Re: Newbie: Firewall selbst machen - statt vom Provider mieten
Hallo Mag. Arno Schoblocher, hallo auch an alle anderen
Am Donnerstag, 12. Januar 2006 11:10 schrieb Mag. Arno Schoblocher:
> [...]
>
> Nun ist es so, mein Internetprovider würde mir eine Hardwarefirewall
> zur Verfügung stellen, kostet EUR 49 im Monat gebunden auf 3 Jahre
> macht insgesamt EUR 1.764.
Geile Geschäftsidee. Wer kauft sowas?
Jeder halbwegs brauchbare DSL-Hardware-Router hat einen weitestgehend
frei konfigurierbaren (oft sogar mit zeitlichen Einschränkungen)
Paketfilter integriert. Das ist schon mal ein guter Anfang für ein
Firewall-Konzept, für viele reicht es sogar aus. Kostet einmalig nicht
mehr als bei deinem Provider die Monatsmiete.
> Da frage ich mich, ob ich nicht
> stattdessen meinen alten Server mit debiam hernehmen soll
> (Serverhardware, PII 266Mhz, 256MB RAM, 2x 8GB SCSI).
Reicht, solange die Hardware noch durchhält (scheint ja nicht mehr ganz
frisch zu sein).
> - Die Firewall wäre einmalig einzurichten, grossartige Änderungen
> sind nicht zu erwarten. Das war bei der bisher 3 Jahre gemieteten
> Firewall auch schon so.
>
> - Der Internet Provider stellt mir 2 fixe IP-Adressen zur Verfügung.
> (derzeit Standleitung, künftig DSL)
>
> - Jeder Verkehr, der IP "A" und einen best. Port anspricht soll an
> eine interne IP geleitet werden (TerminalServer-Nutzung per RDP).
kein Problem (auch nicht mit Hardware-Routern, vllt. nicht mit jedem)
> - Jeder Verkehr, der IP "B" und mehrere best. Ports anspricht soll an
> eine andere interne IP geleitet werden (Zugriff auf die
> Wartungsschnittstelle des TerminalServers).
dito.
> - Jeder weitere Verkehr von Aussen ist abzublocken (naja, vielleicht
> soll eine IP auf ein ping reagieren). Grosse Themen wie Mailserver,
> FTP-Server und Webserver kommen nicht in Frage!
Macht Sinn. ;-)
> - Ob ich eine aktuelle Konfiguration der derz. Firewall vom ISP
> bekomme ist ungewiss, die rücken die sicher nicht freiwillig raus.
Wozu? Wichtig ist, dass du deine Policies kennst. Der Rest hängt eh von
der verwendeten Technik ab.
> 1)
> Was mein Ihr, wäre die Konfiguration eines solchen Linux
> Firewall-Servers überkompliziert oder eher einfach? (Wie gesagt, ich
> hab kein Problem mit console/manpages/konfigurationsdatein, auch wenn
> mich vim nervös macht)
Wenn die entsprechenden Netzwerkkenntnisse vorhanden sind, sollte die
Umsetzung kein Problem sein. Schau dir die Doku zu IPTables an (ggf.
auch ein geeignetes Buch dazu). Die Einrichtung des Paketfilters lässt
sich bei so einfachen Regeln am besten per selbstgeschriebenem Script
bewältigen. Entsprechende Beispiele sollten sich finden lassen (gern
auch per PM).
> 2)
> Wäre es möglich den Server auch als Proxy zu verwenden? Ich brauch
> das nicht zum Zwischenspeichern, sondern zum Loggen der
> Useraktivitäten, wer surft wo, wer verschickt welche Datenmengen per
> Mail, wer verbraucht wann welche Datenmengen beim Surfen/Download.
Squid + sarg z.B. - die Problematik der Privatsphäre wurde ja schon
erörtert.
> 3)
> Welche Software für Firewall und Proxy würdet Ihr empfehlen? (Je
> einfacher desto besser)
Wenn du mit Firewall einen Paketfilter meinst: IPTables, läuft im
Kernel. Die Filterregeln werden durch Konsolenbefehle gesetzt, die sich
idealer Weise als Script aneinanderreihen lassen. Es gibt auch
Programme, die entsprechende Scripte generieren - da ist es
Geschmackssache, sich damit auseinander zu setzen.
> 4)
> Welche debian Version soll ich nehmen? Derzeit liegt mir die Version
> 3.0 r3 "woody" vor, nicht gerade hyperaktuell aber fraglich ist, ob
> mein alter Server eine viel neuere Version verträgt. Vielleicht tut
> es woody mit aktuellen Versionen der einzusetzenden Software auch.
Nimm Sarge, da hast du länger die Sicherheitsupdates.
Alternative: Schon mal an IPCop gedacht?
> 5)
> wären LiveCD's wie "IPCop" oder "Gibraltar" für mich eher
> empfehlenswert?
Ah ja, anscheinend schon. IPCOP finde ich ganz gut.
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: