# Links > Tutorials >  IPCop - Linux based Firewall-Router

## wiresounds

*IPCop - Linux based Firewall-Router - Part I*


Το *IPCop* v0.1.2 είναι ένα firewall-router, που βασίζεται σε ένα σταθερό πυρήνα Linux 2.2 Μοναδικός σκοπός αυτού του Linux distribution είναι τα προστατέψει το δίκτυο στο οποίο εγκαθίσταται. Το IPCop βασίζεται σε ανοιχτό κώδικα και μετατρέπει ένα παλιό σας pc σε ένα firewall-router επιπέδου μεγάλου δικτύου - ISP (Internet Service Provider - Παροχέας Υπηρεσιών Internet).



Το μέγεθος ολόκληρου του distribution είναι περίπου 25MB, σε iso format, που μετά από εγγραφή σε CDR, μπορεί να είναι ένα bootable CD-ROM. (όποιος δυσκολεύεται να το κατεβάσει από το internet, μπορεί να επικοινωνήσει μαζί μου με PM).
Η εγκατάσταση του μπορεί να γίνει ακόμα και σε ένα compact flash των 64MB ή 128ΜΒ το οποίο είναι πιο ανθεκτικό από ένα σκληρό δίσκο, αλλά και ένας σκληρός δίσκος προσφέρει πολύ χώρο για τον proxy..




*Χαρακτηριστικά του IPCop*

• Ένας ασφαλής, σταθερός και υψηλά παραμετροποιήσιμος, βασισμένος σε Linux *firewall*.
• Ένας *router*, με ρύθμιση μέσω κανόνων.
• Ένας web server με σελίδες για την εύκολη, *απομακρυσμένη διαχείριση* του firewall.
• Ένας *DHCP client* που προαιρετικά επιτρέπει το IPCop, να πάρει διεύθυνση IP από τον ISP σας..
• Ένας *DHCP server* ο οποίος δίνει διευθύνσεις στο εσωτερικό σας δίκτυο.
• Ένας *caching DNS proxy*, ο οποίος βοηθάει στην επιτάχυνση των ερωτήσεων Domain Name.
• Ένας *dynamic DNS*, ιδιαίτερα χρήσιμος για χρήστες DSL με μη στατική IP διεύθυνση.
• Ένας *web caching proxy*, ο οποίος επιταχύνει την πρόσβαση στο internet, κρατώντας όλη την κίνηση σας στο σκληρό του δίσκο και προσφέροντας την ξανά στον internet browser που χρησιμοποιείτε (IE, Netscape, Opera, κλπ)
• *Σύστημα εντοπισμού εξωτερικών επιθέσεων* στο δίκτυο σας.
• Την δυνατότητα να χωριστεί το δίκτυο μας σε *ζώνη GREEN*, η οποία είναι η ασφαλής, του εσωτερικού μας υποδικτύου και η *ζώνη DMZ ή ORANGE*, η οποία περιέχει ένα υποδίκτυο με τους web, email ή wireless servers, ή οποία προστατεύεται μερικώς από το Internet.
• Ένα *VPN* (Virtual Private Network-Εικονικό Ιδιωτικό Δίκτυο) το οποίο επιτρέπει το εσωτερικό σας δίκτυο να συνδεθεί με ένα άλλο δίκτυο, μέσω του Internet, και να αποτελέσουν ένα λογικό δίκτυο.


_Τι χρειάζεστε_

Ένα παλιό pc, που κάθετε σ’ένα ντουλάπι ή μία γωνία του γραφείου σας. Στην περίπτωση μου χρησιμοποίησα ένα παλαιότερο motherboard με ένας Celeron 950MHz και 64ΜΒ RAM, ηλικίας 5 χρόνων, που είναι υπερβολικά γρήγορος για ένα μικρό δίκτυο. Κόστος 0 ευρώ.
Για ένα δίκτυο σπιτιού ή μικρού γραφείου ένας *Pentium I είναι αρκετός*. Για μεγαλύτερο δίκτυο ένας Pentium II ή Celeron είναι προτιμότερος.
Αγόρασα ένα φθηνό κουτί, γνωστής αλυσίδας καταστημάτων προϊόντων πληροφορικής, με επαρκές τροφοδοτικό 300watt, με ελεγχόμενο από θερμοστάτη ανεμιστήρα. Κόστος 49,91 ευρώ.
Ένας σκληρός δίσκος, ο μικρότερος που κυκλοφορεί στην αγορά, 20GB, και ιδιαίτερα ήσυχος. Κόστος 73,75 ευρώ.
Δύο κάρτες δικτύου ethernet 10/100, PCI, επίσης από τις πιο φθηνές. Κόστος 16,52 ευρώ και οι δύο.
Ένα modem αναλογικό εξωτερικό (σημαντικό γιατί τα εσωτερικά PCI κατά 99% είναι winmodems και «παίζουν» μόνο σε windoz), ή ένα ISDN / DSL modem (είτε εξωτερικό ή εσωτερικό PCI). Εάν η σύνδεση σας στο internet γίνεται με κάποιο router τότε χρειάζεστε μια κάρτα δικτύου, αντί για modem, για να συνδέσετε το IPCop στο internet.
Ένα πληκτρολόγιο, ένα CD-ROM player και μια κάρτα οθόνης με μία οθόνη, (προαιρετικά ένα floppy driver) που μπορούν να απομακρυνθούν από το συγκεκριμένο pc μετά το τέλος της εγκατάστασης.
Συνολικό κόστος 140,18 ευρώ.


*Η εγκατάσταση*

Η εγκατάσταση του hardware έγινε σε 60 λεπτά και περιελάμβανε το στήσιμο ενός pc από την αρχή. Η εγκατάσταση του IPCop έγινε περίπου σε 15 λεπτά, και ας την έκανε μια φτωχή ψυχή των windoz.  ::  

Με απλά menu γίνεται η καθοδήγηση στις ρυθμίσεις του IPCop. Οι οδηγίες εγκατάστασης είναι πολύ απλές και υπάρχουν εδώ online ή pdf .

Σημαντικό είναι να αποφασίσετε την μορφή του δικτύου σας.
Κάθε κάρτα δικτύου / αναλογικό ή ISDN ή ADSL modem ρυθμίζεται ως μια περιοχή. Η *ζώνη RED*, η οποία είναι η σύνδεση στο internet.
Η *ζώνη GREEN*, η οποία είναι η ασφαλής, του εσωτερικού μας υποδικτύου.
Και προαιρετικά, η *ζώνη DMZ ή ORANGE*, η οποία περιέχει ένα υποδίκτυο με τους web, email ή wireless servers, ή οποία προστατεύεται μερικώς από το Internet.
Για ένα δίκτυο σπιτιού που περιέχει το IPCop pc και ένα ακόμα pc, τότε βάζετε το modem στο IPCop, με μία κάρτα δικτύου σε αυτό το pc και με μια ακόμα κάρτα στο pc που χρησιμοποιείται και τα συνδέεται μεταξύ τους με ένα καλώδιο cross ή ftp. Για να βάλετε περισσότερα pcs χρειάζεστε ένα hub ή switch. Εγώ έβαλα το φθηνότερο switch της αγοράς, το 8-πορτο 10/100 της Compex, με κόστος 33 ευρώ με τα μεταφορικά.


*Έλεγχος και παραμετροποίηση*

Μετά την εγκατάσταση, δοκιμάστε να κάνετε ένα ping στην διεύθυνση που δώσατε στο IPCop. Μετά ανοίξτε ένα web brower και γράψτε https://192.168.xxx.xxx:445 ή http://192.168.xxx.xxx:81 , εάν έχετε δώσει στο IPCop μια διεύθυνση 192.168.xxx.xxx


*Σελίδες πληροφοριών του IPCop*

Εικόνες του IPCop ακολουθούν μετά την υπογραφή μου.  ::

----------


## wiresounds

*Σελίδες πληροφοριών του IPCop - Part II*

----------


## wiresounds

*Έλεγχος και παραμετροποίηση - Part III*

----------


## wiresounds

*Έλεγχος και παραμετροποίηση - Part VI*

----------


## wiresounds

*Έλεγχος και παραμετροποίηση - Part V*

----------


## MAuVE

Με κανένα D-Link 900+ δοκίμασες να κάνεις routing εσωτερικού- ασύρματου δικτύου ;

Εχω ένα αντίστοιχο λινουξόκουτο και κοίτα τι παθαίνω :
Υπάρχει κάρτα για το εσωτερικό, το ασύρματο και ISDN.

Αν ορίσω στο D-Link σαν gateway την IP της ασύρματης ethernet πόρτας του λινουξόκουτου, βλέπω το web server του D-Link αλλά σαν client δεν μπορώ να κάνω ping στο AP που έχω συνδεθεί, ούτε βέβαια και στους υπόλοιπους υπολογιστές που είναι ενσύρματα/ασύρματα συνδεδεμένοι στο ενλόγω AP.

Αν ορίσω στο D-Link σαν gateway την IP του AP που έχω συνδεθεί, βλέπω το ασύρματο δίκτυο, αλλά χάνω το web του D-Link

----------


## wiresounds

*Μελλοντικές εξελίξεις του IPCop - Part VI*

Στην έκδοση v 0.2, θα υποστηρίζεται μια ακόμα ζώνη με το όνομα *AMBER* για wireless δίκτυα. Έτσι ένα μικτό δίκτυο με firewall και routing θα είναι εφικτό. Στο https://sourceforge.net/projects/ipcop υπάρχει το forum του project.

Τα χαρακτηριστικά του *IPCop v 0.2* θα είναι :

- 2.4 Kernel
- EXT3 File System
- IPTables based firewall
- Analog/ISDN/ADSL modem support
- XML/RPC management interface
- Full DMZ Support
- Web Based GUI Admin & Config System
- Full Status Display
- Full Traffic Graphs (using IPAC-NG)
- Full Connections Information
- PPP Settings/Configuration Area
- PPtP ADSL Support
- PPPoE Support
- USB ADSL Firmware Upload Area
- Modem Configuration Area
- SSH server for Remote Access
- Password Control Area
- Backup/Restore Configuration
- Update Area - HTTP/HTTPS/FTP Web Proxy
- Proxy guardian
- Proxy Reporting
- SMTP Proxy
- H323 Masquerading
- IPSec Masquerading (if available)
- DHCP Sever with Static entries
- Caching DNS (Dnsmasq)
- TCP/UDP Port Forwarding
- External Service Access Control
- DMZ Pinholing Capacity
- Dynamic DNS Support
- Intrusion Detection System (SNORT)
- VPN Support (FreeSWAN with x509 support) with Control Area
- Web interface to System Logs
- Web interface to Proxy Logs
- Web interface to Firewall Logs
- Remote Shutdown/Reboot Area

----------


## wiresounds

> Με κανένα D-Link 900+ δοκίμασες να κάνεις routing εσωτερικού- ασύρματου δικτύου ;
> 
> Εχω ένα αντίστοιχο λινουξόκουτο και κοίτα τι παθαίνω :
> Υπάρχει κάρτα για το εσωτερικό, το ασύρματο και ISDN.
> 
> Αν ορίσω στο D-Link σαν gateway την IP της ασύρματης ethernet πόρτας του λινουξόκουτου, βλέπω το web server του D-Link αλλά σαν client δεν μπορώ να κάνω ping στο AP που έχω συνδεθεί, ούτε βέβαια και στους υπόλοιπους υπολογιστές που είναι ενσύρματα/ασύρματα συνδεδεμένοι στο ενλόγω AP.
> 
> Αν ορίσω στο D-Link σαν gateway την IP του AP που έχω συνδεθεί, βλέπω το ασύρματο δίκτυο, αλλά χάνω το web του D-Link


Δεν είμαι ειδικός, αλλά μου φαίνεται ως κλασικό πρόβλημα routing. Κάθε φορά βλέπεις μόνο την μια πλευρά του δικτύου σου.
Τι τρέχει το λινουξόκουτο και τι κάνει ακριβώς ;
Μήπως να δοκίμαζες το IPCop ;
Στην ζώνη ORANGE βάλε το D-Link και μια - δυο γραμμές στα routing tables.

----------


## wiresounds

Όπως είχα πει εδώ:
http://www.awmn.gr/forum/viewtopic.php?t=950

Τα mini-itx είναι ικανή λύση για το IPCop. Έτσι αυτοί εδώ οι τύποι το πουλάνε σαν πακέτο προς περίπου 1000 ευρώ ! Έλεος !

http://www.uksecurityonline.com/prod...r/advanced.php

----------


## middle_EAST_WEST

Πάντως φαίνεται ενδιαφέρον.
Επειδη δεν εχω χρόνο να περιμένω για να δω ολο το review να ρωτήσω αν υποστηρίζει hostap και γενικα αν κάνει ΑΚΡΙΒΩΣ για το awmn???  ::

----------


## wiresounds

> Πάντως φαίνεται ενδιαφέρον.
> Επειδη δεν εχω χρόνο να περιμένω για να δω ολο το review να ρωτήσω αν υποστηρίζει hostap και γενικα αν κάνει ΑΚΡΙΒΩΣ για το awmn???


Δεν βλέπω γιατί να μην παίζει και hostap, αλλά ο ρόλος του είναι να είναι το εξωτερικό firewall ενός τοπικού δικτύου. Το να βάλεις και άλλα services επάνω του, ακυρώνει τον σκοπό ύπαρξης, του ανοίγοντάς του "τρύπες". 

Όπως είδες, και στο πιο πάνω link, το πουλάνε ως λύση ασφαλείας για δίκτυα. Προσωπικά είμαι firewall freak. Γράφω αυτές τις γραμμές και περνάνε μέσα από 3 (!) firewalls.  ::  

Όπως έγραψα και στο post
*Μελλοντικές εξελίξεις του IPCop - Part VI* 
στην επόμενη version θα υποστηρίζεται και μια ακόμα ζώνη, την AMBER, ειδικά για wireless. Για να το μάθω το έχω εγκαταστήσει από αυτή τη version.

Έχω βγάλει την κάρτα οθόνης και πληκτρολόγιο (ετσι μειώθηκε και η κατανάλωση του) και το έβαλα σε μία γωνία. Το σύνδεσα επάνω σε ένα 1000VA UPS μαζί με δύο Athlon. Το ένα Athlon στην ζώνη GREEN, και είναι αυτό με το οποίο γράφω τώρα, και το άλλο στην DMZ με WIN2000 advanced server με το ISA adapter και 2 Engenius και το οποίο παιδεύω και με παιδεύει!  :: 

Είναι το pc που είχα φέρει στο workshop, με άλλο δίσκο. Αν δεν δουλέψει το advance server θα ξαναβάλω το δίσκο με το debian και θα φωνάξω τις μεγάλες δυνάμεις του linux.  ::

----------


## dimanast

to exei dokimasei kanenas me NETMOD? 
ti rithmiseis thelei?

----------


## wiresounds

Το NETMOD, από όσο ξέρω, δεν θέλει καμιά ιδιαίτερη ρύθμιση. Τα λειτουργικά το βλέπουν σαν απλό modem. Στη Θεσσαλονίκη στο σπίτι μου το έβαλα σε win έτσι χωρίς κανένα πρόβλημα, με οδηγίες από φίλο linuxά.

Δεν θα έχεις πρόβλημα. Εδώ δεν έχω. Έχω κάνει αίτηση, αλλά έχουν έλλειψη. Μπορεί τελικά να μην βάλω και να περιμένω μέχρι την Δευτέρα Παρουσία για DSL.  ::

----------


## papashark

> Μπορεί τελικά να μην βάλω και να περιμένω μέχρι την Δευτέρα Παρουσία για DSL.


Μην γελάς, ο ΟΤΕ προχωράει, λένε να έχουμε τιμές λιανικές με ΟΤΕΝΕΤ την επόμενη βδομάδα.

----------


## dimanast

> Το NETMOD, από όσο ξέρω, δεν θέλει καμιά ιδιαίτερη ρύθμιση. Τα λειτουργικά το βλέπουν σαν απλό modem. Στη Θεσσαλονίκη στο σπίτι μου το έβαλα σε win έτσι χωρίς κανένα πρόβλημα, με οδηγίες από φίλο linuxά.
> 
> Δεν θα έχεις πρόβλημα. Εδώ δεν έχω. Έχω κάνει αίτηση, αλλά έχουν έλλειψη. Μπορεί τελικά να μην βάλω και να περιμένω μέχρι την Δευτέρα Παρουσία για DSL.



se WinBlows den exo problima....

sto IPCop den mporei na kanei dial ....

namizo pos thelei extra rithmiseis mesa stin kartela modem....

iparxei kapios pou to ekane na paixei me to IPCop???

----------


## wiresounds

> se WinBlows den exo problima....
> 
> sto IPCop den mporei na kanei dial ....
> 
> namizo pos thelei extra rithmiseis mesa stin kartela modem....
> 
> iparxei kapios pou to ekane na paixei me to IPCop???



Στην καρτέλα με το profile tou OTENET ή οποίο ISP έχεις, ενεργοποίησες το "dial on dns request". Με αυτό ανοίγει η γραμμή. Δες την καρτέλα που έχω κάνει post αν βοηθάει.

Επίσης ΔΕΝ πρέπει να έχεις mouse επάνω στο IPCop pc για να δει χωρίς πρόβλημα το όποιο modem!

----------


## wiresounds

*Links σχετικά με το IPCop για γρήγορη επιλογή :*

*IPCOp home* 
*IPCop download* 
*IPCop Documentation*
*IPCop Road Map*
*IPCop FAQ*
*SourceForge IPCop Community*
*IPCop Feature Requests*
*IPCop Forum*

----------


## skekes

Poly kali prospatheia gia tin parousiasi.
To IPCop omos exei palio pyrina os proto tou meionektima pou itan arketa eyalotos se DoS attacks se sxesi me ton 2.4.x.
Episis ston 2.4.x exei arketous drives kai alles epi pleon leitourgeies gia diktya kai oxi mno pou ston 2.2.x den tis vriskei kaneis.
Pantos ena *megalo, trastio mporo na po MPRAVO stin parousiasi* tou IPCop.
Episis se osous endiaferontai gia firewalls yparxei to fwbuilder pou ypostirizei ipf, pf, ipchains, iptables, Cisco PIX apo oso thymamai kai isos kai alla pou mou diafeygoun ayti ti stigmi. 
Paizei se Linux einai free kai fantastiko. 
Gia zones ktl ktl efoson yparoxun ta interfaces mporei na ta dilosei kaneis kai yposthrizei oses zones thelei kaneis.
Episis allo meionektima tou IPCop einia oti exei mono PPTP kai oxi IPSec pou einai safos asfalestero. To PPTP einai eyaloto se sniffing mia pou oi algorythmi gia to encryption einai poly weak.
Gia routing efoson milame gia point to multipoint aksizei na dei kaneis to zebra.

----------


## johnnywalker

Θα ήθελα να αναφέρω ότι πριν από λίγο τελείωσα το upload του IPCOP 1.2.4 fixed στον FTP server του B52.Οπότε όποιος ενδιαφέρεται για το συγκεκριμένο πρόγραμμα, έχει link με τον Β52 και δεν έχει γρήγορη σύνδεση στο internet μπορεί να το κατεβάσει από εκεί (θα το βρει μέσα στα uploads here\Johnnywalker\progz\linux\firewall\) καθώς επίσης και το Ekahau πρόγραμμα που ανακοίνωσε ο Dti πριν από λίγες μέρες.


Φιλικά

JohnnyWalker

----------


## wiresounds

> To IPCop omos exei palio pyrina os proto tou meionektima pou itan arketa eyalotos se DoS attacks se sxesi me ton 2.4.x.Episis ston 2.4.x exei arketous drives kai alles epi pleon leitourgeies gia diktya kai oxi mno pou ston 2.2.x den tis vriskei kaneis.


Είναι αλήθεια ότι περιμένω την v.2 με τον πυρήνα 2.4.x , αλλά αν του περισσεύει κάποιου ένα παλιό pc, νομίζω θα είναι πιο ασφαλής από το να μην έχει καθόλου firewall.

Μεγάλο πλεονέκτημα των dialup συνδέσεων είναι ότι κάθε φορά παίρνουν άλλο IP και έτσι "χανόμαστε" μέσα στο δάσος των IP. Ένας πορθητής που μπορεί να έκανα μερικές προσπάθειες, για αυτό το λόγο μας χάνει. Μια DoS επίθεση είναι πολή σπάνια. Προσωπικά είμαι συνδεμένος μέχρι και 8 (!) ώρες σχεδόν κάθε μέρα τα τελευταία 7 χρόνια, και δε μου έχει τύχει. Από το προηγούμενο Σ/Κ που έβαλα το IPCop, τα software firewalls που τρέχουν ταυτόχρονα δεν προειδοποίησαν ξανά για επίθεση!

Σύντομα θα συνεχίσω αυτό το tutorial ασφαλείας.

----------


## skekes

> Αρχική Δημοσίευση από skekes
> 
> To IPCop omos exei palio pyrina os proto tou meionektima pou itan arketa eyalotos se DoS attacks se sxesi me ton 2.4.x.Episis ston 2.4.x exei arketous drives kai alles epi pleon leitourgeies gia diktya kai oxi mno pou ston 2.2.x den tis vriskei kaneis.
> 
> 
> Είναι αλήθεια ότι περιμένω την v.2 με τον πυρήνα 2.4.x , αλλά αν του περισσεύει κάποιου ένα παλιό pc, νομίζω θα είναι πιο ασφαλής από το να μην έχει καθόλου firewall.
> 
> Μεγάλο πλεονέκτημα των dialup συνδέσεων είναι ότι κάθε φορά παίρνουν άλλο IP και έτσι "χανόμαστε" μέσα στο δάσος των IP. Ένας πορθητής που μπορεί να έκανα μερικές προσπάθειες, για αυτό το λόγο μας χάνει. Μια DoS επίθεση είναι πολή σπάνια. Προσωπικά είμαι συνδεμένος μέχρι και 8 (!) ώρες σχεδόν κάθε μέρα τα τελευταία 7 χρόνια, και δε μου έχει τύχει. Από το προηγούμενο Σ/Κ που έβαλα το IPCop, τα software firewalls που τρέχουν ταυτόχρονα δεν προειδοποίησαν ξανά για επίθεση!
> 
> Σύντομα θα συνεχίσω αυτό το tutorial ασφαλείας.


An trexeis Linux se ola sou ta PC's opos ego gia paradeigma a.. kai ena IRIX se ena SGI O2 tespa, to kathe linuxaki erxetai me ena ipfiltering paketo ( ipchains & iptables ) opote apla kaneis tous kanones me to xeraki se ena shell script kai exeis firewall.

Gia IDS proteino snort anepifylakta. Einai to kati allo oson afora tis epitheseis kai yparxoun addons pou analamvan0un ka "geiosoun" ton epitithemeno. Vevaia opso eipes ki esy akoma kai me staci IP na eisai, an den "fainesai" ennoo na parexeis kapoia ypiresia px web hosting se kapoio site na se kserei o kosmos pali den tha exeis intrussion attempts. 

I efarmogi tis kakias stis perissoteres fores ksekinaei otan apofasiseis an sikoseis ena site ston aera kaiayto einai se mixanima sto spiti sou. Sta 10 atoma ta 2 toulaxiston tha sou kanoun kai ena portscanning kai apo ta 2 o enas tha dokimasei kai exploits stis ypiresies ( http, ftp, smtp, pop3, imap ) ekei apla entopizeis ton eisvolea me ena IDS kai tou koveis to traffic giat toulaxiston mia ora alla omos parodika giati thaftaseis se simeio na sernetai to mixanima sou apo ta huge routing tables pou tha exei.

----------


## wiresounds

*Χρήση του IPCop σε συνδυασμό με windoz software firewalls
ή Γιατί έπεσε η Τροία*




> An trexeis Linux se ola sou ta PC's opos ego gia paradeigma a.. kai ena IRIX se ena SGI O2 tespa, to kathe linuxaki erxetai me ena ipfiltering paketo ( ipchains & iptables ) opote apla kaneis tous kanones me to xeraki se ena shell script kai exeis firewall.


Πρέπει να έχω τουλάχιστον 1 windoz pc για κάποια επαγγελματικά προγράμματα που δεν υπάρχουν σε linux. Το άλλο pc παίζει Redhut 8 (μαθαίνω σιγά-σιγά !  ::  )

Συνεχίζοντας το tutorial, αυτό το widnoz pc έχει 2 software firewalls (!) και antivirus. (Γι' αυτό έλεγα ότι περνάει μέσα από 3 firewalls. Με αυτό το τρόπο το εξωτερικό firewall, το IPCop, δέχεται όλα τα χτυπήματα από έξω. Τις 10 μέρες περίπου που πέρασαν από όταν το έβαλα, τα software firewalls δεν ξαναχτύπησαν, που σημαίνει δεν έχει περάσει τίποτα από τότε. Με σερφάρισμα 8 ωρών βρίσκω περίπου 2 με 8 προσπάθειες ανίχνευσης (superscan) ή επίθεσης (buffer overflow) στα logs του IPCop.

Τώρα τα software firewalls θα συνεχίσουν να υπάρχουν για να αποτρέψουν πιθανή επίθεση εκ' των έσω, δηλαδή Δούρειο Ίππο.

Γιατί όμως 2 software firewalls ; Γιατί απλά δεν εμπιστεύομαι 1 firewall που πιθανά θα θελήσει να επικοινωνήσει με την μαμά εταιρεία του χωρίς να το ξέρω (Δούρειος Ίππος, άκακος μεν, αλλά ..). Έτσι το ένα software firewall επιβλέπει και το άλλο! Μήνες λειτουργεί έτσι το σύστημα, πριν βάλω και το IPCop, και είμαι πολύ ικανοποιημένος από την διάταξη.

Το ένα είναι το Norton firewall και το άλλο το καταπληκτικό και freeware Kerio που την έχει αγοράσει η McAfee. Παλαιότερα ήταν το Norton και το Zone Alarm.



Ο Τσόρτσιλ έλεγε *"Η άμυνα είναι η καλύτερη επίθεση στον πόλεμο"*. Εμείς τουλάχιστον προσπαθούμε να προστατεύουμε τα νώτα μας.
 ::

----------


## skekes

> *Χρήση του IPCop σε συνδυασμό με windoz software firewalls
> ή Γιατί έπεσε η Τροία*
> 
> 
> 
> 
> 
> 
>  Αρχική Δημοσίευση από skekes
> ...


