2014-02-12
1056
Как бы там ни было, но несмотря на довольно неплохие возможности этого дистрибутива, через некоторое время администратору, скорее всего, захочется их расширить. В принципе админ с опытом работы в UNIX-системах сам способен добавить необходимые компоненты, но IPCop ориентирован именно на легкость в использовании, в том числе и на неопытного пользователя. В расширении возможностей системы может помочь документ «IPCop Addons» (https://ipcop.org/cgi-bin/twiki/view/IPCop/IPCopAddons), в котором даны ссылки и краткие описания всех проектов и скриптов, так или иначе связанных с добавлением функциональности этому дистрибутиву.
Первый проект, на который удалось выйти (Unofficial) IPCop Firewall Addon Server (https://firewalladdons.sourceforge.net/index.html), располагает рядом инструментов, позволяющих существенно нарастить функциональность IPCop, в основном между Red- и Green-интерфейсами. При этом работать с предлагаемыми расширениями под силу и новичку, имеющему некоторые навыки удаленного администрирования. Пакеты рассортированы по девяти группам (Proxy Servers, Entertainment, VPN, Servers, Utilities, Logging, Modems/NICS, Miscellanous, Language PAKS). Из необходимого хочется отметить наличие контекстного фильтра Cop+, построенного на основе Dansguardian с автоматической закачкой «черных списков» (есть еще SquidGuard, но он долго не обновлялся). Далее MOD BlockOutTraffic позволяет блокировать исходящий трафик для Blue-интерфейса, руководствуясь прописанными IP- и MAC-адресами, а еще Nmap и IPTraf, без которых тяжелее организовать нормальное администрирование сети, для улучшения безопасности подойдет DSLogcheck и Tripwire. И еще много различных MOD, в том числе такие как редактор Joe и Midnight Commander. Все пакеты, имеющие префикс GUI в названии, будут доступны после установки через веб-интерфейс, CLI только из консоли. При установке следует также обращать внимание на версии Addon-сервера и IPCop, для которого был написан MOD, хотя, возможно, некоторые утилиты удастся заставить работать и с другой версией. С MOD управляться очень просто и легко. Первым делом скачиваем сам Аddon-сервер, на момент написания статьи это была версия 2.2, т.е. пакет addons-2.2-CLI-b2.tar.gz. Переносим этот пакет при помощи SSH или дискетой, затем распаковываем и устанавливаем.
|
|
|
# tar vxzf addons-2.2-CLI-b2.tar.gz -C /
# cd /addons
#./setup –u èëè./setup –i
Теперь если посмотреть на веб-браузер, то обнаружится еще одна вкладка – ADDONS, являющаяся менеджером установленных MOD, плюс отсюда же можно закачать на IPCop необходимые MOD. Сами же MOD устанавливаются аналогично серверу, после чего в соответствующих вкладках появится дополнительный подпункт. Как создать свой MOD, довольно подробно описано в документе «How to write your own MOD».
Из других полезных, на мой взгляд, утилит расширения стоит обратить также внимание на linetest (https://alquanto.de/goodies/linetest), который позволяет автоматически переключаться на резервное соединение в случае пропадания основного канала. Если же просто нужно перезапустить соединение, то в «IPCop Addons» приведены примеры скриптов. Большое количество различных скриптов расширения, в том числе для подсчета трафика, вывода различных диаграмм, дополнения для squid, найдете по адресу www.zpdee.net/~joecat. Для проверки входящей почты на предмет наличия вирусов и спама используйте комплект Copfilter (https://www.madlener.tk), включающий в себя такие приложения, как spamassassin, clamscan и пр. В общем, можно существенно повысить функциональность системы.
|
|
|
Чтобы гарантировать всестороннюю и глубокую защиту, необходимо иметь сетевые и узловые решения на каждом устройстве. Такой подход не всегда приемлем как с точки зрения удобства, так и конечной стоимости такого подхода. Дистрибутивы, подобные IPCop, представляют собой более всестороннее решение этого вопроса, позволяя защитить внутренние сети при помощи брандмауэра. Расширенные возможности вроде сетевой системы обнаружения атак, возможности организации виртуальной частной сети вкупе с легкостью настройки, локализацией, надежностью решения и возможности наращивания системы делают IPCop весьма привлекательным решением, управиться с которым может и новичок в администрировании.
Сергей Яремчук
