Rajoittaako kaapelimodeemi IPCOP -palomuurin toimintaa?

[realbrojericho]

Pitääkö paikkansa, että kaapelimodeemi asettaa rajoituksia IPCOP -palomuurille?

Jossain ohjeessa siitä mainittiin, mutta eikö pääasiallinen juttu ole se mitä oma ISP tarjoaa?

Eli onko adsl muuten(kin) parempi laite IPCOPIN käytössä jossain mielessä jos puhumme
myös kaikista plugineista, tietoturvallisuudesta ja mieluiten sellaisesta modeemista, jossa ei ole wlania ollenkaan,
tai sen saa kytkettyä pois päältä? Minä kun luotan erään gurun vastaukseen siinä, että wlania ei kannata käyttää ja onhan se tietoturva riski ja kyllä, tiedän kyllä, että mikään ei koskaan ole 100% aukoton, paitsi netitön pääte, joka tulostaa vihreitä kirjaimia ja ainoa liitetty laite on matriisiprintteri  

Toivottavasti kysymys tuli jotenkuten ymmärrettävään muotoon. Saa heittää kommenttia jos tämä oli epäselvä kysymys. Jossain vain puhuttiin kaapelimodeemin rajoituksista (engl. kielinen opas)...

Kiitos vastauksista jo etukäteen.

[retu]

Pitääkö paikkansa, että kaapelimodeemi asettaa rajoituksia IPCOP -palomuurille?

Taitaa kyllä yleensä olla niin päin että rajoitukset asetetaan IPCOP:n kautta... 

[realbrojericho]

Kiitos vastauksesta Retu,

Olen lukenut eri ohjeita Ipcopin asennuksesta ja jotkut ovat ristiriidassa keskenään. Kunpa löytäisin sen oikean ohjeen.

Käsittääkseni määrittelen itse verkkokorttien määrän? Kun laittaa |probe| niin ipcoppi hakee useita samoilla asetuksilla olevia verkkokortteja, mutta realtekin löytää aina. Ajattelin laittaa vanhoja 3comeja vai onko ehdotuksia paremmin toimiville verkkokorteille(PCI-väylä)

ps. Korjasin otsikkoa selkeämmäksi.

ps2. Tämä on tätä huonon urheiilijan selostelua, mutta verkotus on heikoin linuxin osa-alue itselläni jos minulla ei ole valmista listaa siitä, mitkä ip:t ovat käytettävissä ja mihin loppuvat jne. Käsittääkseni pitää olla tarkat ip:t, jotka natti sattuu antamaan, jollei tuossa NAT-laitteessa kykene vaihtamaan IP-alku -ja loppuosoitetta.

ps3. Anteeksi jos viestini oli sekava.

[retu]

Mulla on ollut kaapelimodeemi ja IPCOP käytössä jo ~10v. Uudempaan versioon olen päivittänyt muistaakseni kerran (1.3->1.4). Eli nyt on tuo viimeisin 1.4 versio. Modeemi on sellainen parikaapeli-ethernet liitännällä varustettu, muistaakseni RCA-merkkinen ja saattaa siinä hubikin olla (en muista, enkä ole kotona).

1. palomuuri oli IBM 486/33Mhz, 24Mt muisti, 300Mt kovalevy. Laitoin siihen kaksi 3Com:n verkkokorttia, ISA-väyläisiä, joten ei ollut plug&play vaan kone piti bootata korpulta että saa laitettua asetukset kohdalleen. Kuten huomaat, tämä oli museokamaa jo vuosituhannen vaihteessa, kun konetta kasasin. IPCOP:n toimii onneksi vähän vaatimattomammallakin raudalla.

2. palomuuri piti laittaa noin vuosi sitten, kun edellinen hajosi (kyllä nää merkkikoneetkin on lyhytikäisiä ). Nyt on IBM PC300 sarjan kone, muistaakseni Pentium MMX 166MHz, 128Mt/4Gt. Siinä on integroitu Intelin verkkokortti, jonka rinnalle laitoin toisen PCI-väyläisen kortin, muistaakseni 3Com.

IPCOP käyttää 2.4 sarjan kerneliä, jonka laitetuki on huonompi kuin 2.6 versiolla. Toisaalta tuki vanhoille laitteille saattaa olla parempi. Kokemukseni mukaan 3Com:n ja Intelin PCI-väyläiset kortit toimii kyllä plug&play. Mielestäni ei kannata ostaa noita muutaman euron paskoja, niistä ei ole kuin harmia. Samalla rahalla saa merkkikortteja käytettynä.

Asennuksessa ei muistaakseni ollut mitään erikoista. IPCOP:n ohje on minusta ihan selkeä. Se ei selosta IP-verkkotekniikoita juurta jaksaen, mutta sitä vartenhan on muita opuksia. Asennuksen jälkeinen säätelyhän tapahtuu web-liittymän kautta, kuten kaupassa myytävissä palomuureissakin.

