IMPORTANT: Per accedir als fitxer de subversion: http://acacha.org/svn (sense password). Poc a poc s'aniran migrant els enllaços. Encara però funciona el subversion de la farga però no se sap fins quan... (usuari: prova i la paraula de pas 123456)

IPCOP

De SergiTurWiki
Share/Save/Bookmark
Dreceres ràpides: navegació, cerca
Alert.png Aquesta wiki forma part dels materials d'un curs
Curs: Administració dels sistemes informàtics de l'IES, DissenyXarxesLinux, LinuxAdministracioAvancada
Fitxers: ipcop.pdf (ipcop.odp) i algunes pàgines del document Transparències tema 4 i iptables.pdf
Repositori SVN: http://anonymous@svn.projectes.lafarga.cat/svn/iescopernic/Administracio_SI_IESCopernic
Usuari: anonymous
Paraula de pas: sense paraula de pas
Autors: Sergi Tur Badenas

IMPORTANT:

Vegeu també els articles:

ASI_IES/VirtualBox#Importaci.C3.B3_de_la_m.C3.A0quina_virtual_IPCOP
Encaminament 
iptables

Si voleu saber com obtenir una màquina virtual de Virtual box amb IPCOP.

Contingut

Instal·lació versió obsoleta

  • Arrenquem des del CD d'IPCOP i ens apareix la pantalla inicial

Ipcop1.png

  • Premem INTRO i a continuació escollim idioma
  • Elegim instal.lacio des de CD. Farà les particions del disc i instal.larà el sistema
  • A continuació ens pregunta si tenim sistema de Backup, com no el tenim, escollim saltar i seguim endavant

Ipcop2.png

  • A continuació elegim l'opció Prueba per tal que cerqui la targeta de xarxa

Ipcop3.png

  • Detecta les targetes i ens demana la ip de la xarxa verda (interna). Aquesta serà, en el cas de l'aula X, 192.168.20X.1

Ipcop4.png

  • Acaba la instal.lació i ens treu el disc. Traiem el disc i continuem
  • Escollim l’idioma del teclat (es)
  • A continuació el fus horari (Europe/Madrid)
  • Després ens demana el nom del host: ipcopaulaX
  • Nom del domini: aulaX.iescopernic.com
  • A continuació pasem a una finestra de configuració de l’ISDN…. Escollim deshabilite RDSI
  • I passem a la finestra de configuració

[[Imatge:ipcop]5.png]

  • I anem pas a pas, passant per totes les opcions:
         o En "Tipos de configuración de red" utilitzarem: Green and red
         o En "controladores i tarjetas asignadas" ens mostra la següent pantalla i ens indica que 
ja té assignada una targeta de xarxa a la xarxa verda i l’altra sense assignar, li diem Ok. 

Ipcop6.png

 o Detecta l’altra targeta i ens diu que l’assignarà a la xarxa vermella, li diem Ok 

Ipcop7.png

 o A continuació passem a l’apartat, "configuración de direcciones". Hi tenim les dues targetes: green i red. 
La verda ja està configurada, per tant escollim la vermella i ens apareix una pantalla on hi posem assignació estàtica i de IP: 192.168.X.2 

Imatge:ipcop8.png

 o Tornem a la pantalla de les dues targetes i li diem Acabado.
 o Passem a continuació a "Opciones de DNS i Gateway", i escrivim com a DNS primaria la de la màquina en la que instal.lem l'IPCOP (192.168.20X.1), 
com a secundària la ip del nostre servidor DNS: 192.168.0.7 i com a gateway: 192.168.X.1, 
que es la IP de la tarjeta de xarxa del router correponent a l’aula X 

Ipcop9.png

 o A continuació anem a la "Configuración del servidor DHCP", que no es farà en aquest moment. Però ara, hem d'anar 
amb compte ja que és fàcil sortir de la instal.lació sense adonar-se'n. Una vegada a la pantalla següent li diem Ok 

Ipcop10.png

 o A la següent pantalla li diem Acabado i torna a la mateixa pantalla, li tornem a dir Ok
  • A continuació ens demana les contrasenyes de root, d’aministrador web i d’administrador de Backup.
A totes posem la que ja sabem i ja hem acabat. Ara reiniciarà la màquina i ens demanarà l’usuari i la contrasenya 

Configuració posterior

  • Des de dintre de la xarxa verda, li posem a una màquina una Ip dintre del rang 192.168.20X.YYY i de porta d’enllaç 192.168.20X.1
  • Escrivim en la línia del navegador http://192.168.201.1:81 i accedirem via web a l’IPCOP

Ipcop11.png

  • La primera cosa a fer és activar ssh, despleguem la primera pestanya, i seleccionem l’opció del ssh. Ens apareixerà la pantalla que veiem a continuació.
Activem la casella d'ssh com podem veure. Hem de tenir en compte que l’ssh va pel port 222. Això ens permetrà conectar-nos a la màquina des de fora. 
Guardem i tornem a la pantalla principal. 

Ipcop12.png

  • Ara anem a l’opció firewall-> Acceso externo i obrim els ports 222 per al ssh i el 445, per a l'accés web des de l’exterior.
NOTA: Podem tornar a fer la configuració en qualsevol moment executant setup des de la línia de comandes.

Instal·lació des de HTTP/FTP

El primer que cal és tenir un servidor web a la xarxa on es conectara l'ipcop:

$ sudo apt-get install apache2

Del cd d'ipcop cal copiar els fitxers de l'arrel:

disk-versio_ipcop.tar.gz
ipcop-versio_ipcop.tar.gz

I la carpeta images

per exemple

$ sudo mkdir /var/www/ipcop
$ sudo cp /media/cdrom/disk-1.4.20.tar.gz /var/www
$ sudo cp /media/cdrom/ipcop-1.4.20.tar.gz /var/www
$ sudo cp images /var/www

I comprovem que és accesible des de un navegador. Un exemple

http://www.iescopernic.com/ipcop

Ara a l'instal·lar ipcop escollim la opció HTTP/FTP i posem la URL

http://ipmaquina/ipcop

Per exemple:

http://192.168.0.7/ipcop

Instal·lació i configuració versió 2.0.3

  • Arrenquem des del CD d'IPCOP i ens apareix la pantalla inicial
Ipcop-instal·lació1.jpg
  • Premem INTRO i a continuació escollim idioma
Ipcop-instal·lació2.jpg

Una vegada escollit l'idioma comença un assistent d'instal·lació on si és el cas, podem no començar la instal·lació.

Ipcop-instal·lació3.jpg

Indiquem el tipus de teclat a ulilitzar.

Ipcop-instal·lació4.jpg

Elegim la zona horària a la que ens trobem.

Ipcop-instal·lació5.jpg

Introduïm la data i la hora.

Ipcop-instal·lació6.jpg

Fem la sel·lecció del disc dur on farem la instal·lació.

Ipcop-instal·lació7.jpg

Posem que sí que estem segurs.

Ipcop-instal·lació8.jpg

A la imatge següent ens fa descriure en quin sistema d'emmagatzematge volem instal·lar el software. Nosaltres ho farem mitjançant el disc dur.

Ipcop-instal·lació9.jpg

En aquest apartat nosaltres li donem a saltar però podriem tenir a part, un altre sistema com un disquet que guardaria tota la configuració de l'IPCOP.

Ipcop-instal·lació10.jpg

Acabem d'instal·lar l'IPCOP li donem a felicidades, treiem el cd i arranquem la màquina.

Ipcop-instal·lació11.jpg

Una volta la màquina arrenca, el primer que ens demana és introduïr el nom de la màquina host.

Ipcop-instal·lació12.jpg

Seguidament, introduïr el domini

Ipcop-instal·lació13.jpg

A continuació la màquina ja comença a tenir una configuració. I ens demanarà la configuració per a la interfície Roja. La interfície roja és la interfície que pertany del router cap a fora, és a dir, cap a la xarxa WAN Internet.

Ipcop-instal·lació14.jpg

Sel·leccionem la targeta de xarxa

Ipcop-instal·lació15.jpg

I li assignem un color, en aquest cas, a la interfície Micro el color verd.

Ipcop-instal·lació16.jpg

I el color roig a la interfície Intel

Ipcop-instal·lació17.jpg

Una vegada definides les dos interfícies li donem a Hecho

Ipcop-instal·lació18.jpg

Introduïm una ip i màscara de la interfície verda

Ipcop-instal·lació19.jpg

També introduïm una ip i una màscara per a l'altra interfície, la roja.

Ipcop-instal·lació20.jpg

Cal introduir la informació referent al dns i gateway que tinguem configurat.

Ipcop-instal·lació21.jpg

A continuació cal definir el servidor dhcp si el volem tenir activat o no amb les seves respectives IP d'inici i fi.

Ipcop-instal·lació22.jpg

Posem una contrasenya a l'usuari root per accedir a la consola.

Ipcop-instal·lació23.jpg

Introduïm també una contrasenya per a l'usuari admin d'IPCOP.

Ipcop-instal·lació24.jpg

Contrasenya de backup per fer l'exportació de la clau de l'usuari de forma segura.

Ipcop-instal·lació25.jpg

Ja hem acabat la instal·lació.

Ipcop-instal·lació26.jpg

Inicia el grub de l'IPCOP i elegim la opció número 1

Ipcop-instal·lació27.jpg

Accés SSH

L'accés SSH a IPCOP esta tancat per defecte. Per activar-lo hem d'anar a la pestanya Sistema/Acceso SSH i activar el checkbox

IPCOPSSH1.png

IPCOPSSH.png

NOTA IPCOP també canvia el port normal de SSH del 22 al 222, i 8022 a partir de la versió 1.9

Per connectar-nos a IPCOP (suposant que la IP de la interfície verda és 192.168.1.50) hem d'executar:

$ ssh -p 222 root@192.168.1.50

Accés SSH des de l'exterior (xarxa vermella)

Cal accedir a la secció Firewall/Acceso Externo:

IPCOPSSH2.png

I obrir el port 222 a l'exterior:

IPCOPSSH3.png

El resultat és el següent:

IPCOPSSH4.png

Accès SSH en la versió 2.0.3

Accedim a l'aplicació pel navegador web en la IP del servidor IPCOP pel port 8080. Introduïm l'usuari i contrasenya. Si volem accedir a les opcions anem a la pestanya sistema --> acceso SSH

Ipcop-instal·lació28.jpg

A continuació s'activa la opció d'enable SSH

Ipcop-instal·lació29.jpg

Màquina virtual

Consulteu Virtual_Box#IPCOP

Proxy SQUID

Consulteu l'article Squid

Fitxers de configuració

# Do not modify '/var/ipcop/proxy/squid.conf' directly since any changes
# you make will be overwritten whenever you resave proxy settings using the
# web interface!
#
# Instead, modify the file '/var/ipcop/proxy/advanced/acls/include.acl' and
# then restart the proxy service using the web interface. Changes made to the
# 'include.acl' file will propagate to the 'squid.conf' file at that time.

shutdown_lifetime 5 seconds
icp_port 0

http_port 192.168.11.1:800 

acl no_cache_hosts url_regex -i "/var/ipcop/proxy/advanced/acls/dst_nocache_url.acl"
cache deny no_cache_hosts

cache_effective_user squid
cache_effective_group squid
umask 022

pid_filename /var/run/squid.pid

cache_mem 750 MB
cache_dir aufs /var/log/cache 10000 16 256

error_directory /usr/lib/squid/advproxy/errors/Catalan 

access_log /var/log/squid/access.log
cache_log /var/log/squid/cache.log
cache_store_log none
useragent_log /var/log/squid/user_agent.log

strip_query_terms off

log_mime_hdrs off
forwarded_for off
via off

acl within_timeframe time MTWHFAS 00:00-24:00

acl all src 0.0.0.0/0.0.0.0
acl localhost src 127.0.0.1/255.255.255.255
acl SSL_ports port 443 # https
acl SSL_ports port 563 # snews
acl SSL_ports port 993 # IMAP GMAIL
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl Safe_ports port 563 # snews
acl Safe_ports port 70 # gopher
acl Safe_ports port 210 # wais
acl Safe_ports port 1025-65535 # unregistered ports
acl Safe_ports port 280 # http-mgmt
acl Safe_ports port 488 # gss-http
acl Safe_ports port 591 # filemaker
acl Safe_ports port 777 # multiling http
acl Safe_ports port 800 # Squids port (for icons)

acl IPCop_http  port 81
acl IPCop_https port 445
acl IPCop_ips              dst 192.168.11.1
acl IPCop_networks         src "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_servers          dst "/var/ipcop/proxy/advanced/acls/src_subnets.acl"
acl IPCop_green_network    src 192.168.11.0/255.255.255.0
acl IPCop_green_servers    dst 192.168.11.0/255.255.255.0
acl IPCop_unrestricted_ips src "/var/ipcop/proxy/advanced/acls/src_unrestricted_ip.acl"
acl IPCop_unrestricted_mac arp "/var/ipcop/proxy/advanced/acls/src_unrestricted_mac.acl"
acl CONNECT method CONNECT

#Access to squid:
#local machine, no restriction
http_access allow         localhost

#GUI admin if local machine connects
http_access allow         IPCop_ips IPCop_networks IPCop_http
http_access allow CONNECT IPCop_ips IPCop_networks IPCop_https

#Deny not web services
http_access deny          !Safe_ports
http_access deny  CONNECT !SSL_ports

#Set custom configured ACLs
http_access allow IPCop_unrestricted_ips
http_access allow IPCop_unrestricted_mac
http_access allow IPCop_networks within_timeframe
http_access deny  all

#Strip HTTP Header
header_access X-Forwarded-For deny all
header_access Via deny all 

maximum_object_size 4096 KB
minimum_object_size 0 KB

request_body_max_size 0 KB
reply_body_max_size 0 allow all  

visible_hostname copercop 

cache_mgr administrador@iescopernic.com 

url_rewrite_program /usr/sbin/redirect_wrapper
url_rewrite_children 50

Bloquejar Messenger

Normes Squid:

acl msn_messenger req_mime_type -i ^application/x-msn-messenger$

http_access deny msn_messenger

Nous Messengers (Live Messenger):

# Bloqueamos gateway.dll para versiones viejas de MSN Messenger
acl msn_url url_regex -i gateway.dll
# Bloqueamos el puerto utilizado por todas las versiones
acl msn_port port 1863
# Bloqueamos el metodo POST utilizado por las nuevas versiones de MSN Messenger
acl msn_method method POST

# bloqueamos el url que contenga gateway.dll
http_access deny msn_method msn_url
# bloqueamos el puerto
http_access deny msn_port
# bloqueamos por tunneling
http_access deny CONNECT msn_port

Recursos:

Determinar pàgines que no utilitzaran la cache

Al menú Servicios/Advanced Proxy:

IPCOPSQUID.png

Augmentar el nombre de processos de URL filter

Consulteu l'apartat relacionat: Squid#Consider_increasing_the_number_of_url_rewriter_processes..

A l'apartat URL filter/Filtro URL del menú Servicios cal canviar la opció

Número de procesos de filtrado:

Per tal de solucionar problemes com:

$ sudo tail -f /var/log/squid/cache.log
...
WARNING: up to 13 pending requests queued
2009/01/29 13:43:49| Consider increasing the number of url_rewriter processes to at least 18 in your config file.

El propi fitxer de log us proposarà uns valors per a la variable.

IMPORTANT: Cal guardar/reiniciar tant la pàgina del filtre URL com la pàgina Advanced Proxy per tal que el canvi tingui efecte.

Cal modificar la variable url_rewrite_children. Com a valor per defecte és 5 que pot ser molt poc. Si disposem de RAM cal augmentar aquest valor.

Proxy DNS

IPCOP utilitza una eina anomenada dnsmasq per executar un proxy de DNS. No funciona com un Servidor_DNS com bind, simplement fa de cache de peticions de dns.

Si executem a la terminal d'IPCOP:

# ps aux | grep dns
dnsmasq    339  0.0  0.2   1680   780 ?        S    10:05   0:00 /usr/sbin/dnsmasq -l /var/state/dhcp/dhcpd.leases -s aula2.iescopernic.com -r  \
/var/ipcop/red/resolv.conf

Veurem com s'està executant dnsmasq. El fitxer /etc/resolv.conf:

# cat /etc/resolv.conf 
nameserver 127.0.0.1

Conté quin és el servidor de DNS que utilitza IPCOP. Com podeu veure s'utilitza a ella mateix o més concretament utilitza dnsmasq. Realment dnsmasq esta utilitzant els servidors de DNS que vam especificar durant la configuració de la interfície roja:

# cat /var/ipcop/red/resolv.conf
nameserver 192.168.0.7

Que és un dels paràmetres que se li passen a l'execució de dnsmasq (-r /var/ipcop/red/resolv.conf). Un altre dels fitxers que se li passa és el fitxer de leases /var/state/dhcp/dhcpd.leases:

/var/state/dhcp/dhcpd.leases

La configuració de dnsmasq es duu a terme al fitxer

Addons

Instal·lar Addons

El procés d'instal·lació és sempre molt similar. Veieu la instal·lació de ntop addon per seguir un exemple.

MH-ADDONS for ipcop

Recursos:

Ntop addon

Els passos seguits per instal·lar NTOP a IPCOP són els següents:

Descarreguem el addon amb wget:

$ wget http://switch.dl.sourceforge.net/sourceforge/mhaddons/ntop_ipcop_1.4.8.tar.gz
NOTA: O si instal·lem  wget a IPCOP podem descarregar el addon directament a IPCOP i saltem directament al pas de descomprimir de més endavant.

O consultem la última versió de la pàgina:

https://sourceforge.net/project/showfiles.php?group_id=144798&package_id=174986

Hem de tenir accés SSH a ipcop per poder copiar-hi el fitxer que ens acabem de descarregar:

$ scp -P 222 ntop_ipcop_1.4.8.tar.gz root@IP_IPCOP_VERDA:~

Accedim via SSH a IPCOP:

$ ssh -p 222 root@IP_IPCOP_VERDA

Descomprimim el plugin:

root@ipcop:~ # tar xvzf ntop_ipcop_1.4.8.tar.gz 

Entrem a la carpeta ntop

root@ipcop:~ # cd ntop

I executem l'instal·lador:

root@ipcop:~/ntop # ./install 
installing files                        Done
creating webinterface entries           Done
creating startup entries                Done
Enable automatic versioncheck for this mod ? [y/n] y
ntop: error while loading shared libraries: libpng.so.3: cannot open shared object file: No such file or directory
 

Now you could start ntop from webinterface
Username for ntop:      admin
Password for ntop:      ipcop

Responem que si a la comprovació automàtica de noves versions.

