IPCop
Michael Rasmussen
I disse tider hvor snart sagt alle har en fast forbindelse til internettet
bliver det mere og mere vigtigt at den enkelte tager sine forholdsregler mod
uautoriseret adgang til sin computer. Da ikke alle har behov for den forkromede
løsning, hvor man anskaffer sig en hardwarebaseret firewall fra Cisco eller
D-link, er der blevet åbnet for et marked, hvor en udrangeret computer
pludseligt har potententiale for praktisk anvendelse igen.
Det marked, der her tænkes på, er funktionen som vagthund i private netværk
eller for det lille firma, hvor behovet blot er en beskyttet adgang til
internettet.
Her vil jeg kort beskrive IPcop, en blandt mange alternative løsninger,
der alle har det til fælles, at de kan sættes i drift for meget små midler. Alt
der faktisk kræves, er en gammel bedaget computer af Pentium klassen samt 2 netkort, og ud fra disse enkle midler kan en effektiv firewall opstilles som gateway.
IPcop er en software baseret gateway bygget på baggrund af en
Redhat 7.0 distribution, hvor alt unødvendigt er skrællet bort.
Da den bygger på Redhat 7.0, er det en Linux-kerne version 2.2 med en
firewall baseret på ipchains, vi har med at gøre.
Udover at fungere som firewall kan IPcop selvfølgelig også
håndtere at hvervet som router for det interne net, og til det formål har den
indbygget DHCP-server og caching DNS-server. Opkobling til internetudbyderen
skulle ikke volde problemer, da IPcop kan konfigureres til at benytte modem
- både internt og eksternt, usb/pci adsl-modem samt router.
Hvis man ønsker at have en server på internettet, er der mulighed for at lave
portforwarding, enten ind til en intern maskine eller til en DMZ - DMZ kræver
dog, at der et tredie netkort i computeren. Har man behov for at håndtere flere
offentlige IP-numre, er det heller ikke noget problem, da IPcop kan klare
IP-aliasing af den eksterne forbindelse. Er man endvidere i den situation, at
man ikke har eget domænenavn, men i stedet for har et ved f.eks dyndns.org, er
dette heller ikke noget problem, da man kan indstille den til at hente sine
oplysninger herfra.
Hvis man skulle have behov for at have VPN, giver IPcop også mulighed for det.
Løsningen der er valgt, er IPsec, men har man en firmaordning baseret på
Microsofts VPN-løsning, er det også muligt, dog kun som klient.
Sidst men ikke mindst: Alt kan styres via et web-interface, så man behøver
faktisk ikke at have hverken skærm eller tastatur koblet til maskinen efter
installationen. Og i forbindelse med installation har den en smart feature, jeg
ikke har set i andre tilsvarende produkter: hvis man skal opgradere en
eksisterende installation, har man mulighed for at lave en backup af sin
opsætning inden indlæsning af ny release.
Når den nye release indlæses, bliver man spurgt om man ønsker at anvende
opsætningen fra en fungerende installation.
Svarer man ja til dette, bliver man bedt om at indsætte disketten med den
ønskede backup, og installationen vil så benytte disse oplysninger til
konfiguration af IPcop. Dette giver også mulighed for at anvende identisk
opsætning på flere gateways - eksempelvis hvis IPcop benyttes som gateway på
afdelingsbasis i et firma.
Selve installationsimage fylder kun 22 MB, og hele distributionen er udgivet under GPL.
I skrivende stund er versionen 1.2, men version 1.3 er lige på trapperne.
De to største nyheder er, at den vil være baseret på en 2.4 kerne, og dermed et skift til IPtables/Netfilter, samt og ikke mindst vil dansk være understøttet.
Version 1.3 vil samtidigt også være sidste version, der er baseret på Redhat,
da efterfølgende versioner vil være baseret på LFS - Linux from scratch.
Skulle denne lille introduktion have pirret din nysgerrighed,
kan du finde yderligere oplysninger på http://www.ipcop.org, hvor der også
findes screenshots, eller du kan komme se en live-demonstration på Linuxforum,
hvor IPCop vil være gateway for demorummet.
|
