IPCop è una distribuzione Linux gratuita studiata per essere un pratico firewall per reti casalinghe e uffici di piccole medie dimensioni. IPCop è facilmente installabile su vecchi pc che invece di essere rottamati e buttati con conseguente danno ambientale (i componenti del pc sono inquinanti) possono essere riciclati e trovare un nuovo valido impiego per migliorare la nostra sicurezza. Per alcuni il concetto di firewall coincide con quello di un programma che gira sul proprio pc: sia in ambiente Windows (Zone Alarm, BlackICE, Look’n’Stop, lo stesso firewall di Windows XP) che Linux (Iptables) ci sono vari esempi, tuttavia in questi casi si parla di “personal firewall” e non di “firewall” vero e proprio. IPCop appartiene alla seconda categoria: per alcuni sarà scontato ma giova ricordare che IPCop non è appunto un personal firewall ma a suo modo un vero e proprio sistema operativo minimale che necessita di una macchina dedicata e pensato solo per svolgere le funzioni di firewall e router. Una soluzione di questo tipo è più professionale e più sicura per varie ragioni su cui non mi soffermo e permette di impostare policy di sicurezza comuni a più utenti.
A dire il vero questo post non è un vero e proprio how-to che spiega passo passo l’installazione e configurazione di IPCop: in rete si trova molta documentazione a riguardo anche se prevalentemente in inglese. Diciamo piuttosto che ho speso qualche parola in più sul hardware (cosa serve, dove infilare i cavi, ecc.) e sul come mettere assieme i vari pezzi, più qualche altro appunto sull’installazione vera e propria teso principalmente a chiarire alcuni passaggi critici ed evitare alcuni errori che ho sperimentato di persona.
Io ho approfittato del fatto che l’azienda per cui lavoro ha deciso di mandare in pensione dei vecchi pc che ormai avevano fatto il loro dovere. In questo modo sono entrato in possesso di un Pentium 3 (1Ghz), 256Mb di ram e 20 Gb di hard disk (caratteristiche che, ad essere onesti, per IPCop sono anche troppo generose) e lettore cd rom indispensabile per l’installazione. Il primo passo consiste nell’adattare l’hardware alle nostre esigenze. In casa ci sono 5 laptop quindi il supporto wireless è obbligatorio. Ho deciso anche di installare una rete non wireless in modo che sia sempre possibile connettersi ad internet inserendo nel pc un semplice cavo ethernet.
Entriamo subito nella terminologia di IPCop che definisce diversi tipi di interfacce:
- Un interfaccia RED (rossa): questa è l’interfaccia verso internet e verso il mondo esterno. In termini hardware è la scheda di rete ethernet che collegherà il pc su cui andremo ad installare IPCop al modem ADSL (che quindi deve avere una presa ethernet)
- Un interfaccia GREEN (verde): è la rete protetta di tutti quei pc che si connetteranno a IPCop con un cavo ethernet (eventualmente attraverso un hub se più pc devono essere connessi in contemporanea). Da un punto di vista pratico, questa interfaccia consiste in una scheda ethernet che andremo ad installare sul pc su cui risiede IPCop e da cui partirà un cavo ethernet che si andrà direttamente a connettere ad un pc o a più pc attraverso un hub. Se avete un pc desktop, questa è l’interfaccia a cui lo collegherete.
- Un interfaccia BLUE: questa è l’interfaccia opzionale per la rete wireless (sempre che ne abbiate bisogno). Anche in questo caso corrisponde ad una scheda ethernet da cui partirà il relativo cavo diretto ad un wireless access point (o wireless router).
- Un interfaccia ORANGE (arancio): l’interfaccia opzionale dedicata a server (per esempio un web server). In questo post non prenderò in considerazione questa ipotesi, peraltro abbastanza inusuale per una rete casalinga.
Riepiloghiamo:
- dobbiamo avere un vecchio pc su cui installeremo IPCop. Almeno durante la fase d’installazione dobbiamo anche collegare ad esso un monitor e una tastiera. Quando avremo installato e testato il tutto, tastiera e monitor potranno essere rimossi.
- dobbiamo avere un modem connesso ad internet (farò riferimento in seguito ad un modem ADSL) con una presa ethernet
- se vogliamo allacciare e proteggere dietro il firewall anche una rete wireless, dobbiamo avere un wireless access point o un wireless router. In parole semplici, la differenza tra un access point e un router è che l’access point permette ad un solo computer alla volta di essere connesso alla rete wireless mentre il router gestisce anche accessi contemporanei e concorrenti. Se quindi avete, per esempio, più portatili che si vogliono connettere ad internet nello stesso momento, dovete optare per un wireless router.
Il passo successivo è quello di connettere assieme tutti questi pezzi. Sul vecchio computer dobbiamo avere quindi tre schede ethernet distinte.
- una verrà utilizzata per connettere la macchina IPCop con il modem ADSL (interfaccia RED)
- una per connettere la macchina IPCop con il router wireless (interfaccia BLUE)
- una per connettere la macchina IPCop con un pc direttamente con un cavo ethernet o con più computers attraverso un hub (interfaccia GREEN)
Qui c’è un primo passo molto delicato. è piuttosto improbabile che il vecchio pc in questione abbia tre schede ethernet installate. Se siamo fortunati ne ha una, e se siamo molto fortunati ne ha una compatibile con IPCop. Già perchè IPCop supporta un buon numero di schede ethernet ma non tutte. Trovate una lista di tutte le schede supportate qui. Ed è qua che dobbiamo stare attenti. Se abbiamo una scheda non supportata, all’atto dell’installazione, IPCop la potrebbe tranquillamente riconoscere salvo poi non riuscire a connetterci a quella scheda e indurci atroci dubbi su probabili errori commessi nella configurazione (sperimentato sulla mia pelle). Morale della favola dobbiamo essere assolutamente sicuri che le schede ethernet montate (o che monteremo) sul pc siano nella lista e prestare particolare attenzione al modello: una scheda RealTek RTL-8139C+ non è uguale ad una scheda RealTek RTL-8139D. Il metodo migliore consiste nel controllare il nome del chipset direttamente sulla scheda.
Ricapitolando
- dovete assicurarvi che sul vecchio pc ci siano gli slot e lo spazio per installare le schede ethenet.
- dovete avere un totale di due schede ethernet se non volete installare un interfaccia blue per la rete wireless e tre schede nel caso la vogliate abilitare.
- dovete accertarvi che tutte le schede ethernet siano compatibili con IPCop e presenti nella lista delle schede supportate.
- dovete materialmente installare le schede ethernet aprendo il vostro pc e sporcandovi un pò le mani. Di solito è un’operazione abbastanza intuitiva.
Ora possiamo passare all’installazione di IPCop sulla macchina. Scarichiamo IPCop dal sito (http://ipcop.org/index.php)
poi masterizziamo su un cd l’immagine .iso scaricata. Accertatevi che sia possibile avviare il pc da cd rom (in caso contrario cambiate appropriatamente la sequenza di boot da bios), infilate il cd rom di IPCop e avviate il pc.
L’installazione è molto ben documentata sulla guida ufficiale disponibile qui. È in inglese ma è corredata da una serie di screenshot che rendono la procedura accessibile anche ai non anglofoni. L’unica cosa che forse potrebbe non essere chiara a chi è a digiuno di networking è la scelta degli ip per le varie interfaccie associate alle differenti schede di rete. Le tre (o due) schede di rete, devono essere associate a reti differenti.
Vale a dire che se scegliamo, per esempio per l’interfaccia GREEN, un IP tipo 192.168.1.1 con una network mask 255.255.255.0 allora tutti gli indirizzi IP da 192.168.1.1 a 192.168.1.255 apparterranno alla stessa rete. I vari pc che si connetteranno alla interfaccia GREEN riceveranno (via DHCP) un IP all’interno di questo range (per esempio, 192.168.1.2, 192.168.1.3, ecc.). Ne consegue anche che possiamo avere fino a 255 pc connessi alla nostra interfaccia.
Se decidiamo di installare una seconda interfaccia (per esempio la BLUE per la rete wireless) questa dovrà ovviamente avere un diverso indirizzo IP, per esempio 192.168.2.1, che denoti una differente rete per suo conto. La network mask 255.255.255.0 ci dice che i due indirizzi IP 192.168.1.1 (per la green) e 192.168.2.1 (per la blue), appartengono a due diverse reti. I portatili che si connetteranno alla rete wireless in questo modo riceveranno un indirizzo IP compreso tra 192.168.2.2 e 192.168.2.255 e apparterranno tutti alla stessa rete che però è una rete diversa da quella a cui appartengono tutti i pc connessi all’interfaccia green.
Per quanto riguarda i cavi ethernet di collegamento, dovremmo avere:
- un cavo che parte dalla scheda di rete che rappresenta l’interfaccia RED e si connette al modem ADSL
- un cavo che parte dalla scheda di rete che rappresenta l’interfaccia GREEN e si connette direttamente ad un PC o portatile oppure ad un hub a cui saranno poi connessi altri computers (ovviamente se non abbiamo nessun pc da connettere alla green possiamo anche evitare l’uso di questo cavo)
- un cavo che parte dalla scheda di rete che rappresenta l’interfaccia BLUE i si connette al router wireless (opzionale ovviamente)
Prima di chiudere spendo ancora un paio di parole sul router wireless. Essendo IPCop anche un router va da sé che vi sarà una certa sovrapposizione di competenze tra i due, potrebbe non essere un problema ma personalmente ho preferito incaricare IPCop anche dell’assegnazione degli indirizzi IP ai vari portatili connessi via wireless. In sostanza il servizio DHCP viene gestito da IPCop mentre ho disabilitato il servizio sul router wireless che ora incarica IPCop per il DHCP. La configurazione dipende molto dal tipo (marca e modello) di router wireless utilizzato e mi è quindi difficile scendere nei dettagli. Vi posso dire però che il wireless router in questione dovrebbe supportare “DHCP passthrough”. In caso di problemi insormontabili si può comunque sempre lasciare al wireless router la responsabilità di gestire il DHCP.
bella guida questa, mi piace!
A mio giudizio il punto dolente sono gli addon che quasi tutti non sono “certificati” da ipcop e spesso si acavallano uno con l’altro.Non sarebbe male se qualcuno con buoni propositi e competenze stlilasse una lista degli addons VERAMENTE utili e funzionanti
P.S
Chi vuole avere un prodotto opensource/commerciale FUNZIONATE vada a visitare il sito della ITALIANA endian
volevo provarlo ma il file scaricato è un rar e una volta scompattato non trovo il file iso per fare il cd-rom di avvio
@gio
Se segui il link “download” sulla home page dovresti trovare tutte le release disponibili in vari formati compreso il codice sorgente da compilare. Per l’.iso dell’ultima versione di IPCop puoi comunque provare qua:
http://downloads.sourceforge.net/ipcop/ipcop-1.4.18-install-cd.i386.iso
Vorrei sapere per favore se ci sono soluzioni per installare ip cop su una compact flash da 16 MB collegata tramite adattatore su bus IDE in un pentium MMX 200MHz.
Tutta la procedura di intallazione sembrava essere andata a buon fine ma al momento dell’avvio definitivo rilevo errori.
in un primo tempo si parla di delay error di DMA
il sistema sembra voler attivare una modalità ext2 anziche ext3 e dopo un messaggio di kernel Panic il sitema riBOOTta.
Vorrei avere delucidazioni in merito.
Grazie 1000.
Perdonate l’ignoranza in materia, ma non proprio possibile farlo girare sotto u sistema tipo Xp pro, come si dice anche nel sita di Ipcop?
grazie
@Paolo
Propriamente parlando la risposta e’ NO! IpCop e’ un sistema operativo basato su Linux e non un programma. Un’installazione tipica richiede una macchina dedicata solo a IpCop. Proprio come hai XP installato sul tuo computer, analogamente avrai IpCop installato su un altro computer. Per essere ancora piu’ chiari, non puoi installare windows 98 su XP pro perche’ sono entrambi sistemi operativi.
Se vogliamo essere piu’ precisi, puoi ricorrere ad una partizione del disco (ma non penso questo fosse il senso della tua domanda) oppure usare VMware o simili e avere IpCop all’interno di XP (non necessariamente Pro) pero’ in questo caso me ne sfugge l’utilita’. IpCop e’ un firewall hardware, se lo devi usare come una virtual machine all’interno di XP tanto vale installare Zone Alarm o simili.
Il paragrafo a cui probabilmente ti riferisci sul sito di IpCop si riferisce a come installare IpCop via http da (non “su”) una macchina Windows.
Salve, ho installato IPCop, e fin qui tutto liscio e funzionante, sono passato agli addons,e qui i dolori..Ho la necessità d’impostare un proxy con autentificazione,ho provato advproxy che sembra molto performante,ma non parte il servizio..!Ho provato altri proxy,ma non hanno le stesse funzioni. Qualcuno saprebbe aiutarmi? L’unico “vincolo” che ho è usare IPCop, per il resto m và benissimo qualsiasi addons…
Grazie.
PS: ho provato advproxy senza addons server, e poi ho provato pure addons server, ma ho visto ke adv nn fa parte dei suoi pakketti!..
Ho risolto cambiando versione.
..ciao ragazzi, ho installato IPcop da svariati mesi e funziona bene. Unico neo non ho trovato un modo per NON farmi inviare un report di ogni mail spam bloccata. Ovvero ogni volta che rileva una mail spam e la blocca manda un report dell’ azione all’ indirizzo a cui era destinata la mail spam. Potete aiutarmi ??
Che versione hai installato?
Salve e complimenti x questo sito !
Attualmente ho installato ipcop e mi trovo benissimi , ma vorrei provare monowall e mi trovo davanti ad alcuni problemi nell’installare gli addons.
So che non è un sito x monowall ma sicuramente qualcuno ne sa piu di me.
Qualcuno è disposto ad aiutarmi o a spiegarmi come debbano essere installati gli addons anche su monowall?
potete aiutarmi anche con la distribuzione pfsense?
Da diverso temo a questa parte è partito ufficialmente un forum di comunità italiana dedicata alla distro IPCop. Spero possa diventare un’utile strumento per tutti gli operatori del settore, ma anche un modo di scambio di idee per la comunity stessa.
Ribadisco che lo scopo di questa Community è di dare supporto, visibilutà e appoggio a tutti quelli che si dedicano alla diffusione ed all’amminsistrazione di IPCop, la distro linux Firewall più conosciuta ed usata al mondo, dove in Italia ancora non prende piede.
Ecco che con questa Community si vuole eguagliare le stesse community di altri paesi.
Buona Navigata.
La configurazione disegnata non può attivare la VPN Lan2Lan in quanto l’IP dell’IPCOP non è un indirizzo pubblico, vero?
Salve Ragazzi.
Complimenti per la guida è stata utilizzima, qualcuno potrebbe aiutarmi, ho un problema ha installato ipcop 1.4.21 e inserito sia advproxy che url filter e poi ho anche installato block Outgoing Traffic, ho due problemi ho fatto una regola in BOT che fa passare tutto attraverso il proxy ma la posta elettronica NON MI FUNZIONA…..DOVE SBAGLIO?
E poi anche settando l’advproxy in modalità trasparente devo mettere i parametri nel browser altrimenti non navigo.
Aiutatemi Grazie
Dodo
ciao, ho installato ipcop e tutto funziona regolarmente, unico neo è che non riesco a collegarmi via web per configurarlo,ne ho provate diverse ma niente da fare,non ci riesco.
sapete dirmi da cosa potrebbe dipendere ?
grazie e buona giornata
Vedo che tanti hanno bisogno d’aiuto per quanto concerne IPcop. il forum della community di IPCop Italia, è a disposizione freeware per tutti voi: http://forum.ipcop.pd.it