⇤ ← Revision 1 vom 2012-02-17 11:26:09
Größe: 3372
Kommentar:
|
Größe: 4032
Kommentar:
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 33: | Zeile 33: |
Zeile 56: | Zeile 57: |
FixMe: untenstehende Punkte überprüfen 1. Netzwerk - Web-Proxy * Aktiviert auf Grün * Proxyport: 3128 * UrlFilter aktiviert * Cacheverwaltung: * Cachemanager aktivieren * Cachegröße einstellen (Bsp. 505 Mb) * Filedescriptoren einstellen (Bsp. 16383) * Cachegröße auf der Platte einstellen (Bsp. 30000Mb) * Max. Objektgröße einstellen (Bsp. 65535) 1.Netzwerk: Urlfilter: * URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de * URL-Filter Wartung: Blacklist hochladen FixMe: Screenshots beifügen |
Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks
Inhaltsverzeichnis
Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.
Funktionen der Schul-Firewall
Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:
- Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
- Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
- Verbindung zum Internet für Server-Komponenten des Schul-Intranets
- VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
- weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
- Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
- URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
- Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
- etc.
Download / Installationsmedium erstellen
Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads
Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.
Basisinstallation
Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.
Image starten: <ENTER>
- Sprache: Deutsch
Installieren <ja>
- Als Dateisystem für die Installation ,,Ext3" auswählen
Als Namen des Hosts: gateway eingeben
Als Namen für die Domain: intern
- Beschreibung der Netzwerkschnittstellen:
red -> DSL
- Einrichtung als DHCP-Client
green -> Debian Edu / Skolelinux Netzwerk (10.0.0.0/8)
- IP-Adresse: 10.0.0.1
- Netzmaske: 255.0.0.0
blue -> Optional: ein WLAN-Netz für Lehrer/innen und Schüler/innen mit separaten Zugriffsbeschränkungen / Token-basierter Authentifizierung
- IP-Adresse: 172.31.0.0
- Netzmaske: 255.255.0.0
Bei baugleichen Netzwerkschnittstellen, können die Interfaces für die jeweiligen Schnittstellen red, green (und blue) willkürlich zugeordnet und später nach Inbetriebnahme der Firewall physikalisch ermittelt werden.
Sollen Netzwerkschnittstellen explizit zugeordnet werden, lässt sich die Zuordnung der Netzwerkschnittstellen im System über die ipFire-Konsole nachträglich ändern.
Fine-Tuning der Firewall
Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.
FixMe: untenstehende Punkte überprüfen
- Netzwerk - Web-Proxy
- Aktiviert auf Grün
- Proxyport: 3128
UrlFilter aktiviert
- Cacheverwaltung:
- Cachemanager aktivieren
- Cachegröße einstellen (Bsp. 505 Mb)
- Filedescriptoren einstellen (Bsp. 16383)
- Cachegröße auf der Platte einstellen (Bsp. 30000Mb)
- Max. Objektgröße einstellen (Bsp. 65535)
- Cacheverwaltung:
- URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de
- URL-Filter Wartung: Blacklist hochladen
FixMe: Screenshots beifügen