== Installationshinweise: ipFire Firewall des Debian Edu / Skolelinux Netzwerks == <> '''Hinweis:''' Als Firewall wird im Projekt IT-Zukunft-Schule momentan die Software '''pfSense''' verwendet. Installationshinweise dafür sind [[Technik/Installation/Firewall|hier]] zu finden. === Download / Installationsmedium erstellen === Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der [[http://www.ipfire.org/support|ipFire-Dokumentation]] entnehmen. === Netzwerkkarten identifizieren === Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig. === Basisinstallation === Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen. 1. Image starten 1. Sprache: Deutsch 1. Lizenz akzeptieren 1. Installieren 1. Als Dateisystem für die Installation ,,Ext3" auswählen 1. (Tastenkombination + zeigt Details über den Installationsfortschritt an, mit + geht zurück zum Installationsbildschirm 1. Neustart akzeptieren 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok 1. Zeitzone: {{{Europe/Berlin}}} --> Ok 1. Hostname des Rechners: {{{gateway}}} eingeben 1. Domainname des Rechners: {{{intern}}} 1. Kennwort für SSH-Zugriff festlegen und bestätigen: Ok 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: Ok 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten * '''Typ der Netzwerkkonfiguration''' * GREEN + RED * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.) * Nach Bestätigung mit Rückkehr ins vorherige Menü. * '''Treiber- und Kartenzuordnung''' * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein. * Fertig, bestätigen. * '''Adress-Einstellungen''' * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert * IP-Adresse: 10.0.0.1 * Subnetzmaske: 255.0.0.0 * RED nimmt später Verbindung zur Außenwelt auf. * DHCP auswählen * Der Hostname ist {{{gateway}}} * Keine IP-Adresse eintragen * BLUE wird für ein internes WLAN o.Ä. konfiguriert * IP-Adresse: 172.31.0.1 * Subnetzmaske: 255.255.255.0 * '''DNS- und Gateway-Einstellungen''' müssen vorerst nicht bearbeitet werden. 1. DHCP-Konfiguration * Nicht aktivieren, sondern mit Ok bestätigen. === Fine-Tuning der Firewall === Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der [[Technik/Installation/VM/HauptServerTjener|Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'']] wird an dieser Stelle fortgefahren. ''Wichtig:'' Das Fine-Tuning der Firewall wird vom Haupt-Server ''TJENER'' aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden. Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen. ==== System - Startseite ==== * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. ||{{attachment:ipFire-screenshot-00.png||width=80%}} || ||Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen || ==== Netzwerk (Klick auf Reiter, oben rechts) ==== ===== Webproxy (Klick auf Menüpunkt rechts) ===== * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' (geändert am 2013-03-15) * Proxy-Adresse weiterleiten: [ ] * Benutzernamen weiterleiten: [ ] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte) * Aktiviere Offline-Modus [ ] * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speichern''' klicken ||{{attachment:ipFire-screenshot-01.png||width=80%}} ||{{attachment:ipFire-screenshot-02.png||width=80%}} || ||{{attachment:ipFire-screenshot-03.png||width=80%}} ||{{attachment:ipFire-screenshot-04.png||width=80%}} || ||Web-Proxy (Internet Cache) konfigurieren / anpassen || ===== URL-Filter (Klick auf Menüpunkt rechts) ===== * '''Automatisches Blacklist-Update''' * Aktivieren [x] * Zeitplan für automatische Updates: ''wöchentlich'' auswählen * Downloadquelle auswählen: Shalla Secure Services * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu) * nach unten Scrollen * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite * '''Sperrkategorien''' auswählen * FixMe: vergl. Screenshot * '''Angepasste Whitelist''' {{{ bads.de # Website mit Drogenpräventionsprogramm 89.105.213.23 # Avira Update-IPs 89.105.213.24 # Avira Update-IPs 62.146.64.146 # Avira Update-IPs 62.146.64.147 # Avira Update-IPs 80.190.130.194 # Avira Update-IPs 80.190.130.195 # Avira Update-IPs }}} * [x] Aktivieren (der Whitelist nicht