ipcop配置手册.doc

IPCOP配置手册目录1.本手册说明32.IPCOP网络解说43.IPCOP安装64.WEB设置页面175.VPN（Virtual Private Network）236.参考文档241. 本手册说明本手册重点讲述IPCOP防火墙的安装、WEB设置界面和VPN的内容，版本为-1.4.13。2. IPCOP网络解说IPCOP网络结构图：相应连接的网卡需求：连接 设备ModemISDNUSB ADSLEthernetRED, GREEN1 NIC (G)1 NIC (G)1 NIC (G)2 NICs (G,R) RED, BLUE, GREEN2 NICs (B,G)2 NICs (B,G)2 NICs (B,G)3 NICs (B,G,R)RED,ORANGE,GREEN2 NICs (O,G)2 NICs (O,G)2 NICs (O,G)3 NICs (O,G,R)RED,ORANGE, BLUE, GREEN3 NICs (O,B,G)3 NICs (O,B,G)3 NICs (O,B,G)4 NICs(O,B,G,R)注：表格中，1NIC 表示网络中需要设置的百兆以太网卡。前面的参数表示需要设置IP地址的百兆以太网卡数目。R表示 RED 网络；G表示 GREEN 网络；O表示 ORANGE 网络；B表示 BLUE 网络。【RED】 ：网络外接口，连接不可信任的网络，可以是Modem/ ISDN/ USB ADSL也可以是以太网。【GREEN】 ：它连接的是内部受保护的安全网络。【BLUE】：无线网络，在该网络中无法访问GREEN的网络，除了经过VPN。【ORANGE】：跟它连接的是网络直接跟internet连接，作服务的网络，是一个单独的网络，在该网络就无法访问GREEN和BLUE网络。当RED跟 Modem /ISDN/ USB ADSL连接的时候，RED网卡就不用设置了，留给Modem /ISDN/ USB ADSL用，RED是以太网的时候，就要对RED接口设置IP地址了。如：当RED接口连 Modem /ISDN/ USB ADSL的时候， 只要设置GREEN接口的IP地址，RED接口留给Modem /ISDN/ USB ADSL用；但要是RED是以太网，则两张百兆的以太网卡都要设置了IP地址。3. IPCOP安装测试节点硬软件配置名称类型数量测试机一个高性能、一个普通机2交换机百兆交换机1硬盘IDE2空白光盘1网卡百兆的以太网卡3网线5类 直通线3OS：FreeBSD完全安装ipcop安装包：ipcop-1.4.13-install-cd.i386.iso相关下载：/modules.php?op=modload&name=Downloads&file=index&req=viewdownload&cid=3下载后，并刻成光盘。安装IPCOPu 安装ipcop包起动准备安装ipcop的测试节点，并从光驱加载iso文件：ipcop-1.4.13-install-cd.i386.isou 【Language selection】 ：语言设置u 【Select installation media】 ：选择从哪安装：1、CDROM/USB-KEY ：从光驱或其他设备进行安装；2、HTTP/FTP ：直接从网络上或ftp服务器上进行安装。进入安装：u 【Restore】 ：还原、修复1、Skip ：直接跳过；2、Floppy ：从软驱上加载备份数据；3、USB-key ：通过USB 接口加载备份数据；4、http/ftp ：从网络上或ftp服务器上加载备份数据。注：从USB-key和http/ftp加载备份数据，需要之前设置的Hostname (主机名)和backup (备份密码)。没有备份就 选择Skip直接跳过。 u 【Configure networking】 ：网络配置注：这里配置的是GREEN接口，连接的是内部网络。 Probe ：自动探测 Select ：是【Select network driver】网络驱动类型设置u 【GREEN interface】 ：GREEN 接口IP地址设置注：GREEN接口连接的是内部网络，也是内部网络的网关。 u 【Congratulation！】 ：设置成功！注：GREEN接口配置成功之后，系统会告诉你如何访问WEB界面。u 【Keyboard mapping】 ：Keyboard（键盘）设置注：一般设为默然。