การติดตั้งและการใช้งาน ipcops

จาก Research 2549, สารานุกรมฟรี

(นนร. คลิก edit แล้ว copy ทั้งส่วนนี้ลงไปในหน้า ของหัวข้อของตนเอง แล้วขยายความต่อไป)
กลับไป link title Link titleItalic text[1]

เรื่อง การติดตั้งและการใช้งานIPCop

ชื่อผู้จัดทำ นนร.นนร.สิริชัย พรหมอยู่

สารบัญ

1 กล่าวนำ
2 ทำไมต้อง IPCOP
3 ก่อนการติดตั้ง
4 วิธีการติดตั้ง
5 ขั้นตอนการติดตั้ง IPCOP (Installing)
6 รายละเอียดแต่ละหน้า
7 รูปแบบในการทำงาน
8 เอกสารอ้างอิง และเว็บลิงค์

[แก้ไข]

กล่าวนำ

IPCop ที่มีเป้าหมายเน้นทางด้านระบบความปลอดภัยของเครือดังข้อความที่ว่า "The Bad Packets Stop Here"จึงเหมาะมากที่จะนำมาพัฒนาเป็น Firewall สำหรับผู้ใช้ที่ไม่ต้องการเน้นเรื่องของ Firewall มากนักเช่นองค์กรขนาดเล็กที่เน้นเรื่องของการทำ Proxy หรือทำ NAT เพื่อให้เครื่องลูกข่ายภายในสำนักงานสามารถใช้งานอินเตอร์เน็ตได้ IPCop มีขนาดเล็ก (40 MB) กินทรัพยากรน้อย การคอนฟิกก็ง่ายมากสามารถคอนฟิกผ่าน Browser ได้ การเปิดบริการ Proxy ก็ไม่ยุ่งยากเมื่อติดตั้งเสร็จแล้วสามารถใช้งาน Proxy ได้เลย โดยเฉพาะถ้าต้องการใช้งาน Transparent Proxy ก็ง่ายมากเลยแค่คลิ๊กที่เดียวก็สามารถทำได้

[แก้ไข]

ทำไมต้อง IPCOP

1.HTTP บริหารงานพอร์ตที่ใ 81 รองรับการเข้ารหัส SSL ที่พอร์ต 445 เพื่อความปลอดภัย
2.IP Tableรองรับกฎในการห้ามไม่ให้ภายนอกเข้ามา อนุญาตให้ภายในออกไปติดต่อโลกภายนอกได้
3.Squid รองรับ Proxy
4.Snort ที่รองรับงIDS ซึ่งรองรับทั้งการให้บริการแบบเรียลไทม์ และการอัพเดตด้วยมือ รวมถึงการจัดบริหาร Traffic Shaping ที่ควบคุม การจราจรสามระดับคือ High Medium Low
5.DHCP รองรับ DHCP เพื่อแจกหมายเลข IP address ให้กับลูกข่ายต่างๆ
6.System Log จัดเก็บล็อกการบริหารระบบ และล็อกของแอพพลิเคชั่นต่างๆเช่น Proxy, Firewall, IDS/IPS br> 7.Cron Server รองรับการตั้งเวลาในการดำเนินงานด้านต่างๆเช่นการสำรอง และการเปิดปิดระบบ NTP Server 8.รองรับ Certification Authority และ VPN Server
9.การแสดงค่ากำหนด และการดำเนินการของระบบ และการจราจรด้วยรูปภาพ
10.รองรับการบริหารงาน และกำหนดค่าติดตั้งในรูปแบบของ Linux

[แก้ไข]

ก่อนการติดตั้ง

ก่อนการติดตั้ง IPCOP ในการติดตั้งเครื่องต้องมีการเตรียม

   -ดิสก์ 
          -ซีดีรอม
          -Network Card ตามจำนวนเครือข่าย

ผู้ติดตั้งต้องมีความรู้เรื่อง TCP/IP และการบริหารงานเครือข่ายอย่างดี โดย IPCop แบ่งเครือข่ายออกเป็น 6 แบบคือ

{

Green	Red	Orange	Blue	Black	Magenta
Internal	Internet	DMZ	Wireless	Local	VPN

IPCop ได้ออกแบบระบบโดยกำหนด Network Interface ดังนี้ รูปที่ 1 ตัวอย่างการเชื่อมต่อใช้งาน IPCop (มาจากข้อมูลในเว็บของ IPCop)

          - RED Network Interface เครือข่ายส่วนนี้เป็น Internet หรือ Untrusted Network จุดประสงค์หลักของ IPCop คือเพื่อป้องกันเครือข่าย (คอมพิวเตอร์) ในส่วนที่เป็น GREEN , BLUE และ ORANGE จากทราฟฟิกที่มาจาก RED Network
   - GREEN Network Interface อินเตอร์เฟสนี้เชื่อมต่อกับคอมพิวเตอร์ภายในซึ่งเป็นส่วนที่มีการป้องกันจาก IPCop
   - BLUE Network เครือข่ายส่วนนี้เป็นออพชันให้ผู้ใช้เชื่อมต่อกับอุปกรณ์ที่เป็น Wireless ที่เป็นเครือข่ายแยก (seperate network) ซึ่งคอมพิวเตอร์ในส่วนนี้ไม่สามารถติดต่อกับเครือข่าย GREEN ได้เว้นเสียแต่ถูกควบคุมแบบ "pinhole" หรือผ่าน VPN   ทราฟฟิกที่จะมายังเครือข่ายนี้ถูก route ผ่าน Ethernet NIC
  - ORANGE Network เครือข่ายส่วนนี้เป็นออพชันที่อนุญาตให้ผู้ใช้วางเซิร์ฟเวอร์ที่สาธารณสามารถเข้าถึงได้เป็นแบบแยก (seperate network) คอมพิวเตอร์ในส่วนนี้ไม่สามารถติดต่อกับ GREEN หรือ BLUE ได้ เว้นเสียแต่ถูกควบคุมโดย DMZ pinholes ทราฟฟิกที่เข้ามาเครือข่ายนี้ถูก route ผ่าน Ethernet NIC

โดยจะมีรูปแบบที่เลือกที่เป็นดีฟอลท์คือ Green กับ Red ที่เป็น WAN (ADSL, Modem) ถ้าต้องการติดตั้งเป็น Network Card ต้องมีการเตรียมเครื่องไว้ล่วงหน้า ในการติดตั้งเครื่องต้องมีการเตรียมดิสก์ ซีดีรอม และ Network Card ตามจำนวนเครือข่ายที่ต้องการ เช่น 3 การ์ดเพื่อสร้างเครือข่าย Green, Orange, Red เป็นต้น

[แก้ไข]

