BOT - einfach erklärt

Veröffentlicht am Nov 13 2005 um 12:04 am. Keine Kommentare.
Gespeichert unter Tips & Tricks, IPCop - Links, IPCop-Addons.

BOT ist ein hervorragendes Addon für den IPCop, welches es ermöglicht, den ausgehenden Datenverkehr (GREEN -> RED) zu kontrollieren. Dies ist im Grundzustand, direkt nach der Installation von IPCop nicht möglich. Ich möchte hier ein paar Anregungen und Konfigurationstipps weitergeben und zusätzlich einige Links aus dem IPCop-Forum und anderen Quellen zusammenführen.

Download, Infos und eine hervorragende FAQ, neu auch in deutsch, zu BOT sind hier zu finden.

Die Installation mit Hilfe des Addon Server ist schnell erledigt, aber dann beginnt das grosse Rätselraten. Womit fange ich am Besten an :?: Was will ich eigentlich erreichen :?:

Als Erstes empfiehlt sich natürlich die Lektüre der FAQ, s. O. Hier werden eigentlich schon fast alle Fragen und Probleme beantwortet. Wem das nicht genügt, der sollte sich als Erstes einmal folgende Links aus dem deutschen IPCop-Forum durchlesen:

BlockOutTraffic bitte mal ganz einfach
Blockouttraffic - ist meine Konfiguration richtig/sicher
Orange-As-Green für 1.4.x

Und hier noch ein paar Tipps zu Starten:
In der erweiterten BOT-Konfiguration sollten als Erstes einige “Benutzerdefinierte Dienste” eingerichtet werden. “Benutzerdefinierte Dienste” erlauben es, Dienste, welche nicht auf Standardports laufen, selbst zu konfigurieren. Wer den Proxy benutzt, ob transparent, oder nicht, sollte daher den Dienst “IPCop-Proxy 800 TCP” erstellen. Weitere Kandidaten, wenn benötigt, sind z. B. IPCop-SSH 222 TCP” und “IPCop-HTTPS 445 TCP”.

Dienste in einem weiteren Schritt zu gruppieren, erleichtert später die Übersicht enorm. FTP mit den Standard-Diensten “ftp und ftp-data”, oder DHCP mit “bootps und bootpc” sind erste Kandidaten. Auch eine Gruppe aller Windows-Ports (microsoft-ds, netbios-dgm, netbios-ns, netbios-ssn) kann bei gewissen Konstellationen hilfreich sein. Weitere Gruppen können entweder für bestimmte Applikationen, oder für Abwendungsfälle erstellt werden, wie z. B. Internet mit “IPCop-Proxy, https, imap, pop3, smtp, nntp, FTP,…” So reicht es dann in Zukunft, eine Regel für “Internet” zu erstellen, anstatt 6 Einzelregeln definieren zu müssen.

Neue Subnetze lassen sich über “Netzwerk-Einstellungen” kreieren. Interessant, wenn man statt IP-Adressen/IP-Bereichen mit sprechenden Namen in der Konfiguration arbeiten möchte. So kann man hier der IP-Adresse des Mailservers z. B. den Namen “Mailserver” zuweisen, oder einen IP-Block aus dem Subnetz von GREEN z. B. mit “DHCP-GREEN” betiteln.

Neue Netzwerkinterfaces werden unter “Interface Einstellungen” eingerichtet. Interessant z. B. in Verbindung mit ipsec-Interfaces, die sich über die GUI sonst nicht weiter behandeln lassen.

Wer tiefer in die Materie einstegen möchte, findet weitere Informationen z. B. hier:
BOT - wo finde ich die BOT Konfig ohne Deinstallation?
Seite zu iptables (deutsch)
Die Referenz zu iptables (englisch)

Also viel Spass beim Probieren :-)

Gruss
Ecki

Neues Feature -> Mailingliste

Veröffentlicht am Nov 5 2005 um 11:24 pm. Keine Kommentare.
Gespeichert unter Administratives.

Es wird immer besser :-)

Ab heute ist es ganz einfach, immer auf dem aktuellen Stand zu bleiben. Ihr könnt euch nun ganz einfach bei jedem neuen Beitrag auf Ecki’s Place per eMail benachrichtigen lassen. Alles was es dazu benötigt, ist eine gültige eMail-Adresse, die ihr unter:

ADMINISTRATION: -> eMail-Benachrichtigung

auf der linken Seite hinterlegen könnt.

Achtung, diese Funktion ist nicht gleichbedeutend mit einer Anmeldung am Blogg. Wer sich schon am Blogg registriert hat, muss dies für die Mailingliste noch einmal tun!

