@eth0
Blog (4)
Komentarze (263)
Recenzje (0)

Przygoda z Ipfire cz.I

@eth0Przygoda z Ipfire cz.I10.11.2010 00:41

Wybór jeden z wielu, czyli dlaczego Ipfire?

Pewnego dnia dostałem wiadomość prywatną na forum mojego miasta z propozycją współpracy przy sieci radiowej w technologi 5Ghz. Ktoś co prawda przemienił debiana na ruter, ale pozostawił go samemu sobie, nie wykazując jakiejś większej inicjatywy do pracy przy świeżo powstałej sieci.

Nie zastanawiając się dłużej wyraziłem chęć współpracy i w ten sposób rozpocząłem przygodę z Ipfire. Pod uwagę brałem wiele obecnych na rynku rozwiązań, przewijał się ZeroShell, który jest znakomity, pojawił się też Ipcop, którego kilkukrotnie użyłem jako ruter w małych sieciach, ale z doświadczenia wiem, że sprawia większe, bądź też mniejsze problemy, chociaż jest bliźniaczo podobny do Ipfire.

Pod uwagę wziąłem jeszcze parę innych rozwiązań, ale ostatecznie postanowiłem do tejże sieci na główny serwer wykorzystać Ipfire. Jego mocną stroną są dodatki, oraz możliwość korzystania z xen, co stwarza już w zasadzie nie ograniczone możliwości, zależnie jaki system zainstalujemy na maszynie wirtualnej. Poważną wadą jest wsparcie tylko dla jednego interfejsu WAN (red), oraz jednego interfejsu LAN(green), a zatem brak vlanów, przy małych sieciach to nie dokucza, przy bardziej złożonej topologii można się już zastanawiać, czy aby na pewno ruter z Ipfire nam wystarczy.

Modyfikacje konieczne do  pracy.

Nie są to jakieś poważne ingerencje w system, póki co. Pierwsze za co wziąłem się po zainstalowaniu i skonfigurowaniu wstępnie systemu do pracy w sieci były skrypty startowe, a dokładniej musiałem sam sobie takowy dopisać, który uruchamiał wraz ze startem odpowiedni ruting.

Następnie zgodnie z zaleceniami skonfigurowałem vpn, konkretnie openvpn w taki sposób, aby przekazywał wpisy dla rutingu do klientów, polegało to na edycji pliku konfiguracyjnego openvpn i dopisaniu kilku linijek. Nie długo po tym wyskoczył kolejny problem, po restarcie ruting na serwerze jest dopisywany w sposób prawidłowy, lecz nie ma synchronizacji z wpisami siedzącymi w pliku konfiguracyjnym openvpn. Dlatego musiałem delikatnie zmodyfikować skrypt odpowiedzialny za ruting tak, aby nie zapominał synchronizować tras z wpisami w pliku konfiguracyjnym openvpn.

To też jest dla mnie jedna z wad tej dystrybucji, że nie posiada w swoim interfejsie narzędzia do ustalania statycznych tras, przydało by się.

Kolejną taką drobną zmianą było stworzenie skryptu, który robi kopie zapasowe i przenosi je na oddzielną partycję. Jak już jesteśmy przy skryptach, to od razu wspomnę o skrypcie odpowiedzialnym za logowanie ruchu sieciowego. Skrypt wykorzystuje do pracy tcpdump, pliki o rozmiarze ograniczonym do 1Mb (dla łatwiejszej analizy) są kopiowane do katalogu o nazwie w formacie : godzina.data.zrzut.dmp.

Następnie wziąłem się za skonfigurowanie vhost dla strony klienta, po co ma trzymać ją na zewnętrznym serwerze jak może u siebie niemal za darmo:) Do tego oczywiście doszedł ftp, tu wykorzystałem dostępny vsftp.

To, z czego warto skorzystać.

To co oferuje Ipfire i co może przydać się do codziennej pracy administratora nie zawsze wystarcza, dlatego warto rozejrzeć się za dodatkowym oprogramowaniem, które trochę wspomoże kontrolowanie sieci. Takim programem jest Nagios, dostępny jako pakiet do zainstalowania. Jego konfiguracja to inna bajka, nie ma sensu jej opisywać, bo jest inna dla każdej sieci.

Kolejnym przydatnym oprogramowaniem jest snort, oraz tripwire. Pierwsze to IDS, zaś drugie bada integralność plików na serwerze. Nie jestem ekspertem od bezpieczeństwa, ale na tyle ile mogę, zadbałem o nie. Jak już jesteśmy przy tym temacie to opiszę w jaki sposób wykorzystuje openvpn do pracy. Jak wiadomo ogólnie vpn tworzy tunele, przez które można w bezpieczny sposób łączyć się z zasobami sieci. Dostęp z zewnątrz jest zablokowany, bez certyfikatu dla openvpn nie ma w zasadzie jak się dostać do serwera, chyba że od wewnątrz. Pomijam jakieś niestandardowe metody polegające na włamaniu się na serwer, bo na tyle ile pozwoliła mi moja wiedza sprawdziłem podatność serwera na różne ataki i nie udało mi się sforsować moich zabezpieczeń.

Z openvpn skorzystałem jeszcze z jednego względu, podłączając się z dowolnego miejsca na świecie mogę zarządzac zarówno serwerem jak i nadajnikami, na których siedzi mikrotik, a on ma taką fajną aplikację do zarządzania jak winbox.

To co  obecnie  wdrażam.

Takim pierwszoplanowym wdrożeniem jest zrobienie intranetu dla klientów sieci, tak aby przepływ informacji od klientów do mnie był maksymalnie skrócony. Jak wszystko pójdzie dobrze, opiszę to w kolejnych częściach, wraz z zrzutami ekranu jak ja rozwiązałem sprawę intranetu.

Przyszedł czas, że trzeba zacząć kolejkować ruch sieciowy, QoS jest dostępne w Ipfire, ma obsługę warstwy 7 modelu OSI, oraz ma kilka wbudowanych klas, więc trzeba to wszystko sobie skonfigurować pod siebie. Na tym polu zdecydowanie przegrywa z ZeroShell.

System do obsługi klientów, tj:

*powiadomienia sms

*przypomnienie hasła do pppoe za pomocą sms-a

*baza danych pozwalająca zarządzać klientami (mysql)

Pozostałe elementy pracy z Ipfire przedstawię w kolejnych wpisach, gdzie opiszę trochę dokładniej samego Nagiosa, oraz inne programy, które wykorzystuje w pracy z bramą opartą na Ipfire

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.