วิธีการติดตั้ง

เมื่อมีการกำหนดค่าติดตั้ง VPN จะต้องมีสิ่งที่พิจารณาก่อนดังนี้

o การเชื่อมต่อระหว่าง IPCop ต้องมีประสิทธิดี

o เครือข่ายที่มีการเชื่อมต่อ VPN ต้องมีการแยกออกจากกัน และไม่มีการใช้ IP address ซ้อนเหลื่อมกัน

o การกำหนดค่าหาเส้นทางต้องมีการกำหนดให้เหมาะสมใน VPN

o ข้อมูลที่ระบุต้องถูกต้องในแต่ละปลายทางที่เชื่อมต่อ VPN

หัวข้อ คำอธิบาย การเชื่อมต่อระหว่าง IPCop ต้องมีประสิทธิดี การเชื่อมต่อต้องไม่ล่าช้า และมีข้อมูลตกหล่นระหว่างติดต่อมาก เนื่องจากจะมีผลต่อประสิทธิภาพของ VPN ซึ่งจะต้องพยายามที่จะทำการสร้างการเชื่อมต่อใหม่เมื่อการติดต่อมีการหลุด วิธีการทดสอบง่ายที่สุดคือการใช้คำสั่ง Ping และ Traceroute โดยคำสั่ง Ping ต้องไม่มีข้อมูลตกหล่นมาก เครือข่ายที่มีการเชื่อมต่อ VPN ต้องมีการแยกออกจากกัน และไม่มีการใช้ IP address ซ้อนเหลื่อมกัน เครือข่ายที่ออกแบบต้องไม่ซ้อนเหลื่อมกันเช่น 192.168.0.0/24 และมีเครือข่ายอื่นเป็น 192.168.0.128/25 ซึ่งการเชื่อมต่อ VPN จะไม่สามารถทำงานได้เนื่องจากมีหมายเลข IP 192.168.0.128- 255 ซ้อนเหลื่อมกัน การกำหนดค่าหาเส้นทางต้องมีการกำหนดให้เหมาะสมใน VPN เมื่อมีการติดต่อ VPN จะต้องมีการกำหนดเส้นทางในการติดต่อซึ่งค่าในการหาเส้นทางต้องวิ่งไปถึงเส้นทางปลายทางซึ่งจะมีค่าที่ต้องพิจารณาเช่น Default Gateway หรือการเลือกใช้อุปกรณ์ต่างๆ ในการแบ่งเครือข่าย ข้อมูลที่ระบุต้องถูกต้องในแต่ละปลายทางที่เชื่อมต่อ VPN ค่าข้อมูลที่ต้องระบุมี เครือข่ายภายในใช้ Network+Netmask(/จำนวนบิต) > VPN หรือ Firewall Gateway จะมีหมายเลข IP address ในขา Red ซึ่งกำหนดไปที่ router ที่ติดต่อยังเครือข่ายสาธารณะ ค่าที่กำหนดในการติดต่อในขา RED กับเครือข่ายภายนอกใช้คำสั่ง ifconfig มีรูปแบบคำสั่งดังนี้ Root@iopcop:~ # ifconfig eth1 จะแสดงค่าหมายเลข IP ของขา Red การตรวจสอบข้อมูลในเครือข่ายใช้คำสั่ง netstat –nr ซึ่งค่าที่แสดงจะบอกถึง Network ในขา GREEN และ Netmask รวมถึง default gateway โดยผู้อ่านต้องมีความเข้าใจในการอ่านจำนวนบิตแบบ / กับ 255.255.255.0 เช่น /25 คือ 255.255.255.128 เป็นต้น เมื่อมีการรวบรวมข้อมูลของ VPN ทั้งสองขาแล้วให้กำหนดหนึ่งในนั้นทำงานเป็น VPN โดยกำหนดในเอกสารที่ช่วยในการเก็บรวบรวมข้อมูล

การกำหนดค่าต่างๆต้องมีการระบุค่า Shared secret ในทุกโหนดของ VPN โดยคีย์ที่กำหนดนี้จะเข้ารหัสการจราจรทั้งหมด และเป็นการแลกเปลี่ยนซึ่งควรซ่อนเพื่อให้ยากต่อการเดา ถ้าเป็นไปไม่ได้ที่จะไม่ให้ใครเข้าไปดูในแท็บ VPN เวอร์ชั่นใหม่จะมีการสร้างคีย์อัตโนมัติ และรองรับ RSA based authentication ระบบคีย์ที่กำหนดด้วยมือควรที่จะมีความยาว และสุ่มขึ้นด้วยเทคนิคที่ใช้ผลของ ps –aux ผ่าน md5sum ซึ่งวิธีการสุ่มสร้างคีย์จากบุคคลจะง่ายเกินไป การสร้างคีย์ให้บันทึกเก็บไว้ในที่ปลอดภัย และต้องไม่สูญหายจนกว่าจะมีการแทนค่าใหม่

เมื่อมีการกำหนดค่าติดตั้ง VPN จะต้องมีสิ่งที่พิจารณาก่อนดังนี้ o การเชื่อมต่อระหว่าง IPCop ต้องมีประสิทธิดี o เครือข่ายที่มีการเชื่อมต่อ VPN ต้องมีการแยกออกจากกัน และไม่มีการใช้ IP address ซ้อนเหลื่อมกัน o การกำหนดค่าหาเส้นทางต้องมีการกำหนดให้เหมาะสมใน VPN o ข้อมูลที่ระบุต้องถูกต้องในแต่ละปลายทางที่เชื่อมต่อ VPN

[แก้ไข]

ขั้นตอนการติดตั้ง IPCOP (Installing)

o กำหนดลำดับในการบูตเลือกผ่าน CD-ROM เมื่อบูตแล้วจะปรากฏหน้าจอดังนี้

ขั้นตอนการติดตั้ง IPCOP (Installing)

o กำหนดลำดับในการบูตเลือกผ่าน CD-ROM เมื่อบูตแล้วจะปรากฏหน้าจอดังนี้

o เคาะ enter รอให้ระบบตรวจสอบ

o หน้าจอต้อนรับเคาะ Enter

o เลือกว่าจะติดตั้งจาก CDROM หรือ HTTP/FTP ถ้าเป็น HTTP/FTP เครื่องต้องติดต่ออินเตอร์เน็ตได้ในที่นี้เลือก CDROM และเคาะ Enter

o ใส่แผ่นซีดีรอมแล้วเคาะ Enter

o IPCop จะระบุให้ทราบว่าจะมีการฟอร์แมตดิสก์ในรูปนี้คือ IDE ดิสก์ที่ 1 แล้วเคาะ Enter

o รอให้มีการติดตั้ง และจัดเตรียมดิสก์

o ถ้าไม่ได้เตรียมดิสก์ในการสร้างแผ่น System Configuration ให้เลือกที่ Skip แล้วเคาะ Enter

o ให้ระบบตรวจสอบการ์ดเครือข่าย โดยเลือกที่ Probe เคาะ Enter เราสามารถที่เลือก Select การ์ดที่ต้องการเองได้

o ระบบตรวจสอบเจอดิสก์ที่ต้องการ แล้วเคาะ Enter

o การ์ดที่กำหนดคือ Green ให้ระบุหมายเลข IP address และ Subnet mask ที่ต้องการเคาะ Enter

o มีข้อความแจ้งว่าติดตั้งเรียบร้อย ถ้าต้องการนำออกให้ใช้ Fdisk /mbr และการบริหารงานจะใช้ผ่าน http://IPCop:81 หรือ https://IPCop:445 ซึ่งผู้บริหารต้องจำรหัสผ่านของ dial และ admin ให้ได้ในการกำหนดค่าที่ติดต่อในอินเตอร์เน็ต และเครื่อง IPCop เสร็จแล้วเคาะ Enter

o เลือกผังคีย์บอร์ดที่ต้องการ, เคาะ Enter

o กำหนด Time Zone เช่น ETC/GMT + 7, แล้วเคาะ Enter

o กำหนดชื่อโอสต์ แล้วเคาะ Enter

o กำหนดชื่อโดเมน แล้วเคาะ Enter

o ในการติดตั้งครั้งนี้เราไม่มี ISDN ให้เลือก Disable ISDN และเคาะ Enter

o โดยทั่วไปค่า Network จะกำหนดเป็น Green (RED is modem/ISDN) เลือกที่ Network configuration type แล้วเคาะ Enter

o เลือกรูปแบบที่ต้องการในที่นี้เราเลือกเป็น Green + Orange + Red

o เลือกที่ Drivers and card assignments,เคาะ Enter

o จะได้รับแจ้งว่าการ์ดใดยังไม่ถูกกำหนด, เคาะ Enter

o ระบุที่ Orange เคาะ Enter และ Red เคาะ Enter

o เคาะ Enter เพื่อยอมรับค่าที่กำหนด

o กำหนด Address settings แล้วเคาะ Enter

o เลือกการ์ดที่ต้องการในที่นี้คือ Orange และกำหนดค่าหมายเลข IP ซึ่งค่า Green จะกำหนดไว้อยู่แล้ว

o ระบุหมายเลข IP address และ Subnet mask แล้วเคาะ Enter

o เลือกการ์ด Red แล้วเคาะ Enter กำหนดหมายเลข IP และ Subnet Mask

o ขา Red สามารถเลือกที่จะรับ IP address จาก DHCP หรือ Static หรือ PPPOE หรือ PPTP ถ้ากำหนดเป็น manual ต้องระบุหมายเลข IP และ Subnet mask เอง

o ตัวอย่างด้านล่างคือเลือกแบบกำหนด IP ผ่าน DHCP แล้วเคาะ Enter

o เลือกที่ DNS and Gateway settings แล้วเคาะ Enter

o กำหนดค่าหมายเลข DNS และ Default Gateway โดยถ้ามี DNS มากกว่าหนึ่งให้กำหนดได้ถึง 2 หมายเลข

o เลือกที่ Done แล้วเคาะ Enter

o ระบบจะให้กำหนด DHCP ถ้าในองค์กรมีอยู่แล้วไม่ต้องกำหนดถ้าไม่มีให้เลือก Enable และระบุ IP address เริ่มต้นถึงค่าที่ต้องการ กำหนดค่า DNS เวลาที่ใช้ดังรูป

o กำหนดค่ารหัสผ่าน root โดยใส่รหัสผ่านทั้ง password, Again ให้ตรงกันเคาะ Enter

o กำหนดรหัสผ่าน admin สำหรับการบริหารงานผ่านเว็บใส่รหัสผ่านทั้ง password, Again ให้ตรงกันเคาะ Enter

o เคาะ Enter ยอมรับการติดตั้ง IPCop ว่าเสร็จเรียบร้อยแล้ว

o รอเครื่องรีสตาร์ทเพื่อใช้งาน IPCop

[แก้ไข]

รายละเอียดแต่ละหน้า

< /tr>

System	เป็นค่ากำหนดของระบบ และเครื่องมือที่ใช้บริหาร IPCop
Status	เป็นการแสดงรายละเอียดของสถานะต่างๆใน IPCop, Network Traffic, Proxy, หรือ Connection
Network	เป็นการกำหนดค่าเครือข่าย โมเด็ม ISDN ADSL ที่ใช้เชื่อมต่ออินเตอร์เน็ต ทั้งกำหนดติดต่อโดยตรง และลิงค์สำรอง รวมถึงค่ากำหนด PPP
Services	เป็นการกำหนดเปิด กำหนดค่า และบริหารงานบริการต่างๆที่ IPCop รองรับ
Firewall	กำหนดค่า และบริหารงานค่าออปชั่น และการกรองไฟร์วอลล์ใน IPCop
VPNs	กำหนดค่า และบริหารงานค่าติดตั้งในออปชั่นของ Virtual Private Network
Logs	เป็นการกำหนดค่าล็อก และการเข้าไปดูล็อกที่กำหนด เช่น Firewall, IDS, Proxy เป็นต้น

1 System

Home	หน้าแรกของ IPCop ที่ผู้บริหารงานสามารถที่จะดูสถานะ หรือคลิกปุ่ม Connect เพื่อติดต่อยังอินเตอร์เน็ต
> Updates	อนุญาตให้ทำการดึง และอัพเดต IPCop ให้ทันสมัยอยู่เสมอ
> Passwords	อนุญาตให้ผู้บริหารเปลี่ยนแปลงรหัสผ่านของ Admin และ Dial
> SSH Access	เป็นการอนุญาต และกำหนดค่า Secure Shell, ซึ่งเพื่อให้การเข้าใช้ IPCop มีความปลอดภัย การกำหนดเพียงแค่คลิกเช็กบ็อกซ์ SSH Access
> GUI Settings	ค่าที่กำหนด Display hostname in windows title เป็นการแสดงชื่อโฮสต์ในกรอบบราวเซอร์ Refresh index.cgi page whilst connected เป็นการกำหนดยอมให้ใช้ไฟล์ index.cgi เมื่อมีการติดต่อ Sound เป็นการกำหนดเสียงเมื่อ IPCop เชื่อมต่อหรือตัดการเชื่อมต่อ เป็นการกำหนดอนุญาต ให้รองรับ JavaScript และภาษาที่แสดงซึ่งรองรับไทยด้วย ค่าที่กำหนด
> Backup	เป็นการสำรองค่าของไฟล์ IPCop ซึ่งสามารถที่จะนำกลับกู้คืนได้จากเว็บเพจ
> Shutdown	เป็นการสั่งปิดเครื่องด้วยมือ หรือกำหนดตามเวลา
> Credits	เป็นหน้าที่แสดงรายการของอาสาสมัครที่เข้ามาทำงาน และกลุ่มงานต่างๆที่ทำให้ IPCop มีความสามารถที่โดดเด่นเช่นทุกวันนี้

