Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

• Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
• Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
• Verbindung zum Internet für Server-Komponenten des Schul-Intranets
• VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
• weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
• Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
• URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
• Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
• etc.

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

1. Image starten <ENTER>

2. Sprache: Deutsch

3. Lizenz akzeptieren <ja>

4. Installieren <ja>

5. Als Dateisystem für die Installation ,,Ext3" auswählen

6. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm

7. Neustart akzeptieren

8. Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>

9. Zeitzone: Europe/Berlin --> Ok <Enter>

10. Hostname des Rechners: gateway eingeben

11. Domainname des Rechners: intern

12. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

13. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

14. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
    1. Typ der Netzwerkkonfiguration
       • GREEN + RED
       • Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)

       • Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.

    2. Treiber- und Kartenzuordnung
       • Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
       • Fertig, bestätigen.
    3. Adress-Einstellungen
       • GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
         • IP-Adresse: 10.0.0.1
         • Subnetzmaske: 255.0.0.0
       • RED nimmt später Verbindung zur Außenwelt auf.
         • DHCP auswählen

         • Der Hostname ist gateway

         • Keine IP-Adresse eintragen
       • BLUE wird für ein internes WLAN o.Ä. konfiguriert
         • IP-Adresse: 172.31.0.1
         • Subnetzmaske: 255.255.255.0
    4. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
15. DHCP-Konfiguration
    • Nicht aktivieren, sondern mit Ok bestätigen.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

1. System - Startseite

   • Fireinfo-Dienst aktivieren durch Klick auf Bitte schalten Sie den Fireinfo-Dienst ein. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.

2. Status (Klick auf Reiter)
   • Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.
3. Netzwerk (Klick auf Reiter)
   • Webproxy

     • Allgemeine Einstellungen

     • ändern: [x] Aktiviert auf Grün
     • Proxyport: 3128

     • Anzahl der Filterprozesse

     • URL-Filter: aktivieren
     • Update-Accelerator: aktivieren

     • Vorgelagerter Proxy

     • Proxy-Adresse weiterleiten: [x]
     • Benutzernamen weiterleiten: [x]

     • Protokolleinstellungen

     • Protokoll aktiviert: [x]
     • Protokolliere Query-Terms: [x]
     • Protokolliere Useragents: [x]

     • Cache-Verwaltung

     • Cache-Manager aktivieren [x]

     • Cache-Größe: <50% vom Arbeitsspeicher> (in MByte)

     • Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)

     • Max. Objektgröße: 409600 (in KByte)

     • Ziel-Ports

     • (keine Änderungen)

     • Netzwerkbasierte Zugriffskontrolle

     • Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen

     • Dann am Seitenende auf Speicher und Neustarten klicken

4. Netzwerk - URL-Filter:

   • URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von shallalist.de

   • URL-Filter Wartung: Blacklist hochladen

FixMe: Screenshots beifügen