vergessen) * '''Sperrseiteneinstellungen''' * Zeige Kategorie auf der Sperrseite [x] * Zeige URL auf der Sperrseite [x] * Zeige IP auf der Sperrseite [x] * '''Erweiterte Einstellungen''' * Aktiviere Ausdruckslisten [x] * Sperre Ads mit dem leerem Fenster [x] * Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x] * Aktivere Protokoll [x] * Protokolliere Benutzername [x] * Protokoll in Kategorien aufteilen [x] * Klick auf ''Speichern'' ||{{attachment:ipFire-screenshot-05.png||width=80%}} || ||{{attachment:ipFire-screenshot-06.png||width=80%}} ||{{attachment:ipFire-screenshot-07.png||width=80%}} || ||URL-Filter konfigurieren || ===== Update-Accelerator (Klick auf Menüpunkt rechts) ===== * '''Allgemeine Einstellungen''' * Aktiviere Protokoll [x] * Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!) * '''Leistungsoptionen''' * Geringe CPU-Priorität für Downloads [x] * Maximale externe Download-Rate: 64 (in kbit/s) * '''Quellenprüfung''' * Ersetze veraltete Dateien während der Prüfung [x] * Klick auf ''Speichern'' ||{{attachment:ipFire-screenshot-08.png||width=80%}} || ||Update-Accelerator konfigurieren || ===== DHCP-Server (Klick auf Menüpunkt rechts) ===== * -> kein DHCP-Server darf aktiviert sein ==== Dienste (Klick auf Reiter, oben rechts) ==== ===== OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts) ===== * '''Globale Einstellungen''' * VPN auf ROT [x] * Optional: VPN auf BLAU [x] * OpenVPN-Subnetz: 172.28.0.0/255.255.0.0 * Protokoll: von ''UDP'' auf ''TCP'' ändern * LZO-Kompression [x] * Klick auf Button ''Erweiterte Server Optionen'': * '''DHCP-Push Optionen''' * Domain: vpn.intern * DNS: 10.0.2.2 * WINS: 10.0.2.2 * Klick auf ''Erweiterte Optionen speichern'' ||{{attachment:ipFire-screenshot-11.png||width=80%}} ||{{attachment:ipFire-screenshot-10.png||width=80%}} || ||OpenVPN-Basiskonfiguration || ===== Zertifizierungsstellen (CAS) ===== *. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken i. Name der Organisation: i. ipFire's Hostname: {{{vpn.intern}}} i. Ihre e-Mail: hostmasters-@it-zukunft-schule.de i. Abteilung: IT Services i. Stadt: i. Bundesstaat od. Provinz: i. Land: ''Germany'' auswählen i. Klick auf ''Erzeuge root/host Zertifikat'' --> dies kann etwas dauern ===== Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen) ===== * Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen i. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior) i. Klick auf ''Hinzufügen'' i. Informationen zum VPN-Client ausfüllen: * '''Verbindung''': * Name: cl * Anmerkung: --> kann freigelassen werden * '''Authentifizierung''': * Methode ''Erzeuge ein Zertifikat'' auswählen... * Voller Name oder System Hostname: '' '' * e-Mailadresse des Benutzers: '''' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!) * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen * Name der Organisation: * Stadt: * Bundesstaat/Provinz: * Land: ''Germany'' auswählen * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden * Passwort: setzen und dem/der Benutzer/in mitteilen i. Schließlich auf ''Speichern'' klicken ||{{attachment:ipFire-screenshot-09.png||width=80%}} || ||OpenVPN-Client-Zertifikat erstellen: hier für Backup-Server || * Wieder unter Globale Einstellungen: Klick auf Button ''Starte OpenVPN'' * Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: '''OpenVPN Server Status: LÄUFT''' ==== Firewall (Klick auf Reiter, oben rechts) ==== ===== Ausgehende Firewall (Klick auf Menüpunkt rechts) ===== * Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen) * p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent) * Regeln definieren, Klick auf Button: ''Neue Regel'' * Regeln erstellen... a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen'' a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen'' a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen'' a. Für Regel ''drop'' (vordefiniert) den Schalter auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken * Alle Regeln müssen auf aktiv gesetzt werden. ||{{attachment:ipFire-screenshot-12.png||width=80%}} ||{{attachment:ipFire-screenshot-13.png||width=80%}}|| ||Ausgehende Firewall härten ||