2 Status > System Status
เป็นการดูสถานะของระบบประกอบด้วย
o Services ดูบริการต่างๆที่เปิดอยู่
o Memory ตรวจสอบหน่วยความจำที่ใช้ และไฟล์ SWAP

o Disk Usage ตรวจสอบดิสก์ที่ใช้
o Uptime and Users ตรวจสอบเวลาผู้ใช้ที่เข้ามา
o Loaded modules โมดูลต่างๆที่โหลดในเครื่อง
o Kernel version ตรวจสอบเวอร์ชั่นของเคอร์เนล
> Network Status
ดูรายละเอียดของ
o Interfaces ตรวจสอบค่าต่างๆของขาที่ใช้ในเครือข่าย
o Current dynamic leases ตรวจสอบอายุของ IP ที่แจกให้กับลูกข่าย
o Routing Table Entries แสดงรายการค่า Routing table
o ARP Table Entries ตรวจสอบตารางของ ARP
> System Graphs
ดูรายละเอียดของ

o CPU Graph แสดงสถิติการใช้ CPU ในแต่ละวัน
o Memory Graph แสดงสถิติการใช้ Memory ในแต่ละวัน
o Swap Graph แสดงสถิติการใช้หน่วยความจำจำลองในแต่ละวัน
o Disk Graph แสดงสถิติการใช้ดิสก์ในแต่ละวัน
> Traffic Graphsแสดงข้อมูลเป็นกราฟในขาเครือข่ายต่างๆที่ติดตั้งเช่น Green, Orange, Red, Blue, Magenta
> Proxy Graphsรูปแบบนำเสนอเป็นกราฟมี
o TCP Accesses ตรวจสอบจำนวนครั้งที่เข้าใช้
o TCP Transfer ตรวจสอบข้อมูลที่โอนถ่าย
o Average TCP Transfer Duration ตรวจสอบค่าเฉลี่ยในการโอนถ่าย
> Connectionsเป็นการตรวจสอบการเชื่อมต่อจากต้นทางไปยังปลายทางที่เรียก ซึ่งจะมีการระบุพอร์ต และทิศทาง ในตำแหน่งจะแสดงออกเป็นสี
เพื่อให้ง่ายต่อการสังเกตุ เช่น
o Green – Internal
o Red – Internet
o Orange – DMZ
o Blue – Wireless
o Black – IPCop
o Magenta – VPN

3 Network
เป็นการกำหนดอุปกรณ์ที่ติดต่ออินเตอร์เน็ตใช้กับกรณีที่เครือข่ายRed เป็นModem หรือDialup
ค่าที่กำหนดในProfiles มีดังนี้
• Connection ระบุโมเด็มหรือไดร์ฟเวอร์และเวลาIdle ถ้าไม่มีการใช้งานเกินกว่าเวลาที่กำหนด
• Reconnection เป็นการระบุวิธีการติดต่อซึ่งจะมีManual, PersistentและDial on Demand และเมื่อติดต่อแล้วจะรอตาม
เวลาที่กำหนดในค่าHoldoff time
• กรณีที่มีลิงค์สำรองสามารถระบุเป็นอีกProfile หนึ่งแล้วนำมากำหนดในIn case reconnection fails, switch to profile • Authentication เป็นค่าที่กำหนดในการเข้าใช้กรณีที่หมุนไปยังผู้ให้บริการอินเตอร์เน็ตมีUser name, Password, Method, และScript
• DNS เป็นการกำหนดที่จะนำDNS จากผู้แจกหมายเลขIP หรือจะกำหนดเองก็ให้ใส่หมายเลข
>Uploadเป็นการระบุค่าไดร์ฟเวอร์ในอุปกรณ์รุ่นต่างๆโดยผู้บริหารระบบต้องทำการดาวน์โหลดไฟล์แล้วคลิกปุ่มBrowse เพื่อระบุชื่อไฟล์คลิกปุ่มUpload xxxx ตามชนิดของไดร์ฟเวอร์
>Modemเป็นค่ากำหนดInitial Modemซึ่งประกอบด้วยเสียง โทน เวลาในการเจรจาเชื่อมต่อ การยกหู

>Aliasesเป็นการกำหนดชื่อเครือข่ายแม็บกับหมายเลขIP เพื่อใช้กำหนดในขั้นตอนPort Forwarding ใน Firewall Tab การกำหนดอนุญาตให้ตรวจสอบที่เช็กบ็อกซ์Enabled ถ้ามีเครื่องหมายถูกก็แสดงว่าอนุญาตให้ใช้
4 Services
> Proxyเป็นการกำหนดค่าอนุญาตให้ทำงานเป็น Proxy ซึ่งมีค่าที่ระบุต่างๆดังนี้
Web Proxy
o Enabled on Green เป็นการระบุให้ทำงานเป็น Proxy Server

o Transparent on เป็นการระบุให้ลูกข่ายไม่ต้องระบุค่า Proxy สามารถใช้งานได้
o Log Enabled เป็นการระบุให้มีการเก็บล็อกไปดูในแท็บ Logs
o Upstream proxy (host:port) เป็นการระบุเครื่อง Proxy Server ที่อยู่ก่อนที่เราเข้าใช้อินเตอร์เน็ต ถ้าเราต่อโดยตรงค่านี้
ไม่ต้องกำหนด o Proxy Port เป็นหมายเลขที่ให้ลูกข่ายระบุเพื่อเรียกใช้ Proxy ค่าที่กำหนดดีฟอลท์พอร์ตคือ 800
> DHCP Serverกำหนดบริการ DHCP โดยการคลิกเช็กบ็อกซ์ในช่อง Enabled
ค่าที่ระบุใน DHCP
o Start address, End address เป็นการระบุค่าหมายเลขเริ่มต้น และสิ้นสุด
o Default lease time (mins) เป็นการระบุอายุในการใช้งานของ IP
o Max lease time (mins) เป็นการระบุอายุในการใช้งานของ IP มากที่สุด
o Domain name suffix เป็นการกำหนดชื่อต่อท้ายโฮสต์
o Allow bootp clients กำหนดให้รองรับกับลูกข่าย Bootp
o Primary DNS, Secondary DNS กำหนดหมายเลข DNS ให้กับลูกข่าย DHCP
o Primary NTP Server, Secondary NTP กำหนดหมายเลข IP ของเครื่องที่กำหนดเวลาให้กับลูกข่าย DHCP
o Primary WINS Server address, Secondary WINS Server address กำหนดหมายเลข IP ของ WINS ให้กับลูกข่าย DHCP
> Dynamic DNSการกำหนด Dynamic DNS กำหนดให้ได้รับ DNS จาก IPCop จาก
o The classical RED IP used by IPCop during connection เป็นค่าที่ RED ได้หมายเลขจาการติดต่อซึ่งลูกข่ายก็จะใช้หมายเลข IP นี้ไปด้วย
o Guess the real public IP with help of an external server ให้เดาค่า IP ของ DNS จากเครื่องแม่ข่ายภายนอกที่ลูกข่ายสามารถติดต่อได้เอง
Minimize updates; before an update, compares the dns IP for hostname “[host.]domain” against RED IP
จะใช้การตรวจสอบชื่อโฮสต์ต่อท้ายกับชื่อโดเมน
Add a host
สามารถที่จะนำชื่อโฮสต์ไปเพิ่มในเว็บต่างๆในรายการของ Services โดยผู้กำหนดสามารถระบุ
o Services เป็นผู้ให้บริการ
o Hostname เป็นชื่อโฮสต์ที่บันทึก
o Behind a proxy เป็นการระบุว่าเครื่องอยู่หลัง Proxy
o Domain เป็นการระบุชื่อโดเมนที่จะลงทะเบียน
o Enable wildcards เป็นการยอมรับชื่อที่เหลือทั้งหมด
o Username Password กำหนดผู้ใช้ และรหัสผ่านที่จะลงทะเบียนในผู้ให้บริการ

o Enable เป็นการกำหนดอนุญาตเพื่อรองรับการใส่ชื่อโฮส > Edit Hostsเป็นการระบุชื่อโฮสต์ในไฟล์โฮสต์ ซึ่งค่าที่กำหนดจะมีผลต่อโฮสต์นี้เท่านั้น

ขั้นตอนการกำหนด
o กำหนดข้อมูลในช่อง Host IP address, Hostname, และ Domain Name
o คลิกปุ่ม Add จะแสดงรายชื่อที่กำหนดในช่อง Current hosts > Time Serverเป็นการกำหนดใช้ Network Time Servers
ซึ่งจะกำหนดโดยเช็กบ็อกซ์ Obtain time from a Network Time Server
ใส่เครื่องที่ต้องการกำหนดเวลามี Primary NTP Server, และ Secondary NTP server ซึ่งโดยดีฟอลท์จะกำหนดเป็น pool.ntp.org ทั้งคู่
เช็กบ็อกซ์ Provide time to local network แสดงว่ากำหนดให้เครื่องนี้เป็น NTP server ในเครือข่ายภายใน
ขั้นตอนการ Update the time
o ในกรอบ Update the time กำหนดรอบที่ต้องการกำหนดเวลาเป็นวัน ชั่วโมง หรือเลือกแบบ Manual ที่กำหนดโดยปุ่ม Set Time Now
o ค่ากำหนดต่างๆถามยืนยันให้คลิกปุ่ม Save
o ถ้ากำหนดในกรอบ Update the times จะเป็นการกำหนดเวลาในเครื่อง IPCop คลิกที่ปุ่ม Instant Update
> Traffic Shapingการกำหนดในหน้าจอนี้จะเป็นการควบคุมการจราจรของเครือข่าย
o ค่า Settings จะกำหนดค่า Downlink กับ Uplink ในสายติดต่ออินเตอร์เน็ตตามความเหมาะสม

o Add service กำหนดลำดับของความสำคัญได้ 3 ลำดับคือ High/Medium/Low ระบุ Port และ Protocol
o Traffic shaping services จะแสดงรายการที่กำหนดในกรอบ Add service
> Intrusion Detectionเป็นการกำหนดบริการ Snort ซึ่งจะเลือกขาเครือข่ายที่ตรวจสอบซึ่งมี Green/Orange/RED/Blue/Magenta
Snort rules update
เป็นการกำหนดอัพเดตค่าของ VRT (Vulnerability Realtime Team) ซึ่งค่าของ Oink Code จะได้จากการลงทะเบียนในเว็บ
http://www.snort.org o No เป็นการกำหนด Snort โดยไม่อัพโหลดแบบ real-time
o Sourcefire VRT rules for registered users เป็นการดึงค่า VRT กับผู้ใช้ที่ลงทะเบียนแบบ Real-time
o Sourcefire VRT rules with subscription เป็นการตรวจสอบกฎจากค่าที่ระบุ

5 Firewall > Port Forwardingเป็นการกำหนดเงื่อนไขไฟร์วอลล์ในการเข้าใช้จากอินเตอร์เน็ต เข้ามาเครื่องแม่ข่ายภายใน

> External Accessเป็นการกำหนดค่าจากภายนอกเข้าสู่เครื่อง IPCop ซึ่งจะระบุเครื่องที่เข้าใช้จากอินเตอร์เน็ตมาที่พอร์ตของ IPCop นี้
> DMZ Pinholesเป็นการแม็บเครื่องแม่ข่ายจากเครือข่าย DMZ มาที่เครือข่ายภายใน ซึ่งต้องระบุว่าแม็บที่พอร์ตใดด้วย
> Firewall Options เป็นการกำหนดให้มีการ Ping หรือไม่ ถ้าเลือก No แสดงว่ายอมให้มีการ Ping ถ้าบล็อกเฉพาะขาที่ต่ออินเตอร์เน็ตให้เลือก Only RED หรือทั้งหมดให้เลือก All Interfaces กำหนดเสร็จให้คลิกปุ่ม Save

6 VPNs > VPNs
กำหนดค่าเข้ารหัสเครือข่ายที่เรียกว่า Virtual Private Network
7 Logs
> Log Summaryเป็นการกำหนดค่าติดตั้ง
ตรวจสอบโดยกำหนดเดือน และวันที่ต้องการ และคลิกที่ปุ่ม Export ถ้าต้องการนำล็อกออกไป
ผลที่สรุปของล็อกในแต่ละวัน สัปดาห์ หรือเดือน
> Proxy Logsเป็นหน้าจอสำหรับดูผลสรุปซึ่งสามารถกำหนด Month, Day และวันที่ต้องการได้ เป็นการแสดงล็อกของไฟร์วอลล์ ซึ่งมีฟิลด์ต่างๆดังนี้
o Time เวลา
o Chainทิศทาง
o Iface Proto ขาที่เชื่อมต่อ
o Source หมายเลข IP ที่ติดต่อ
o Src Port หมายเลข Port ที่ติดต่อ
o MAC address หมายเลข MAC
o Destination หมายเลข IP ปลายทาง
o Dst Port หมายเลข Port ปลายทาง

