Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

ZeroShell & IPCop

 
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell
Precedente :: Successivo  
Autore Messaggio
zPlus



Registrato: 26/06/07 19:25
Messaggi: 6

MessaggioInviato: Mar Giu 26, 2007 7:38 pm    Oggetto: ZeroShell & IPCop Rispondi citando

Ciao a tutti, trovo questo progetto davvero interessante!
Ho iniziato questo topic perchè vorrei sapere se è possibile installare/configurare zeroshell e ipcop in una stessa rete in "parallelo" oppure se uno esclude l'altro.

Voglio dire, può avere senso una cosa del tipo

internet <---> zeroshell <---> ipcop <--> [orange | blue | green]

oppure ha senso configurare uno solo tra zeroshell e ipcop?
Ho provato zeroshell come livecd anche se mi sarebbe piaciuto installarlo su una macchina che purtroppo non ho ora disponibile, ed ho visto che ha già di default un firewall.
Vorrei sapere se fosse possibile configurare una macchina con ipcop, ed un'altra con zeroshell e come firewall assegnare la macchina con ipcop invece del fw già precaricato su zeroshell.

Grazie a tutti
_________________
zPlus
Top
Profilo Invia messaggio privato
fulvio
Site Admin


Registrato: 01/11/06 17:45
Messaggi: 1558

MessaggioInviato: Sab Giu 30, 2007 7:45 am    Oggetto: Rispondi citando

Non conosco IPCop, ma se configuri opportunamente le due macchine (IPCop+ZeroShell) possono senz'altro lavorare contemporaneamente. In particolare mi pare di capire che vuoi escludere il FW di ZeroShell che è già il comportamento di DEFAULT visto che nella Chain FORWARD di quest'ultimo non vi è alcuna Rule.
La cosa ideale poi, se non vuoi aggiungere una subnet punto-punto per collegare i due box, è di configurare ZeroShell in Bridge Mode in maniera da renderlo trasparente e far passare il traffico a livello di Layer 2. In tale modalità sono presenti le stesse funzionalità che si hanno se si utilizza il routing (Captive portal, Traffic Shaping,.....).

Ciao
Fulvio
Top
Profilo Invia messaggio privato
atavachron



Registrato: 24/03/07 13:30
Messaggi: 61
Residenza: Catania

MessaggioInviato: Sab Giu 30, 2007 11:32 am    Oggetto: Rispondi citando

Salve, sto iniziando da poco ad utilizzare ZeroShell.. ma conosco abbastanza bene IPCOP...
La mia domanda a zPlus è "Cosa ci devi fare con IPCOP" ?
Mi spiego meglio.. se metti IPCOP a valle ed utilizzi per esempio l'autenticazione del proxy "AdvancedProxy" su LDAP... potresti autenticare gli utenti con ZeroShell a monte... ma per ZeroShell il traffico lo vede nattato e dunque son l'IP RED.
Se invece metti Zeroshell a valle puoi autenticare gli utenti tramite CaptivePortal ed IPCOP vedrebbe sempre nattato l'ip ETH0x di ZeroShell.
L'ideale sarebbe (Future FEATURES ??) implementare quei quattro moduletti molto utilizzati su IPCOP (per la quale ha senso utilizzare IPCOP) quale il GUARDIAN, ADVANCED PROXY, URL FILTER, UPDATE ACCELLERATOR, P2PBLOCK su ZeroShell.... ed a questo punto utilizzare solo ZeroShell per fare praticamente tutto.

Ciao
Top
Profilo Invia messaggio privato
photoluis



Registrato: 25/05/07 16:37
Messaggi: 19

MessaggioInviato: Mar Lug 03, 2007 5:16 pm    Oggetto: Rispondi citando

Very Happy Very Happy Very Happy
INTERESSANTE....
dai Fulvio!
Top
Profilo Invia messaggio privato
t.moro



Registrato: 03/01/08 15:54
Messaggi: 19

MessaggioInviato: Dom Feb 03, 2008 7:29 pm    Oggetto: Rispondi citando

moolto interessante anche x me.
Io uso ipcop da un paio di anni, per collegare la mia super veloce connessione ad internet con un modem 56k (abito in mezzo ai campi) alla rete lan/wireless di casa
Adesso volevo implementare un captive portal con zeroshell ma non risco a capire se devo metterlo a valle a monte o in parallelo con ipcop, ho provato ad inserirlo nella rete dmz (gialla) ma non riesco ad accedervi tramite lan,qualcuno ha già avuto asperienze del genere?come devo fare?Non è che magari è zeroshell che non mi fa accedere da un'altra subnet?
Entrambe le macchine sono delle vm di vmware perciò posso "cablarle" come più è comodo.

P.s. Fulvio, uno splendido lavoro. Sono in attesa della versione finale!
Top
Profilo Invia messaggio privato Invia e-mail MSN
argaar



Registrato: 21/11/07 10:48
Messaggi: 115
Residenza: Roma

MessaggioInviato: Gio Feb 07, 2008 1:42 pm    Oggetto: Rispondi citando

io uso sia ipcop che zs in serie ossia ho la mia bella macchina client che poi si collega ad un gateway su cui è attivato ipcop come proxy che tramite l'analisi degli url mi blocca agli utenti la navigazione di alcuni siti (porno, gambling e siti che nulla c'entrano con quello che si deve fare da quelle macchine) dopodichè ipcop dall'interfaccia red punta a ZS che fa da firewall e blocca le connessioni e il possibile uso di prodotti quali p2p messenger bt ecc...., dopo zs ovviamente c'è internet, con questa soluzione (ipcop era già presente da tempo) ho avuto l'opportunità di bloccare totalmente l'uso di internet ad una determinata cerchia di computer
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Ven Feb 10, 2012 5:21 pm    Oggetto: Rispondi citando

Ciao a tutti.
Interessante questo post, perché è (quasi) la situazione che ho io.

Premetto che prima di ZS usavo proprio IpCop per via delle funzioni di URL filtering che sono effettivamente molto interessanti: l'idea di bloccare categorie di siti (ed eventualmente avere delle eccezioni è davvero interessante).

Ma veniamo alla mia situazione attuale.

INTERNETx2 <> ZS <> LAN

Ho indicato INTERNETx2 perchè ZS usa due connettività Internet (la seconda come backup, come spare): ma questo immagino non sia un problema, di suo.
In più tramite una delle due connettività è attiva la VPN (sempre gestita da ZS) per l'accesso di alcuni roadwarrior dall'esterno.

Ora, se io volessi aggiungere un livello:

INTERNETx2 <> ZS <> IPCop+UrlFiltering <> LAN

come devo fare? tra ZS e IpCop devo fare una LAN punto-punto su una subnet diversa? Come configuro le due macchine in modo che il traffico in uscita venga correttamente gestito, ma contemporaneamente non ci siano problemi con il traffico in ingresso della VPN?

Grazie a tutti per l'aiuto.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mer Feb 22, 2012 11:21 am    Oggetto: Rispondi citando

Se non ricordo male, il firewall di IPCop è di livello più alto rispetto a quello di ZS.
Mi pare infatti che permettesse di definire gruppi di indirizzi (non solo singoli o range), nomi simbolici per le regole, la possibilità di avere in automatica abilitata la regola per i pacchetti di risposta... Tutte cosine che sarebbero molto comode in ZS...
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Mar Feb 28, 2012 1:40 pm    Oggetto: Rispondi citando

Visto che il topic è ancora "vivo" dopo tanto tempo, faccio una domanda precisa.

Io uso ZS oltre che come Load Balancer anche come VPN. Mettendo a valle IpCop (secondo lo schema riportato sopra sempre dal sottoscritto), come devo configurare in modo che tutto il traffico in entrata dalla VPN in ZS venga direzionato su IpCop?

Grazie,
ilNebbioso
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Gio Mar 01, 2012 3:29 pm    Oggetto: Rispondi citando

Io metterei la VPN su una eth tutta sua (in bridge) e manderei tale eth ad IPCop per il filtraggio.
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Mar 05, 2012 4:44 pm    Oggetto: Rispondi citando

NdK, ciao e grazie per la risposta.
Partendo dal presupposto che non capisco perché suggerisci di utilizzare la Eth della VPN "tutta sua", come faccio a configurare ZS per inviare il traffico ad IpCop per il filtraggio?

NdK ha scritto:
Io metterei la VPN su una eth tutta sua (in bridge) e manderei tale eth ad IPCop per il filtraggio.
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Ven Mar 09, 2012 11:35 am    Oggetto: Rispondi citando

Con una vlan? O con una sk di rete dedicata... Dipende dalla tua configurazione e dalle prestazioni che ti aspetti...

utente --VPN--> ZS --VLAN--> IPCop --> out
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Ven Mar 09, 2012 12:56 pm    Oggetto: Rispondi citando

Io su ZS ho due schede di rete (green e red) e su ipCop ne ho altre due. Non bastano?

Considera che la connessione Internet che viene utilizzata in ingresso per la VPN è la stessa con cui gli utenti della LAN vanno su internet.
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Apr 16, 2012 10:41 am    Oggetto: Rispondi citando

Up!
Aiuuuutooo! Very Happy
Top
Profilo Invia messaggio privato
NdK



Registrato: 27/01/10 12:36
Messaggi: 506

MessaggioInviato: Mar Apr 17, 2012 12:04 pm    Oggetto: Rispondi citando

Allora, poniamo che da Internet si arrivi alla rete ETH00.
Gli utenti della VPN raggiungono ZS e sono su VPN99 (scheda di rete virtuale di ZS).

Se a questo punto definisci una VLAN ETH01.1, poi con IPCop dovresti poter filtrare quanto arriva esattamente come se fosse su una rete separata. Tanto per dirne una dovresti poter mettere in bridge red.1 con green per fare in modo che gli utenti in VPN risultino interni.
Top
Profilo Invia messaggio privato
ilNebbioso



Registrato: 31/03/09 01:36
Messaggi: 76

MessaggioInviato: Lun Lug 09, 2012 2:58 pm    Oggetto: Rispondi citando

Ciao a tutti. Facciamo chiarezza.
Allo stato attuale lo scherma della rete è il seguente:



Come si vede ho ZS con due schede di rete (una per la LAN e una con due IP pubblici lato internet verso i due router per il fault balancing del traffico in uscita). Tramite uno dei due IP pubblici arriva il traffico in ingresso via VPN.

Il mio obiettivo sarebbe quello di aggiungere, per il traffico in uscita, l'advanced proxy di IpCop, magari come da schema:



Ho il dubbio se mettere IpCop prima o dopo ZS, ma in ogni caso deve essere permesso:
- il traffico in entrata della VPN di ZS
- il traffico in uscita dalla LAN con il fault balancing di ZS

Idee? Suggerimenti?
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> ZeroShell Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it