Thread: Linux PC als Firewall

Heyho,
ein Bekannter hat mich gerade gefragt ob ich ihm helfen kann. Ihm ist das Netzwerk zuhause zusammengebrochen, kA warum. Jedenfalls braucht er das schnell wieder wegen geschäftlichen Sachen.

Er hatte bis jetzt einen Linux PC am Netz hängen, der als Firewall fungierte, und hätte gerne wieder so etwas, das auch dementsprechend wirklich sicher ist.
Hinter der Firewall sind dann mehrere andere PCs, Laptop (der mit WLAN funktionieren sollte) etc.

Netzwerk neu einrichten mit Linux und Windows sollte kein Problem sein. Aber ich habe noch nie einen PC als Firewall benutzt, also würde ich mich freuen wenn mir jemand helfen kann bzw ne Seite wo sowas erklärt wird. Welche Distribution, welches Programm, was ich einstellen müsste oder so.
Ich bin leider auch nicht grad der Linux Profi...
Hoffe ihr könnt mir schnell helfen!

Wozu bitte, brauch man eine Firewall, wenn man einen Router hat? Der verweigert doch schon allen Zugriff von außen.
Außer natürlich, man will die Verbindung nach außen einschränken.

Distri is egal. Da geht von SuSE über Debian bis Gentoo alles. Wobei Debian oder was ähnliches das einfachste wäre. Programm: natürlich iptables.
Und wehe es sagt einer, nimm Ubuntu! Das wäre das letzte, was man für einen Server verwenden sollte!

Anleitungen gibt es wie Sand am Meer. Einfach mal nach der Distri und nach iptables suchen.

Warum? --> Mehr Schutz?
Mir persönlich wäre es auch zuviel Aufwand, aber er will das einfach, und wenn da wichtige Firmendateien auf den PCs liegen versteh ich auch iwie wenn man vorsichtiger ist.
Aber danke ich such mal danach.

Kann IPCop empfehlen.

http://ipcop.org/

Ich würde mal sagen, eine Firewall ist nur in dem Fall sinnvoll, wenn dein Bekannter die User die seine PCs nutzen daran hindern will zB ICQ oder Emule oä zu verwenden. Die PCs vor dem Internet zu schützen ist, wenn man einen Router hat unnötig.

Da übersteigt der Aufwand beim pflegen des Servers den nutzen.

IPCop soll auch gut sein. Probier den auch mal ruhig aus, wenn es unbedingt ne Firewall sein soll...

Ich weiss nicht, ob das was für dich ist, aber es gibt auch so Mini Linux Systeme,
die als Router mit Firewall fungieren. Ich weiss ja auch nicht, ob bereits ein Router
im Netzwerk vorhanden ist.

Hier der Link: http://www.fli4l.de/

@phantom: doch klingt auch interessant. Da der PC ja eig nur ne Firewall darstellen sollte, braucht da ja nicht groß was anderes drauf sein. Und wenn das gut/einfach und sicher funktioniert ziehe ich das sicher in Betracht.

Ich hab grad einiges rumgesucht und hab gemerkt dass iptables schon sehr schon sehr kompliziert zu konfigurieren scheint. Und da ich wie gesagt nicht der Pro in Linux bin ist es für mich auch etwas schwierig.

@sim: Ich glaube eher nicht dass sie solche Programme nutzen. Aber wenn eine Firewall umsonst ist, warum gibt es sie dann?! Kann ja sein dass sich unfreiwilligerweise ein Trojaner einschleicht oder ähnliches und der sollte es dann schwieriger haben nach draussen zu kommen. So sehe ich das mal...

Nochmal: eine 2. Firewall macht keinen wirklichen Sinn. Sim4000 hat es schon richtig geschrieben: der Nutzen üersteigt den Aufwand.
Wenn der Router alle Wege in das Netzt dicht macht (im Sinne von: Tür zumauern, nicht nur abschließen), brauchst du hinter dem Router nicht nochmal eine gleichartige Firewall. Wozu?
Wenn der Linux Server nur die Funktion "Firewall" hat, gibt es nur eine Anwendung, in der du einen höheren Sicherheitsfaktor hast. Nämlich dann, wenn jemand in deiner Routerfirmware einen Bug gefunden hat und sich auf dem Router einnistet.
...wenn dies technisch seitens des Routers machbar ist.

Ansonsten macht diese Arbeit nur dann Sinn, wenn der "Firewallserver" andere Funktionen hat. Z.b. Proxyserver sein soll. Dann hast du einen nennenswerten Sicherheitsgewinn.

@fli4l -> kann ich als Router-Software empfehlen: einfach und ausreichend.



An iptables führt kein Weg vorbei. Das ist _die_ Linuxfirewall im aktuellen Kernel. Da gibt es nichts anderes nennenswertes/besseres. Die Frage ist nur, wie du es konfigurierst (ggf. mit welchem Tool) fli4l oder ipcop nutzen auch nur iptaples. Auch Router-Firewall greifen durchaus auf iptables zurück.


Eine Firewall ist nicht umsonst, 2 gleichartige hintereinander haben jedoch kaum einen Mehrwert.


Ja, aber da musst du den weg von innen nach außen dicht machen. Da kann ein Proxserver helfen (der nicht als Router arbeitet) oder entsprechende iptables-Regeln, die allerdings kaum praktisch zu definieren sind.
Einfach nur alle Ports mittels Firewall dicht machen, hilft da nicht.

Ich weiß nichtmal ob überhaupt noch ein Router vor diesem PC steht, muss ich nochmal fragen aber ich glaube nicht so wie ich das verstanden habe.
Jedenfalls hat ihnen das vor 2 Jahren irgendein Typ eingerichtet, der halt groß rumgeredet aber nichts erklärt hat und der ist jetzt nicht mehr erreichbar oder so, und sie wollen eben das gleiche oder jedenfalls etwas sehr sicheres. Deshalb frag ihr ja hier nach weil ihr euch da sicher besser auskennt ;)

Jedenfalls sagt mit IPCop grade zu, scheint einfach zu installieren sein und wohl ausreichend.
Ich meinte nur die manuelle Konfiguration von iptables, die halt nicht gerade leicht scheint. Da muss man sich sehr lange einlesen.

Mit Proxyserver meinst du z.B.: den Squid?
Und wie meinst du von innen nach außen dicht machen?!

Ja, zB den Squid. Mit dem kann man zB den Usern von innen Sachen verbieten.
Wo gegen der Router das eindringen von außen verbietet.

Deswegen ist ein IPCop (oä) nur notwendig / sinnvoll wenn man keinen Router besitzt, um halt das lokale Netzwerk vor Einbruch aus dem Internet zu schützen.
Bzw wenn man halt den Personen im lokalen Netzwek etwas im Internet verbieten will. (zB ICQ oder Emule)