【圖解教學】 免費路由器 IPCOP (含proxy功能)

[attack-max]

若只比較QOS功能其他服務不計
免費路由器 Coyote (北美小銀狼)
和免費路由器 IPCOP (含proxy功能)相比........
那一個較好?

手邊剛好有舊PC可以架....
免的因為有人玩P2P讓其他人LAG

上面幾篇有提到 IPCOP 僅以 Services Port 作控管
但沒使用過 IPCOP, 就以 Coyote 來分享

現在看到以 Linux Base 的軟體路由, 都是以 Services Port 作 QoS
Coyote 的 QoS 封包優先權處理分為 最高, 一般與最低三種
並可搭配流量百分比或手動 Keyin 值作流量控管

實際運用於企業 40Clients, 2 Server, CHT 雙向 512K ADSL 環境
Server 的所有服務 Port 與常用 Voice, Web 設為最高封包
未指定的則為系統默認的一般封包(此段將 SMTP & POP3 納入)
IM, P2P, 與影像串流(網路收音機)等設為最低封包

流量部分依序設為 80%, 15%, 5%, 並作區網分段 QoS 控管
Client 端開啟 eMule, BT, skype, HTTP, eMail 收發等 High Loading 下
流量的確依設定值分流, 速度明顯比一般使用時慢, 滿載時 P2P 影響程面不高
就整體而言仍算流暢, VoIP 不間斷, 機器跑一週後 (P2P 開 6台)
此時 RAM 使用率約 30Mb (包含 Firewall & QoS Rules)
CPU Loading 不超過 2% (P2-400, 3com905C-TXM)

以上是實際運用於小企業, 用於網咖或社區記憶體佔用量會更大
算是簡單的 QoS 管理, 唯一的缺點設定真的是很難
看不懂原文與不會切網段的朋友要試成功幾乎是微乎其微

有用不到閒置的機器可以先裝 Coyote, 有硬碟時再裝 IPCOP 來踹
但基本上, 對於區網沒有 Loopback 問題的朋友
使用 FreeBSD 的 m0n0wall 是最佳效率與安全性的選擇
以上供參考~

[shung0116]

不好意思，依據我檢查window作業系統網路問題的步驟，我使用ifconfig結果
root@ipcop:~#ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:AD:73:BC:A2
inet addr:192.168.3.151 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Rx packets:90 errors:1 dropped:0 overruns:0 frame:0
Tx packets:8 errors:0 dropped:0 overruns:0 frame:0
Collisions:0 txqueuelen:1000
Rx bytes:8565(8.3kb) Txbytes:672(672.0 b)
Interrupt:5 Base address:0xcc00

Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
Up LOOPBACK Running MTU:16436 Metric:1
Rx packets:0 errors:0 dropped:0 overruns:0 frame:0
Tx packets:0 errors:0 dropped:0 overruns:0 frame:0
Collisions:0 txqueuelen:0
Rx bytes:0(0.0b) Txbytes:0(0.0 b)

如果我的推測沒有錯的話，應該錯誤是在Bcast的設定，應該要改為192.168.3.1，但是我不知道linux要在那裡修改此設定。
且我有ping 192.168.3.1(IP 分享器ip)，是正常的，但是ping 168.95.1.1卻是沒通的，是否還要修改那裡的設定。

煩請各位學長指點
謝謝

[linux_xp]

不好意思，依據我檢查window作業系統網路問題的步驟，我使用ifconfig結果
root@ipcop:~#ifconfig
eth0 Link encap:Ethernet HWaddr 00:80:AD:73:BC:A2
inet addr:192.168.3.151 Bcast:192.168.3.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Rx packets:90 errors:1 dropped:0 overruns:0 frame:0
Tx packets:8 errors:0 dropped:0 overruns:0 frame:0
Collisions:0 txqueuelen:1000
Rx bytes:8565(8.3kb) Txbytes:672(672.0 b)
Interrupt:5 Base address:0xcc00

Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
Up LOOPBACK Running MTU:16436 Metric:1
Rx packets:0 errors:0 dropped:0 overruns:0 frame:0
Tx packets:0 errors:0 dropped:0 overruns:0 frame:0
Collisions:0 txqueuelen:0
Rx bytes:0(0.0b) Txbytes:0(0.0 b)

如果我的推測沒有錯的話，應該錯誤是在Bcast的設定，應該要改為192.168.3.1，但是我不知道linux要在那裡修改此設定。
且我有ping 192.168.3.1(IP 分享器ip)，是正常的，但是ping 168.95.1.1卻是沒通的，是否還要修改那裡的設定。

煩請各位學長指點
謝謝

不好意思，前面說錯了
web 管理介面，真的沒有可以設定網路卡 IP 的地方

但是在文字模式，可以打：setup
會進入一個畫面，選「Network」
就可以做修改了

直接打 ifconfig -a eth0 192.168.3.1
也行啦
只是這樣改，重開機就失效了
所以還是用 setup 那個工具比較恰當

我把第一篇，做了一些補充
有興趣可以翻回去第一頁看看


題外話：

原來 IPCOP 內建就有支援 iptables 和 tc 指令
這樣子能玩的東西可就多了，直接下指令可以做到更多控制

但是我發覺 IPCOP 勉強要說是 Linux 發行版，似乎也不太對
因為它缺少很多標準 Linux 該有的東西
整體結構也跟普通的發行版有些出入
例如要設定個網路卡
通常會去找/etc/network ...底下的設定檔直接改
但IPCOP找不到這些東西，可見結構有所出入