u 【Timezone】 ：时区设置注：时区选择 Asia/shanghai (亚洲/上海)。u 【Hostname】 ：主机名设置u 【Domainname】 ：域名设置u 【ISDN configuration menu】 ：ISDN设置 Protocol ：协议设置； Set additional module parameters ： 附加模块参数设置； ISDN card ：ISDN卡设置； Local phone number ： 本地电话号码设置。注：没有ISDN，选择Disable ISDN直接跳过。u 【Network configuration type】 ：网络类型选择1、 【RED interface】 ：RED网络接口设置 Static ：静态IP，即固定的IP；则配置相应的固定IP地址和子网掩码； DHCP ：动态IP，通过DHCP服务器，动态分配IP地址的；只需设置DHCP的主机名。 PPPOE ：拨号上网，通过设备（Modem /ISDN/ USB ADSL）拨号，无须设置什么； PPTP ：点对点隧道，是一种支持多协议虚拟专用网络的网络技术，用于VPN等，必须设置为静态的IP地址及相关掩码。2、 【DNS and Gateway】 ：NDS和Gateway设置 注：默认网关设置为跟RED接口的IP地址在同一网络的IP地址。3、 【DHCP server configuration】 ：DHCP设置选中Enabled项，开始DHCP的设置；1、Start address ：设置起始地址2、End address ：设置结束地址3、Primart DNS ：主域名解析服务器地址4、Secondary DNS ：辅域名解析服务器地址5、Default lease (mins) ：默认租约时间6、Max lease (mins) ：最大租约时间注：客户端向DHCP服务器租得IP地址时，都会有一个租期限制。当租约到期，客户端就不能再使用该IP地址。7、Domain name suffix ：域名后缀 系统登陆密码设置注：系统登陆的用户是root WEB设置页面登陆密码设置 注：WEB配置界面登陆的用户是admin 备份用户密码设置 系统重起注：当然你以后要重新设置的话，就可以进入系统通过: setup 命令来进行相关的设置。4. WEB设置页面访问WEB设置页面，输入你设置好的GREEN网卡IP地址，http:/IP:81（81端口是用于HOST2名称服务）或https:/IP:445 （445端口是用于文件夹或打印机共享服务）来访问设置页面，并输入用户名和密码。注：WEB的管理用户是admin。如： 【SYSTEM】 ：(系统设置项) HOME ：（首页）注：首页提供的信息是RED接口的连通状况及设置，设置项有Connect ：连接，Disconnect ：断开连接，Refresh ：更新连接。 UPDAYES ：（数据更新）数据更新，从网络上下载最新的.tgz.gpg文件到本地，并通过 浏览找到.tgz.gpg文件再Upioad上传更新。 PASSWORDS ：（密码设置）1、Admin user password:WEB界面登陆用户密码重设；2、Dial user password :拨号用户密码重设。 SSH ACCESS ：（SSH数据存取）访问命令：$ ssh -p 222 root54注：SSH服务在IPCOP系统的访问端口是222，客户端通过指令（ssh p 端口 root服务器IP地址），也可通过相关软件来访问服务器，并使用相关的数据。 GUI SETTING ：（基本设置）该项是相关内容有：1、Javascript脚本的设置2、显示主机窗口类型3、WEB主页的设置更新4、语言设置5、连接和断开的声音设置 BACHUP ：（数据备份） SHUTDOWN ：（关机）注：该项功能有：1、马上重起 2、立即关机3、设置定时重起或关机 【STATUS】 ：(信息状况查看项)1、SYSTEM STATUS ：（系统信息查看）2、NETWORK STATUS ： （网络信息查看）3、SYSTEM GRAPHS ：（系统图表信息）4、TRAFFIC GRAPHS ：（流量图表信息）5、Connections ：（连接状况） 【NETWORK】 ：（网络设置项）1、DIALUP:拨号控件2、UPLOAD:上传文件3、MODEM:调制解调器4、ALIASES:别名 【SERVICES】 ：（服务）1、PROXY:代理服务2、DHCP SERVER:动态主机配置协议3、DYNAMIC DNS:动态域名服务4、EDIT HOSTS:编辑主机5、TIME SERVER:时间服务6、TRAFFIC SHAPING:线路修整7、INTRUSION DETECTION:入侵监听 【FIREWALL】 ：（防火墙设置）1、PORT FORWARDING:端口设置2、EXTERNAL ACCESS:外部访问设置3、FIREWALL OPTIONS:防火墙选项 【VPNS】 ：（虚拟专用网络设置）1、Global settings ：全面设置、Local VPN Hostname/IP ：本地VPN主机IP地址设置、Override default MTU ：设置默认网络上传送的最大数据包、Delay before launching VPN (seconds) ：设置默认访问延时注：后面内容是一些有关帮助需求和调试选项：有：crypt加密算法、分解、发行、控制、dns解析、地址转换内容等2、Connection status and control ：连接状况和控制这部份内容显示VPN连接的相关信息，包括：1、Name（名）2、Type（类型）3、Common Name（公用名）4、Remark（备注）5、Status（状况）该项显示用户的连接状况。6、Action（行为）：行为包括编辑和删除7、Add (添加)添加连接【Connection Type】 ：有两种连接类型：Host-to-Net ：主机连接网络【Connection】 ：连接设置u Name ：连接名设置u Interface ：选择接口（如：RED、GREEN）注：RED用于外部主机连接VPN，GREEN用于内部主机连接VPN。u Local Subnet ：本地子网（系统已设置默认的相关子网）u Remote Host/IP ：远端主机/IPu Dead peer Detection action ：同等的探测动作。【Options】 ：选项（可以不设置）u Local ID ：本地ID设置u Remote ID ：远端ID设置u Remark ：备注设置u Edit advanced settings when done ：高级编辑设置注：设置VPN的网络加密。Net-to-Net ：网络接连网络【Connection】 ：连接设置u Name ：连接名设置u IPCOP side ：IPCOP边 有：left和right两个选择注：这里的left和right表示网络，left 表示在IPCOP左边的网络；right 表示在IPCOP右边的网络。u Remote Host/IP ：远端主机/IPu Local Subnet ：本地子网，系统已设置默认的相关子网u Remote Subnet ：远端子网u Dead peer Detection action ：同等的探测动作。【Options】 ：选项（可以不设置）u Local ID ：本地ID设置u Remote ID ：远端ID设置u Remark ：备注设置u Edit advanced settings when done ：高级编辑设置（网络加密）3、Certificate Authorities ：授权管理 【LOGS】 ：(日志管理)1、LOG SETTINGS ：日志设置2、LOG SUMMARY ：日志摘要3、FIREWALL LOGS ：防火墙日志4、SYSTEM LOGS ：系统日志注：日志记录的是系统和防火墙的工作状况，如：系统出错、受外面攻击等及防火墙对他们做何处理等信息。5. VPN（Virtual Private Network）VPN（虚拟专用网）是把一个单独的主机或网络通过VPN隧道技术，在公网中建立一条安全、稳定的隧道，使公网中的主机或网络能通过安全隧道访问局域网。注：VPN数据传输协议可用TCP或UDP，不过推荐使用TCP协议。因为VPN，要求建立的是安全、稳定虚拟专用隧道，TCP协议是可靠的，面向连接的传输控制协议。VPN主要有四项技术来完成安全性：VPN的隧道技术、VPN的加解密技术、密钥管理技术和使用者与设备身份认证技术。VPN的隧道技术：VPN隧道技术都是由协议协议来实现的，其协议可分为：第二层隧道协议：PPTP点对点隧道协议L2F第二层转发协议L2TP第二层隧道协议第三层隧道协议：IPsec安全隧