Re: Newbie: Firewall selbst machen - statt vom Provider mieten

To: debian-user-german@lists.debian.org
Subject: Re: Newbie: Firewall selbst machen - statt vom Provider mieten
From: Harald Weidner <hweidner-lists@gmx.net>
Date: 12 Jan 2006 11:06:12 GMT
Message-id: <[🔎] dq5d74$fte$1@remote.hweidner.de>
In-reply-to: <f4e47e6c1fce@hweidner.de>

Hallo,

"Mag. Arno Schoblocher" <schoblocher@zoppoth.net>:

>Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall zur
>Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre macht
>insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen meinen
>alten Server mit debiam hernehmen soll (Serverhardware, PII 266Mhz, 256MB
>RAM, 2x 8GB SCSI).
>
>- Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind nicht
>zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall auch schon
>so.

Technisch ist es kein Problem, deine Anforderungen mit einer einfachen,
schlanken Debian-Maschine zu lösen. Ob eine Alternative zu dem
Provider-Angebot sinnvoll ist oder nicht, hängt im wesentlichen von den
Faktoren ab:

- welches Sicherheitsniveau willst du erreichen?
- welches Know-How hast du?
- wie viel darf das ganze kosten?

Ein Provider bietet in der Regel ein mittleres Sicherheitsniveau. Er
kann es besser als ein Laie, aber wenn er nicht gerade auf Security
spezialisiert ist, würde ich die Firewall bei hohen Anforderungen
eher einem Security-Experten überlassen. Oder selbst zum Experten
werden.

>Was mein Ihr, wäre die Konfiguration eines solchen Linux Firewall-Servers
>überkompliziert oder eher einfach? (Wie gesagt, ich hab kein Problem mit
>console/manpages/konfigurationsdatein, auch wenn mich vim nervös macht)

Mit fundiertem Netzwerk Know-How ist das sehr einfach; ohne ziemlich
schwierig, insbesondere wenn es auch sicher sein soll.

>Wäre es möglich den Server auch als Proxy zu verwenden?

Wenn es ein Web-/Mail-Proxy sein soll, ja. Für andere Dienste müsste man
überprüfen, inwiefern es für diese Protokolle Proxy-Software gibt.

>Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je einfacher
>desto besser)

Meine Empfehlungen sind
Paketfilter: FWconf, http://www.weidner.ch/fwconf.html
Web-Proxy: Squid, evtl. mit Squidguard
Mail-Proxy: Postfix
aber die Geschmäcker sind bekanntlich verschieden. ;-)

Auf jeden Fall ist es wichtig, sämtliche Anwendungsdiente in chroot-
Umgebungen mit streng limitierten Rechten zu betreien, was mit Squid
und Postfix gut machbar ist.

>Welche debian Version soll ich nehmen? Derzeit liegt mir die Version 3.0 r3
>"woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob mein alter
>Server eine viel neuere Version verträgt. Vielleicht tut es woody mit
>aktuellen Versionen der einzusetzenden Software auch.

Ich weiss nicht, was für eine Hardware du hast, aber für den genannten
Anwendungsbereich würde ich eine aktuelle Debian-3.1 mit Kernel 2.6
verwenden, wenn es irgendwie geht.

>wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher empfehlenswert?

Ich kenne IPCop nur oberflächlich und Gibraltar überhaupt nicht. Aber
Lösungen dieser Art haben meiner Erfahrung nach oft Probleme mit dem
Online Update im laufenden Betrieb, was eine der Stärken von Debian ist.
Außerdem hängt die Weiterentwicklung oft von wenigen Personen ab; während
der Fortbestand von Debian über alle Zweifel erhaben ist.

Gruß, Harald

Reply to:

Prev by Date: Re: Anfänger: Firewall selbst machen - statt vom Provider mieten
Next by Date: Re: Header view in Thunderbird ist weg - SOLVED
Previous by thread: Re: Newbie: Firewall selbst machen - statt vom Provider mieten
Next by thread: AW: Netzwerkkonfiguration via arp konfigurieren?
Index(es):
- Date
- Thread