NOTA: Abans d'utilitzar NTOP per la web d'IPCOP, cal executar des de la línia de comandes:

 $ ntop -M -K -u ntop -W5555 -w6666

I proporcionar la paraula de pas de l'usuari admin. Podeu matar el procés amb Ctrl+z un cop heu  
acabat. Assegureuvos que no cada cap procés ntop executant-se:
 # ps aux | grep ntop 
ntop      2907  0.6  1.8  60152 37252 pts/0    T    19:28   0:00 ntop -M -K -u ntop -W5555 -w6666
root      2908  0.0  1.8  60152 37252 pts/0    S    19:28   0:00 ntop -M -K -u ntop -W5555 -w6666
root      2909  0.0  1.8  60152 37252 pts/0    T    19:28   0:00 ntop -M -K -u ntop -W5555 -w6666
root      2912  0.0  1.8  60152 37252 pts/0    T    19:28   0:00 ntop -M -K -u ntop -W5555 -w6666
root      2917  0.1  1.8  60152 37252 pts/0    T    19:28   0:00 ntop -M -K -u ntop -W5555 -w6666 

# kill -9 2907 2908 2909 2912 2917  

Ara ja podem consultar l'apartat NTOP per veure com funciona ntop.

NOTA2: el port de NTOP a IPCOP és el 6666. Per exemple per accedir-hi heu d'anar a:
http://192.168.11.1:6666/

Solució de problemes

Si no funciona ntop per la interfície gràfica el podeu executar des de la línia de comandes d'IPCOP:

# ntop

Si us dona el següent error:

ntop: error while loading shared libraries: libpcap.so.0.8.3: cannot open shared object file: No such file or directory

Aleshores heu de fer el següent:

$ cd /usr/lib
$ ln -s libpcap.so.0.9.7 libpcap.so.0.8.3

Wget

Descarreguem de la web:

http://www.ipadd.de/binary.html

El binari wget:

$ wget http://www.ipadd.de/download/wget1102.tar.gz

Copiem el binari a la màquina IPCOP:

$ scp -P 222 wget1102.tar.gz root@IP_IPCOP_VERDA:~
root@192.168.1.50's password: 
wget1102.tar.gz                                                                                                            100%  127KB 126.9KB/s   00:00 

Ara entrem a IPCOP:

$ ssh -p 222 root@IP_IPCOP_VERDA

Descomprimim:

root@ipcop:~ # tar xvzf wget1102.tar.gz 
wget1102/
wget1102/wget
wget1102/install
wget1102/AUTHORS
wget1102/ChangeLog
wget1102/COPYING
wget1102/README
wget1102/TODO

Entrem a la carpeta wget1102:

root@ipcop:~ # cd wget1102

I instal·lem:

# ./install  -i
 
Installing now ...
Successfully done!

NTOP

Per accedir al ntop d'IPCOP hem d'anar a la pestanya Servicios/Ntop:

IPCOPSSH5.png

IPCOPSSH6.png

IPCOPSSH7.png


Podeu obtenir més informació sobre NTOP a l'article Ntop.

Advanced Proxy

Prèviament instal·lem el addon wget a IPCOP i després descarreguem el addon Advanced Proxy

root@ipcop:~ # wget http://www.advproxy.net/download/ipcop-advproxy-2.1.5.tar.gz

També podeu consultar la web:

http://www.advproxy.net/download.html

Per tal de consultar si hi han versions més noves.

Un cop descarregat, descomprimim:

root@ipcop:~ #  tar xvzf ipcop-advproxy-2.1.5.tar.gz

I entrem a la carpeta ipcop-advproxy

 # cd ipcop-advproxy

I instal·lem:

# ./install 

================================================
  IPCop 1.4 Advanced Proxy add-on installation
================================================ 

Step 1: Stopping services
--------------------------------------------

Stopping Web Proxy service (if running) 

Step 2: Creating directories
-------------------------------------------- 

/var/ipcop/proxy/advanced
/var/ipcop/proxy/advanced/acls
/var/ipcop/proxy/advanced/ncsa
/var/ipcop/proxy/advanced/ntlm
/var/ipcop/proxy/advanced/radius
/var/ipcop/proxy/advanced/ident
/var/ipcop/proxy/advanced/cre
/usr/lib/squid/advproxy
/usr/lib/squid/advproxy/auth
/usr/lib/squid/advproxy/errors
/usr/lib/squid/advproxy/errors.ipcop

Step 3: Copying Advanced Proxy files
--------------------------------------------

/usr/sbin/squid
cp: cannot stat `/var/ipcop/proxy/squid.conf': No such file or directory
/usr/sbin/redirect_wrapper   

/usr/lib/libldap-2.2.so.7
/usr/lib/liblber-2.2.so.7
/usr/lib/squid/advproxy/auth/ncsa_auth
/usr/lib/squid/advproxy/auth/msnt_auth
/usr/lib/squid/advproxy/auth/ntlm_auth
/usr/lib/squid/advproxy/auth/squid_ldap_auth
/usr/lib/squid/advproxy/auth/squid_ldap_group
/usr/lib/squid/advproxy/auth/squid_radius_auth
/home/httpd/cgi-bin/advproxy.cgi
/home/httpd/cgi-bin/chpasswd.cgi
/home/httpd/cgi-bin/webaccess.cgi
/home/httpd/html/images/ipcop-banner.gif
/home/httpd/html/proxy.pac
/home/httpd/html/wpad.dat
/var/ipcop/proxy/advanced/ntlm/msntauth.conf 
/var/ipcop/proxy/advanced/useragents
/var/ipcop/proxy/advanced/version  

Step 4: Setting ownerships
--------------------------------------------

Setting ownership and permissions  

Step 5: Patching system files
-------------------------------------------- 

Patching Web Server configuration  

Patching language files:
/var/ipcop/langs/bz.pl
/var/ipcop/langs/de.pl
/var/ipcop/langs/en.pl
/var/ipcop/langs/es.pl
/var/ipcop/langs/fr.pl
/var/ipcop/langs/it.pl
/var/ipcop/langs/nl.pl
/var/ipcop/langs/ru.pl 

Rebuilding language cache

Patching IPCop main menu  

Step 6: Installing Squid error messages
-------------------------------------------- 

Installing additional languages for error messages
Adding IPCop design 

Step 7: Starting services
-------------------------------------------- 

Reloading Web Server configuration 

Restarting Web Proxy service (if enabled)

Ara ja podem accedir a URL Filter anant al menú Servicios/Advanced Proxy:

IPCOPVirtualBoxAdvancedProxy.png

URL Filter Addon

NOTA: Aquest addon no funciona per a la versió 2.0.3 i s'ha d'utilitzar el Copfilter.

Prèviament instal·lem el addon wget a IPCOP i després descarreguem URL Filter

root@ipcop:~ # wget http://www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz

També podeu consultar la web:

http://www.urlfilter.net/

Per tal de consultar si hi han versions més noves.

