Шлюз в Интернет или маршрутизатор своими руками

 

Часть 3. Установка основных дополнений к IPCop

04.12.2010
Новиков Максим Глебович

Оглавление.

Часть 1. Выбор «железа» и ПО
Часть 2. Установка IPCop версии 1.4.21
Часть 3. Установка основных дополнений к IPCop
Часть 4. Установка дополнения SAMBA
Часть 5. Дополнительная информация

Статья может периодически модифицироваться автором.
Постоянный адрес подлинника: http://novikovmaxim.narod.ru/linux/IPCop/index.htm

Глава 1. Общие правила ручной установки дополнений

Для установки дополнений в систему IPCop нам понадобятся две программы дистанционного доступа по протоколу shh для Windows:

WinSCP: http://winscp.net/eng/docs/lang:ru (требуется инсталляция)
PuTTY: http://www.chiark.greenend.org.uk/~sgtatham/putty/ (запускается без инсталляции)

Скачиваем и устанавливаем их, после чего на машине локальной сети:

  1. Входим в веб-интерфейс IPCop
    версия 1.4: https:// XXX.XXX.XXX.XXX:445
    версия 1.9: https:// XXX.XXX.XXX.XXX:8443 (информация даётся для справки)
  2. Включаем в IPCop доступ по ssh: System → SSH Access → Поставить галочку и нажать Save.
  3. В WinSCP в разделе Session вводим в поля:
    IP-адрес внутреннего интерфейса машины с ipcop в виде XXX.XXX.XXX.XXX
    Порт: версия 1.4: 222
    версия 1.9: 8022 (информация даётся для справки)
    Имя: root
    Пароль: тот, что задали для root при установке ipcop
    Private key file: пустое (оставить по умолчанию)
    File protocol: SFTP (оставить по умолчанию)
    Allow SCP fallback: включено (оставить по умолчанию)
  4. Нажимаем Save и сохраняем настройки сессии для последующего доступа.
  5. Нажимаем Login, в окне предупреждения отвечаем Yes.
  6. Копируем архив дополнения, например, в директорию root, в отдельный подкаталог.

На машине IPCop (или на машине локальной сети через PuTTY, настройка которой аналогична WinSCP):

  1. Входим как root.
  2. Переходим в подкаталог с архивом (cd имя_подкаталога)
  3. Набираем для распаковки: tar zxvf, пробел, и нажимаем Tab. Строка допишется единственным именем файла, содержащимся в подкаталоге.
  4. Нажимаем Enter. Архив развернётся.
  5. Если дополнение было заархивировано вместе с подкаталогом, набираем для входа в развёрнутый каталог: cd имя_подкаталога и нажимаем Enter.
  6. Запускаем установку командой ./install -i или ./setup –i (в зависимости от дополнения)

Глава 2. Установка Addon Server

Дополнение, позволяющее выполнять установку некоторых других дополнений (TCAR, Midnight Commander, IPTstat и т.п.) через веб-интерфейс. Очень удобная функция, но для её работы необходимо подключение к Интернету для получения этим дополнением списка доступных дополнений — без этого Addon Server жалуется на устаревший список и отказывается работать, несмотря на то, что нужные дополнения уже скачены. Кроме того, Addon Server нужен даже для ручной установки заточенных под него дополнений — таково требование скрипта установки.

Итак, устанавливаем дополнение согласно общим правилам ручной установки дополнений, описанным выше. Замечу, что дополнение заархивировано вместе с подкаталогом, поэтому после разархивирования не забудьте в него войти (cd addons). Запуск инсталляции осуществляется командой ./addoncfg –i

После перезагрузки веб-интерфейса в конце строки основного меню появится новый пункт — Addons.

Примечание: для удобства инсталляции несовместимых с Addon Server дополнений, а также для упрощения дальнейшего обслуживания системы, вторым же дополнением после Addon Server рекомендую установить командную оболочку, например, Midnight Commander:
http://firewalladdons.sourceforge.net/midnight.html.

Глава 3. Установка TCAR

Не могу констатировать, что дополнение TCAR (Traffic Control and Report) выполнено столь же качественно, как, например, BOT, которое мы установим следующим (как в плане скриптов установки, так и в плане гибкости настройки через веб-интерфейс), но это единственное известное мне дополнение, выполняющее отключение отдельных пользователей от Интернета после перерасхода ими установленного трафика за день, неделю или месяц. Из-за наличия этого дополнения, собственно, и был сделан окончательный выбор программного файервола в пользу IPCop 1.4.21. Надеюсь, автор этого столь нужного дополнения всё же найдёт в себе силы после длительного перерыва сделать новую версию, совместимую с IPCop 1.9.x (2.0).

Устанавливаем дополнение с помощью Addon Server или вручную, согласно общим правилам ручной установки дополнений. Дополнение заархивировано без подкаталога, поэтому при ручной установке не забудьте создать для него отдельную папку и поместить в неё архив для распаковки. Запуск инсталляции осуществляется командой ./setup

После перезагрузки веб-интерфейса в меню Services появится новый пункт — TrafficControl&Report.

