IPCOP IPCOP Presentació: Nom. Index de les tres parts de la prova? OBJECTIU: comprovació de l'aptitud pedagògica de l'aspirant i el seu domini de les tècniques necessàries per a l'exercici docent CONCLUSIÓ: Degut a que el temps per aquesta prova es limitat, em centraré en les parts de la programació que són competència directa del professor i només esmentaré de forma ràpida les qüestions que venen fixades de forma normativa per alguns dels ents reguladors dels Cfs. El meu objectiu és intentar demostrar en aquest temps límitat la meva capacitat com a docent, que puc ser bon comunicador, amb iniciativa i creativitat, sensible amb la diversitat a l'aula i als conflictes i/o problemes que poden sortir i que obviament predisposat a la innovació i adaptació a les circumstàncies

Tipus de Routers / Firewalls Hi ha diferents tipus de routers: Programari Molts routers comercials el que tenen darrera és programari Unix adaptat. MAQUINARI PROGRAMARI

Gateway (IPCOP) Linux BOX fàcil de configurar com a gateway Central Telefònica IP Priv:192.168.153.1 IP Pública: 88.19.52.168 ADSL (Protocol PPPoE) Xarxa Ethernet 192.168.0.0/24 Xarxa Ethernet 192.168.1.0/24 Router Telefònica Xarxa PPPoE Connexió punt a punt amb 192.168.153.1 (eth0) LAN | WAN (ppp_8_32_1) (eth0) LAN | LAN (eth1) 192.168.0.1 | 192.168.1.10 Linux BOX fàcil de configurar com a gateway Creem una subxarxa (192.168.0.0/24) separada per IPCOP de l'altra xarxa local (192.168.1.0/24) Utilitza NAT (SNAT) per compartir la connexió Pot utilitzar DNAT per fer accessible una màquina interna $ route Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.1.0 * 255.255.255.0 U 0 0 0 eth1 192.168.0.0 * 255.255.255.0 U 0 0 0 eth0 default 192.168.1.1 255.255.255.0 U 0 0 0 eth1

Linux Box. IPCOP IPCOP és una distribució Linux Pocs requeriments de maquinari. Permet crear fàcilment una passarel·la amb serveis extres (tallafocs, DNS, DHCP, VPN, etc.) Els serveis són ampliables a través de mòduls L'utilitzarem conjuntament amb Vmware per fer proves d'encaminadors, passarel·les (NAT) i proxy Squid

Vmware + IPCOP Vmware NAT /etc/vmware/vmnet8/nat/nat.conf $ route Kernel IP routeing table Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.196.0 * 255.255.255.0 U 0 0 0 vmnet8 192.168.1.0 * 255.255.255.0 U 0 0 0 eth0 192.168.252.0 * 255.255.255.0 U 0 0 0 vmnet1 default mygateway1.ar7 0.0.0.0 UG 0 0 0 eth0 192.168.196.129 NIC eth1 192.168.1.50 NIC eth0 192.168.196.0/24 Xarxa NAT 192.168.1.0/24 Xarxa Bridged 192.168.196.1 NIC vmnet8 (NAT) 192.168.1.2 NIC eth0

Vmware + IPCOP. NAT Configuració NAT de vmware Amb els ports NATS podem accedir a ports del IPCOP des de la interfície externa. Podem utilitzar DNAT d'IPCOP per accedir a màquines de la interfície interna. # Linux NAT configuration file [host] # NAT gateway address ip = 192.168.196.2 netmask = 255.255.255.0 ...................................................... #WEB 8888 = 192.168.196.129:80 # SSH # ssh -p 8889 root@localhost 8889 = 192.168.196.128:22 ..........................................

Virtual Box + IPCOP Esquema de xarxa

Virtual Box + IPCOP Per la pràctica cal tornar a configurar IPCOP Apunts a la wiki # setup Tipo de Configuración de Red: RED+GREEN

Virtual Box + IPCOP Controladores y targetas asignadas: Configuración de direcciones: GREEN manual Configuración de direcciones: RED la posem en DHCP GREEN: Cadascú ha de posar una IP lliure de la xarxa: 147.83.75.132 --> 147.83.75.160 147.83.75.133 --> 147.83.75.161 etc.....

Virtual Box + IPCOP DNS i Gateway buits (configurat per DHCP) DHCP desactiu

Linux Box 1. IPCOP Configuració Accés web (port 81) Accés remot SSH (port 222) Accés NAT (fitxer /etc/vmware/vmnet8/nat/nat.conf) root@vmwarez-ipcop:~ # setup http://ip_maquina_ipcop:81 ssh -p 222 root@192.168.1.50 http://localhost:portNAT

IPCOP Accés SSH Anem al menú Sistema/Acceso SSH Activem el checkbox Acceso SSH Ara hi podem accedir des de la interfície VERDA Per accedir des de la vermella em d'obrir ports NAT

IPCOP. DNAT DNAT Redireccionem ports externs a ports de màquines de la xarxa interna Podem comprovar els ports amb $ telnet localhost port $ sudo nmap localhost

IPCOP. DNAT Accés SSH Cal tenir en compte que hi passem dos NATS El primer NAT és de Virtual Box El segon NAT és d'IPCOP.

Block OutGoing Traffic Permet “tancar” l'accés a Internet Només la màquina amb la MAC d'administrador pot “obrir” l'aixeta Permet respectar les connexions ja establertes

Block OutGoing Traffic Es poden definir regles IPTABLES: Des de la línia de comandes d'IPCOP podeu executar: # iptables -L

Linux Box. IPCOP Exercici Configurar IPCOP amb la comanda setup Per parelles Un component de la parella utilitza IPCOP L'altre component modifica la seva configuració de xarxa per utilitzar com a gateway l'IPCOP del company. Comprovar la connexió de xarxa i l'encaminament amb la comanda traceroute. Bloquejar amb BlockOutTraffic tràfic del company que no utilitza IPCOP Obrir ports interns d'IPCOP (Accés SSH) Accedir via IPCOP amb DNAT a un servidor web allotjat a la màquina del company que no utilitza IPCOP $ sudo apt-get install apache2

Instal·lació d'add-ons IPCOP és extensible. Es poden instal·lar afegitons (add-ons) Hi ha moltes pàgines amb plugins per a IPCOP Tots els plugins s'instal·len de forma similar Per instal·lar un plugin, cal tenir accés a la consola de root d'IPCOP. Hi podem accedir directament o utilitzant SSH. SSH només és accessible per defecte des de la interfície verda i pel port 222 Instal·lació d'add-ons a IPCOP

IPCOP Addons Alguns dels afegitons més importants són Advanced Proxy: Configuració avançada d'Squid URL Filter: Filtratge de URL amb SquidGuard Update Accelerator: Cache d'actualitzacions de Window$, Acrobat i Simantec. Calamaris: Generació d'informes a partir dels logs d'Squid Ntop: Conèixer en temps reals quin ús s'està fent de la xarxa Block Out Traffic (BOT): Permet bloquejar el tràfic de sortida mitjançant normes iptables Munin: Permet monitoritzar l'estat dels IPCOPs Comandes específiques (wget, watch, etc)

Addon WGET Si afegim aquest afegitó primer facilitarem la tasca d'instal·lar altres afegitons Si tenim wget a la màquina IPCOP podem descarregar els afegitons directament a IPCOP sense necessitat de descarregar-los a un altre màquina i després haver de copiar-los amb ssh Ara ja podem utilitzar la comanda wget. Altres comandes es poden instal·lar de forma similar $ wget http://www.ipadd.de/download/wget1102.tar.gz $ scp -P 222 wget1102.tar.gz root@IP_IPCOP:~ $ ssh -p 222 root@IP_IPCOP root@ipcop:~ # tar xvzf wget1102.tar.gz root@ipcop:~ # cd wget1102 root@ipcop:~ # ./install -i

Advanced Proxy, URL Filter.... Advanced Proxy, URL Filter i UpdateAccelerator són plugins fets per una mateix desenvolupador Procedim de forma similar amb Update Accelerator Advanced Proxy a la wiki root@ipcop:~ # wget http://www.advproxy.net/download/ipcop-advproxy-2.1.5.tar.gz root@ipcop:~ # tar xvzf ipcop-advproxy-2.1.5.tar.gz root@ipcop:~ # cd ipcop-advproxy root@ipcop:~ # ./install root@ipcop:~ # wget http://www.urlfilter.net/download/ipcop-urlfilter-1.9.1.tar.gz root@ipcop:~ # tar xvzf ipcop-urlfilter-1.9.1.tar.gz root@ipcop:~ # cd ipcop-urlfilter ........

Pràctica. Instal·lació de Munin a ICOP Seguint les passes de la web http://www.ban-solms.de/t/IPCop-munin.html .. instal·leu el plugin Munin Un cop instal·lat el configureu accedint a la web d'IPCOP Apartat Servicios/Munin

Altres Linux Box Altres Linux Box

Linux Box 2. Coyote Linux Coyote Linux Distribució Linux que requereix de molts pocs recursos pensada per funcionar com a router/firewall. Característiques: Linux Kernel 2.6 Firewall iptables Router amb suport per DHCP i IP estàtica i connexions PPP Molt estable Gestió remota via SSH o web Requeriments del sistema 486DX/25, 32Mb RAM, CDROM, 2 NICs PCI, 32Mb de disc dur i targeta VGA

Exemple Linux. Coyote Linux Instal·lador gràfic http://skolelinux.org/~klaus/sarge/c413.html

Coyote Linux Web Administrator

pfsense Pfsense Esta basat en el sistema operatiu FreeBSD Derivat de m0n0wall Ofereix múltiples serveix i és molt potent. Web de pfsense

http://creativecommons.org/licenses/by/3.0/deed.ca