Größe: 5149
Kommentar:
|
Größe: 6508
Kommentar:
|
Gelöschter Text ist auf diese Art markiert. | Hinzugefügter Text ist auf diese Art markiert. |
Zeile 64: | Zeile 64: |
* IP-Adresse: 172.31.00.0 | * IP-Adresse: 172.31.0.1 |
Zeile 71: | Zeile 71: |
Zeile 73: | Zeile 74: |
FixMe: untenstehende Punkte überprüfen | Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen. |
Zeile 75: | Zeile 76: |
1. Netzwerk - Web-Proxy * Aktiviert auf Grün * Proxyport: 3128 * URL-Filter aktiviert * Cacheverwaltung: * Cachemanager aktivieren * Cachegröße einstellen (Bsp. 505 Mb) * Filedescriptoren einstellen (Bsp. 16383) * Cachegröße auf der Platte einstellen (Bsp. 30000Mb) * Max. Objektgröße einstellen (Bsp. 65535) |
1. System - Startseite * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. 1. Status (Klick auf Reiter) * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht. 1. Netzwerk (Klick auf Reiter) * Webproxy * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' * Proxy-Adresse weiterleiten: [x] * Benutzernamen weiterleiten: [x] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe: <50% vom Arbeitsspeicher> (in MByte) * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speicher und Neustarten''' klicken |
Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks
Inhaltsverzeichnis
Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.
Funktionen der Schul-Firewall
Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:
- Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
- Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
- Verbindung zum Internet für Server-Komponenten des Schul-Intranets
- VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
- weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
- Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
- URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
- Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
- etc.
Download / Installationsmedium erstellen
Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads
Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.
Netzwerkkarten identifizieren
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig.
Basisinstallation
Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.
Image starten <ENTER>
- Sprache: Deutsch
Lizenz akzeptieren <ja>
Installieren <ja>
- Als Dateisystem für die Installation ,,Ext3" auswählen
(Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm
- Neustart akzeptieren
Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>
Zeitzone: Europe/Berlin --> Ok <Enter>
Hostname des Rechners: gateway eingeben
Domainname des Rechners: intern
Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
- Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
- Typ der Netzwerkkonfiguration
- GREEN + RED
- Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.
- Treiber- und Kartenzuordnung
- Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
- Fertig, bestätigen.
- Adress-Einstellungen
- GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
- IP-Adresse: 10.0.0.1
- Subnetzmaske: 255.0.0.0
- RED nimmt später Verbindung zur Außenwelt auf.
- DHCP auswählen
Der Hostname ist gateway
- Keine IP-Adresse eintragen
- BLUE wird für ein internes WLAN o.Ä. konfiguriert
- IP-Adresse: 172.31.0.1
- Subnetzmaske: 255.255.255.0
- GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
- DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
- Typ der Netzwerkkonfiguration
- DHCP-Konfiguration
- Nicht aktivieren, sondern mit Ok bestätigen.
Fine-Tuning der Firewall
Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.
Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.
- System - Startseite
Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.
- Status (Klick auf Reiter)
- Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.
- Netzwerk (Klick auf Reiter)
- Webproxy
Allgemeine Einstellungen
- ändern: [x] Aktiviert auf Grün
- Proxyport: 3128
Anzahl der Filterprozesse
- URL-Filter: aktivieren
- Update-Accelerator: aktivieren
Vorgelagerter Proxy
- Proxy-Adresse weiterleiten: [x]
- Benutzernamen weiterleiten: [x]
Protokolleinstellungen
- Protokoll aktiviert: [x]
- Protokolliere Query-Terms: [x]
- Protokolliere Useragents: [x]
Cache-Verwaltung
- Cache-Manager aktivieren [x]
Cache-Größe: <50% vom Arbeitsspeicher> (in MByte)
Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
- Max. Objektgröße: 409600 (in KByte)
Ziel-Ports
- (keine Änderungen)
Netzwerkbasierte Zugriffskontrolle
- Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
Dann am Seitenende auf Speicher und Neustarten klicken
- Webproxy
- Netzwerk - URL-Filter:
URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de
- URL-Filter Wartung: Blacklist hochladen
FixMe: Screenshots beifügen