== Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks == <> Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut. Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen {{{gateway.intern}}} erreichbar sein. === Funktionen der Schul-Firewall === Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt: * Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern * Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet * Verbindung zum Internet für Server-Komponenten des Schul-Intranets * VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung) * weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen * Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache) * URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten * Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen) * etc. === Download / Installationsmedium erstellen === Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der [[http://www.ipfire.org/support|ipFire-Dokumentation]] entnehmen. === Netzwerkkarten identifizieren === Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Software notwendig. === