www.zeroshell.net

zPlus · Registrato: 26/06/07 19:25 Messaggi: 6

Ciao a tutti, trovo questo progetto davvero interessante!
Ho iniziato questo topic perchè vorrei sapere se è possibile installare/configurare zeroshell e ipcop in una stessa rete in "parallelo" oppure se uno esclude l'altro.

Voglio dire, può avere senso una cosa del tipo

internet <---> zeroshell <---> ipcop <--> [orange | blue | green]

oppure ha senso configurare uno solo tra zeroshell e ipcop?
Ho provato zeroshell come livecd anche se mi sarebbe piaciuto installarlo su una macchina che purtroppo non ho ora disponibile, ed ho visto che ha già di default un firewall.
Vorrei sapere se fosse possibile configurare una macchina con ipcop, ed un'altra con zeroshell e come firewall assegnare la macchina con ipcop invece del fw già precaricato su zeroshell.

Grazie a tutti
_________________
zPlus

fulvio · Site Admin Registrato: 01/11/06 17:45 Messaggi: 1559

Non conosco IPCop, ma se configuri opportunamente le due macchine (IPCop+ZeroShell) possono senz'altro lavorare contemporaneamente. In particolare mi pare di capire che vuoi escludere il FW di ZeroShell che è già il comportamento di DEFAULT visto che nella Chain FORWARD di quest'ultimo non vi è alcuna Rule.
La cosa ideale poi, se non vuoi aggiungere una subnet punto-punto per collegare i due box, è di configurare ZeroShell in Bridge Mode in maniera da renderlo trasparente e far passare il traffico a livello di Layer 2. In tale modalità sono presenti le stesse funzionalità che si hanno se si utilizza il routing (Captive portal, Traffic Shaping,.....).

Ciao
Fulvio

atavachron · Registrato: 24/03/07 13:30 Messaggi: 62 Residenza: Catania

Salve, sto iniziando da poco ad utilizzare ZeroShell.. ma conosco abbastanza bene IPCOP...
La mia domanda a zPlus è "Cosa ci devi fare con IPCOP" ?
Mi spiego meglio.. se metti IPCOP a valle ed utilizzi per esempio l'autenticazione del proxy "AdvancedProxy" su LDAP... potresti autenticare gli utenti con ZeroShell a monte... ma per ZeroShell il traffico lo vede nattato e dunque son l'IP RED.
Se invece metti Zeroshell a valle puoi autenticare gli utenti tramite CaptivePortal ed IPCOP vedrebbe sempre nattato l'ip ETH0x di ZeroShell.
L'ideale sarebbe (Future FEATURES ??) implementare quei quattro moduletti molto utilizzati su IPCOP (per la quale ha senso utilizzare IPCOP) quale il GUARDIAN, ADVANCED PROXY, URL FILTER, UPDATE ACCELLERATOR, P2PBLOCK su ZeroShell.... ed a questo punto utilizzare solo ZeroShell per fare praticamente tutto.

Ciao

photoluis · Registrato: 25/05/07 16:37 Messaggi: 19

INTERESSANTE....
dai Fulvio!

t.moro · Registrato: 03/01/08 15:54 Messaggi: 19

moolto interessante anche x me.
Io uso ipcop da un paio di anni, per collegare la mia super veloce connessione ad internet con un modem 56k (abito in mezzo ai campi) alla rete lan/wireless di casa
Adesso volevo implementare un captive portal con zeroshell ma non risco a capire se devo metterlo a valle a monte o in parallelo con ipcop, ho provato ad inserirlo nella rete dmz (gialla) ma non riesco ad accedervi tramite lan,qualcuno ha già avuto asperienze del genere?come devo fare?Non è che magari è zeroshell che non mi fa accedere da un'altra subnet?
Entrambe le macchine sono delle vm di vmware perciò posso "cablarle" come più è comodo.

P.s. Fulvio, uno splendido lavoro. Sono in attesa della versione finale!

argaar · Registrato: 21/11/07 10:48 Messaggi: 115 Residenza: Roma

io uso sia ipcop che zs in serie ossia ho la mia bella macchina client che poi si collega ad un gateway su cui è attivato ipcop come proxy che tramite l'analisi degli url mi blocca agli utenti la navigazione di alcuni siti (porno, gambling e siti che nulla c'entrano con quello che si deve fare da quelle macchine) dopodichè ipcop dall'interfaccia red punta a ZS che fa da firewall e blocca le connessioni e il possibile uso di prodotti quali p2p messenger bt ecc...., dopo zs ovviamente c'è internet, con questa soluzione (ipcop era già presente da tempo) ho avuto l'opportunità di bloccare totalmente l'uso di internet ad una determinata cerchia di computer

ilNebbioso · Registrato: 31/03/09 01:36 Messaggi: 78

Ciao a tutti.
Interessante questo post, perché è (quasi) la situazione che ho io.