Abonenten der alten Mailingliste wurden heute automatisch umgestellt. Für Diese ist natürlich die Registrierung im Blogg unter Login sinnvoll, um eigene Kommentare posten zu können.

Als weiter Neuerung ist es nun sehr einfach möglich, Smilies in Kommentare einzufügen, da seit heute eine neue Smilies-Leiste zur Auswahl zur Verfügung steht :-)

Gruss
Ecki

Neues Tutorial - VPN auf RED

Veröffentlicht am Nov 3 2005 um 4:24 pm. 5 Kommentare.
Gespeichert unter Tutorials.

Da ich leider bisher nicht die Zeit gefunden habe, hat Ralf Petry, ein neues Mitglied des deutschen IPCop-Forum, sich nach erfolgreicher Einrichtung seiner VPNs auf RED die Mühe gemacht, die Ergebnisse zu dokumentieren und der Community zur Verfügung zu stellen. Ich möchte ihm an dieser Stelle noch ein Mal herzlich für seinen Einsatz danken :-)

In dem Tutorial finden sich sowohl Lösungen für ein Net to Net VPN, als auch für eine Roadwarrior-Konfiguration. Zu finden ist es hier.

Hinweise und Ergänzugen können direkt als Kommentar zu diesem Beitrag verfasst werden. Ein Klick auf den Titel bringt euch zur Eingabemaske.

Gruss
Ecki

SNAT, Was ist das und wofür kann ich das gebrauchen?

Veröffentlicht am Oct 16 2005 um 9:14 pm. Keine Kommentare.
Gespeichert unter Tips & Tricks, IPCop - Links.

So, es geht nun, wie versprochen, los mit dem ersten Beitrag über ein, wie ich meine, interessantes Thema. Es betrifft zwar nur eine kleine Teilmenge aller IPCop-User, ist aber trotzdem interessant und lehrreich für alle, die sich mit iptables etwas näher beschäftigen wollen.

SNAT steht für Source Network Adress Translation.

Im Gegensatz zu herkömlichen NAT, wird hier nicht die Zieladresse einer Verbindung geändert, sondern die Adresse des sendenden PCs/Servers.

(D)NAT, Standard beim IPCop:
RED 82.x.x.1 wird mit einem Portforwarding auf einenMailserver in ORANGE 172.16.x.50 umgesetzt.

SNAT, nur Teilweise auf dem IPCop implementiert:
Mailserver in ORANGE 172.16.x.50 wird auf RED 82.x.x.2 (ALIAS-IP) umgesetzt.

MASQUERADE ist eine Form von SNAT (Standard beim IPCop), allerdings werden hierbei alle internen IP-Adressen mit nur einer öffentlichen IP-Adresse (RED) zum Internet hin referenziert.

Sobald mehrere öffentliche IP-Adressen vorhanden sind, ist dieses Verhalten meist nicht mehr erwünscht. Wenn z. B. ein Mailserver hinter dem IPCop betrieben werden soll, sollte dessen externe IP-Adresse (MX-Record) auch bei einem ausgehenden Verbindungsaufbau dieses Mailservers sichtbar sein. In der Standardkonfiguration des IPCop erscheint der Mailsever aber unter der primären IP-Adresse von RED im Internet und nicht unter der ALIAS-IP. Als Folge davon klappt der Reverse Lookup nicht und die gesendeten Mails werden von vielen anderen Mailservern als SPAM behandelt und/oder gar nicht angenommen :-(

Hier kommt nun SNAT ins Spiel, das es ermöglicht, einer privaten IP-Adresse aus dem LAN/DMZ eine fixe externe ALIAS-IP zuzuordnen. Wie das geht, ist in dem folgenden Thread aus dem deutschen IPCop-Forum sehr gut beschrieben:

[HowTo] SNAT und IpCop 1.4.x

Ein ähnliches Szenario, allerdings für die Kommunikation zwischen GREEN und BLUE wird hier beschrieben:

Kein Zugriff auf AP an Blau von Grün aus

Für weiterführende Informationen zu iptables empfehle ich folgende Informationsquelle:

Netfilte/Iptables Dokumentation

Gruss
Ecki

Warum ein Blogg ?

Veröffentlicht am Oct 12 2005 um 3:53 pm. Keine Kommentare.
Gespeichert unter Administratives.

Oft wollte ich kleine Änderungen auf meiner alten Homepage machen, kam dann aber nicht dazu, weil der Aufwand bei dem verwendeten statischen Layout zu gross war. Schnell mal ein paar Zeilen zu aktualisieren war nicht so leicht möglich, wie ich es mir wünschte. Das ging mir mehr und mehr auf die Nerven.

