Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

• Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
• Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
• Verbindung zum Internet für Server-Komponenten des Schul-Intranets
• VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
• weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
• Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
• URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
• Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
• etc.

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

1. Image starten: <ENTER>

2. Sprache: Deutsch

3. Installieren <ja>

4. Als Dateisystem für die Installation ,,Ext3" auswählen

5. Als Namen des Hosts: gateway eingeben

6. Als Namen für die Domain: intern

7. Beschreibung der Netzwerkschnittstellen:

   • red -> DSL

     • Einrichtung als DHCP-Client

   • green -> Debian Edu / Skolelinux Netzwerk (10.0.0.0/8)

     • IP-Adresse: 10.0.0.1
     • Netzmaske: 255.0.0.0

   • blue -> Optional: ein WLAN-Netz für Lehrer/innen und Schüler/innen mit separaten Zugriffsbeschränkungen / Token-basierter Authentifizierung

     • IP-Adresse: 172.31.0.0
     • Netzmaske: 255.255.0.0

Bei baugleichen Netzwerkschnittstellen, können die Interfaces für die jeweiligen Schnittstellen red, green (und blue) willkürlich zugeordnet und später nach Inbetriebnahme der Firewall physikalisch ermittelt werden.

Sollen Netzwerkschnittstellen explizit zugeordnet werden, lässt sich die Zuordnung der Netzwerkschnittstellen im System über die ipFire-Konsole nachträglich ändern.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

FixMe: untenstehende Punkte überprüfen

1. Netzwerk - Web-Proxy
   • Aktiviert auf Grün
   • Proxyport: 3128

   • UrlFilter aktiviert

     • Cacheverwaltung:
       • Cachemanager aktivieren
       • Cachegröße einstellen (Bsp. 505 Mb)
       • Filedescriptoren einstellen (Bsp. 16383)
       • Cachegröße auf der Platte einstellen (Bsp. 30000Mb)
       • Max. Objektgröße einstellen (Bsp. 65535)
   1.Netzwerk: Urlfilter:
   • URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de
   • URL-Filter Wartung: Blacklist hochladen

FixMe: Screenshots beifügen