Precedente :: Successivo |
Autore |
Messaggio |
zPlus
Registrato: 26/06/07 19:25 Messaggi: 6
|
Inviato: Mar Giu 26, 2007 7:38 pm Oggetto: ZeroShell & IPCop |
|
|
Ciao a tutti, trovo questo progetto davvero interessante!
Ho iniziato questo topic perchè vorrei sapere se è possibile installare/configurare zeroshell e ipcop in una stessa rete in "parallelo" oppure se uno esclude l'altro.
Voglio dire, può avere senso una cosa del tipo
internet <---> zeroshell <---> ipcop <--> [orange | blue | green]
oppure ha senso configurare uno solo tra zeroshell e ipcop?
Ho provato zeroshell come livecd anche se mi sarebbe piaciuto installarlo su una macchina che purtroppo non ho ora disponibile, ed ho visto che ha già di default un firewall.
Vorrei sapere se fosse possibile configurare una macchina con ipcop, ed un'altra con zeroshell e come firewall assegnare la macchina con ipcop invece del fw già precaricato su zeroshell.
Grazie a tutti _________________ zPlus |
|
Top |
|
 |
fulvio Site Admin
Registrato: 01/11/06 17:45 Messaggi: 1559
|
Inviato: Sab Giu 30, 2007 7:45 am Oggetto: |
|
|
Non conosco IPCop, ma se configuri opportunamente le due macchine (IPCop+ZeroShell) possono senz'altro lavorare contemporaneamente. In particolare mi pare di capire che vuoi escludere il FW di ZeroShell che è già il comportamento di DEFAULT visto che nella Chain FORWARD di quest'ultimo non vi è alcuna Rule.
La cosa ideale poi, se non vuoi aggiungere una subnet punto-punto per collegare i due box, è di configurare ZeroShell in Bridge Mode in maniera da renderlo trasparente e far passare il traffico a livello di Layer 2. In tale modalità sono presenti le stesse funzionalità che si hanno se si utilizza il routing (Captive portal, Traffic Shaping,.....).
Ciao
Fulvio |
|
Top |
|
 |
atavachron
Registrato: 24/03/07 13:30 Messaggi: 62 Residenza: Catania
|
Inviato: Sab Giu 30, 2007 11:32 am Oggetto: |
|
|
Salve, sto iniziando da poco ad utilizzare ZeroShell.. ma conosco abbastanza bene IPCOP...
La mia domanda a zPlus è "Cosa ci devi fare con IPCOP" ?
Mi spiego meglio.. se metti IPCOP a valle ed utilizzi per esempio l'autenticazione del proxy "AdvancedProxy" su LDAP... potresti autenticare gli utenti con ZeroShell a monte... ma per ZeroShell il traffico lo vede nattato e dunque son l'IP RED.
Se invece metti Zeroshell a valle puoi autenticare gli utenti tramite CaptivePortal ed IPCOP vedrebbe sempre nattato l'ip ETH0x di ZeroShell.
L'ideale sarebbe (Future FEATURES ??) implementare quei quattro moduletti molto utilizzati su IPCOP (per la quale ha senso utilizzare IPCOP) quale il GUARDIAN, ADVANCED PROXY, URL FILTER, UPDATE ACCELLERATOR, P2PBLOCK su ZeroShell.... ed a questo punto utilizzare solo ZeroShell per fare praticamente tutto.
Ciao |
|
Top |
|
 |
photoluis
Registrato: 25/05/07 16:37 Messaggi: 19
|
Inviato: Mar Lug 03, 2007 5:16 pm Oggetto: |
|
|
INTERESSANTE....
dai Fulvio! |
|
Top |
|
 |
t.moro
Registrato: 03/01/08 15:54 Messaggi: 19
|
Inviato: Dom Feb 03, 2008 7:29 pm Oggetto: |
|
|
moolto interessante anche x me.
Io uso ipcop da un paio di anni, per collegare la mia super veloce connessione ad internet con un modem 56k (abito in mezzo ai campi) alla rete lan/wireless di casa
Adesso volevo implementare un captive portal con zeroshell ma non risco a capire se devo metterlo a valle a monte o in parallelo con ipcop, ho provato ad inserirlo nella rete dmz (gialla) ma non riesco ad accedervi tramite lan,qualcuno ha già avuto asperienze del genere?come devo fare?Non è che magari è zeroshell che non mi fa accedere da un'altra subnet?
Entrambe le macchine sono delle vm di vmware perciò posso "cablarle" come più è comodo.
P.s. Fulvio, uno splendido lavoro. Sono in attesa della versione finale! |
|
Top |
|
 |
argaar
Registrato: 21/11/07 10:48 Messaggi: 115 Residenza: Roma
|
Inviato: Gio Feb 07, 2008 1:42 pm Oggetto: |
|
|
io uso sia ipcop che zs in serie ossia ho la mia bella macchina client che poi si collega ad un gateway su cui è attivato ipcop come proxy che tramite l'analisi degli url mi blocca agli utenti la navigazione di alcuni siti (porno, gambling e siti che nulla c'entrano con quello che si deve fare da quelle macchine) dopodichè ipcop dall'interfaccia red punta a ZS che fa da firewall e blocca le connessioni e il possibile uso di prodotti quali p2p messenger bt ecc...., dopo zs ovviamente c'è internet, con questa soluzione (ipcop era già presente da tempo) ho avuto l'opportunità di bloccare totalmente l'uso di internet ad una determinata cerchia di computer |
|
Top |
|
 |
ilNebbioso
Registrato: 31/03/09 01:36 Messaggi: 78
|
Inviato: Ven Feb 10, 2012 5:21 pm Oggetto: |
|
|
Ciao a tutti.
Interessante questo post, perché è (quasi) la situazione che ho io.
Premetto che prima di ZS usavo proprio IpCop per via delle funzioni di URL filtering che sono effettivamente molto interessanti: l'idea di bloccare categorie di siti (ed eventualmente avere delle eccezioni è davvero interessante).
Ma veniamo alla mia situazione attuale.
INTERNETx2 <> ZS <> LAN
Ho indicato INTERNETx2 perchè ZS usa due connettività Internet (la seconda come backup, come spare): ma questo immagino non sia un problema, di suo.
In più tramite una delle due connettività è attiva la VPN (sempre gestita da ZS) per l'accesso di alcuni roadwarrior dall'esterno.
Ora, se io volessi aggiungere un livello:
INTERNETx2 <> ZS <> IPCop+UrlFiltering <> LAN
come devo fare? tra ZS e IpCop devo fare una LAN punto-punto su una subnet diversa? Come configuro le due macchine in modo che il traffico in uscita venga correttamente gestito, ma contemporaneamente non ci siano problemi con il traffico in ingresso della VPN?
Grazie a tutti per l'aiuto. |
|
Top |
|
 |
NdK
Registrato: 27/01/10 12:36 Messaggi: 506
|
Inviato: Mer Feb 22, 2012 11:21 am Oggetto: |
|
|
Se non ricordo male, il firewall di IPCop è di livello più alto rispetto a quello di ZS.
Mi pare infatti che permettesse di definire gruppi di indirizzi (non solo singoli o range), nomi simbolici per le regole, la possibilità di avere in automatica abilitata la regola per i pacchetti di risposta... Tutte cosine che sarebbero molto comode in ZS... |
|
Top |
|
 |
ilNebbioso
Registrato: 31/03/09 01:36 Messaggi: 78
|
Inviato: Mar Feb 28, 2012 1:40 pm Oggetto: |
|
|
Visto che il topic è ancora "vivo" dopo tanto tempo, faccio una domanda precisa.
Io uso ZS oltre che come Load Balancer anche come VPN. Mettendo a valle IpCop (secondo lo schema riportato sopra sempre dal sottoscritto), come devo configurare in modo che tutto il traffico in entrata dalla VPN in ZS venga direzionato su IpCop?
Grazie,
ilNebbioso |
|
Top |
|
 |
NdK
Registrato: 27/01/10 12:36 Messaggi: 506
|
Inviato: Gio Mar 01, 2012 3:29 pm Oggetto: |
|
|
Io metterei la VPN su una eth tutta sua (in bridge) e manderei tale eth ad IPCop per il filtraggio. |
|
Top |
|
 |
ilNebbioso
Registrato: 31/03/09 01:36 Messaggi: 78
|
Inviato: Lun Mar 05, 2012 4:44 pm Oggetto: |
|
|
NdK, ciao e grazie per la risposta.
Partendo dal presupposto che non capisco perché suggerisci di utilizzare la Eth della VPN "tutta sua", come faccio a configurare ZS per inviare il traffico ad IpCop per il filtraggio?
NdK ha scritto: | Io metterei la VPN su una eth tutta sua (in bridge) e manderei tale eth ad IPCop per il filtraggio. |
|
|
Top |
|
 |
NdK
Registrato: 27/01/10 12:36 Messaggi: 506
|
Inviato: Ven Mar 09, 2012 11:35 am Oggetto: |
|
|
Con una vlan? O con una sk di rete dedicata... Dipende dalla tua configurazione e dalle prestazioni che ti aspetti...
utente --VPN--> ZS --VLAN--> IPCop --> out |
|
Top |
|
 |
ilNebbioso
Registrato: 31/03/09 01:36 Messaggi: 78
|
Inviato: Ven Mar 09, 2012 12:56 pm Oggetto: |
|
|
Io su ZS ho due schede di rete (green e red) e su ipCop ne ho altre due. Non bastano?
Considera che la connessione Internet che viene utilizzata in ingresso per la VPN è la stessa con cui gli utenti della LAN vanno su internet. |
|
Top |
|
 |
ilNebbioso
Registrato: 31/03/09 01:36 Messaggi: 78
|
Inviato: Lun Apr 16, 2012 10:41 am Oggetto: |
|
|
Up!
Aiuuuutooo!  |
|
Top |
|
 |
NdK
Registrato: 27/01/10 12:36 Messaggi: 506
|
Inviato: Mar Apr 17, 2012 12:04 pm Oggetto: |
|
|
Allora, poniamo che da Internet si arrivi alla rete ETH00.
Gli utenti della VPN raggiungono ZS e sono su VPN99 (scheda di rete virtuale di ZS).
Se a questo punto definisci una VLAN ETH01.1, poi con IPCop dovresti poter filtrare quanto arriva esattamente come se fosse su una rete separata. Tanto per dirne una dovresti poter mettere in bridge red.1 con green per fare in modo che gli utenti in VPN risultino interni. |
|
Top |
|
 |
ilNebbioso
Registrato: 31/03/09 01:36 Messaggi: 78
|
Inviato: Lun Lug 09, 2012 2:58 pm Oggetto: |
|
|
Ciao a tutti. Facciamo chiarezza.
Allo stato attuale lo scherma della rete è il seguente:
Come si vede ho ZS con due schede di rete (una per la LAN e una con due IP pubblici lato internet verso i due router per il fault balancing del traffico in uscita). Tramite uno dei due IP pubblici arriva il traffico in ingresso via VPN.
Il mio obiettivo sarebbe quello di aggiungere, per il traffico in uscita, l'advanced proxy di IpCop, magari come da schema:
Ho il dubbio se mettere IpCop prima o dopo ZS, ma in ogni caso deve essere permesso:
- il traffico in entrata della VPN di ZS
- il traffico in uscita dalla LAN con il fault balancing di ZS
Idee? Suggerimenti? |
|
Top |
|
 |
|