instalaci.

Hodnocení a závěr

Asi jste si všimli, že jsem prozatím hodnotil jen pozitivně. Ale za to může ta prokletá distribuce! Najdou se ale i takové věci, které by si nějaký mínus bodík zasloužily. Naštěstí nejde o nic zásadního. Tou první záležitostí je nemožnost jednoduchého updatu na nové celé verze IPCopu. Jsou k dispozici rozdílové aktualizace, které není problém implementovat, ale pokud chcete řekněme verzi 1.3 aktualizovat na 1.4, musíte si zazálohovat konfiguraci na disketu a následně instalovat novou verzi, která vám nabídne možnost konfigurace z diskety ze starší verze. Takže zanedbatelná drobnost bez vlivu na funkčnost, ale pro člověka zvyklého na apt-get/yum/urpmi je to krůček zpátky. A za druhé – možná, ale to je velmi subjektivní, bych trošku proházel jednotlivé položky v menu.

Závěrem snad už jen moje osobní hodnocení – IPCop je pro mě jasnou volbou pro SOHO segment – je nenáročný na hardware, snadno se používá, mluví česky, je uživatelsky přívětivý a je zdarma (distribuovaný pod GNU General Public License). A co pro vás?

Diskuze (5) Nahoru