> IDS Logsค่าที่แสดงมี
o Date แจ้งให้ทราบถึงวัน และเวลาที่เกิดเหตุการณ์
o Name แสดงชื่อเหตุการณ์ที่เกิดขึ้น
o Priority แจ้งให้ทราบถึงความรุนแรงของภัยที่เกิดขึ้น (ในที่นี้มี 3 ระดับ 1 คือแย่ที่สุด, 2 คือแย่มาก, 3 คือแย่พอควร)
o Type แจ้งให้ทราบถึงชนิด และวิธีการโจมตี
o IP Info แจ้งให้ทราบถึงผู้โจมตี และเครื่องเป้าหมาย

o Reference เป็นลิงค์ไปยังแหล่งข้อมูลของเหตุการณ์ที่เกิดขึ้นนี้
o SID เป็นรหัสที่โดย www.snort.org > IDS Logsค่าที่แสดงมี
o Date แจ้งให้ทราบถึงวัน และเวลาที่เกิดเหตุการณ์
o Name แสดงชื่อเหตุการณ์ที่เกิดขึ้น
o Priority แจ้งให้ทราบถึงความรุนแรงของภัยที่เกิดขึ้น (ในที่นี้มี 3 ระดับ 1 คือแย่ที่สุด, 2 คือแย่มาก, 3 คือแย่พอควร)
o Type แจ้งให้ทราบถึงชนิด และวิธีการโจมตี
o IP Info แจ้งให้ทราบถึงผู้โจมตี และเครื่องเป้าหมาย
o Reference เป็นลิงค์ไปยังแหล่งข้อมูลของเหตุการณ์ที่เกิดขึ้นนี้
o SID เป็นรหัสที่โดย www.snort.org
แสดงหน้าจอของ IDS ที่รายงานผลเมื่อมีผู้บุกรุก ซึ่งสามารถที่ระบุเวลาที่ต้องการ หรือ Export เพื่อนำออก
> System Logsแสดงค่าในการดำเนินการต่างๆของระบบ เช่น
o การเปิดปิดระบบ
o การอัพเดตระบบ
> Log Summaryตรวจสอบโดยกำหนดเดือน และวันที่ต้องการ และคลิกที่ปุ่ม Export ถ้าต้องการนำล็อกออกไป
ผลที่สรุปของล็อกในแต่ละวัน สัปดาห์ หรือเดือนมีดังนี้
o DHCP Server แสดงผลที่เกิดขึ้นในการใช้ DHCP Server จากลูกข่าย
o HTTP Server เป็นค่าที่เข้ามาเรียกใช้ และบริหารงานผ่าน Web Browser
o Init เป็นระดับของระบบปฏิบัติการในที่นี้คือ Linux
o Kernel & Firewall เป็นการบอกให้ทราบถึงเคอร์เนล และรายละเอียดสรุปที่เกิดขึ้นจากการใช้ไฟร์วอลล์
o Module loader บอกให้ทราบถึงบริหาร หรือโมดูลที่ถูกโหลดในเครื่อง
o Remote User login แจ้งให้ทราบถึงการเข้ามาบริหารงานผ่าน SSH
o Disk space แจ้งให้ทราบถึงดิสก์ที่ใช้

[แก้ไข]

รูปแบบในการทำงาน

หน่วยงานขนาดเล็กที่แค่ทำ Proxy และ NAT แม้ว่า IPCop เน้นการใช้งานสำหรับการทำ Firewall ที่จะต้องมีการ์ดแลน 3 ถึง 4 การ์ดบนเครื่องที่เป็น Server แต่สำหรับผู้ใช้ที่ไม่ต้องการฟังก์ชันมากขนาดนั้นก็สามารถประยุกต์ใช้งานได้ครับ เช่นหน่วยงานที่ต้องการทำ Proxy และ NAT ซึ่งสามารถทำได้ด้วยการติดตั้งบน Server ที่มีการ์ดแลนแค่สองการ์ด พอติดตั้งเสร็จท่านก็สามารถใช้งาน NAT ได้เลย ถ้าอยากจะใช้งาน Proxy ก็ให้ทำการ Enable Proxy ผ่าน Browser หรือถ้าจะให้เป็น Tranparent Proxy ก็เช่นกัน หรือถ้าจะใช้งานฟังก์ชันอื่น ๆ อีก ก็สามารถคอนฟิกเพิ่มเติมได้เลย เช่นการใช้งาน VPN, การทำ DHCP Server, การทำ caching DNS Proxy,Dynamic DNS เป็นต้น

ในกรณีที่หน่วยงานของท่านมี Proxy Server แยกไปอยู่อีกเครื่องไม่ใช่เครื่อง Gateway ที่กำลังพูดถึงนี้ ก็สามารถสั่งให้เครื่อง Gateway เครื่องนี้ชี้ Proxy ไปหาเครื่องอื่นได้ (Upstream proxy) ซึ่งไม่ต้องใช้โปรโตคอล ICP (3130) นะครับ คือชี้ไปยังเครื่อง Proxy อีกเครื่องโดยระบุพอร์ตที่เป็น http เลย ซึ่งการเซ็ตตรงนี้ก็ง่ายเช่นกัน แค่ระบุชื่อ Proxy Server ปลายทางและพอร์ตที่เป็น http port ที่ทำงานอยู่เท่านั้น

รูปที่ 1 ตัวอย่างการเชื่อมต่อใช้งาน IPCop (มาจากข้อมูลในเว็บของ IPCop)

ตัวอย่างการใช้งานของผู้เขียนเอง ในการศึกษาของผู้เขียนได้จำลองเครือข่ายขึ้นมาจำนวน 4 เครื่องข่ายดังรูปที่ 2 ซึ่งในการใช้งานจริงของแต่ละหน่วยงานอาจจะไม่ได้เป็นแบบนี้นะครับ เช่นอาจจะมีแค่ 2 หรือ 3 อินเตอร์เฟสก็ได้ สำหรับขั้นตอนของการติดตั้งโปรแกรมผู้เขียนไม่ขอกล่าวถึงนะครับ เพราะติตตั้งได้ไม่ยาก และมีคำแนะนำจาก Document ของ IPCop ให้แล้ว สามารถดาวน์โหลดได้ที่ http://www.ipcop.org/1.4.0/en/install/install-en-1.4.0.pdf.zip โดยในขั้นตอนของการติดตั้ง ในส่วนของการเลือกรูปแบบ ซึ่งขึ้นอยู่กับรูปแบบการเชื่อมต่อและจำนวนการ์ดแลนของแต่ละคน สามารถเลือกรูปแบบการติดตั้งได้ดังต่อไปนี้ :