Описываемое дополнение TCAR версии 1.1 b2 от 08.08.2005 разработано для IPCop версии 1.4.4, но работает также и с более новыми версиями этого файервола. Однако при работе с версией IPCop 1.4.21 для корректной отправки почты с отчётами по трафику следует после установки TCAR заменить файл /usr/local/bin/tcar_sendEmail версии 1.5.2, идущий в комплекте с TCAR, на файл последней версии (на текущий момент 1.5.6), который входит в состав пакета SendEmail: http://caspian.dotconf.net/menu/Software/SendEmail/.

Перед осуществлением замены переименуйте файл tcar_sendEmail в папке /usr/local/bin/ в tcar_sendEmail_old, скопируйте файл sendEmail из скаченного пакета в папку /usr/local/bin/, переименуйте его в tcar_sendEmail и поставьте ему права доступа 755. Теперь отправка почты будет проходить корректно.

Иногда не требуется рассылать отчёты о трафике каждому пользователю. Достаточно одного письма на адрес администратора. В этом случае в файле /usr/local/bin/tcar_sendstat.pl необходимо закомментировать строки с 359 по 364.

Если вы хотите получать в файле /var/log/tcar_email.log не краткий, а развёрнутый лог об отправке почты, то в строке 54 нового файла /usr/local/bin/tcar_sendEmail включите режим debug, изменив в этой опции значение с 0 на 1.

Внимание! Перед повторной установкой дополнения не забудьте деинсталлировать предыдущую версию, поскольку скрипт не проверяет систему на наличие уже установленной версии.

Внимание! Правила TCAR стоят перед правилами BOT в списке правил iptables, и если они что-либо запрещают, то BOT этого уже разрешить не может. Поэтому, если нужен доступ из локальной сети к машине IPCop по определённым портам вне зависимости от срабатывания правил в TCAR, требуется прямое добавление разрешающих правил в скрипт /etc/rc.d/helper/tcar-ac.pl (где уже есть похожие правила для портов ssh и веб-интерфейса, а также служб ICMP и DHCP).

Внимание! Если вы хотите отредактировать несколько уже готовых правил в TCAR, делайте это последовательно, по одному. Не отмечайте для редактирования флажками сразу несколько правил, иначе они сотрутся.

Внимание! Дополнение подсчитывает и отображает трафик с некоторой задержкой, достигающей пяти минут. Учитывайте это при проверке работоспособности дополнения, а также при лимитировании трафика. Целесообразно зажать скорость канала для пользователей, чтобы они не успели закачать за этот период слишком много.

Внимание! Дополнение подсчитывает трафик, дошедший до ip-уровня, то есть, оно не учитывает коллизии, множественные перезапросы, ошибки выравнивания, CRC, заголовки фрагментированных пакетов и т.п. Поэтому расхождение трафика TCAR с трафиком, подсчитанным провайдером на физическом уровне (на уровне пакетов), может достигать 15-20%.

Глава 4. Установка BOT

Достаточно качественно сделанное и удобное дополнение, позволяющее контролировать как доступ отдельных компьютеров сети к Интернету, так и их доступ к компьютеру IPCop (например, к веб-интерфейсу или к расшаренным с помощью дополнения SAMBA папкам).

Устанавливаем дополнение согласно общим правилам ручной установки дополнений. Дополнение заархивировано без подкаталога, поэтому не забудьте создать для него отдельную папку и поместить в неё архив для распаковки. Запуск инсталляции осуществляется командой ./setup

После перезагрузки веб-интерфейса в меню Firewall появится два новых пункта — BLOCK OUTGOING TRAFFIC и Advanced BOT Config.

Замечу, что дополнение разрешает доступ к веб-интерфейсу IPCop по mac-адресу компьютера администратора, прописанному в его настройках, поэтому соответствующее правило в разделе IPCop Access для администратора можно не прописывать. Исключение составляет доступ через порт 222 (WinSCP или PuTTY), для которого необходимо прописать правило, предварительно добавив порт 222 в список сервисов Firewall → Advanced BOT Config. При добавлении правил не забудьте их включать.

Внимание! Правила BOT стоят после правил TCAR в списке правил iptables, а потому не могут разрешить то, что уже запрещено в TCAR. Кроме того, всё, что явно не разрешено в BOT — запрещено.

Глава 5. Другие полезные дополнения

Кроме вышеописанных дополнений для IPCop 1.4.21 существует множество других, и некоторые из них тоже можно порекомендовать. Например, дополнение IPTstat позволяет просматривать текущие правила iptables, что очень полезно, например, для анализа того, какие изменения в правила внесли те или иные дополнения контроля трафика. Дополнение Net-Traffic позволяет просматривать объёмы входящего и исходящего трафика по разным интерфейсам. Дополнение sysinfo отображает всю информацию о железе, а также о статусах выполняющихся процессов.

Часть 1Часть 2Часть 3Часть 4Часть 5
[Вернуться в начало]
 [Оставить отзыв в гостевой]
Hosted by uCoz