IPCop è un ottimo firewall open source basato su Linux Debian custom. La configurazione tipo è possibile reperirla presso il sito ufficiale IPCop dove viene dettagliatamente documentata.
Ho trovato molto utili alcune modifiche ed informazioni per customizzare il sistema rendendolo più completo e sicuro.
Accedere a IPCop via SSH
Per accedere al sistema via SSH (tramite l'utility Putty ad esempio) ricordarsi che IPCop non utilizza la porta standard 22 ma bisogna impostare la porta 222.
Configurazione via web
Tramite browser è possibile accedere alla configurazione del sistema IPCop digitando l'indirizzo https://ip-address:445.
Addons
Utili add-ons per completare il sistema IPCop possono essere i seguenti:
- Copfilter (antivirus, antispam, web filter)
- Advanced proxy (aggiunge autenticazione e altre caratteristiche)
- Zerina (OpenVPN)
- BlockOutTraffic (blocca il traffico che IPCop lascia passare)
Forzare l'utilizzo del proxy
Se il browser dei clients (IE, Firefox, Opera) non viene configurato, l'accesso a Internet avviene direttamente senza avvalersi del proxy. Questo può rivelarsi non molto utile per motivi di sicurezza, controllo e utilizzo di banda.
In una rete è opportuno che tutti i clients passino per un proxy impedendo la navigazione a Internet se il browser non viene correttamente impostato (manualmente, via GPO, script, etc...).
Per forzare i clients ad accedere a Internet tramite il proxy, editare il file:
# vi /etc/rc.d/rc.firewall.local
Identificare la voce riportata ed inserire l'istruzione:
# add your 'start' rules here /sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m mport --dports 80,443 -j DROP
dove:
eth0= GREEN interface
eth1= RED interface
Per caricare la nuova configurazione:
# /etc/rc.d/rc.firewall.local reload
Zerina (OpenVPN)
Se si installa l'add-on per l'utilizzo di OpenVPN e si presenta la necessità di modificare manualmente le impostazioni fatte in automatico, bisogna editare il file di configurazione:
# vi /var/ipcop/ovpn/server.conf
Ricordarsi che se successivamente vengono fatte delle modifiche tramite interfaccia grafiche, le impostazioni manuali vengono perse.
Per rafforzare la sicurezza del sistema, si possono adottare alcune soluzioni descritte nel precedente articolo Mettere in sicurezza un sistema Linux.
Salve
il comando riportato
/sbin/iptables -A CUSTOMFORWARD -i eth0 -o eth1 -p tcp -m mport –dports 80,443 -j DROP
non funziona con IpCop con iptables vers. 1.3.5 e restituisce il seguente messaggio:
iptables v1.3.5: mport expects an option
Bad argument 'v1.3.5:'
Try 'iptables -h' or 'iptables --help' for more information.
/etc/rc.d/rc.firewall.local: line 9: -dports command not found
Mi è stata utile questo articolo, grazie!
Segnalo un piccolo errore di grafia: è --dports non -dports
(lo segnalo per quelli che come me sono assolutamente neofiti)
accidenti... sono due trattini prima di dports, non so perchè non appaiano
Perchè ricevo questo errore?
/etc/rc.d/rc.firewall.local: line 17: /sbin/iptables-A: No such file or directory