Unterschiede zwischen den Revisionen 15 und 59 (über 44 Versionen hinweg)
Revision 15 vom 2012-02-17 18:17:35
Größe: 11493
Autor: MikeGabriel
Kommentar:
Revision 59 vom 2023-03-20 09:22:01
Größe: 1823
Autor: DanielTeichmann
Kommentar: mDNS Reflection erwähnen.
Gelöschter Text ist auf diese Art markiert. Hinzugefügter Text ist auf diese Art markiert.
Zeile 6: Zeile 6:
Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen {{{gateway.intern}}} erreichbar sein. Das Firewall-System wird auf Basis der freien Firewall-FreeBSD-Distribution pfSense umgesetzt (früher: IPFire). Im Schul-Intranet wird später das Firewall-System über den DNS-Namen {{{gateway.intern}}} erreichbar sein.
Zeile 19: Zeile 19:
 * Verteilung von Services via DNS-SD z. B. über mDNS-Reflektion. (IPP, AirPlay, Googlecast, …)
Zeile 21: Zeile 22:
=== Download / Installationsmedium erstellen ===
Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads		 === Installation verschiedener Firewall-Lösungen ===
Zeile 24: Zeile 24:
Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der [[http://www.ipfire.org/support|ipFire-Dokumentation]] entnehmen. [[Technik/Installation/Firewall/Pfsense|Installationshinweise zur pfSense Firewall]]
Zeile 26: Zeile 26:

=== Netzwerkkarten identifizieren ===
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig.


=== Basisinstallation ===
Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

 1. Image starten <ENTER>
 1. Sprache: Deutsch
 1. Lizenz akzeptieren <ja>
 1. Installieren <ja>
 1. Als Dateisystem für die Installation ,,Ext3" auswählen
 1. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm
 1. Neustart akzeptieren
 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok <Enter>
 1. Zeitzone: {{{Europe/Berlin}}} --> Ok <Enter>
 1. Hostname des Rechners: {{{gateway}}} eingeben
 1. Domainname des Rechners: {{{intern}}}
 1. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
    1. Typ der Netzwerkkonfiguration
      * GREEN + RED
      * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
      * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.
    1. Treiber- und Kartenzuordnung
      * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      * Fertig, bestätigen.
    1. Adress-Einstellungen
      * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        * IP-Adresse: 10.0.0.1
        * Subnetzmaske: 255.0.0.0
      * RED nimmt später Verbindung zur Außenwelt auf.
        * DHCP auswählen
        * Der Hostname ist {{{gateway}}}
        * Keine IP-Adresse eintragen
      *BLUE wird für ein internes WLAN o.Ä. konfiguriert
        * IP-Adresse: 172.31.0.1
        * Subnetzmaske: 255.255.255.0
    1. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.
 1. DHCP-Konfiguration
    Nicht aktivieren, sondern mit Ok bestätigen.

=== Fine-Tuning der Firewall ===

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der [[Technik/Installation/VM/HauptServerTjener|Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'']] wird an dieser Stelle fortgefahren.

''Wichtig:'' Das Fine-Tuning der Firewall wird vom Haupt-Server ''TJENER'' aus vorgenommen.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