Ego pali egkateleipsa ta winblow$ apo to 97. Etsi den exoasxolithei oute me ta 2000 oute me ta Me oute me ta XP. 
Vevaia otan protoepiasa pliktrologio sta xeria mou me UNIX ksekinisa, ena arxaio Dnix me wise termatika sta 9600. Otan protoepiasa DOS sta xeria mou eixa mia dysforia giati oti ithela na kano me to Unix me pipes ktl ktl pou gia tous GUI xristes moiazoun akatalavistika sto DOS den mporousa kai stamatisa na asxolouai me Winblow$ otan eida posp patata einai ta 95 kai ta NT. Episis eipa oti den ithela na symmetexo sto paixnidi ton anavathmiseon hardware pou se anagkazoun logo neou leitourgikou. 
An deis tin istoria ton leitourgikon tha deis oti ta winblow$ 3.x thelan 8 MB gia na douleoun apsoga, ta 95 thelan 16 ta 98 thelan 32 k.o.k. eno me to linuxaki kai to freebsd eixa ena unix like leitourgiko pou mou ekane ti doleia se oti ithela na kano, kai ithela oute ta misa resources apo osa ithela gia tin idia lysi me ta winblow$.
Kai fysika eixakai asfaleia oxi to karatrypio leitourgiko tis M$.

----------


## wiresounds

Το IPcop v1.3.0 κυκλοφόρησε

http://www.ipcop.org/cgi-bin/twiki/v.../IPCopDownload

----------


## wiresounds

Τώρα είχα λίγο χρόνο να γράψω για τις μεγάλες αλλαγές στο IPcop v 1.3.0

*IPCop Linux v1.3.0 Changes*  

- *Linux 2.4 kernel* and *iptables support*
- New supported hardware includes:
- ECI ADSL supported modems
- Alcatel Speedtouch 330 modem
- Updated software includes:
- Speedtouch 1.2beta
- *Snort 2.0.0*
- Super FreeS/Wan 1.99 kb2c
- Improved portforwarding interface:
- Support for port ranges
- Support for PPTP (GRE)

New supported languages include:
- Danish
- Dutch
- *Greek*  ::  
- Norwegian
- Spanish
- Swedish
- Languages selectable from the web interface
- Improved log reporting
- Improved open connections display
- Improved dial-on-demand traffic selection
- Improved traffic graphing (using MRTG)
- Rate limiting to prevent DoS attacks 


Yo mama !!!  ::

----------


## dalex

...........

----------


## wiresounds

> Τα βλέπω και γελάω...
> 
> Βρε wiresound, και γιατί δεν δοκιμάζεις το original SMOOTHWALL παρά τις φτωχές απομιμήσεις.. Το ipcop ξεκίνησε σαν αντιγραφή του smooth για αντίδραση στον (συν)ιδρυτή Dick M**** (όντως μεγάλος μ*****). Αυτός όμως έφυγε, η smoothwall co τα ξαναβρήκε με την κοινότητα του GPL και τα όποια τεχνικά πλεονεκτήματα του ipcop χαθήκαν... Go to http://www.smoothwall.org and get the original. Η Ver 2.0 mallard (beta 4) έχει ήδη τον 2.4.20 βλέπει usb isdn (και adsl φυσικά), και πάει σφαίρα. Βγαίνουν patches συνεχώς (άριστη υποστήριξη). Έχω κάνει και αλλαγές (νέα ΜΩΒ ζώνη, βελτίωση στο firewall κλπ.) και το δουλεύω και στη δουλειά (15 χρήστες, mail/web server στην dmz). Παίζει και με δίσκο και με flash.
> 
> Γιά τσέκαρε να βρείς την υγειά σου. Έχω σταματήσει να παρακολουθώ βέβαια το ipcop γιατί είχε βαλτώσει (εδώ και ένα χρόνο).
> 
> Call me αν θες επιπλέον πληροφορίες (6753793-δουλειά). Προσωπικά έμαθα linux από αυτή τη διανομή τα τελευταία 2 χρόνια, αν και δουλεύω το suse 5!


Άρα μπορείς να μας κάνεις ένα tutorial για το forum!

----------


## wiresounds

Εκτός από το IPcop v 1.3 εχθές κατέβασα και το Smoothwall 2 beta4. Το πρωί με την τσίμπλα στο μάτι πίνοντας τον καφέ, πριν φύγω για την δουλειά, "έκαψα" το iso και το εγκατέστησα σε 15 λεπτά και μπήκα για να δω και τα email. Piece of cake, όπως λένε και στα Ελληνικά.
 ::  
Η εγκατάσταση είναι ολόιδια με αυτή του IPcop. Το remote administration web gui είναι διαφορετικά στημένο αλλά με τις ίδιες λειτουργίες. Ε, και ;  ::

----------


## dalex

.............

----------


## wiresounds

> Το NETMOD, από όσο ξέρω, δεν θέλει καμιά ιδιαίτερη ρύθμιση. Τα λειτουργικά το βλέπουν σαν απλό modem.


Επειδή απαντώ σε αρκετά pm σε σχέση με τις ρυθμίσεις του Netmod, να επαναλάβω αυτό που είχα πει στις 10 Απριλίου, ότι *Το NETMOD δεν θέλει καμιά ιδιαίτερη ρύθμιση*.

Δηλαδή κάνετε disable isdn, disable dsl και διαλέγετε απλό modem. Το συνδέετε με σειριακή στο pc, όχι usb.

Ευχαριστώ για το διάλειμμα, τώρα πίσω στις διαφημίσεις.  ::

----------


## wiresounds

Το *intrusion detection system* του IPcop έχει πάρει "φωτιά" από τότε που βγήκε στην πιάτσα ο Blaster.

Σήμερα π.χ. είμαι online τώρα το βραδάκι 3 ώρες. Από τις 12:00 μέχρι και 12:29 στα log είχα *32 περιπτώσεις εισβολής !* Από αυτές 22 τις ανέφερε το *snort* ως *ICMP PING CyberKit 2.2 Windows* που είναι η υπογραφή του Blaster. Από αυτές *19* ήταν από το 62.103.χ.χ που ανήκει στην Οτενετ και τα άλλα *3* από 62.101.χ.χ που ανήκουν στην BLUECOM-ADSL-OSLO στην Νορβηγία.

Βρε βάλτε κανένα firewall και antivirus εκεί έξω στην άγρια δύση !  ::

----------


## wiresounds

Μέχρι να κάνω post ήρθαν άλλα δύο. Ένα ακόμα από Οτενετ και ένα από 62.105.χ.χ Uorld Treid Telekom, ZAO από Moscow // Russia  ::

----------


## wiresounds

Εδώ
http://www.beyondmonkey.com/copwatch/
υπάρχει ένα μικρό client (~0,4ΜΒ) για Winblows το οποίο "κάθεται" στο system tray και αναφέρει το status του ipcop router/firewall



Configuration menu



Enjoy  ::

----------


## wiresounds

Βρισκόμαστε πολύ κοντά στην έκδοση 1.4 του IPCop.

Τώρα υπάρχει η v1.4.0 Release Candidate 4.  :: 

http://www.ipcop.org

----------


## wiresounds

Final release 1.4 του IPcop

Το ISO έχει μέγεθος 41ΜΒ.

http://mesh.dl.sourceforge.net/sourc...pcop-1.4.0.iso

Σήμερα θα το εγκαταστήσω και θα σας πω εντυπώσεις.

----------


## playnet3

και προστατεύει όλα τα pc,είται έχουν win or linux??

----------


## wiresounds

Αυτό όπως και αντίστοιχα distros (Smoothwall, Monowall, κλπ) είναι "κομμένα" για να κάνουν μόνο routing (NAT)/firewalling. Κάνοντας μόνο μια δουλειά, χωρίς δηλαδή να τρέχει services, περιορίζονται οι πιθανές τρύπες. Έτσι η πιθανότητα σπασίματος τους είναι εξαιρετικά δύσκολη, όχι όμως και αδύνατη κάτι που συμβαίνει άλλωστε με οποιοδήποτε υπολογιστικό σύστημα στον κόσμο.

Ένα παλιό PC, Pentium I και άνω, με 32ΜΒ ram καλύτερα όμως 64ΜΒ, και τουλάχιστον 64ΜΒ HD είναι ότι πρέπει. Μπορεί να εγκατασταθεί και σε Compact Flash.

----------


## wiresounds

Πηγή: security.linux.com

IPCop firewall polices your neighborhood

IPCop is a Linux-based open source firewall system that can secure anything from a single home computer to an enterprise-level network. It goes beyond the simple security guard analogy and provides services like routing, logging of entry attempts, reporting of traffic patterns, and regulation of inbound and outbound traffic.

A firewall acts like a virtual security guard for your network. Data coming in over the Internet is checked at the gate (firewall), and if it's OK, the firewall passes it through to its destination (a machine on your network). If it's something bad, it's dropped on the spot, without any information going back to the sender. Every computer attached to the Internet should go through a firewall.