Ipcopin punainen verkkokortti tulee tuohoon kaapelimodemiin ja vihreä kytkimeen, jossa on myös pari muuta konetta palomuurin lisäksi. Punainen hakee IP-osoitteen kaapelimodeemilta DHCP:llä. Osoite on julkinen ts. kaapelimodeemissa ei ole NAT:ia. IPCOP sisältää NAT:n ja sisäverkon osoitteet ovat yksityisestä aliverkosta. Sen 1. osoitteen laitoin kiinteästi vihreälle kortille (sisäverkon gateway).

Asensin palomuuriin myös DHCP, NTP ja DNS-palvelut sisäverkkoa varten. IPCOP:n DNS on tosin aika simppeli. Jos on tarve kunnon DNS-palvelulle, kannattaa laittaa se eri koneelle.

[realbrojericho]

Kiitos Retu kommenteista. Onkohan kirjastosta löytyvä Linux Verkot tjsp.sopiva kirja vai liian vanha? Käsittääkseni Ipcopistakin on oma kirja kirjoitetttu enkuksi, mutta arvostelujen mukaan liian vähän tietoa siinä. Tietenkin kannattaa asentaa tuo Snort ja Copfilter myös, eikö niin?

Hyökkäysyritykset tai läpi päässeet hyökkäykset jäävät logiin, joka tuhoutuu defaulttina 7-päivän välein. Mietin vain, että olisikohn tuohon olemassa tai vaikea tehdä (ja millä kielellä) skripti joka tarkistaisi ko. sähköpostin ja näyttäisi aina KUN jotain on tapahtunut jos kerran ohje on vain että mailiin tulee ja luettava 7 päivän välein. Niin ja joku testihyökkääjä, jonka nimeä en juuri nyt muista oli kuulemma myös hyvä laittaa ja päivittää, että ei kuvittelisi turhaan palomuurinsa olevan muuri lainkaan.

Muuten Ubuntun filosofia on hyvä, mutta joskus sitä työpöytäkäytössä käytin ja uskoin ihmisiä, jotka sanoivat: "ooooonhan se valmiiksi ihan tietoturvallinen"

Olen nähnyt hyviä ohjeita, mutta kun tavalliset käyttäjät saattavat olla yli 50-vuotiaita ja/tai sairaita ihmisiä, jotka vain haluavat käyttöjärjestelmän. Tietoturvaa ei voi mielestäni korostaa liikaa. Olisi mukavaa jos jotkin ohjeet tai skriptit pääsisivät suoraan jakeluun ja näin ollen Ubuntusta ei jälkeenpäin vaarit ja muut sanoisikaan mitään: "kuulemma siiittä Linuxista mittää hyötyy ollukkaa ku näin oman kuvani googlella..."

Anteeksi offtopic. Olisi varmaan tuo loppuosa kuulunut tuonne manuaalien ja muiden luo. Tai kirjoittaa suoraan Ubuntun kehittäjille, jos nyt kukaan tällaista ihmistä olisi tosissaan edes ottanut

[retu]

Manuaalit löytyy sourceforgesta, kuten itse ohjelmakin.

Snorttia en ole kokeillut, kun tuossa 1. laitteessa oli muistia aika niukalti. Nyt olisi paremmat mahdollisuudet sille, muttei ole tullut kokeiltua vaikka kiinnostaisi kyllä.

En ole kuullut tuommoisesta 7 päivän rajoituksesta. Muistaakseni lokeja voi selata taaksepäin asennushetkeen asti. Tarvittaessa lokin saa myös ohjattua toiselle koneelle (syslog-palveluun).

Kannattaisi varmaan tehdä testiasennus niin näet mitä tällä voi tehdä ja mitä ei.

[realbrojericho]

Manuaalit löytyy sourceforgesta, kuten itse ohjelmakin.

Snorttia en ole kokeillut, kun tuossa 1. laitteessa oli muistia aika niukalti. Nyt olisi paremmat mahdollisuudet sille, muttei ole tullut kokeiltua vaikka kiinnostaisi kyllä.

En ole kuullut tuommoisesta 7 päivän rajoituksesta. Muistaakseni lokeja voi selata taaksepäin asennushetkeen asti. Tarvittaessa lokin saa myös ohjattua toiselle koneelle (syslog-palveluun).

Kannattaisi varmaan tehdä testiasennus niin näet mitä tällä voi tehdä ja mitä ei.

Jep. Odottelen tärkeitä osia, jotka liittyvät valmistumiseni kannalta tähän, mistä on vielä tehtävä raportti lopuksi. Kyselen vähän etukäteen varmistaakseni, että osani ovat oikeat ja taidan enivei vaihtaa ISP:tä ja ADSL:n, mutta kun verkkokaupassa ovat ainakin niin hiivatin kalliita. Pitäisi olla jokin riittävän nopea ADSL, mutte wlania ei ollenkaan tai kyky kytkeä se pois päältä.

Kiitos kokemuksestasi kuitenkin, jos jostain syystä päädyn kaapelimodeemiin ja se ei aseta rajoitteita.

Testiasennus on varmasti helpompi tehdä kunhan on koko verkosta, ohjelmistoista, jne, jonkinlainen _tarkka_ suunnitelma.