 1. System - Startseite
    * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.
 1. Status (Klick auf Reiter, oben rechts)
    * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht.
 1. Netzwerk (Klick auf Reiter, oben rechts)
    * Webproxy
      * '''Allgemeine Einstellungen'''
      * ändern: [x] Aktiviert auf Grün
      * Proxyport: 3128
      * '''Anzahl der Filterprozesse'''
      * URL-Filter: aktivieren
      * Update-Accelerator: aktivieren
      * '''Vorgelagerter Proxy'''
      * Proxy-Adresse weiterleiten: [x]
      * Benutzernamen weiterleiten: [x]
      * '''Protokolleinstellungen'''
      * Protokoll aktiviert: [x]
      * Protokolliere Query-Terms: [x]
      * Protokolliere Useragents: [x]
      * '''Cache-Verwaltung'''
      * Cache-Manager aktivieren [x]
      * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
      * Aktiviere Offline-Modus [x]
      * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
      * Max. Objektgröße: 409600 (in KByte)
      * '''Ziel-Ports'''
      * (keine Änderungen)
      * '''Netzwerkbasierte Zugriffskontrolle'''
      * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
      * Dann am Seitenende auf '''Speichern''' klicken
    * URL-Filter
      1. '''Automatisches Blacklist-Update'''
        * Aktivieren [x]
        * Zeitplan für automatische Updates: ''wöchentlich'' auswählen
        * Downloadquelle auswählen: Shalla Secure Services
        * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu)
        * nach unten Scrollen
        * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite
      1. '''Sperrkategorien''' auswählen
        * FixMe: vergl. Screenshot
      1. '''Angepasste Whitelist'''{{{
bads.de # Website mit Drogenpräventionsprogramm
89.105.213.23 # Avira Update-IPs
89.105.213.24 # Avira Update-IPs
62.146.64.146 # Avira Update-IPs
62.146.64.147 # Avira Update-IPs
80.190.130.194 # Avira Update-IPs
80.190.130.195 # Avira Update-IPs
}}}
         * [x] Aktivieren (der Whitelist nicht vergessen)
      1. '''Sperrseiteneinstellungen'''
         * Zeige Kategorie auf der Sperrseite [x]
         * Zeige URL auf der Sperrseite [x]
         * Zeige IP auf der Sperrseite [x]
      1. '''Erweiterte Einstellungen'''
         * Aktiviere Ausdruckslisten [x]
         * Sperre Ads mit dem leerem Fenster [x]
         * Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
         * Aktivere Protokoll [x]
         * Protokolliere Benutzername [x]
         * Protokoll in Kategorien aufteilen [x]
      1. Klick auf ''Speichern''
    * Update-Accelerator
      1. '''Allgemeine Einstellungen'''
         * Aktiviere Protokoll [x]
         * Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)
      1. '''Leistungsoptionen'''
         * Geringe CPU-Priorität für Downloads [x]
         * Maximale externe Download-Rate: 64 (in kbit/s)
      1. '''Quellenprüfung'''
         * Ersetze veraltete Dateien während der Prüfung [x]
      1. Klick auf ''Speichern''
    * DHCP-Server
      * -> kein DHCP-Server darf aktiviert sein
 1. Dienste (Klick auf Reiter, oben rechts)
    * OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf OpenVPN im Menü rechts)
    * Globale Einstellungen:
      1. VPN auf ROT [x]
      1. Optional: VPN auf BLAU [x]
      1. OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
      1. Protokoll: von ''UDP'' auf ''TCP'' ändern
      1. LZO-Kompression [x]
      1. Klick auf Button ''Erweiterte Server Optionen'':
        * '''DHCP-Push Optionen'''
        * Domain: vpn.intern
        * DNS: 10.0.2.2
        * WINS: 10.0.2.2
        * Klick auf ''Erweiterte Optionen speichern''
    * Zertifizierungsstellen (CAS):
      1. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken
        i. Name der Organisation: <Ausfüllen mit Name der Schule>
        i. ipFire's Hostname: {{{vpn.intern}}}
        i. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de
        i. Abteilung: IT Services
        i. Stadt: <Name der Stadt od. Kreis>
        i. Bundesstaat od. Provinz: <Bundesland>
        i. Land: ''Germany'' auswählen
        i. Klick auf ''Erzeuge root/host Zertifikat'' --> dies kann etwas dauern
    * Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen):
      1. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)
      1. Klick auf ''Hinzufügen''
      1. Informationen zum VPN-Client ausfüllen:
        * '''Verbindung''':
        * Name: <schulkürzel>cl<userid>
        * Anmerkung: --> kann freigelassen werden
        * '''Authentifizierung''':
        * Methode ''Erzeuge ein Zertifikat'' auswählen...
        * Voller Name oder System Hostname: ''<Vorname> <Zuname>''
        * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)
        * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen
        * Name der Organisation: <Name der Schule>
        * Stadt: <Name von Stadt od. Kreis>
        * Bundesstaat/Provinz: <Bundesland>
        * Land: ''Germany'' auswählen
        * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
        * Passwort: setzen und dem/der Benutzer/in mitteilen
      1. Schließlich auf ''Speichern'' klicken
    * Wieder unter Globale Einstellungen: Klick auf Button ''Starte OpenVPN''
    * Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: '''OpenVPN Server Status: LÄUFT'''
      

 1. Firewall (Klick auf Reiter, oben rechts)
    * Ausgehende Firewall (Menü-Eintrag rechts)
      1. Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
      1. p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
      1. Regeln definieren, Klick auf Button: ''Neue Regel''
      1. Regeln erstellen...
        a.

FixMe: Screenshots beifügen		 [[Technik/Installation/Firewall/ipFire|Installationshinweise zur ipFire Firewall]] (obsolet!)

Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Inhaltsverzeichnis

  1. Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks
    1. Funktionen der Schul-Firewall
    2. Installation verschiedener Firewall-Lösungen

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-FreeBSD-Distribution pfSense umgesetzt (früher: IPFire). Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

  • Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
  • Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
  • Verbindung zum Internet für Server-Komponenten des Schul-Intranets
  • VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
  • weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
  • Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
  • URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
  • Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)

  • Verteilung von Services via DNS-SD z. B. über mDNS-Reflektion. (IPP, AirPlay, Googlecast, …)

  • etc.

Installation verschiedener Firewall-Lösungen

Installationshinweise zur pfSense Firewall

Installationshinweise zur ipFire Firewall (obsolet!)

IT-Zukunft Schule: Technik/Installation/Firewall (zuletzt geändert am 2023-03-20 09:22:01 durch DanielTeichmann)