Un cop descarregat, descomprimim:

root@ipcop:~ # tar xvzf ipcop-urlfilter-1.9.1.tar.gz 

I entrem a la carpeta ipcop-advproxy

root@ipcop:~ # cd ipcop-urlfilter

I instal·lem:

root@ipcop:~ # ./install 

============================================
  IPCop 1.4 URL filter add-on installation
============================================

Step 1: Creating directories
--------------------------------------------

/etc/squidGuard
/var/log/squidGuard
/var/ipcop/urlfilter
/var/ipcop/urlfilter/autoupdate
/var/ipcop/urlfilter/bin
/var/ipcop/urlfilter/blacklists
/home/httpd/html/images/urlfilter
/home/httpd/html/repository  

Step 2: Copying URL filter files
--------------------------------------------   

/usr/sbin/squidGuard
/usr/lib/libdb-3.3.so
/home/httpd/cgi-bin/urlfilter.cgi
/home/httpd/cgi-bin/logs.cgi/urlfilter.dat
/var/ipcop/urlfilter/autoupdate/autoupdate.urls
/var/ipcop/urlfilter/autoupdate/cron.daily
/var/ipcop/urlfilter/autoupdate/cron.weekly
/var/ipcop/urlfilter/autoupdate/cron.monthly
/var/ipcop/urlfilter/squidGuard.conf
/etc/squidGuard/squidGuard.conf (creating symlink)
/var/ipcop/urlfilter/bin/prebuild.pl
/var/ipcop/urlfilter/bin/autoupdate.pl
/var/ipcop/urlfilter/bin/wget
/home/httpd/html/redirect.cgi
/home/httpd/html/images/urlfilter/1x1.gif
/home/httpd/html/images/urlfilter/background.jpg
/home/httpd/html/images/urlfilter/led-green.gif
/home/httpd/html/images/urlfilter/led-red.gif
/home/httpd/html/images/urlfilter/copy.gif
/var/ipcop/urlfilter/version  

Step 3: Configuring logfile rotation
--------------------------------------------  

/etc/logrotate.conf

Step 4: Preparing blacklists
--------------------------------------------

Writing new blacklists from scratch 
Creating configuration file 
Building blacklist databases 
Creating custom directories  

Step 5: Setting ownerships
-------------------------------------------- 

Setting ownership and permissions 

Step 6: Patching system files
 --------------------------------------------

Extending cron table

Patching language files:
/var/ipcop/langs/bz.pl
/var/ipcop/langs/de.pl
/var/ipcop/langs/en.pl
/var/ipcop/langs/es.pl
/var/ipcop/langs/fr.pl
/var/ipcop/langs/it.pl
/var/ipcop/langs/nl.pl
/var/ipcop/langs/ru.pl  

Rebuilding language cache 

Patching backup configuration

Patching IPCop main menu

Patching Web Proxy page

Ara ja podem accedir a URL Filter anant al menú Servicios/Filtro URL:

IPCOPVirtualBoxFiltroURL.png

Recursos:

Update Accelerator

Prèviament instal·lem el addon wget a IPCOP i després descarreguem URL Filter

root@ipcop:~ # wget http://www.advproxy.net/update-accelerator/download/ipcop-updatexlrator-1.0.0.tar.gz

També podeu consultar la web:

http://www.advproxy.net/update-accelerator/

Per tal de consultar si hi han versions més noves.

Un cop descarregat, descomprimim:

root@ipcop:~ # tar xvzf ipcop-updatexlrator-1.0.0.tar.gz

I entrem a la carpeta

root@ipcop:~ # cd ipcop-updatexlrator

I instal·lem:

root@ipcop:~ # ./install 
====================================================
  IPCop 1.4 Update Accelerator add-on installation
====================================================

Step 1: Creating directories
--------------------------------------------

/var/ipcop/updatexlrator
/var/ipcop/updatexlrator/bin
/var/ipcop/updatexlrator/autocheck
/home/httpd/html/updatecache
/home/httpd/html/updatecache/download
/home/httpd/html/updatecache/metadata
/var/log/updatexlrator

Step 2: Copying Update Accelerator files
--------------------------------------------

/usr/sbin/updxlrator
/home/httpd/cgi-bin/updatexlrator.cgi
/var/ipcop/updatexlrator/bin/checkup
/var/ipcop/updatexlrator/bin/download
/var/ipcop/updatexlrator/bin/wget
/var/ipcop/updatexlrator/autocheck/cron.daily
/var/ipcop/updatexlrator/autocheck/cron.weekly
/var/ipcop/updatexlrator/autocheck/cron.monthly
all icons in /home/httpd/html/images
/var/ipcop/updatexlrator/version  

Step 3: Configuring logfile rotation
--------------------------------------------

/etc/logrotate.conf  

Step 4: Setting ownerships and permissions
--------------------------------------------

Setting ownership and permissions 

Step 5: Patching system files
-------------------------------------------- 

Extending cron table 

Patching language files:
/var/ipcop/langs/de.pl
/var/ipcop/langs/en.pl   

Rebuilding language cache

Patching IPCop main menu 
 

Ara ja podem accedir a Update Accelerator anant al menú Servicios/Update Accelerator:

IPCOPVirtualBoxUpdateAccelerator.png


Recursos:

Calamaris addon

De la web:

http://www.advproxy.net/calamaris/

Podeu obtenir aquest addon. Per instal·larlo podeu seguir els mateixos passos que hem seguit a Update Accelerator.

BlockOutTraffic

Dins d'IPCOP creeu una carpeta anomenada BlockOutTraffic i entreu dins:

root@ipcop:~ # mkdir BlockOutTraffic
root@ipcop:~ # cd BlockOutTraffic 

Prèviament instal·lem el addon wget a IPCOP i després descarreguem BlockOutTraffic

root@ipcop:~/BlockOutTraffic # wget http://blockouttraffic.de/files/BlockOutTraffic-2.3.2-GUI-b3.tar.gz

I descomprimim:

root@ipcop:~/BlockOutTraffic # tar xvzf BlockOutTraffic-2.3.2-GUI-b3.tar.gz 

Ara el podem instal·lar executant:

root@ipcop:~/BlockOutTraffic # ./setup 

I podem accedir a través del menú Firewall/Bloquear Tráfico de salida

IPCOPVirtualBoxBlockOutTraffic.png

Recursos:

Munin IPCOP

Els passos per instal·lar Munin són (des de la línia de comandes de IPCOP):

Descarreguem el plugin:

# wget http://www.ban-solms.de/downloads/munin-ipcop-0.3.1.tar.gz

El descomprimim:

# tar xvzf munin-ipcop-0.3.1.tar.gz

I l'instal·lem:

#  munin-ipcop-0.3.1/install -i  


Recursos:

Afegir comandes específiques

Podeu consultar la web:

http://www.ipadd.de/binary.html

Una opció sovint també es copiar directament el binari que volem utilitzar.

nmap

$ wget http://www.ipadd.de/download/nmap453.tar.gz
$ tar xvzf nmap453.tar.gz
$ cd nmap453;./install .i

Copfilter

Aquest addon serveix entre altres moltes funcions com a URL filter per a la versió de IPCOP 2.0.3, podem seguir els seguents passos per fer la instal·lació:

Baixem el paquet:

root@ipcop:~ # wget http://sourceforge.net/projects/copfilter/files/copfilter%20v2/copfilter-2.0.91beta3.tgz/download

El descomprimim:

root@ipcop:~ # tar xzvf copfilter-2.0.91beta3.tgz

Entrem dins la carpeta descomprimida

root@ipcop:~ # cd copfilter-2.0.91beta3

I l'instal·lem

root@ipcop:~ ./install


Gcolome copfilter1.jpeg

Gcolome copfilter2.jpeg

Activar el URL filter

Anem a l'apartat C-ICAP Filter del menú del Copfilter.

Geniscolome copfilter5.jpeg

Activem la casella de C-ICAP Filter URLFilter

Geniscolome copfilter6.jpeg

Activem la casella de Use own Domain-Blacklist i introduim les URL que vulguesem restringir:

Geniscolome copfilter7.jpeg

IPCOP BlockOutTraffic

Bloquejar Messenger

Messenger utilitza el port 1863 per a establir comunicació. Podem utilitzar BlockOutTraffic per bloquejar Messenger. Primer de tot hem d'afegir un servei per a Messenger a l'apartat Firewall/Configuración avanzada del BOT:

BloquejarMessengerBOT IPCOP.png

Amb el següent resultat:

BloquejarMessengerBOT IPCOP1.png

Ara podem anar a BOT: Firewall/Bloquear Tráfico de salida i crear una nova regla DROP:

BloquejarMessengerBOT IPCOP2.png

Fem clic a Nueva Regla. Escollim les següent opcions

BloquejarMessengerBOT IPCOP3.png

I a la secció Adicional:

BloquejarMessengerBOT IPCOP4.png

A la resta de configuracions es deixen les opcions per defecte.

El resultat és:

BloquejarMessengerBOT IPCOP5.png

Podem comprovar que funciona des de la línia de comandes (recomanat). Primer ens connectem a IPCOP:

ssh -p 222 root@IP_INTERFICIE_VERDA

I executem

root@ipcop:~ # iptables -nvL| more
...............
Chain BOT_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
  14   614 DROP       tcp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           tcp dpt:1863 
  0     0 DROP       udp  --  eth0   *       0.0.0.0/0            0.0.0.0/0           udp dpt:1863 
  ...........

Bloquejar proxies anònims

ultrasurf

Consulteu l'article Com evitar les eines de navegació anònima, concretament l'apartat ultrasurf.

Línia de comandes

Reiniciar Squid

# /usr/local/bin/restartsquid

IPCOP virtualitzat amb vmware

Consulteu la web: http://www.vmwarez.com/2005/12/ipcop-pre-built-vm-updated.html

IPCOP virtualitzat amb Virtual Box

Descàrrega de la màquina virtual

Podeu obtenir un màquina virtual de Virtual Box de la següent URL:

http://acacha.dyndns.org/~sergi/ipcop-virtualbox.tar.gz

Podeu utilitzar la comanda:

$ wget http://acacha.dyndns.org/~sergi/ipcop-virtualbox.tar.gz

I descomprimim:

$ tar xvzf ipcop-virtualbox.tar.gz -C ~
NOTA: La descàrrega instal·la els fitxer a la carpeta oculta .VirtualBox i modifica el fitxer de configuració de Virtual Box: VirtualBox.xml amb lo   
que perdreu la vostra configuració d'IPCOP si executeu aquesta comanda. Feu una còpia prèviament o descomprimeu els fitxers manualment i feu la 
configuració adequada de Virtual Box a mà.

Ara ja podeu engegar VirtualBox i executar la màquina IPCOP.

NOTA: Cal tenir en compte que l'script que engega la VirtualBox esta per a l'usuari sergi!!! Cal posar el que convingui.
NOTA 2: Sembla ser que amb Debian no funciona. Dona l'error als fitxers de log 
"The TAP interface setup script did not return the name of a TAP device""....

Els usuaris són:

  • Línia de comandes: root
  • Contrasenya: cursice
  • Web: admin
  • Contrasenya: cursice

Molt possiblement haureu de tornar a configurar la xarxa executant la comanda:

# setup

Des de la línia de comandes d'IPCOP.

NOTA: Per tal que tot funcioni correctament cal tenir instal·lat Virtual Box i els paquets uml-utilities i bridge-utilities
$ sudo apt-get install uml-utilities bridge-utilities

Com fer la màquina Virtual

Podem utilitzar Virtual Box per a provar IPCOP.

Consulteu l'article Virtual Box per veure com instal·lar Virtual Box.

Un cop tingueu Virtual Box, creeu una màquina virtual per a Linux 2.4 i instal·leu ICOP normalment.

NOTA: Si teniu problemes a l'instal·lar ipcop, utilitzeu l'opció d'inici de boot del kernel de no utilitzar DMA (nodma)

La configuració de la xarxa de la màquina virtual ha de ser la següent:

A Settings de la màquina Virtual a l'apartat Network hem d'escollir la opció Host Interface a la pestanya Adapter 0:

IPCOPVirtualBox.png

I a la pestanya Adapter 1 hem d'escollir l'opció NAT:

IPCOPVirtualBox1.png

Abans però, consulteu com crear la Host Interface a la secció Creació de Host interfaces i bridging a l'article sobre Virtual Box.

Durant la instal·lació d'IPCOP, escolliu les següents opcions a la configuració de xarxa:

IPCOPVirtualBoxNetworkSetup.png

Tipo de Configuración de Red: RED+GREEN

IPCOPVirtualBoxNetworkSetup2.png

Controladores y targetas asignadas: Les dues actives (Virtual Box utilitza targetes de xarxa AMD PCnet 32)

IPCOPVirtualBoxNetworkSetup1.png

Configuración de direcciones: La targeta GREEN la posem manual

IPCOPVirtualBoxNetworkSetup3.png

NOTA: Heu de posar una adreça que correspongui amb la vostra xarxa local. 

Configuración de direcciones: La targeta RED la posem en DHCP

IPCOPVirtualBoxNetworkSetup4.png

Opciones de DNS y Gateway: Les deixem buides per que ja es configurarà amb DHCP.

IPCOPVirtualBoxNetworkSetup5.png

Configuración del servidor DHCP: El deixem desactivat per no entrar en conflictes amb altres DHCP de la xarxa.

IPCOPVirtualBoxNetworkSetup6.png


NOTA: Si voleu canviar paràmetres o corregir algun error que haguéssiu comès durant la instal·lació podeu tornar a configurar executant la comanda setup.

La configuració de xarxa la podeu consultar a la següent gràfica:

IPCOPVirtualBoxNetwork.png

Les interfícies queden de la següent forma:

# ifconfig
eth0      Link encap:Ethernet  HWaddr 08:00:27:23:E3:74  
          inet addr:192.168.1.50  Bcast:192.168.1.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:13670 errors:0 dropped:0 overruns:0 frame:0
          TX packets:8106 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:15319184 (14.6 MB)  TX bytes:1175616 (1.1 MB)
          Interrupt:11 Base address:0xc020 

eth1      Link encap:Ethernet  HWaddr 08:00:27:65:10:47  
          inet addr:10.0.2.15  Bcast:10.0.2.255  Mask:255.255.255.0
          UP BROADCAST NOTRAILERS RUNNING  MTU:1500  Metric:1
          RX packets:84 errors:0 dropped:0 overruns:0 frame:0
          TX packets:96 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000 
          RX bytes:23625 (23.0 KB)  TX bytes:8631 (8.4 KB)
          Interrupt:10 Base address:0xc060 

On:

  • eth0 és la interfície de la XARXA VERDA
  • eth1 és la interfície de la XARXA VEMELLA


Consultant la comanda route podeu comprovar el gateway és la màquina host:

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     *               255.255.255.0   U     0      0        0 eth0
10.0.2.0        *               255.255.255.0   U     0      0        0 eth1
default         10.0.2.2        0.0.0.0         UG    0      0        0 eth1

Les DNS:

# cat /etc/resolv.conf 
nameserver 127.0.0.1

IPCOP s'utilitza a si mateix com a DNS. En realitat és una cache de DNS dels servidors de DNS de la interfície vermella que els podem consultar al fitxer:

# cat /var/ipcop/red/resolv.conf 
nameserver 10.0.2.3

En aquest cas és el servidor de DNS de Virtual Box.

Fitxers de configuració de xarxa de Virtual Box

El fitxer setuptap.sh prepara la xarxa per a Virtual Box i el fitxer cleanup.sh la torna a deixar tal i com estava.

NOTA: Cal modificar els paràmetres que s'escaiguin per a la vostra configuració. Per exemple en comptes de sergi heu de posar el nom del vostre 
usuari.

Per que funcionin aquests scripts cal abans haver instal·lat els paquets:

$ sudo apt-get install uml-utilities bridge-utils

Fitxer setuptap.sh:

#!/bin/bash
# Create an new TAP interface for the user ’sergi’ and remember its name.
usuari=$(zenity --entry --text "Quin és el teu usuari (login)?" --entry-text "s
echo $szAnswer
interface=`/usr/bin/VBoxTunctl -b -u sergi`

#Change permissions to /dev/net/tun
/bin/chmod 666 /dev/net/tun

# If for some reason the interface could not be created, return 1 to
# tell this to VirtualBox.
if [ -z "$interface" ]; then
exit 1
fi
# Write the name of the interface to the standard output.
echo $interface
# Bring up the interface.
/sbin/ifconfig $interface up
#Create Bridge
/usr/sbin/brctl addbr br0
/sbin/ifconfig eth0 0.0.0.0 promisc
/usr/sbin/brctl addif br0 eth0
dhclient br0
# And add it to the bridge.
/usr/sbin/brctl addif br0 $interface

Fitxer cleanuptap.sh:

#!/bin/bash
# Remove the interface from the bridge.  The second script parameter is
# the interface name.
/usr/sbin/brctl delif br0 $2

/sbin/ifconfig br0 down

/usr/sbin/brctl delbr br0 

dhclient eth0 


# And use VBoxTunctl to remove the interface.
VBoxTunctl -d $2

#Change permissions to /dev/net/tun
/bin/chmod 660 /dev/net/tun
/bin/chown root:vboxusers /dev/net/tun

Aquests fitxers els podeu trobar al fitxer comprimit:

http://acacha.dyndns.org/~sergi/ipcop-virtualbox.tar.gz

Concretament a:

.VirtualBox/Machines/IPCOP/setuptap.sh

i

.VirtualBox/Machines/IPCOP/setuptap.sh

O en els següents enllaços directes:

IPCOP URLFILTER

Script per difondre els bloquejos entre diferents màquines IPCOP:

$ cat /home/sergi/scripts/urlfilter/distribuir_urlfilter_aula1.sh
#!/bin/bash
IPCOP_MASTER="ipcop1"
BLOCKED_FOLDER="blocked"
CUSTOM_BLOCKED_FOLDER="/var/ipcop/urlfilter/blacklists/custom/$BLOCKED_FOLDER"
DSH_GROUP="ipcops"
NOBODY_USER="nobody" 

scp -r $IPCOP_MASTER:$CUSTOM_BLOCKED_FOLDER . 

scp -r $BLOCKED_FOLDER/. ipcop2:$CUSTOM_BLOCKED_FOLDER
scp -r $BLOCKED_FOLDER/. ipcop3:$CUSTOM_BLOCKED_FOLDER
scp -r $BLOCKED_FOLDER/. ipcop4:$CUSTOM_BLOCKED_FOLDER
scp -r $BLOCKED_FOLDER/. ipcop5:$CUSTOM_BLOCKED_FOLDER
scp -r $BLOCKED_FOLDER/. ipcop6:$CUSTOM_BLOCKED_FOLDER
scp -r $BLOCKED_FOLDER/. ipcop7:$CUSTOM_BLOCKED_FOLDER
scp -r $BLOCKED_FOLDER/. ipcop8:$CUSTOM_BLOCKED_FOLDER

dsh -g $DSH_GROUP -M "chown -R $NOBODY_USER:$NOBODY_USER $CUSTOM_BLOCKED_FOLDER"

NOTA: Cal haver configurat abans l'accés amb SSH sense contrasenya (claus públiques) i DSH.


