不好意思，再請教各位學長，我再IPCOP中文討論區中看到的文章內容說明，如下所述
1.使用Web管理介面,網頁有時會是空白?
→請找到httpd.config設定檔
httpd.config設定檔是放在/etc/httpd/conf/目錄下
加入AddDefaultCharset utf-8這段文字到httpd.conf檔案裡面
最後重新啟動IPcop主機
可是我們在WIN系列的作業系統裡，要切換資料匣是用cd\資料匣名稱，如果要編輯檔案是用edit或直接使用文字檔編輯，那麼在IPCOP中，要如何來切換其編輯檔案內容呢？

2.IPcop的Web管理介面如何中文化?
→將這兩個檔案上傳至IPcop主機的/var/ipcop/langs目錄下
在WIN系統中是使用ftp或直接經由網芳來把檔案作上傳更新動作，那在IPCOP中，要如何來直行這個動作呢？(我第一個想到的是會不會是用SSH或PUTTY呢)
煩請各位學長指點
謝謝

1.
cd /etc/httpd/conf/
vi http.conf

Linux 切換目錄，一樣是用 cd (小寫，cd 後面需空一格)
區隔目錄用的是 「/」斜線，和網址一樣
「\」反斜線，在 Linux 下另有用意，非切換目錄用

另外，Linux下沒有磁碟機代號
整個系統是從「/」根目錄開始，往下發展
其概念和網址一樣
而硬碟分割區，是以卦載的方式，掛到某個目錄下

vi 是 unix 預設的文字編輯器，只要是 unix 系統一定有
不過操作方法，和一般文字編輯器，不太一樣

第一篇的補充說明那邊，有說明如何簡易操作 vi

2.
使用「winscp」這個免費程式，這是 win32 的軟體
google搜尋一下就有了，免安裝，只有一個執行檔

登入方法同 putty
只不過它的畫面類似檔案總管，傳檔案專用的
:)

不好意思，關於attack-max學長所說的，在此跟各位學長確認我的想法是否正確，如下圖所示
http://home.pchome.com.tw/web/kpm906/ip5.jpg

且我發現proxy的作用好像沒有我想像中好，因為我原本以會藉由proxy功能來加快區網電腦的上網速度及記錄區網電腦上網記錄，可是今天測試後，連結有些網站都會有停頓現象，這是否跟我的網路環境有關係呢？
煩請各位學長指點
謝謝

1.
那裡的 DNS 設定，和 windows 下設定網路卡的 dns 是一樣意思

其實只要設一組就行了 (第一順位)，所謂的第二、第三....
是怕如果第一組掛了，有後面的頂著
ISP 的 DNS server ，有時候也會掛掉
若沒有 dns 解析網址，打網址上網就不會通了
多設幾組，就算前面的都掛了，後面的還可以頂

一般來說 HiNet 都是設 168.95.1.1 這樣就行了

有時候區網內，會有架設 dns server
或是有些網路設備，本身有dns快取代理的功能
則可以把第一順位，指向這些設備
因為這些設備在區網內，是 100M以上的速度
直接去查詢區網內的 dns server ，當然回應速度會比較快
再跑去查區網外的 DNS 主機，等於繞遠路，多此一舉

但若區網內並沒有 dns server，或不清楚的話
那八成就是沒有了，直接設 ISP 的 DNS 即可


2.
有些網站的網頁資料，傳輸並非 port 80
例如，網頁記數器，或特殊的多媒體效果...等等

所以不能限制 proxy 主機，向外連線的 port
否則下載這些資料時，會因為被防火牆阻擋，無法下載

換句話說，就是 IPCOP 主機本身對外連線，防火牆要開放全部
不是「內部 TO 外部」全部開放
而是開放 "IPCOP 主機本身"，對外的連線

不好意思，這是有關於流量的問題，我藉由IPCOP來觀察區網中的流量顯示，但是為什麼不管RED或GREEN，都是空白的呢？如下圖所示
RED每天流量圖
http://home.pchome.com.tw/web/kpm906/red.JPG

Green每天流量圖
http://home.pchome.com.tw/web/kpm906/green.JPG

但是它們在每星期/每月/每年都會有值來顯示，如下圖所示
http://home.pchome.com.tw/web/kpm906/green2.JPG

可是應該是每天會有值顯示才對，怎麼會有這樣的情況呢？
煩請各位學長指點
謝謝

不好意思，今天在下載Fedora軟體的時候，突然出現下列錯誤訊息，

http://home.pchome.com.tw/web/kpm906/cache.JPG

→The request or reply is too large

我發現是我在Ipcop上的proxy設定原因，
http://home.pchome.com.tw/web/kpm906/cache2.JPG

我能否藉由這個功能，讓所有區網的特定電腦只能下載，不能作上傳動作呢(含ftp)？這個功能是否可行呢？
煩請各位學長指點
謝謝

不好意思，關於下列的敘述又再跟學長確認其說明
換句話說，就是 IPCOP 主機本身對外連線，防火牆要開放全部
不是「內部 TO 外部」全部開放
而是開放 "IPCOP 主機本身"，對外的連線
→是否代表把來源ip不選擇，目的ip指向192.168.3.152(Red的ip)，選擇enable呢

