Thread: Linux PC als Firewall

Nun, wenn er keinen DSLRouter hat, sondern nur ein DSL-Modem (wie z.B. sehr oft bei Alice) ist es denkbar, dass der Linux-Server die DSL Einwahl übernimmt. Dann macht eine Firewall auch wirklich Sinn, denn das Modem hält nix ab.


Wenn ein Linux-Rechner zwischen PC und Internet steht (ob nun mit aktivierter Firewall oder ohne) muss dieser (zwingend) routen.(eine andere Konfikuration ist nicht sinnvoll) Also die Pakete zwischen PC und Internet-(Router|Modem) hin und her schieben. Dieser schiebt einfach die Pakete, ohne sie prüfen zu können. Ein auf dem PC eingefangener Trojaner hat somit freie Bahn in's Internet.
Wird diese Routingfunktion nicht aktiviert und die HTTP[s]-Kommunikation über einen Proxy realisiert, kann der Trojaner vom Client nicht einfach seine Pakete über das Standard-Gateway hinaus pumpen. Der Weg ist nicht exsistent.
Weiterhin kann ein Proxy jedes gesendete Paket auf Viren prüfen und zu Dokumentationszwecken Sende- und Ziel-IP Dokumentieren.
Nachteil: ein Web-Proxy kann in der Regel nur 4 Protokolle: HTTP, HTTPS, FTP, SFTP.
Damit deckt man heute schon sehr viel Internetkommunikation ab: vom Surfen über GoogleEarth bis zu ICQ.
POP3 und IMAP Mailaustausch muss dann aber anders gelöst werden.
--Squid---> ist ein guter und weit verbreiteter Linux-Proxy-Server. Ich persönlich nutze ihn gerne.

Mh oke, langsam blick ich etwas durch *g*

Reicht es dann den Squid in IPCop zu aktivieren oder muss ich das Routing auch noch manuell deaktivieren?
Und was mache ich jetzt, wenn ich eben diesen Proxy verwenden will, aber auch POP3 benötige?

Wie ihr gesagt habt ist IPCop ja eig unnötig wenn ich einen Router habe, da der Router das gleiche erledigt. Was mache ich dann wenn ich zusätzlich den Squid haben möchte? Dann muss ich doch sowieso wieder einen PC aufsetzen?
Ist es unsinnig, wenn ich IPCop auf dem PC laufen lasse nur für den Proxy wenn ich jz angenommen einen Router habe?

Ich weiß ich hab ne Menge Fragen, aber ich will wenn schon was richtiges machen und nicht iwas billiges dass dann eben eh nicht hilft.

Die Frage ob du zusätzlich zu einem Router einen IpCop-Rechner aufstellen willst, kommt darauf an was du vorhast. Wenn dir ein simpler Packetfilter als Firewall reicht, wirst du keinen IpCop-Rechner aufstellen. Ein Ipcop-Gerät kann sehr schnell zu einem Application Level Gateway aufgerüstet werden, was ich auch tun würde wenn ich ihn extra aufstelle. (also squid + Addons für die Dinge die du verwenden willst wie nen Mailproxy)

Doch die vernünftigste und sicherste Art und weise ist es, einen Linuxrechner aufzustellen und ihn mit iptables so zu konfigurieren, dass er als Bridge zwischen zwei Ethernetsegmenten agiert. Der Vorteil liegt darin, dass er quasi unsichtbar für die Protokolle ab IP ist und nicht direkt attackiert werden kann, aber dennoch den Verkehr komplett filtern kann.

Um noch einmal auf den Aufwand zurückzukommen. Ich gehöre zu den Menschen die am liebsten eine demilitarisierte Zone in ihr Heimnetzwerk einbauen würden, was ich aber aus finanziellen Gründen nicht kann (ich armer Präsenzdiener).

Dazu kenne ich IPCop zu wenig um zu wissen, mit welche Default-Einstellung die daher kommen. Letzten Endes ist es auch nur ein vorkonfiguriertes Linuxpaket mit entsprechenden Tools.
Steht in /proc/sys/net/ipv4/ip_forward eine 1 ist Routing aktiviert.


Die Systeme die ich bisher aufgesetzt habe sehen so aus, dass ich den Squid für alle HTTP[s]/[s]FTP Verbindungen nutzen und per iptables das Routing nur für bestimmte Maiserver (pop3.provider.de, smtp.provider.de) freischalte. Outlook kann daher wie gewohnt agieren, das websurfen geht über den Proxy und der Rest wird nicht bedient.
Damit bringe ich bei kleinen Konfigurationen (15-25 Nutzer) die User relativ komplikationslos in's Web.


Ja, so lange der IPCop Server nur das macht, was der der Router ohnehin schon macht.


Wenn du unbedingt IPCop nutzen möchtest kannst du mal schaun, welcher Erweiterungen es gibt. Wie gesagt ist es ja auch nur eine >normale< Linux Distri. Vermutlich gibt es da auch schon vorbereitete Squid-Pakete. Gehört ja thematisch in die gleiche Ecke.


Nein. Der Squid benötigt ja irgendein Betriebssystem. Da kann man auch die IPCop-Version nehmen. ISt ggf. sogar besser für dein Vorhaben geeignet, als das du jetzt anfängst ein SuSE (oder so) zu härten.


Nein, die sicherste Art ist es leider nicht. Das ist ja das, worum es hier geht. Einen Linuxrouter als "Bridge" zu nutzen heiß nix anderes, als ihn als Router zu nutzen. Ist er Router für das interne netz handelt er alle pakete zwischen PC und DSL-Router und macht keine Portweiterleitung von außen nach innen. Das macht auch der Router.

Das ist das, was ich weiter unten schrieb: wer den Router im besitzt hat, sieht ganz klar den Server, hat jedoch noch eine weitere Hürde bis zum PC. Die Frage ist nur, wie wahrscheinlich ist dieser Fall.
Zu "komplett filtern": mit IP-tables kann ich (ohne Erweiterungen) nur Qull-m und Zielrechner definieren/filtern. Demnach müsste ich jede mögliche, aufrufbare und sichere Webadresse dort eintragen.
Ein administrativer Aufwand, den keiner akzeptiert.


Definiere DMZ und grenze es zu der Version DSL-Router<->PC's ab.
Was stellst du fest?

Gut, danke für die große Hilfe!
Ich glaub ich komm soweit zurecht, werd sonst noch ein bisschen stöbern.