I've been happy using IPCop 1.3.0 for about a year. Version 1.4.0 has lots of new features that make using a firewall even easier than before, such as:

* iptable network filters
* Support for four separate network cards:
Green -- internal trusted network
Blue -- wireless semi-trusted network (can be used as a second Green)
Orange -- DMZ for Internet-accessed servers
* Red -- the Internet connection DHCP client support on Red to receive an IP address from ISP (or Static, or PPPoA)
* DHCP server for Green and Blue
* NTP server and client for setting IPCop clock and supplying a common clock for internal Green and Blue networks
* Intrusion detection for all four networks
* Virtual private network (VPN) support
* Proxy support for both Web surfing and Domain Name Services
* Performance graphics for CPU, memory, and disk utilization and network throughput

The main enhancements over 1.3.0 include a new Web interface, more graphs, and support of wireless networks. Having a separate Wi-Fi leg makes sense, because while it isn't open to the Internet, a wireless network is open to anybody within range of your access point. Under 1.3.0 you'd have to wire your access point into your trusted (Green) or DMZ (Orange) network. Now you can put your access point on a separate network leg and have an easier time tracking users and activity.
_
Installation_

To get started, download the ISO file and burn it on a CD. It won't take very long, since it's only about 40MB in size.

Grab any old desktop machine with at least five open PCI or ISA slots. I started out with a 200MHz Pentium box with 64MB of memory and a combination of 4 PCI and 3 ISA slots. I stuffed in three Intel PCI 10/100 network interface cards (NIC), a Digital/Tulip PCI 10/100 NIC, and an old 2MB ISA video card. You could use ISA-based NICs too, but you'll limit traffic on your networks to 10Mbps speeds. My box also had a CD reader and a 3GB IDE disk.

For the installation, I hooked up a keyboard, mouse, and monitor. After installation, those components are no longer needed, as you can make changes via a Web browser or SSH into the firewall over the trusted (Green) network. You could even remove the video card and CD reader when you're done.

Loading IPCop couldn't be easier, because the developers have automated just about everything. Simply pop in the CD, boot up the machine, and follow the on-screen directions. The installation will re-partition and take over the entire disk, so make sure you want to do that before you continue.

The setup program will walk you through setting up your host name, network configuration, passwords, and other settings. I set the firewall to use all four NICs and assigned IP addresses according to the following table:
Trusted Green 192.168.2.1
DMZ-Web Orange 192.168.3.1
Wireless Blue 192.168.4.1
Internet Red ISP-DHCP

If you get a static IP address from your Internet provider, use that address for your Red interface and select Static instead of DHCP. Once you've gone through all the screens, you'll be able to reboot and use any Web browser connected to the trusted (Green) network to manage the firewall.
_
Sorting out the networks_

With four network cards, how do you tell which is which? Log in as root on the IPCop console and type ifconfig. You'll see the normal output for the loopback (lo) and the four network cards device names from eth0 through eth3. A quick and dirty way to identify the cards is to plug your active cable or DSL modem Ethernet cable into the topmost NIC and rerun the ifconfig command. Look down the ifconfig listing and see which device changes the RX packet line. Run ifconfig a couple of times, just to make sure. Mark the card using a marker on the back of the PC with its corresponding device name (eth0, eth1, etc.). Mark the rest of the NICs following the same procedure.

When you're done, unhook the modem cable right away. I logged a couple of access attempts within the first couple of minutes of firewall operation. You don't want someone hacking into your firewall box because you forgot to unhook the Internet cable from the trusted Green or Blue network leg.

Next, while still logged into the firewall console as root, perform the following:


```
    #> cd /usr/local/sbin
    #> ./setup
```

Use the Tab and arrow keys to travel down the menu to select Networking. Move down and select Drivers and Card Assignments. Look at the list and you can figure out that Green will probably correspond to eth0. In my case Blue was eth1, Orange eth2, and Red eth3. Go back up the menu structure to get back to your root prompt.

Now you can hook up your cables and rerun ifconfig to make sure the appropriate data is moving across each NIC. Power down the firewall (with shutdown -h now), remove the monitor, keyboard, and mouse, then power up the machine again. You may have to power down the cable modem to get a new IP address if you're using a dynamic IP address from your ISP.

_Web-based management_

After the firewall reboots, take a look at the Web-based management interface. Use a browser connected to the Green network and go to http://192.168.2.1:81/, or use the Green IP address that you assigned and add the :81/ port. You'll see a splash screen and login prompt. Enter "admin" and the admin password that you set during installation.

Now you can click through a tabbed interface to see the settings and information you need. Here's a description of some of the more useful tabs.

_Status_

The Status tab lets you keep track of what's going on inside your IPCop system. Some of the more useful menu items include system and network graphs and network status. The system graphs are useful for monitoring CPU and memory usage, to make sure that your firewall can handle the data flow. If you've recruited an old 300MHz Pentium II machine for your firewall, you can check usage as you add users. Six months from now, when you've tripled your user base, the system graph can tell you if you're maxed out and need a more powerful machine.

Likewise with the traffic graph. You can watch the amount of traffic flowing over each network leg. Naturally, you'd assume that the largest amount of traffic would flow over the trusted (Green) network. A large increase on your wireless (Blue) network might mean that unauthorized users has found your access point.

Another screen you'll find useful is network status. Here you'll see network interface information (much like the output of ifconfig), Red network DHCP information, LAN-side DHCP clients, and routing table data.

_Logs_

You'll want to regularly look at the Firewall and IDS screens to find out who is trying to break in and what kinds of threats are coming in over the Internet. If you click on the Summary menu item you'll see a nice compilation of all the IP addresses that have tried to access your firewall's ports, what network the probes came from, and how many times it's happened in the last 24 hours (default). To track intrusion attempts on all four networks, click the enable boxes under the Services -> Intrusion Detection and click Save.
_
Wrapping up_

I was impressed with IPCop 1.4.0. It was easy to install, easy to configure, and provides more status information than 1.3.0. The IPCop team built a new Web GUI that's intuitive and functional. It also added welcome support for the fourth (wireless) network. I like having a semi-accessible network leg with logging capabilities.

An IPCop firewall can be an important network protection device for your medium-sized business or educational organization.

----------


## NetTraptor

@wiresounds... Βλέπω ότι επιτέλους πήραμε μπρος και εδώ....

Για μένα το IPCOP είναι αυτό που θα έπρεπε να δούμε αν πειράζεται για χρήση στο awmn πριν από οποιοδήποτε άλλο παραφορτωμένο Linux... Όπως και το Sloothwall 

Και τα δυο είναι μια καλή βάση νομίζω..? (διορθώστε με)

Εγώ τρέχω τουλάχιστον 3 IPCOP 1.4.1 εδώ και εκεί καθώς και τα addon του...

Μακάρι να ήξερα ποιο πολλά για το Linux ώστε να το βελτίωνα ...

----------


## wiresounds

IPCop v1.4.2 released

V1.4.2 changes are only related to bug fixes.

List of (some) problems solved in V1.4.2
- fix dhcp.cgi bug in header.pl
- fix eciadsl-nortek to use correct usb alt interface in rc.red
- fix insecure dependency related to fritdsl modems in rc.red
- fix status.cgi page menu without javascript
- fix dhcp.cgi : read timesettings for correct test
- fix snort log rotation not working wich could have made snort end
- fix syslog path in restartsyslogd (if syslog was not running)
- set empty DOMAIMNAME in restarthosts to prevent ctrl/Z in hosts file
- upgrade fcdsl2 firmware and module to 03.11.04 and include drdsl
- upgrade Pulsar driver to 4.018
- upgrade fcron to 2.02 (CAN-2004-1030, CAN-2004-1031, CAN-2004-1032 & CAN-2004-1032)
- change 256MB flash disk log size from 10 to 30MB
- add usr/bin/host for ipsec verify
- add reload capability to rc.firewall.local

Other details in doc/Changelog from the source package or in the .iso. Files available in the downloads section.

----------


## ReBoot

Το εστησα με 2 ifs, red και green zone.Τι παραμετροποιηση θελει για την περιπτωση που αναφερω εδω: http://www.awmn.gr/forum/viewtopic.php?t=11463 ?  ::

----------


## NetTraptor

Παίξε μπάλα εδώ και θα σου πω… No problem…

Είναι απλό…. Μπες στο https://yourGreenIP:445
Και θα δεις αυτoνοητά παράγματα… στην χειρότερη άνοιξε πόρτα να μπω και στο στρώνω με ότι μου πεις και παραδίδω… so easy!

----------


## [email protected]

Μπορω να κανω Traffic shaping με το Ipcop?αν οχι μπορω να κανω με τον κλασσικο τροπο?

----------


## NetTraptor

> Μπορω να κανω Traffic shaping με το Ipcop?αν οχι μπορω να κανω με τον κλασσικο τροπο?


Υπάρχει ένα plug-in που κάνει εξαιρετικό traffic shaping… εδώ!

http://ipcop-pro.dyndns.org/download.php?view.72

----------


## wiresounds

IPCop 1.4.3/1.4.4 released

http://www.ipcop.org

This is the V1.4.4 release version. 
Number goes directly in 1.4.4 because update is split in 2 parts. 

IPCop 1.4.4 is now available at Sourceforge and in the download page here.

As usual, this version can be installed as an update from previous v1.4.x versions or with a ready-to-go ISO for a fresh install.

Install both updates and reboot.

Update is cut in two files in an attempt to solve the abort message 'This is not an authorised update.' because there is not enough free space available on root partition.
It may not have enough free space on the root partition for disk size smaller than approximately 900 MB to warrant the install of the update.
With more than 30 MB free, you will be able to install the two updates.
You may create more free space on your disk by removing the part of the kernel you do not use (2.4.27-smp for most of us).
In this case, type :
rm -rf /lib/modules/2.4.27-smp
and don't forget the -smp termination.
df must display more than 30MB available for the root partition to be able to install the updates.

If installation fail, report the error message found in /var/log/http/error_log

Some changes were made to make IPCop more add-on friendly for next releases.
But v1.4.3 and v1.4.4 update may broke every add-ons:
- because header.pl is updated
- due the 'use strict' on cgi script to enforce correct scripting rules
--> Install only add-on updated for v1.4.3/v1.4.4 <-- 

With small disk less than 900 MB, it may be particulary difficult to apply the update if:
- a full v1.4.1 was installed due to the restricted place for root in this version
- who have installed the fcdsl package for friztdsl modems
In both cases, the full install from iso may be necessary with those small disks.

Click on 'Read more...' to know the changes in this new release


Ο δίσκος μου είναι 1GB. Έχω περάσει και τα δύο updates από εχθές και όλα πήγαν καλά με την πρώτη.  ::

----------


## wiresounds

IPCop 1.4.5 released

http://www.ipcop.org

As usual, this version can be installed as an update from previous v1.4.x versions or with a ready-to-go ISO for a fresh install.
Install update and restart connection to make the new dnsmasq version run.

Read more to know the changes in this new release. 

MD5: 1f4fd77e74371e12e974b255e3b7c9f1 update-1.4.5.tgz.gpg
MD5: be791666a59a4725486151f4faaf0411 ipcop-1.4.5.iso
MD5: 61a8cd1440a4b5a41ce2dce393472497 sources-ipcop-1.4.5.tgz
MD5: a2036d8ecc22a5fc335afac2049944e1 fcdsl-1.4.5.tgz

For frizt dsl modems, fcdsl-1.4.5.tgz has nothing changed from fcdsl-1.4.4.

*Short changes summary*
- Fix pulsardsl by using the correct gcc3 lib.
- Fix vpn missing lines in ipsec.conf SF 1167658 .
- Fix dhcpc.cgi with start and end address comparison.
- Upgrade dnsmasq to 2.21. 
- Update snort sid URL.
- Start a new online help system in portfw.cgi

More details on doc/ChangeLog

*!!! Install only add-ons compatible with v1.4.4 and later. !!!*

snort upgrade should follow in a few days. 

Note: A new addon-server TEST version is available since March, 27. It is compatible with IPCop v1.4.4 and later.
(http://firewalladdons.sourceforge.net/)

----------


## NetTraptor

> IPCop 1.4.5 released


*Προσοχή*… εάν χρησιμοποιείτε QoS plugins! Mετα το upgrade δεν θα παίζει τίποτα από τα QoS policy… μην δοκιμάσετε να ξαναπεράσετε το QoS… Θα πιείτε στο όνομα των upgrades… περιμένετε για το upgrade από τον γερμανό!

Εγώ την έπαθα αλλά ευτυχώς είχα ένα backup του config και έτσι είναι back on-line o IPCOP μου… αλλιώς ακόμη θα με βαράγανε!

----------


## wiresounds

IPCop 1.4.6 released

http://www.ipcop.org

IPCop v1.4.6 was release with no changes from 1.4.6test.

As usual, this version can be installed as an update from previous v1.4.x versions or with a ready-to-go ISO for a fresh install.
Install update and restart connection to make the new dnsmasq version run.

Download from Here or on SF.net.


Read more to know all changes and special comments. 

Releases
MD5: 753b00658a996de625c779334768d0a6 fcdsl-1.4.6.tgz
MD5: b83eed991e392dd8346171088aac9fb8 ipcop-1.4.6.iso
MD5: 99bc31079b1b7be5d94b22d388b04b3b sources-ipcop-1.4.6.tgz
MD5: d083bb952ccfefa6b3f98ed881dbec45 update-1.4.6.tgz.gpg

For frizt dsl modems, fcdsl-1.4.6.tgz has nothing changed from fcdsl-1.4.5/1.4.4.

Short changes summary
- Upgrade to snort-2.3.3 and use oinkmaster-1.2 to update rules.
Use /var/ipcop/oinkmaster.conf if you want to keep a particular rule setting even with rules update.
- Fix tcpdump CAN-2005-12{78|79|80} denial of service,
- Fix gzip CAN-2005-1128 with gunzip -N,
- Fix vim CAN-2004-1138,
- Fix ibod - Advisory #10 No System Group
- In setup, don't abort but use english when (zh,lt,ro,ru,th) is selected from web interface SF1178604
- For a static IP (not with PPP), remove default gateway before applying again in case it was changed SF1175052
- Remove sitefinder workaround no more necessary and the address is reused SF1178122
- Fix dhcpc.cgi unable to add or edit fixed DHCP leases SF1174069
- Fix undesired reconnection when persist option was used with timeout, and dial on demand in now in use SF1171610
- Fix 'other countries' selection with eagle-usb interface
- Allow easydns and zoneedit to update without a HOSTNAME
- Fix dyndns ip behind router not updated correctly SF1168178
- Disable HTTP OPTIONS method
- Fix wrong firmware selection during upload with speedtouch SF1185503 & 1185818
- Fix start squid if enabled on blue or green SF1144280
- Fix various typo with vpnmain.cgi, a possible crash of the interface on a click on erase
- Fix DDNS erase ipcache file when force update is launched SF1158510
- Upgrade dnsmasq to 2.22 to fix bugs introduced in 2.21
- Remove in rc.netaddress.up call to dsnmask and ipsecctrl (fix SF11752 ??)
- Add a Snort log section in System logs
- Stop and clear module help on reboot for Conexant PCI and usb adsl SF1185833
- Display Internet IP in index.cgi in case of dyndns use and behind a router
- Upgrade to bind-9.2.5,dnsmasq-2.22, pppt-1.6.0, wireless-tools.27.

More details on doc/ChangeLog or on CVS

!!! Install only add-ons compatible with v1.4.4 and later. !!!

----------


## NetTraptor

> IPCop 1.4.6 released


Thanks Μαν!  ::  Update On

----------


## akosmas

Καλησπερα, εχω εγκαταστ. το IPCOP και μου δουλευει αψογα αλλα....
το προβλημα μου ειναι το εξης : στα τοπικα μηχ/τα εχω ιντερνετ με ip 192.168.100.xxx εχω ομως και αλλα τερματικα που συνδεονται μεσω μισθωμενων γραμμων του ΟΤΕ με ip 192.168.130.xxx - 192.168.120.xxx και εδω ειναι το προβλημα. το IPCOP τα 'κοβει' και δεν δινει προσβαση στο ιντερνετ , τι μπορω να κανω για αυτο?? 

π.χ. μου βγαζει αυτο -> 
*tcp (6) 58 SYN_RECV 192.168.130.xx:2796 67.15.125.21:80 67.15.125.21:80 192.168.50.xx:2796 use=1*

----------


## NetTraptor

> Καλησπερα, εχω εγκαταστ. το IPCOP και μου δουλευει αψογα αλλα....
> το προβλημα μου ειναι το εξης : στα τοπικα μηχ/τα εχω ιντερνετ με ip 192.168.100.xxx εχω ομως και αλλα τερματικα που συνδεονται μεσω μισθωμενων γραμμων του ΟΤΕ με ip 192.168.130.xxx - 192.168.120.xxx και εδω ειναι το προβλημα. το IPCOP τα 'κοβει' και δεν δινει προσβαση στο ιντερνετ , τι μπορω να κανω για αυτο?? 
> 
> π.χ. μου βγαζει αυτο -> 
> *tcp (6) 58 SYN_RECV 192.168.130.xx:2796 67.15.125.21:80 67.15.125.21:80 192.168.50.xx:2796 use=1*


Μια κουλή πρόχειρη λύση λύση…..

Βαλε subnet mask 255.255.0.0 σε όλα…

----------


## Stelakis

Καλησπερα, προσπαθω και εγω να στησω ενα ipcop firewall. 
Εχω κατεβασει το τελευταιο ipcop απο το site και οντως η εγκατασταση ηταν πολυ ευκολη. Μπαινω και απο ενα αλλο pc και κανω ping στο gateway μια χαρα. Το προβλημα μου ειναι με το crypto link usb V.92 modem μου. Πως θα βρω σε ποιo port ειναι ετσι ωστε να σετταρω την ppp dialup απο το web interface. 
Δινει πολλες επιλογες, com1...4, usb on acm0...3 (τι ειναι το acm;; :: 
Εχω δοκιμασει διαφορα αλλα συνηθως μου δειχνει το εξης μηνυμα:
pppd(1764) pppd 2.4.2 started by root, uid 0
chat(1765) Can't get terminal parameters: Input/output error
pppd(1764) Connect script error
pppd(1764) Exit

Εχει κανεις καποια ιδεα για το τι πρεπει να κανω για να δουλεψει...
Θα με σωσετε...
(Δεν εχω ιδεα απο Linux...)

----------


## wiresounds

http://www.ipcop.org/

1.4.7 update
Upgrade to bzip2 patched (CAN-2005-1260 CAN-2005-0953). Patch dhcpcd (CAN-2005-1896), tcpdump (CAN-2005-1267), zlib(CAN-2005-2096). Fix IDS Log bug (SF 1213547). Upgrade logwatch to 6.1.2, squid to 2.5.STABLE10, pcmcia-cs to 3.2.8, pulsardsl to 4.0.19.
Add ethtool-3, iptstate-1.4, libwww-perl-5.8.03, Compress-Zlib-1.35, URI-1.35, Net_SSLeay-1.2.5.
Improve dynamic DNS & add provider. Enable/disable ping from new Firewall Options page. Improve support for addon and language files. Improve DHCP option support.
Openswan 1.0.10rc2, VPN PFS=yes/no, VPN users with dynamic IP, you can choose new dead peer detection=restart!. Fix VPN interface bugs. Add usr/local/bin/setreservedports script to shift ipcop https port away from 445.
You need to run kernel-2.4.29{,-smp} for the update to work. For flash disk with 5MB /boot, only 2.4.29 (not smp) allowed during update.

1.4.8 update
Upgrade to kernel 2.4.31.


*Apply both 1.4.7 and 1.4.8 updates (eventually load fcdsl-1.4.8 package if needed) and reboot!!!*


Install both 1.4.7/1.4.8 updates and reboot to use the new kernel.

Update is split in 2 parts like 1.4.3/1.4.4 to solve some space issues with disk less than 800 MB.

Update was tested to work on flash disk (this was not the case in 1.4.3/1.4.4).

MD5: 93538c45825c0fb5bbcb644f80f8907d fcdsl-1.4.8.tgz
MD5: 789d92f23f7def21d0eb4e660d7c49f8 ipcop-1.4.8.iso
MD5: 2916d4667663b9d37880b2bf21e2da44 sources-ipcop-1.4.8.tgz
MD5: e26b8a1921e33e5114fc2367d5d0fd45 update-1.4.7.tgz.gpg
MD5: 05930394026f2aa7c36bf652840293f6 update-1.4.8.tgz.gpg

You need to use kernel-2.4.29 to install this update.
Previous kernel 2.4.27 will be removed to free space for new kernel 2.4.31

Because of this kernel removal (for those who installed before 1.4.4), it is difficult to say exactly how much free space is necessary (it depend if 2.4.27 is present). It should no more be a problem, if you don't have added hudge files on a small disk. As a shortcut,I would say you need 10 MB free on /root before 1.4.7 installation if 2.4.27 is present and 25 MB if not.
If you have less than 30 MB free on /root, you will need 25 Mb free on /var/log.
After 1.4.7 update installation, the update page is changed to display space available.

If you run from a flash disk, the kernel running during the update can only be 2.4.29 (and not smp). There is not enought free space available on standard /boot made by makeflash to support 2 smp kernel. This is changed for futur makeflash installation with a standard 8MB size like with real disk.
After the update with flash, you can start whatever kernel 2.4.31 you want but 2.4.29-smp can't be started.

----------


## wiresounds

IPCop 1.4.9 released

A year ago, first of 1.4.0 serie was released. Overall download counter for IPCop on sourceforge is now more than 2.500.000.
Thank to all who make IPCop work, to all who contribute by supporting users, tracking bugs, writing code, doc, working on the background.

IPCop v1.4.9 is only bug fixes and is released with minor changes from 1.4.9test1. It can be downloaded from Here or on SF.net

As usual, this version can be installed as an update from previous v1.4.x versions or with a ready-to-go ISO for a fresh install.
1.4.9 update installation will mainly reload firewall rules.
A reboot is not necessary.

md5sums
9fe36d8becb003e65626128b0c70481c ipcop-fcdsl-1.4.9.i386.tgz
6e9e6ce949fe14efda4f793c1bed4b17 ipcop-install-1.4.9-1.i386.iso
0af698987fae864d753d8eb67ebb8898 ipcop-sources-1.4.9.tgz
64424bcd7afa9ba56ec0d31d10f2cd40 ipcop-update-1.4.9.i386.tgz.gpg

fcdsl package is unchanged since 1.4.8

Download files names slightly change :
- for possible other architecture support in the futur
- to differenciate from 1.4.9test1 where files were wrongly uploaded with 1.4.9 name
Releases

The changes made since v1.4.8 are :
- add Danish language update missed in 1.4.7/1.4.8
- add quotes around update button to fix Norwegian, Swedish and Vietnamese
- replace uptime for upgraded installation
- fix security issue with addon-langs permissions in upgraded installs
- add Traditional Chinese to webgui interface
- fix conditional test for port range in setreservedports
- fix lang.pl missing in backup-exclude
- patch pcre-4.5 for CAN-2005-2491
- modify logwatch not to alert on requests for null.gif
- upgrade squid to 2.5.STABLE11 CAN-2005-{2794,2796,2917}
- hide only start/stop buttons on index.cgi when pppsettings used and valid.
A profile may be invalid but not used.
- display profile name only when a profile is used
- dhcp.cgi Add error message to cover situation where Interface is Enabled, but Start and End address are both blank.
- check floppy disk media before attempting a backup to avoid a stalled tar for ever
- upgrade eciadsl to 0.11
- patch umount CAN-2005-2876
- make optionfw.cgi work with ping option

For those who install 1.4.9 test1 update and want to be same as final 1.4.9, run
perl -e "require '/var/ipcop/lang.pl'; &Lang::BuildCacheLang" to update cache-lang and use texts updated.

For those who install 1.4.9 test1 from iso and want to be same as final 1.4.9, run
/bin/sed -i -e '/optionsfw.cgi/s/# ,/ ,/' /var/ipcop/header.pl
and the new optionsfw.cgi under firewall menu should be displayed and work.

For those who want to compile IPCop, some files may be unavailable on original URL.
You could find an alternate place to download with google 'file-name ipcop' keywords

----------


## wiresounds

1.4.10 update

Web backup : tighten security (SF 1344032/1344047), fix hardware settings never included in backup, fix excluded files not working in 1.4.9. Web backup set on disk will be fixed.
Patch squid-2.5.STABLE11 (CAN-2005-3258 and bug#1405). Upgrade to apache_1.3.34 mod_ssl-2.8.25-1.3.34 mm-1.4.0, openssl-0.9.7i (CAN-2005-2969).
Correct transparent proxy squid for Blue only SF1327461.
Replace ipcopdeath and ipcoprebirth with ipcopreboot.
Accept IP masks (pool) for IP fields in DMZ Pinholes.
Add option to schedule reboot of IPCop.
Fix VPN adv options not used. Add an optional delay between connection and VPN start to allow dyndns name to propagate.
Use binary logging for Snort IDS.


edit: Όταν κάνω το update μου βγάζει "This is not an authorised update. "
Κάποια πατάτα θα έκαναν.  :: 

edit 2: Ήταν corrupted το αρχείο. To ξανακατέβασα από άλλο mirror και έπαιξε.  ::

----------


## NetTraptor

Αυτό το πραμα με την αργή διάδοση των updates στα mirror να δούμε ποτέ θα το λύσουν…  ::

----------


## toadstul

Gia sas paidia 
Exo stisi ena ipcop pc me tria interface green,blue,red.
sto green exo dosi ip 192.168.1.1 me maska 255.255.255.0
sto blue exo dosi 192.168.2.1 me maska 255.255.255.0
kai sto red einai statiki me ip 192.168.3.1 kai maska 255.255.255.0
To erotima mou einai pos mporo na kano ta dio pc pou tha sindeonte sto 
blue asirmata na blepoun ta alla dio pc pou exo sto green kai antistrofa 
kai taftoxrona auta ta tesera pcs na mirazonte mia sindesi adsl pou tha 
proerxete apo to red interface? 
tha mporouse kapios na mou pei me arketes leptomeries(giati eimai asxetos me ta diktia) ti rithmisis na kano kai pou?
prospatho edo kai 15 meres na to rithiso alla tipota parolou to diabasma 
sta diafora manual kai administration book  ::   ::  

ps sto blue diktio exo ena Wrt54g gia tin asirmati epikinonia

euxaristo

----------


## wiresounds

Δεν μου έχει χρειαστεί να το κάνω.
Αλλά αν δεν κάνω λάθος, το κάνεις με τα “DMZ Pinholes”.
Ανοίγεις δηλαδή τρύπες στο firewall, ποιες διευθύνσεις από το blue θα βλέπουν ποιες από το green και αντίστοφα.

----------


## toadstul

etsi akribos leei ka to administration book alla distixos den ta katafera!
kseris an tha prepi na diloso kai to ip tis asirmatis kartas kapou? an nai pou? 
euxaristo gia tin grigori apantisi

----------


## Pater_Familias

Σε παρακαλώ γράψε με ελληνικά. Είναι κανόνας του φορουμ.

----------


## toadstul

ok συγνωμη 
θα προσπαθησω να ξανα δοκιμασω με τιν βοιθια του administration guide. 
Α δεν τα καταφερω θα ζητησω την βοιθια σας οστε αν εχει καποιος την διαθεση να μου ριθμυση με απομακρισμενη.
Ευχαριστω και παλι

----------


## slapper

Μια γρηγορή ερωτησούλα.
Μπορώ στο ipcop να βάλω παραπάνω απο μία ip στο κάθε interface??
Απλώς θέλω στο μηχάνημα που θα τρέχει το Ipcop να έχει και 192.168.χχχ για το τοπικό μου Lan και 10.0.xxx.xxx για το awmn.
Επίσης θέλω ο proxy που έχει το ipcop να κάνει cache και απο inet και απο awmn.
Λογικά πρέπει να γίνεται απλός δεν βρήκα κάτι ανάλογο.

Thanks..  ::   ::

----------


## NetTraptor

Το IPcop Έχει 1 Lan, 1 Wireless, 1 inet και 1 DMZ interface όταν βάλεις 4 lan κάρτες…

Νομίζω ότι σου έλυσα την απορία?

----------


## slapper

Το ξέρω αυτο ,το θέμα είναι σε ένα Interface να βάλω δύο ip όπως είπα και παραπάνω δηλαδή 192.168.χχ και 10.0.χχχ για να χρησιμοποίήσω το firewall και για Ιnet και awmn!!!  ::   ::

----------


## NetTraptor

1 Lan:192.168.0.0/24, 1 Wireless:10.x.x.x/24, 1 inet:briged modem or 192.168.1.0/24 και 1 DMZ:192.168.2.0/24 (can be ignored or not used)

Θες 3 ή 4 if...  ::   ::

----------


## slapper

Ωραίος ο παίχτης!!!!
Μου έδωσες ιδέα

Thanks!  ::   ::

----------


## NetTraptor

EMBCop - IPCop on embedded PC’s

http://embcop.org/  ::

----------


## quam

Γνωρίζει κανείς αν πρέπει να προσέξω κάτι στα router-modem που θα πρέπει να πάρω για να στήσω 2 VPN Lan-to-Lan με IPCop ?

Ευχαριστώ

----------


## noisyjohn

> 1 Lan:192.168.0.0/24, 1 Wireless:10.x.x.x/24, 1 inet:briged modem or 192.168.1.0/24 και 1 DMZ:192.168.2.0/24 (can be ignored or not used)
> 
> Θες 3 ή 4 if...


Παρομοίως μου έδωσες ιδέα!!  ::  To ipcop το δοκίμασα σε PII με 32 Mb ram και ήταν μιά χαρά

@ Slapper : ετοιμάσου για workshop  ::   ::

----------


## dalex

....

----------


## dalex

....

----------


## quam

> Ένα τέτοιο φτηνό modem που έχω επάνω στην 1 Mb otenet backup γραμμή μου, είναι το Level1 FBR-1161 (ADSL2+, 32 ευρώ χοντρική). Τσιμέντο, και με IPCOP και με pfSense.


Ωραία γιατί για αυτή τη συσκευή ενδιαφερόμουν.

Thanks

----------


## noisyjohn

> ...
> Εγω το γύρισα σε pfSense και βρήκα την υγειά μου. ΑΛΛΟ πράμα! Θέλει 128 minimum όμως. Κι εδώ τα ίδια με τη cpu, αλλά η PHP είναι ακόμα πιό βαριά στο GUI. Με PII στα 400 πάντως φυσάει (thank you DIMKATIO for the IBM-II!).


μόλις είδα το site, αυτά μου άρεσαν ιδιαίτερα:


```
Wireless a/b/g wpa_supplicant, turbo, WEP, WPA-E/PSK and WPA2 (TKIP)
wireless support (access point with PRISM-II/2.5/3 cards, BSS/IBSS with other cards including Cisco)
IPsec VPN tunnels (IKE; with support for hardware crypto cards and mobile clients)
PPTP VPN (with RADIUS server support)
```

επειδή είδα αυτό


```
Should I use m0n0wall as an access point?
Manuel Kasper, author of m0n0wall, posted the following to the m0n0wall mailing list on December 29, 2004.        
    If you want to be really happy with your wireless, then by all means
    buy a real dedicated AP. hostap just never matches the performance
    and reliability (not even under Linux) of a *good* AP, and is only
    intended as a solution for people who absolutely need to do
    everything on one box.
```

Ερώτηση quiz του 2007: θα δουλεψει σαν ap ή πάμε για πρόσθετο ap;

----------


## dalex

....

----------


## MAuVE

@ dalex

Έχεις δοκιμάσει load balancing και failover με τις δύο ADSL συνδέσεις που απ' ότι κατάλαβα έχεις ;

Το δοκίμασα όταν το πρωτοέβγαλαν, αλλά κολλούσε και το παράτησα.

Τώρα λένε ότι το φτιάξανε και δουλεύει.

Ρωτάω για να το επιβεβαιώσω.

----------


## dalex

...

----------


## NetTraptor

Με το συμπάθιο... γκουχ....  ::

----------


## noisyjohn

> Εννοείς με κάρτα μέσα στο pfsense έτσι;
> .............
> Έχει και OLSR μενού. Ο Mauve το έχει παίξει και με QUAGGA νομίζω, ψάξε στο forum για σχετικά threads.
> 
> Πάντως, όπως έχει πει ο papashark, αν έχεις την πολυτέλεια όλα τα Link σου και AP να είναι αυτοδύναμα (ethernet devices), με router/firewall τον pfsense κάνεις παπάδες.
> Εκτός από τον squid, παίζω τώρα με το tinyDNS. All in a box.
> Για AP η καλύτερη λύση είναι πάντως μια FONERA με κάτι σαν DD-WRT και μάλλον DHCP RELAY από το pfsense.
> Θα σου γράψω μόλις τελειώσει αυτό το project.


Σωστά, με κάρτα μέσα στο pfsense.

Μόλις διάβασα για το FONERA. Μετά από 7 μήνες παρουσίας στο AWMN αρχίζω να σκέφτομαι διαφορετικά:
1. Κόστος για κάθε if του κόμβου: 35 (cm9/6) + 15 (adaptor ή μονός ή τετραπλός/4 ) + 12 (5 m LMR400) = 52 + 1 αδεια MT (άντε στα μείον το κόστος 4πλής κάρτας ethernet για τον router) 
2. MT = να είναι καλά το winbox, όσο για τη κονσόλα καλύτερα να ασχοληθώ με linux.
3. Τελικά τι μας έχει πιάσει όλους με το ΜΤ; Πόση πολυτέλεια είναι 5 ap + ένα pc + pfsense ή κάτι παρόμοιο;
σκέψεις ...

----------


## dalex

....

----------


## MAuVE

> Επίσης, δεν χρειάζεσαι ούτε 4πλή κάρτα ethernet. Με μία γραμμή, ανεβάζεις άνετα 4 vlan στη ταράτσα (100/4 = 25 Mb/s το καθένα χωριστά). Με μιά δεύτερη κάρτα και 2η γραμμή, άλλα 4, κοκ. Ακόμα και τα giga switch 5 - 8 θυρών έχουν φτηνήνει πάρα πολύ.


Ωραία είναι τα vlans, τα χρησιμοποιώ από τότε που το έστησα, αλλά έχουν κάποιες ιδιαιτερότητες :

α) Αναγκάζεσαι να κάνεις bridging με την/τις ασύρματη/ες κάρτα/ες πράγμα που γίνεται μόνο όταν αυτή/ες είναι σε AP mode.

β) Ενώ με το ethernet interface του Cisco router σε dot1Q encaptulation trunking δουλεύει τέλεια*, αν θελήσεις να παρεμβάλεις ένα Catalyst 2950 switch για να απομαστεύσεις κανένα άλλο vlan, δεν παίζει. 

Βρε τι native vlans έχω αλλάξει, τι ip addresses έχω δοκιμάσει, τίποτα.
Πιθανώς να φταίει η ethernet πόρτα (realtek chip) του μηχανήματος που τρέχει το pfsense.

*Απαιτείται ένα εκ των δύο:

1) Βάζεις ΙΡ διεύθυνση και στα δύο physical interfaces (o Catalyst δεν το δέχεται αυτό. Όταν μία πόρτα είναι trunking δεν μπορείς να της βάλεις ΙΡ διεύθυνση)

2)Ορίζεις το ίδιο native vlan (O Catalyst το δέχεται αλλά απλά δεν περνάει τίποτα)

----------