且如果使用iptable，下次重新開機後，原本設定會失效，我再學長的文章中找到解決方式，如下所示
可以把指令寫入防火牆的額外設定文件，儲存起來
下次開機，即會自動執行
但是要如何寫成額外的設定元件呢？

煩請各位學長指點
謝謝

老實說，IPCOP 我也只有在虛擬機器上測試過而已，並沒有實機安裝
因為我發覺它並不是很好用
我本身有架 Linux 伺服器，是直接用 Linux 伺服器當 NAT 主機的
所以關於 IPCOP 的一些 MRTG 圖表問題，小弟也不是很明瞭
建議去 IPCOP 繁體中文研究站 問，可能會有比較好的解答


不好意思，關於下列的敘述又再跟學長確認其說明

→是否代表把來源ip不選擇，目的ip指向192.168.3.152(Red的ip)，選擇enable呢

且如果使用iptable，下次重新開機後，原本設定會失效，我再學長的文章中找到解決方式，如下所示

但是要如何寫成額外的設定元件呢？

煩請各位學長指點
謝謝

1.
Firewall 主機對外全部開放：
這應該是看 IPCOP 的 RED 介面，IP 多少
這個 IP 連到 目標 0.0.0.0 (internet 上所有位址)，給予開放

其實如果說： 192.168.3.152(Red的ip)
RED 應該是直接連網際網路的，不可能會有私人IP
這表示，IPCOP 並不是當NAT主機使用，只是要當 proxy 使用
那也表示，它前端必有一台 NAT 主機 (IP分享器，防火牆)

在 NAT 下
基本上除非有轉 port 或開放 DMZ，不然應該是不會被攻擊
NAT 本身就是一種防火牆，所以建議 IPCOP 若用於這種環境
IPCOP 的防火牆機能，可以完全關閉，比較省事

另外由於 IPCOP 並非擔任 NAT 主機
所以它本身的強制 proxy 可能會失效
強制 proxy (透明 proxy)，只能在 NAT 主機 (閘道)上面設定


2.
我記得 IPCOP 的 WEB管理介面中
有一個地方可以自行打入 iptables 指令，並儲存起來

如果沒有的話：

/etc/rc.local
這是一個「一開機就會執行」的 shell script
shell scritp 是一種可執行的純文字檔
檔案開頭為 #!/bin/sh

用 windows 的說法
/etc/rc.local，相當於 C:\autoexec.bat
就是自動執行批次檔
凡列於這個檔案上面的每行指令或程式
在開機時，會自動執行一次

至於如何修改這個 /etc/rc.local？

在 dos 下，我們要修改 autoexec.bat 用 edit ，沒錯吧
在 Linux 下，沒有 edit ，用 vi
vi /etc/rc.local
至於 vi 操作方法，搜尋一下網路上的資料可以找到

如果不想用 vi，也可以 winscp
先把檔案抓到 windows，改完後，再拷貝回去
不過要注意 /etc/rc.local 這個檔案的權限，需為 775

:)

不好意思，關於防火牆的設定需再跟各位學長來確認，簡示網路架構如下圖所示
http://ektron.no-ip.org/description/protect.jpg

因為我有在ip sharing端設定防火牆，但是我如果經由proxy來上網的話，我在ip sharing上所設定的防火牆都失效了，是否有什麼樣的方式可讓這些防火牆一樣有作用，且同時也能執行proxy server
目前的構思作法如下：
把ip sharing上的防火牆轉移重設到ipcop server上，但是這個過程比較費時，是否能調整上網的方式(即先經過ip sharing的防火牆再經由proxy來出去)
煩請各位學長指點
謝謝

不好意思，關於防火牆的設定需再跟各位學長來確認，簡示網路架構如下圖所示
http://ektron.no-ip.org/description/protect.jpg

因為我有在ip sharing端設定防火牆，但是我如果經由proxy來上網的話，我在ip sharing上所設定的防火牆都失效了，是否有什麼樣的方式可讓這些防火牆一樣有作用，且同時也能執行proxy server
目前的構思作法如下：
把ip sharing上的防火牆轉移重設到ipcop server上，但是這個過程比較費時，是否能調整上網的方式(即先經過ip sharing的防火牆再經由proxy來出去)
煩請各位學長指點
謝謝

ip sharing 是那種很昂貴的 2wan , 4wan 機種嗎？

IPCOP 本身就是 ip sharing 兼 防火牆 了，也支援VPN
而它的效能是取決於電腦用什麼 cpu 和 ram
若用較好的電腦，其效能並不輸給一台幾萬元的防火牆路由器
前端按理說是不需要再使用 ip sharing，除非是有特殊理由
例如有 多wan 的需求之類的