Ein Blogg bietet mir dagegen die Möglichkeit, schnell und ohne viel Aufwand einen Gedanken oder einen Tipp für alle Leser festzuhalten. Ein vorgegebenes Layout, dass nur darauf wartet, mit Inhalten gefüllt zu werden. Herrlich :-)

Eine meiner vorher nicht umsetzbaren Ideen ist es, gelungene und/oder lesenswerte Postings aus dem deutschen IPCop-Forum hier zu veröffentlichen und gegebenenfalls zu kommentieren. Ich erhoffe mir, damit zu erreichen, dass die wirklich guten Postings im Forum nicht einfach so in der Masse unter- und damit quasi verloren gehen. Jeder, der schon einmal mit der Suchfunktion des Forums gekämpft hat (127 Threads als Fundstelle sind einfach zu viel ;-) ), wird verstehen, was ich meine.

Eure Mitarbeit ist hier nicht zu unterschätzen. Jedermann bietet sich die einfache Möglichkeit, Kommentare, Korrekturen oder Zustimmung zu einzelnen Postings abzugeben. Ich hoffe, das in Zukunft rege von diesen Möglichkeiten gebrauch gemacht wird. In diesem Sinne hoffe ich, dass sich meine Erwartungen erfüllen und die Seiten noch aktueller und ergiebiger werden.

Gruss
Ecki

Wo finde ich was ?

Veröffentlicht am Oct 8 2005 um 3:47 pm. 4 Kommentare.
Gespeichert unter Administratives.

Die Orientierung ist recht simpel ;-)

In der linken Spalte findet sich zuoberst der Punkt ANSICHT WÄHLEN: Hier kann die Ansicht/das Layout für sehbehinderte Personen optimiert werden.

Unter NEUE KOMMENTARE:, finden sich eine Auflistung der letzten 5 geposteten Kommentare. So hat man schnell einen Überblick, was sich in letzter Zeit getan hat.

Im Kalender ist ersichtlich, an welchen Tagen neue Postings verfasst wurden. Es kann dann direkt zu diesem Tag gesprungen werden.

Im ARCHIV: finden sich alle Beiträge eines Monats. So lässt sich leicht in älteren Postings schmökern.

Im Bereich ADMINISTRATION: kann ein neuer Useraccount erstellt werden, bzw. ein bestehender Account administriert werden. Dieser wird benötigt, wenn du z. B. einen Kommentar abgegeben willst. Auch das Login geschieht über diesen Bereich. Ausserdem stehen hier RSS- und Atom-Feeds zum Abonieren zur Verfügung.

In der rechten Spalte beginnt es Oben mit WICHTIGE SEITEN: Hier finden sich alle Beiträge, Links und Downloads, die permanent erreichbar sein sollen. Dazu gehören alle Tutorials und die gesammelten Tips & Tricks.

Darunter stehen einige wichtige -LINKS zum IPCop zur Verfügung.

Zuunterst finden sich noch einige KATEGORIEN: Hier kann, nach Themengebieten sortiert, in Beitrgen gesucht/geschmökert werden.

Gruss
Ecki

Relaunch von Ecki’s Place

Veröffentlicht am Oct 3 2005 um 3:38 pm. Keine Kommentare.
Gespeichert unter Administratives.

Hallo Freunde des IPCop

Ecki’s Place wurde, wie ihr sehen könnt, komplett überarbeitet.

Neu basiert diese Site auf “WordPress“, einer Blogging-Software, die es Jedermann ermöglicht, an dieser Seite mitzuarbeiten und Kommentare oder Tips abzugeben. Um Spamming vorzubeugen ist eine Registrierung zwingend erforderlich. Diese Informationen werden garantiert nicht zu Werbezwecken weiterverwendet.

Um dich zu registrieren, klicke einfach in der linken Spalte unter ADMINISTRATION: auf “Register”. Hier kannst du dir einen eigenen Account anlegen. Die Angabe einer gültigen eMail-Adresse ist zwingend, da das Passwort automatisch an diese Adresse geschickt wird. Accounts von Spam-Catchern wie z. B. “SpamGourmet” sind erlaubt, reale eMailadressen werden aber bevorzugt, da so Nachfragen oder andere Reaktionen leichter möglich sind.

Wenn du eingeloggt bist, kannst du deinen Account später unter ADMINISTRATION: über den Link “Site Admin” verwalten. Ausserdem kannst du nun zu jedem Artikel einen Kommentar abgeben, oder z. B. einen weiteren Lösungsweg posten.

Und jetzt wünsche ich dir viel Spass auf den neuen Seiten :-)

Gruss
Ecki