• GREEN (RED is modem/ISDN) • GREEN + RED (RED is Ethernet) • GREEN + ORANGE + RED (RED is Ethernet) • GREEN + ORANGE (RED is modem/ISDN) • GREEN + BLUE + RED (RED is Ethernet) • GREEN + BLUE (RED is modem/ISDN) • GREEN + BLUE + ORANGE + RED (RED is Ethernet) • GREEN + BLUE + ORANGE (RED is modem/ISDN)

ซึ่งของผู้เขียนเองเป็นแบบ GREEN + BLUE + ORANGE + RED (RED is Ethernet) โดยอาจจะมีขั้นตอนที่ยุ่งยากนิดหนึ่งในส่วนของการเซ็ต Driver ให้กับการ์ดแลน ซึ่งตรงนี้ขอแนะนำให้อ่านคำแนะนำให้ดี

รูปที่ 2 ตัวอย่างการเชื่อมต่อใช้งาน IPCop (จากการทดลองของผู้เขียน)

ตัวอย่างกาาคอนฟิกเพื่อใช้งาน - การคอนฟิกในส่วนของ GREEN เมื่อเราติดตั้งเสร็จแล้วก็ให้คอนฟิกผ่าน Browser ของเครื่องที่อยู่ในวง GREEN โดยให้เรียกที่ที่ http://ipcop:81 ซึ่งจะ redirect ไปยัง https://ipcop:445 หรืออาจจะระบุเป็น IP Address ก็ได้ นั่นคือจากรูปที่ 2 สามารถเรียกได้เป็น http://192.168.1.1:81 หรือ https://192.168.1.1:445

โดยการใช้งานในขั้นแรกเครื่องที่อยู่ในวง GREEN สามารถใช้งาน Internet ได้เลยเพราะมีการทำ NAT บน IPCop ไว้แล้ว แต่ถ้าต้องการใช้งานอินเตอร์เน็ตผ่าน Proxy ก็ใำห้ทำการ Enabled on Green โดยไปที่เมนู SERVICES --- PROXY แล้วให้ป้อนยูสเซอร์เป็น Admin และรหัสผ่านตามที่ได้ป้อนเอาไว้ในขั้นตอนการติดตั้ง แล้วจะได้ดังรูปที่ 3

รูปที่ 3 แสดงหน้าต่างการคอนฟิก Proxy

โดยถ้าต้องการให้เครื่อง Client ในวง GREEN สามารถใช้งานผ่าน Proxy (Squid) ที่ติดตั้งอยู่บน Gateway ที่เป็น IPCop ได้ก็ต้องสั่งให้ Enabled on Green โดยการใช้งาน ที่ Browser ของเครื่อง Client ต้องมีการกำหนดให้ชี้ Proxy ไปที่เครื่องที่เป็น IPCop แต่ถ้าให้ลดความยุ่งยากโดยที่ไม่ต้องกำหนดค่าที่ Browser ก็ทำได้ด้วยการสั่งให้ Transparent on green

- การคอนฟิกในส่วนของ BLUE .ในพื้นที่ของ BLUE ซึ่งเหมาะสมสำหรับเครือข่ายที่เป็น Wireless หรือจะประยุกต์ใช้สำหรับเครือข่ายไม่ใช่ Wireless ก็ได้ เป็นส่วนที่ค่อนข้างจะมีการควบคุม กล่าวคือค่าเริ่มต้นของเครือข่ายในส่วนนี้จะติดต่อไปไปไหนไม่ได้เลย (ยกเว้นเครื่องในพื้นที่ของตัวเอง) ดังนั้นถ้าจะให้สามารถติดต่อไปเครือข่ายอื่นได้ก็ต้องมีการคอนฟิกค่าเพิ่มเติม

ถ้าต้องการจะให้เครือข่าย BLUE สามารถใช้งานอินเตอร์เน็ตได้ รวมถึงการใช้งาน Web Access ไปยัง GREEN หรือ ORANGE ก็ให้คอนฟิกที่เมนู Firewall - Blue Access ให้ป้อนค่าดังรูปที่ 4 โดยมีข้อแม้ว่าสามารถป้อนได้ทีละเครื่องเท่านั้นไม่สามารถกำหนดค่าเป็นเครือข่ายได้ (หรือกำหนดได้ ผู้เขียนยังไ่ม่ทราบเหมือนกัน) และต้องมีการคลิ๊กที่ Enabled ด้วย และถ้าต้องการกำหนดการใช้งานให้มีการตรวจสอบ MAC Address ด้วย ก็สามารถกำหนดได้ แต่ในที่นี้ไม่ได้กำหนดครับ

รูปที่ 4 แสดงการกำหนดให้เครื่องในเครือข่าย Blue สามารถใช้งานอินเตอร์เน็ตได้ (รวมถึงการใช้งาน Web Access ไปยัง Green และ Orange)

ค่าที่เราป้อนเข้าไปจากหน้าต่างดังกล่าวนี้จะเข้าไปอยูในไฟล์ /var/ipcop/wireless/config ของเครื่องที่เป็น IPCop

จากการกำหนดที่ผ่านมาเ่ท่าที่ผู้เขียนไ้ด้เห็นคือเครือข่าย BLUE สามารถติดต่อไปยัง Web Server ในพื้นที่ ของ GREEN และ ORANGE ได้ แต่โปรโตคอลอื่นยังไม่ได้ ซึ่งถ้าจะให้สามารถติดต่อได้ต้องมีการคอนฟิกที่เมนู Firewall - DMZ Pinholes เช่นถ้าจะให้เครื่องใน BLUE ที่มี IP เป็น 192.168.2.10 สามารถ FTP ไปยังเครื่องที่อยู่ใน GREEN ที่มี IP เป็น 192.168.1.10 ก็ให้ทำการเปิดพอร์ต TCP 21 ดังรูปที่ 5 และในการกำหนดค่า Port เราสามารถกำหนดเป็นช่วงได้เช่น • * หมายถึง 1-65535 • 85-* หมายถึง 85-65535 • *-500 หมายถึง 1-500 ภาพ5-IP

รูปที่ 5 ตัวอย่างการทำ Pinholes ให้เครื่องใน BLUE สามารถ FTP ไปยังเครื่องใน GREEN ได้

ในกรณีที่ต้องการให้เครือข่ายใน BLUE สามารถใช้งาน Proxy ได้ก็ให้ทำการ Enabled Proxy หรือจะทำ Transparent Proxy ด้วยก็ได้ ด้วยการเลือกเมนู SERVICES -- PROXY และคลิ๊กรายการ Enabled on Blue และ Transparent on blue ดังรูปที่ 6