IPCOP主要是安裝和使用比較容易
5分鐘就可以裝到好，如果是標準Linux發行版，這就不太可能了

但若真的打算全部靠 shell script 來操作
那還是使用標準的 Linux 發行版比較好
核心比較新，漏洞較少
支援度也比較廣泛，要什麼套件自己下載安裝

不過 IPCOP 搞熟了
不管到哪邊，要建置這套防火牆系統
都可以非常快速，因為它5分鐘內就可以裝到好

[shung0116]

不好意思，有個小問題假如我只有一片網卡，一定要設定red功能部份嗎？我的網路結構如下
ADSL→ip 分享器→client pc→hub→2F Client pc→hub→1F client pc(包括 ipcop server在內)
我檢查其網路設定後，我發現如果只設一片網卡的話，就要藉由ISDN才能上網，可是我進入IDSN的設定，並沒有IP 分享器的選項

難道我真的只能再插一片網卡來接到同一個HUB上嗎？是否代表要上網的話，一定要接兩片網卡，否則就只能藉由ISDN才能上網

煩請各位學長指點
謝謝

[linux_xp]

不好意思，有個小問題假如我只有一片網卡，一定要設定red功能部份嗎？我的網路結構如下
ADSL→ip 分享器→client pc→hub→2F Client pc→hub→1F client pc(包括 ipcop server在內)
我檢查其網路設定後，我發現如果只設一片網卡的話，就要藉由ISDN才能上網，可是我進入IDSN的設定，並沒有IP 分享器的選項

難道我真的只能再插一片網卡來接到同一個HUB上嗎？是否代表要上網的話，一定要接兩片網卡，否則就只能藉由ISDN才能上網

煩請各位學長指點
謝謝

IPCOP 主要的用途是一台防火牆路由器
就是用來取代IP分享器的
預設一定要有「GREEN 對內介面」和「RED對外界面」兩個介面
「RED 對外界面」可以是實體NIC，也可以是MODEM撥接

在它的預設值中，並不允許當一台純粹的 porxy server 使用
這是比較麻煩的地方

不過若真的要這樣用，也不是不行
只是要自己打指令設定靜態路由表....

IPCOP連不出去，是因為靜態路由表有問題
Linux 下，有 route 這個指令可以修改靜態路由表
關於 route 指令的用法，可以參考這個網站：
http://linux.vbird.org/linux_server/...mand.php#route


舉個範例：
(註：Linnux下所有指令及參數，都有分大小寫)

假設區網 IP分享器(閘道器)，是192.168.3.254

路由規則：
default gateway (預設閘道)是 192.168.3.254
路由 192.168.3.0/255.255.255.0 由 eth0 介面出入
連接 192.168.3.254 主機，由 eth0 介面出入

1.
route -n
(列出目前路由表)

2.
參考 route 指令的用法，del 清除無效的路由規則

3.
route add -net 192.168.3.0 netmask 255.255.255.0 dev eth0
(設定路由 192.168.3.0/24 網段，由 eth0 出入)

4.
route add -host 192.168.3.254 dev eht0
(設定要連 192.168.3.254 主機，由 eth0 出入)

5.
route add default gw 192.168.3.254
指定預設閘道為 192.168.3.254

這樣應該就可以連上網際網路了
route 下的指令，不會存儲，每次重開機，都要重打一次
可以寫入 shell script ，放到 /etc/rc.d/rc.local 這個啟動批次執行檔
就不用每次重開機都要重打一次


如果修改路由表之後，一樣連不出去，有可能是被防火牆擋到
下指令，清除所有防火牆規則：
# 清除目前 iptables 所有表格內的規則
--------------------------------------------------
iptables -P INPUT ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -t filter -F
iptables -t nat -F
iptables -t filter -X
iptables -t nat -X
---------------------------------------------------
(注意大小寫是有分別的，打錯大小寫會設定失敗)


iptables 所做的修改，也是重開機就會失效
可以把這些指令通通加入 /etc/rc.d/rc.local
以便一開機就執行

在NAT下只有虛擬IP的情況，實際上也不需要防火牆了
因為NAT本身就是一種防火牆
而 proxy 本身只是作代理，所以它不會中病毒或木馬
可以把IPCOP的防火牆規則全部清除
先確定可以上網了，若真要設定防火牆，可以再做後續設定

[bayern]

想問一問,可以在IPCOP中,加上一個FTP SERVER的嗎?是要用到什麼插件嗎?