Premetto che prima di ZS usavo proprio IpCop per via delle funzioni di URL filtering che sono effettivamente molto interessanti: l'idea di bloccare categorie di siti (ed eventualmente avere delle eccezioni è davvero interessante).

Ma veniamo alla mia situazione attuale.

INTERNETx2 <> ZS <> LAN

Ho indicato INTERNETx2 perchè ZS usa due connettività Internet (la seconda come backup, come spare): ma questo immagino non sia un problema, di suo.
In più tramite una delle due connettività è attiva la VPN (sempre gestita da ZS) per l'accesso di alcuni roadwarrior dall'esterno.

Ora, se io volessi aggiungere un livello:

INTERNETx2 <> ZS <> IPCop+UrlFiltering <> LAN

come devo fare? tra ZS e IpCop devo fare una LAN punto-punto su una subnet diversa? Come configuro le due macchine in modo che il traffico in uscita venga correttamente gestito, ma contemporaneamente non ci siano problemi con il traffico in ingresso della VPN?

Grazie a tutti per l'aiuto.

NdK · Registrato: 27/01/10 12:36 Messaggi: 506

Se non ricordo male, il firewall di IPCop è di livello più alto rispetto a quello di ZS.
Mi pare infatti che permettesse di definire gruppi di indirizzi (non solo singoli o range), nomi simbolici per le regole, la possibilità di avere in automatica abilitata la regola per i pacchetti di risposta... Tutte cosine che sarebbero molto comode in ZS...

ilNebbioso · Registrato: 31/03/09 01:36 Messaggi: 78

Visto che il topic è ancora "vivo" dopo tanto tempo, faccio una domanda precisa.

Io uso ZS oltre che come Load Balancer anche come VPN. Mettendo a valle IpCop (secondo lo schema riportato sopra sempre dal sottoscritto), come devo configurare in modo che tutto il traffico in entrata dalla VPN in ZS venga direzionato su IpCop?

Grazie,
ilNebbioso

NdK · Registrato: 27/01/10 12:36 Messaggi: 506

Io metterei la VPN su una eth tutta sua (in bridge) e manderei tale eth ad IPCop per il filtraggio.

ilNebbioso · Registrato: 31/03/09 01:36 Messaggi: 78

NdK, ciao e grazie per la risposta.
Partendo dal presupposto che non capisco perché suggerisci di utilizzare la Eth della VPN "tutta sua", come faccio a configurare ZS per inviare il traffico ad IpCop per il filtraggio?

NdK · Registrato: 27/01/10 12:36 Messaggi: 506

Con una vlan? O con una sk di rete dedicata... Dipende dalla tua configurazione e dalle prestazioni che ti aspetti...

utente --VPN--> ZS --VLAN--> IPCop --> out

ilNebbioso · Registrato: 31/03/09 01:36 Messaggi: 78

Io su ZS ho due schede di rete (green e red) e su ipCop ne ho altre due. Non bastano?

Considera che la connessione Internet che viene utilizzata in ingresso per la VPN è la stessa con cui gli utenti della LAN vanno su internet.

ilNebbioso · Registrato: 31/03/09 01:36 Messaggi: 78

Up!
Aiuuuutooo! Very Happy

NdK · Registrato: 27/01/10 12:36 Messaggi: 506

Allora, poniamo che da Internet si arrivi alla rete ETH00.
Gli utenti della VPN raggiungono ZS e sono su VPN99 (scheda di rete virtuale di ZS).

Se a questo punto definisci una VLAN ETH01.1, poi con IPCop dovresti poter filtrare quanto arriva esattamente come se fosse su una rete separata. Tanto per dirne una dovresti poter mettere in bridge red.1 con green per fare in modo che gli utenti in VPN risultino interni.

ilNebbioso · Registrato: 31/03/09 01:36 Messaggi: 78

Ciao a tutti. Facciamo chiarezza.
Allo stato attuale lo scherma della rete è il seguente:

Come si vede ho ZS con due schede di rete (una per la LAN e una con due IP pubblici lato internet verso i due router per il fault balancing del traffico in uscita). Tramite uno dei due IP pubblici arriva il traffico in ingresso via VPN.

Il mio obiettivo sarebbe quello di aggiungere, per il traffico in uscita, l'advanced proxy di IpCop, magari come da schema:

Ho il dubbio se mettere IpCop prima o dopo ZS, ma in ogni caso deve essere permesso:
- il traffico in entrata della VPN di ZS
- il traffico in uscita dalla LAN con il fault balancing di ZS

Idee? Suggerimenti?