รูปที่ 6 แสดงการ Enables Proxy และ Transparent Proxy

-การคอนฟิกในส่วน ORANGE ในส่วนนี้อาจจะเรียกว่าส่วน DMZ ซึ่งมักจะนิยมวาง Server ที่ต้องการให้สาธารณะสามารถติดต่อได้ เช่น Mail Server , Web Server , FTP Server , DNS Server ฯลฯ การกำหนด IP Address ในส่วนของ DMZ สามารถกำหนดได้ทั้งแบบที่ที่เป็น Public IP หรือ Private IP

การกำหนด Server ใน DMZ เป็น Private IP ก็จะอาศัย Public IP ที่ตัว Gateway แล้วทำการ Forwarding ไปยัง Server จริงที่เป็น Private IP โดยอาศัย Port เป็นตัวแยกความแตกต่าง โดย Server หลาย ๆ ตัวอาจจะใช้ Public IP แค่ IP เดียวก็ได้ หรือถ้าต้องการใช้หลาย IP (IP ที่อยู่ในกลุ่มเดียวกับ RED IP) ก็ทำได้ด้วยการใช้ Alias IP ซึ่งสามารถสร้างได้จากเมนู Network -- Alias นั่นคือเป็นการกำหนดให้การด์แลนที่เป็น Red Interface มีหลาย IP นั่นเอง

การกำหนด Server ในวง DMZ ให้เป็น Public IP ก็ทำได้เหมือนกันสำหรับหน่วยงานที่มี IP มากพอ ซึ่งจะสะดวกสำหรับการบริหารจัดการเครือข่าย โดยในที่นี้ผู้เขียนเองขอยกตัวอย่างเป็นแบบ Public IP แต่การใช้งาน IPCop กับการกำหนดแบบนี้จะมีข้อเสียคือ Server ภายใน DMZ ไม่สามารถทำงานเป็น Server ชนิดเดียวกันมากกว่าหนึ่ง เพราะการ Forwarding ไม่สามารถ Forward พอร์ตเดียวกันไปที่ Server มากว่า 1 ตัวได้

ฉะนั้นการคอนฟิกจากรูปที่ 2 เพื่อให้คนภายนอกสามารถติดต่อมายัง Server ของเราได้ก็ต้องทำการคอนฟิกด้วยการทำ Port Forwarding โดยทำได้ด้วยการเลือกเมนู Firewall -- Port Forwarding ซึ่งจากรูปที่ 2 เราจะต้องทำการ Forwading ดังนี้ • Forward พอร์ต 80 ไปยัง 202.129.49.194 (Web Server) • Forward พอร์ต 25 ไปยัง 202.129.49.194 (SMTP) • Forward พอร์ต 110 ไปยัง 202.129.49.194 (POP) • Forward พอร์ต 143 ไปยัง 202.129.49.194 (IMAP) • Forward พอร์ต 21 ไปยัง 202.129.49.195 (FTP Server) • Forward พอร์ต 53 ไปยัง 202.129.49.196 (DNS Server)

ดังแสดงตัวอย่างในรูปที่ 7 ซึ่งจากรูปจะเห็นว่า Alias IP เป็น DEFAULT IP คือเป็น IP ของ Red Interface นั่นเอง ซึ่งถ้ามีการสร้าง Alias (วิธีการทำให้ Red Interface มีหลาย IP ในการ์ดเีีดียว) ก็จะมีรายการของ Alias IP ที่ได้สร้างไว้แสดงให้เห็นด้วย แต่ตอนนี้ไม่มีเพราะเราไม่ได้มีการกำหนดค่าของ Alias IP และรูปที่ 8 เป็นผลจากการทำ Port Forwarding ของ Server ทั้งหมด โดย IPCop ได้มีการสงวนพอร์ตที่ห้ามทำการ Forwarding คือ 67, 68, 81, 222, and 445 ซึ่งเป็นพอร์ตที่ใช้งานบน IPCop Firewall เอง

รูปที่ 7 แสดงตัวอย่างการทำ Port Forwardind ไปยัง Web Server

รูปที่ 8 ตัวอย่างการทำ Port Forwarding ให้กับ Server ชนิดต่าง ๆ

การทำ Forwarding นั้นสามารถทำการ Forwarding เข้าไปยังวงที่เป็น Green ได้เช่นกัน ฉะนั้นถ้าเครื่อง IPCop ของท่านมีการ์ดแลนแค่สองการ์ดคือมี RED กับ GREEN และได้วาง Server ไว้ในวง Green ก็สามารถทำการ Forward เข้าไปยัง Server ที่อยู่ในวง Green ได้เช่นกัน

สำหรับรูปที่ 9 เป็นตัวอย่างการทำ Alias IP ซึ่งทำได้จากเมนู Network -- Aliases ซึ่งจากรูปหมายถึงว่าเราได้กำหนดค่า IP Adderss 202.129.16.28 ให้กับ Interface ที่เป็น RED อีก IP หนึ่ง ซึ่งอาจจะมีประโยชน์สำหรับการ Forwarding ที่มีการใช้ Private IP หรือกรณีอื่น ๆ

รูปที่ 9 แสดงตัวอย่างการทำ Alias IP

การคอนฟิกในส่วนของ Extenal Access ถ้าคุณต้องการที่จะเข้ามาคอนฟิกเครื่อง IPCop จากระยะำำไกล (IPCop machine remotely) ก็ทำได้ด้วยการเปิดพอร์ต 445 ซึ่งเป็น https ของ IPCop ซึ่งจะทำให้สามารถทำการ Remote config ผ่าน Red Interface ได้ และถ้าต้องการให้สามารถใช้งาน ssh (ssh access) ก็ให้ทำการเปิดพอร์ต 222 ซึ่งเป็น ssh ของ IPCop ดังรูปที่ 10 โดยในส่วนของกาำรกำหนด Source IP เราสามารถระบุเป็นเฉพาะเครื่องใดๆ หรือเฉพาะ Network ได้ แต่ในที่นี้เป็นการเปิดทั้งหมด (All) และถ้าีมีการสร้าง Alias ก็สามารถกำหนด Destination IP เป็น Alias IP ได้

ตั้งแต่เวอร์ชั้น 1.3.0 เป็นต้นมา การทำ External Access จะควบคุมเฉพาะการ Access ไปยัง IPCop box เท่านั้น ซึ่งไม่มีผลต่อเครือข่ายของ Green, Blue และ Orange นั่นคือในปัจจุบันนี้จะถูกควบคุมจากส่วนของ Port Forwarding