[shung0116]

不好意思，關於proxy server的問題，目前好像已解決(因為我不確定目前proxy server有沒有作用)，我的ipcop server已可ping到外面的ip了(目前暫時使用兩片網路卡)，但是有些觀念要跟各位學長來確認
1.設定網卡的時候，有所謂的Green,Red,Blue,Original主要差別為何呢？

2.我在讀鳥哥的squid server介紹時，前半部份有介紹到下列幾點
→多層次的管道(上層代理伺服器)：proxy server可以提供多重的管道設定，要連國內的網站則直接去抓取，如果要抓取國外的資料，可透過上一層的proxy server，不知道此ipcop server是否也有同樣功能呢？
→要安裝登錄檔案分析軟體以避免Intranet被內部人員濫用，這類的分析登錄軟體可在那取得呢？
→client端可能會取得舊的錯誤資料，那我能否設定ipcop server每天自動來更新其cache的資料呢？以避免抓到舊的資料的問題。

3.我如果要使用" QoS 管理"功能，是否能直接來使用呢？還是要另外的設定呢？

4.我有試著要用ipcop server來建立Samba server，結果並沒辦法建立，是否代表它不支援Samba server呢？(sbin/service smb start)

煩請各位學長指點
謝謝

[bayern]

再問一個問題,IPCop上的VPN要如何設定,百思不得其解中........

[linux_xp]

不好意思，關於proxy server的問題，目前好像已解決(因為我不確定目前proxy server有沒有作用)，我的ipcop server已可ping到外面的ip了(目前暫時使用兩片網路卡)，但是有些觀念要跟各位學長來確認
1.設定網卡的時候，有所謂的Green,Red,Blue,Original主要差別為何呢？

2.我在讀鳥哥的squid server介紹時，前半部份有介紹到下列幾點
→多層次的管道(上層代理伺服器)：proxy server可以提供多重的管道設定，要連國內的網站則直接去抓取，如果要抓取國外的資料，可透過上一層的proxy server，不知道此ipcop server是否也有同樣功能呢？
→要安裝登錄檔案分析軟體以避免Intranet被內部人員濫用，這類的分析登錄軟體可在那取得呢？
→client端可能會取得舊的錯誤資料，那我能否設定ipcop server每天自動來更新其cache的資料呢？以避免抓到舊的資料的問題。

3.我如果要使用" QoS 管理"功能，是否能直接來使用呢？還是要另外的設定呢？

4.我有試著要用ipcop server來建立Samba server，結果並沒辦法建立，是否代表它不支援Samba server呢？(sbin/service smb start)

煩請各位學長指點
謝謝

1.第一篇的補充有提到，Green,Red,Blue,Original分別代表 LAN、WAN、WI-FI、DMZ。

IPCOP 將這些概念加以顏色化，LAN通常是比較安全的所以綠色無威脅，WAN通常不安全，所以紅色警戒，WI-FI是無線電所以藍色天空，DMZ的地位曖昧不明所以橘色，或說黃色警戒。那個只是將網路概念顏色化而已，沒有特別意義。

2.Linux 的套件大都是免費的自由軟體(開放原始碼)，在google中搜尋，幾乎都找的到。

但我不認為用IPCOP去裝那些套件是個好主意，因為IPCOP不支援套件管理如RPM、DEB、YUM、APT之類的，換句話說就是要自己編譯安裝。


3.IPCOP 本身內建的QoS非常陽春，我有試過掛上QoS加強模組，但是那套QoS加強模組並不人性化，非常複雜，在設定什麼看不懂....

IPCOP 的加強模組，可以在「IPCOP繁體中文研究站」下載到，上傳IPCOP電腦，放在/tmp，解壓縮後，執行./install就可以安裝了。

4.內建沒有samba，需要另外安裝。


看的出來您對Linux很有興趣，也用功學習
建議改用 Fedora 之類的標準 Linux 版本是比較好的
或是初期可用 Knoppix 之類免安裝的版本來學習

因為 IPCOP 是以防火牆路由器為目標
而改造過的特殊精簡型 Linux
基本上 Linux 完整安裝，容量至少在 2GB以上
IPCOP只有45MB左右，代表它裡頭缺少很多東西
雖然IPCOP也是Linux核心，但和真正的Linux多少是有差距的
愈要其上執行更多 Linux 功能，挫折感只會更重而已

書的話，推薦鳥哥的書，或是施威銘研究室出的 Fedora 架站實務
鳥哥的書是比較從原理講起，要看比較久
架站實務類的書，原理講較少，著重在可以在短時間內架站使用

所謂的IP分享器，其上跑的就是NAT、DHCP、FireWall 三項服務
只要把這三項服務架起來，Linux就等於是高效能IP分享器
而其它諸如 samba，apache，sendmail，mrtg....等等功能應有盡有

[linux_xp]

再問一個問題,IPCop上的VPN要如何設定,百思不得其解中........

在 RED介面中
有一個選項 PPTP，那個就是VPN

打指令：setup
選擇：Network - Adress seting
便可以選擇 RED介面的型態

VPN 的通訊協定有許多種，其中一種：
PPTP (Point-to-Point Tunneling Protocol)
是微軟制定的VPN通訊協定

使用 PPTP 的好處是
windows-xp 內建 PPTP 的 VPN 用戶端程式
所以當Client端電腦是跑win-xp作業系統或之後版本
便不需要去額外安裝VPN用戶端程式。