[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Newbie: Firewall selbst machen - statt vom Provider mieten

Also sprach "Mag. Arno Schoblocher" <schoblocher@zoppoth.net> (Thu, 12
Jan 2006 11:10:24 +0100):
> Hallo zusammen,

Hi,

> [...]
> Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall
> zur Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre
> macht insgesamt EUR 1.764. Da frage ich mich, ob ich nicht stattdessen
> meinen alten Server mit debiam hernehmen soll (Serverhardware, PII
> 266Mhz, 256MB RAM, 2x 8GB SCSI).

Tut schon. Bei aelterer HW ist halt die Ausfallswahrscheinl. hoeher.

> - Die Firewall wäre einmalig einzurichten, grossartige Änderungen sind
> nicht zu erwarten. Das war bei der bisher 3 Jahre gemieteten Firewall
> auch schon so.

Ist mit Kenntnis der iptables kein Problem. www.netfilter.org 

> - Der Internet Provider stellt mir 2 fixe IP-Adressen zur Verfügung.
> (derzeit Standleitung, künftig DSL)
>
> - Jeder Verkehr, der IP "A" und einen best. Port anspricht soll an
> eine interne IP geleitet werden (TerminalServer-Nutzung per RDP).

Redirect

> - Jeder Verkehr, der IP "B" und mehrere best. Ports anspricht soll an
> eine andere interne IP geleitet werden (Zugriff auf die
> Wartungsschnittstelle des TerminalServers).

Redirect
 
> - Jeder weitere Verkehr von Aussen ist abzublocken (naja, vielleicht
> soll eine IP auf ein ping reagieren). Grosse Themen wie Mailserver,
> FTP-Server und Webserver kommen nicht in Frage!

DROP
 
> - Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP
> bekomme ist ungewiss, die rücken die sicher nicht freiwillig raus.

Sollte nicht schwer werden. Wenn du zumindest weisst, was die alte
Firewall getan hat, dies zu reproduzieren.

> 1)
> Was mein Ihr, wäre die Konfiguration eines solchen Linux
> Firewall-Servers überkompliziert oder eher einfach? (Wie gesagt, ich
> hab kein Problem mit console/manpages/konfigurationsdatein, auch wenn
> mich vim nervös macht)

Eher einfach, aber es haengt von deinem Wissen ab. Du schriebst ja, dass
du keine/wenig Erfahrung mit Linux/iptables hast. Daher solltest du dich
in die Materie einarbeiten und es auf einem Testrechner mal zum laufen
bringen und vor allem _verstehen_.
   
> 2)
> Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch das
> nicht zum Zwischenspeichern, sondern zum Loggen der Useraktivitäten,
> wer surft wo, wer verschickt welche Datenmengen per Mail, wer
> verbraucht wann welche Datenmengen beim Surfen/Download.

Proxy (mit besserer Hardware oder einen wirklich simplen Proxy) und
Mailgateway sind verschiedene Dinge. 

Um nur die Volumina mitzuloggen iptables's counter auslesen, darkstat
o.ae.

Die Beantwortung dieser Frage ist nicht moeglich ohne die genauen Ziele
zu kennen.

> 3)
> Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je
> einfacher desto besser)

iptables. sowas wie tinyproxy - squid auf der HW kaum empfehlenswert.

> 4)
> Welche debian Version soll ich nehmen? Derzeit liegt mir die Version
> 3.0 r3 "woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob
> mein alter Server eine viel neuere Version verträgt. Vielleicht tut es
> woody mit aktuellen Versionen der einzusetzenden Software auch.

Sarge.

> 5)
> wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher
> empfehlenswert?

Ja / kommt darauf an.
 
> Vielen Dank für die Geduld,
> 
> arno

sl ritch
Reply to: