BOT - Getting started
 
   

Die erste Konfiguration

Bevor BOT aktiviert werden kann, müssen wir den PC eintragen, von dem aus BOT administriert werden soll.
Wenn Sie in der IPCop WebGUI auf Firewall -> BlockOutTraffic gehen, werden folgendes sehen:

Sie müssen die BOT Einstellungen vornehmen bzw. eintragen:

Admin MAC:
Das ist die MAC Adresse von Ihrem (Workstation / Arbeits) PC, von dem Sie BOT adminstrieren.

HTTPS Port:
Das ist der HTTPS Port, auf dem die IPCop WebGUI läuft.

BOT erstellt eine 'standard Admin Zugriffsregel' mit der MAC als Quell Adresse und IPCop mit dem HTTPS Port als Ziel, um sicherzustellen, dass Sie nicht aus dem IPCop WebGUI ausgesperrt werden. Das ist der Grund, warum Sie hier 'Admin MAC' und 'HTTPS Port' eintragen müssen.

Verbindungs Status:
Wenn Sie diese Option aktivieren, werden Pakete die zu einer bestehenden oder angeforderten Verbindungen gehören zugelassen (bzw. durchgelassen). Verwenden Sie Port-Weiterleitungen (z.B. zu einem internen Webserver) sollten Sie die Option aktivieren.

Logging:
Wenn Sie diese Option aktivieren erstellt BOT eine Logging Regel für solche Pakete, die auf keine Ihrer BOT Regeln gepasst haben.

Standard Block Aktion:
Hier können sie wählen, ob BOT für Pakete die auf keine Regel gepasst haben entweder DROP oder REJECT ausführen soll.

Erweiterter Modus:
Wenn Sie diese Option aktivieren stehen Ihnen beim erstellen von BOT Regeln mehr Optionen zur Verfügung. Sie können im Erweiterten Modus aber auch Ihre Firewall öffnen! Sie sollten diese Option nur aktivieren wenn Sie vertieftes Firewall Wissen besitzen.

Sobald Sie [Speichern] werden die Einstellungen gespeichert und Sie können BOT Regeln und weitere Konfigurationen definieren. Zusätzliche (erweiterte) Konfigurationen können Sie in der WebGUI unter Firewall -> Erweiterte BOT Konfig vornehmen:

Als erstes sollten Sie verschiedene benutzerdefinierte Dienste anlegen, die Sie später bei Dienste Gruppen oder BOT Regeln auswählen können:

Im obigen Screenshot sind drei benutzerdefinierte Dienste angelegt:

  • IPCop SSH wird zur Administration des IPCop über SSH benötigt.
  • IPCop https wird benötigt, um auf das IPCop WebGUI zuzugreifen. Der PC, der in den BOT Einstellungen mit seiner 'Admin MAC' eingetragen ist, kann bereits auf das WebGUI zugreifen, aber möglicherweise möchten Sie auch weiteren PCs den Zugriff erlauben.
  • IPCop proxy kann in einer BOT Regel benutzt werden, um das Surfen über den IPCop Proxy zu ermöglichen.

Als nächstes können Sie Dienste Gruppen, Custom Adressen, Adress Gruppen oder ein neues Interface hinzufügen:

Bei der Auswahl von 'Dienst Gruppierung' sehen Sie folgendes:

Im obigen Screenshot sind folgende Gruppen definiert:

  • Default Dienste enthält (zurzeit Email) Dienste die Sie möglicherweise für interne PCs ins Internet erlauben möchten.
  • IPCop Admin enhält Dienste für die IPCop Administration. Diese Gruppe können Sie benutzen, um (mehreren) PCs die IPCop Adminstration zu erlauben.
  • IPCop Dienste enthält verschiedene Dienste wie DNS, Proxy, NTP und DHCP. Diese Gruppe kann dafür verwendet werden PCs zu erlauben verschiedene IPCop Dienste zu verwenden.

Nach dem Anlegen der benutzerdefinierten Dienste und der Dienste Gruppen sind Sie schon vorbereitet, um Ihre erste BOT Regel zu erstellen.

Was wollen wir ereichen? Wir möchten den internen PCs erlauben

  • Emails zu senden und zu empfangen bzw. abzurufen,
  • über den IPCop Proxy im Internet zu surfen,
  • die Dienste DNS, DHCP und NTP auf dem IPCop zu benutzen,
  • und später (als Sahnehäubchen) werden wir zwei Admin PCs erlauben den IPCop über das WebGUI und per SSH zu administrieren.

Die Dienste Gruppen die dafür benötigt werden sind jetzt angelegt. Legen wir mit der ersten BOT Regel los, den Lan PCs soll erlaubt werden auf die IPCop Dienste zuzugreifen.

Gehen Sie zurück in den BlockOutTraffic Bereich (WebGUI -> Firewall -> BlockOutTraffic) fügen Sie eine 'Neue Regel' hinzu. Sie werden das folgende GUI sehen, hier können Sie verschiedene Optionen für die Firewall Regel auswählen. Die Firewall Optionen sind in die folgenden Bereiche aufgeteilt: Quelle, Ziel, Zusätzlich und Zeitrahmen (falls die Regel nur zu bestimmten Zeiten aktiv sein soll.

Um den (grünen) Netzwerk PCs den Zugriff auf die IPCop Dienste zu erlauben müssen Sie als Quelle wählen:

  • Standard Interface: Grün
  • Standard Netzwerk: Green Network

und als Ziel:

  • IPCop Zugriff
  • Benutze Dienste und die Dienste Gruppe "IPCop Dienste" (die die Sie in der Erweiterten BOT Konfig definiert haben)

Die Regel muss aktiviert werden und optional können Sie einen Kommentar hinzufügen.

Sie haben nun zwei Möglichkeiten um fortzufahen, mit [Weiter] oder mit [Speichern]. Mit [Speichern] wird die Regel gespeichert und ans Ende der BOT Regeln hinzugefügt. Mit [Weiter] erhalten Sie einen Überblick über die gewählten Optionen und haben die Möglichkeit die Position, an der die neue Regel in der Reihenfolge der BOT Regeln hinzugefügt wird, zu bestimmen.

Wenn Sie [Weiter] klicken, sehen Sie:

Sie können auch wieder [Zurück] gehen um Optionen zu ändern, oder mit [Speichern] wird die Regel an der gewählten Position hinzugefügt. Zu Beginn ist die Auswahl der Regelposition noch nicht so interessant, aber später wenn Sie mal einige Regeln haben, möchten Sie möglicherweise eine bestimmte Postition auswählen.

Die Regel ist nun gespeichert und sie erhalten den Überblick über die aktuellen Regeln:

Die IPCop Dienste sind jetzt für die internen PCs (im grünen Netzwerk) zu erreichen. Als nächstes erstellen Sie eine Regel für die Benutzung von verschiedenen Internet Diensten.

Klicken Sie auf [Neue Regel] und wählen Sie die folgenden Optionen.

Als Quelle:

  • Standard Interface: Grün
  • Standard Netzwerk: Green Network

Als Ziel:

  • Anderes Netzwerk/Outside
  • Standard Netzwerke: Any (alle PCs wird erlaubt die Internet Dienste zu nutzen)
  • Benutze Dienst aktivieren
  • Die Dienste Gruppe: Default Dienste (die zweite Dienste Gruppe, die Sie in der Erweiterten BOT Konfig angelegt haben)

Die Regel muss aktiviert werden und optional können Sie einen Kommentar eintragen. Wenn Sie jetzt [Speichern] oder [Weiter] + [Speichern] klicken haben Sie schon Ihre zweite BOT Regel.

Die internen PCs können jetzt Email Dienste (Sie können später weitere Dienste zu den "Default Diensten" hinzufügen) im Internet und DNS, DHCP, NTP und den Web-Proxy auf dem IPCop benutzen.

Ihre Liste mit den "Aktuellen Regeln" sollte jetzt so aussehen:

Jetzt sind Sie bereit um BOT einzuschalten. Jeder Verkehr der nicht in den aktuellen Regeln erlaubt ist wird dann blockiert.

Vielleicht möchten Sie weiteren PCs erlauben den IPCop über das WebGUI oder SSH zu administrieren. Schauen Sie sich hierfür das nächste Kapitel "Weitere erweiterte Konfig" an.

Weitere erweiterte Konfig

Die ersten BOT Regel sind angelegt, jetzt können wir einen Schritt weiter gehen. Wir erstellen eine neue BOT Regel die es ein paar PCs erlaubt den IPCop über das WebGUI und SSH zu administrieren.

Zuerst legen wir Custom Adressen für die Admin PCs in der Erweiterten BOT Konfig im Abschnitt 'Adress Einstellungen' an:

Sie sehen im obigen Screenshot zwei Admin PCs, die mit MAC Adresse definiert sind. Ähnlich den benutzerdefinierten Dienste können Sie diese Custom Adressen nun in BOT Regeln verwenden oder zu einer Gruppe zusammenzufügen.

Im nächsten Erweiterten BOT Konfig Abschnitt 'Adress Gruppierung' können wir eine Gruppe 'Admins' anlegen mit den zwei zuvor definierten Custom Adressen:

Jetzt können wie die Admin Regel anlegen. Gehen Sie zurück auf die BlockOutTraffic Seite und klicken Sie [Neue Regel].

Wählen Sie die nötigen Regel Optionen, als Quelle:

  • Standard Interface: Grün
  • Adress Gruppe: Admins

Als Ziel:

  • IPCop Zugriff
  • Benutze Dienst aktivieren
  • Die Dienste Gruppe: IPCop Admin (die dritte Gruppe, die Sie zu Beginn in der Erweiten BOT Konfig angelegt haben)

Das ist schon alles, wir sind fertig. Ihre 'Aktuellen Regeln' sollten nun so aussehen:

IPCop - The Bad Packets Stop Here

BlockOutTraffic - The Firewall WebGUI Addon for IPCop


 
  Created 2006 by dotzball | Design by wintermute