I només falta configurar cron per executar aquest script un cop al dia:

$ sudo cat /etc/cron.d/url_filter
# Regular cron jobs for the moodle package
* 15 * * * sergi /home/sergi/scripts/urlfilter/distribuir_urlfilter_aula1.sh > /dev/null


Reverse Proxy d'IPCOP

TODO

Gestió d'usuaris IPCOP

Tenim diferents solucions per fer el control d'accés a IPCOP. Partim de l'exemple que ens interessa que usuaris no administradors puguin accedir al BlockOutTrafic però no a la resta d'eines.

Solució simple

Un sol usuari i contrasenya compartides entre tots els professors.

Això es pot fer ràpid modificant el fitxer /etc/httpd/conf/httpd.conf:

##
## httpd.conf -- Apache HTTP server configuration file
##
## $Id: httpd.conf,v 1.15.2.7 2005/04/16 11:40:15 rkerr Exp $
##
ServerType standalone
ServerRoot /etc/httpd 

..............

<Directory /home/httpd/cgi-bin>
   AllowOverride None
   Options None
   AuthName "Restricted"
   AuthType Basic
   AuthUserFile /var/ipcop/auth/users
   Require user admin
   <Files index.cgi>
       Satisfy Any
       Allow from All
   </Files>
   # Start of modification by advproxy
   <Files chpasswd.cgi>
       Satisfy Any
       Allow from All
   </Files>
   <Files webaccess.cgi>
       Satisfy Any
       Allow from All
   </Files>
   # End of modification by advproxy
   <Files credits.cgi>
       Satisfy Any
       Allow from All
   </Files>
   <Files dial.cgi>
       Require user admin dial
   </Files>

   <Files fwrules.cgi>
       Require user profe
   </Files>


</Directory>

................

I afegir l'usuari profe al fitxer /var/ipcop/auth/users:

$ htpasswd /var/ipcop/auth/users profe

I tornar a iniciar l'IPCOP o llegir el següent apartat

Reiniciar apache

No hi ha fitxers /etc/init.d. Per reiniciar podem executar:

# ps aux | grep http
root      2044  0.0  0.5   5064  2260 ?        Ss   20:21   0:00 httpd
nobody    2045  0.0  0.6   5228  2644 ?        S    20:21   0:00 httpd
nobody    2046  0.0  0.6   5228  2548 ?        S    20:21   0:00 httpd

I matem tots els processos:

$ kill 2044 2045 2046

I tornem a executar el servidor:

# httpd

Solució complicada

  • Hi ha la possibilitat d'utilitzar els usuaris de Moodle?


IPCOP. Embedded Systems

Consulteu l'article Sistemes encastats (embedded).

CRON (fcron)

IPCOP utilitza fcron. Per afegir tasques cal utilitzar fcrontab:

Consultar les tasques:

$ fcrontab -l

Afegir/editar tasques

$ fcrontab -e


Afegir rutes estàtiques

Es pot fer amb la comanda route:

############Rutes estàtiques Centre###########
route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.11.2


El fitxer que es pot tocar per fer el canvi permanent és:

/etc/rc.d/rc.netaddress.up


Després de les línies:

if [ "$1" != "NOTGREEN" ]; then
        if [ "$GREEN_DEV" != "" ]; then
                /sbin/ifconfig $GREEN_DEV $GREEN_ADDRESS netmask $GREEN_NETMASK broadcast $GREEN_BROADCAST up

Afegiu les rutes. El fitxer queda de la següent manera:

...
if [ "$1" != "NOTGREEN" ]; then
        if [ "$GREEN_DEV" != "" ]; then
                /sbin/ifconfig $GREEN_DEV $GREEN_ADDRESS netmask $GREEN_NETMASK broadcast  $GREEN_BROADCAST up

############Rutes estàtiques Centre###########
                route add -net 192.168.0.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.2.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.3.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.4.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.5.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.6.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.7.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.8.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.12.0 netmask 255.255.255.0 gw 192.168.11.2
                route add -net 192.168.100.0 netmask 255.255.255.0 gw 192.168.11.2
        else
                echo "WARNING: No driver set for GREEN"
        fi
fi 

Recursos:

IPCOP. Multiple WANs i LANs. LOAD BALANCING

Afegir normes especifiques del firewall iptables

Per fer-les permanent cal afegir-les al fitxer:

$ cat /etc/rc.d/rc.firewall.local

Resolució de Problemes. TroubleShooting

Proxy es penja. Squid-graph ocupa més del 90% de la CPU

Sembla ser que l'error és un fitxer access.log molt gran.

Per exemple en el meu cas:

$ ls -lah /var/log/squid/access.log
-rw-r--r-- 1 squid squid 300M 2008-03-07 16:23 /var/log/squid/access.log

Sembla que la solució es esborrar el fitxer:

$ sudo rm /var/log/squid/access.log

I rotar els logs manualment:

$ logrotate /etc/logrotate.conf

Recursos:

Canviar el certificat SSL quan es modifica el nom de màquina

La comanda

$ httpscert read
Certificate issuer 'ipcopaula1.aula1' is not the same as the hostname'ipcopaula1.iescopernic.com'
Probably host or domain name has been changed in setup
You could remake server certificate with '/usr/local/bin/httpscert new'

Ens permet veure el certificat de seguretat d'IPCOP. Si em canviat el nom de la màquina haurem de modificar el certificat amb:

# /usr/local/bin/httpscert new

No funcionen les peticions DNS amb dnsmasq

Si us trobeu que no podeu accedir a màquines d'Internet pel seu nom i si per la IP, i a l'executar un ping per exemple a:

$ ping www.google.com

Ens dona un error de Host Not Known és que teniu algun problema amb les dns. IPCOP utilitza un cache de DNS anomenat dnsmasq. El problema sovint és que molts DNS no et permeten fer peticions recursives. O podem detectar consultant el fitxer de log per a dnsmasq. Amb Ipcop executem:

$ cat /var/log/messages | grep dnsmasq
Oct 18 18:25:26 ipcopaula4 dnsmasq[322]: nameserver 213.4.132.1 refused to do a recursive query

Per tant ens caldrà canviar els DNS de la targeta de xarxa vermella executant la configuració un altre cop amb la comanda:

$ setup

O podem modificar el fitxer:

/var/ipcop/red/resolv.conf

I utilitzar un servidor de DNS que si ho permeti, o en cas de que el servidor de DNS sigui nostre seguir les següents passes.

OpenFPnet
IES Nicolau Copèrnic