回到問題：

這個就要講到防火牆原理

一般過濾型 (filter) 的防火牆，是針對 port 和 IP 來過濾的
如果說設定只有 port 80 才能出去
那內部任何電腦，包括 proxy
再怎麼神通廣大，也是只有 port 80 才能出去 (意思就是只能瀏覽網頁)

port 是應用軟體之間，溝通的管道
PC 的 port 編號，共有 1~65535
1000以下的號碼為保留 port，在國際上都有定義專屬的應用協定
如 http 協定，port 為 80

web服務，是由網頁伺服器 (應用軟體) 提供的
apache 或 IIS 預設都只監聽 port 80
監聽的意思
是指如果有封包從這個 port 進來，電腦就交給監聽的軟體去處理

比方說外面來了個 port 81的封包
但是電腦內並沒有監聽這個 port 的軟體
該封包無法處理，就會被丟棄

port 80 原先是用來連 http 的
這是因為多數的伺服器電腦，監聽到有封包來自 port 80
都是交由 apache 或 IIS 去處理

那有沒有可能說，port 80 也能連 e-mail 或 ftp 或 vnc 之類服務？
先不論 web-mail 或 web-ftp ，因為那根本就是 web服務
基本上答案是不可能

但若透過改程式，並且連到自行架設的伺服器，則有這個可能
例如：outlook預設會以110這個port，來傳輸pop3協定
若有辦法把它改成 80，或是自己寫一套 mail軟體
也就能用 port80 傳 POP3(110) 協定 或是 SMTP(25) 協定
當然遠端的 mail 伺服器，也要設定監聽 port 80
如此便能以 port 80 傳輸 e-mail

若要這樣說的話，那其實任何服務，都能透過 port 80 傳輸
更絕一點，就是在外面架台中繼站，用來把封包改 port 並轉向
因為內部傳外部，被閘道防火牆限制只有 port 80 的封包能通過
只要通過了，傳到中繼站
中繼站再負責改 port 並轉向，便能使用 internet 上任何資源
所以檔 port 的防火牆，並不是萬無一失

但一般沒有人會這麼無聊
再者，如果透過 porxy ，就能杜絕這種可能性
防火牆不設定檔 port ，而是擋 ip，只允許 proxy 連出去
而 proxy 因為只能快取 http,ftp 等服務
便可以杜絕其它通訊協定的封包跑出去

proxy 代理伺服器
可應用於 http(80),ftp(21)...等協定，做快取的功能
某些應用軟體，如多點續傳軟體，可以設定 proxy
那是因為這類下載用的軟體，本來就是使用 http,ftp 協定
但多數網路應用軟體，如 msn,vnc,線上遊戲...等等
應該是無法設定 porxy 的

另外一種的防火牆，是 Layer-7 過濾字串的防火牆
這個其實 squid (proxy)，從設定檔裡面，就能過濾網址了，有相同功效
例如：
設定某些網址，或含有某些關鍵字的網址，不允許連線
設定每週幾，幾點到幾點，才可能連到某些網址，或是才可以連線
....等等之類，種類非常繁多
若有興趣，可以參考"鳥哥的 Linux 私房菜"這個網站的教學

改設定檔總括來說，是比較麻煩的，且對 Linux 新手來說也有一定難度
IPCOP 可以加裝許多外掛，好像也有強化 proxy 設定的外掛可以使用
裝了這種外掛，就可以直接在 web 管理介面中去設定

:)

不好意思，之所以還透過此 ip sharing來連到網際網路，主要是跟我的網路架構有關，簡示如下
http://home.pchome.com.tw/web/kpm906/net.jpg

而之所以會出現這樣的網路環境，跟公司的環境或許有些關係，但主要原因我是覺得我沒有規劃的很好(我需要加強對網路運作的原理有所了解)

而關於我在6/14所回應的proxy server沒有想像中好的問題，在我加入attack-max學長的設定方式後，已有些微改善，但我推測也有可能是因為我是使用舊的電腦來測試ipcop server，不管是硬碟存取效能及其他硬體條件都明顯不夠好(之前有看過鳥哥有關squid server的前面的介紹，雖然我還沒有看完，好像有講到特別是硬碟效能的好壞，對proxy效能有很大影響)，當然也有可能是我設定還有些問題，我目前還沒發現的


但多數網路應用軟體，如 msn,vnc,線上遊戲...等等
應該是無法設定 porxy 的
→關於這個說法，我倒是有些存疑，新版的msn7.0好像是可以透過proxy連出去，雖然我只有看過這個設定，並沒有實際測試過

設定某些網址，或含有某些關鍵字的網址，不允許連線
設定每週幾，幾點到幾點，才可能連到某些網址，或是才可以連線
→雖然我還沒測試過Layer-7 過濾字串的防火牆，但是我們公司目前的wms2208r郵件伺服器，也是有過濾字串功能，這個我倒是也有測試過，但是像我把字串設為信箱，結果好像很多網頁都不能連了，而且上網速度也慢很多，我不知道Layer-7防火牆會不會導致這個問題
謝謝

上星期因為ip分享器故障,於是安裝ipcop來試試,雖然對linux的安裝並不很瞭解,不過由於圖解教學非常詳細,還是將它安裝完成使用中
在此想請問前輩,如圖所示,目前動態租約若要重新啟動要從哪裡啟動?而那租約到期的電腦是否不能用了?若要另其可用該如何處理 ?

http://www.pczone.com.tw/vbb3/upload/002/ipcop.jpg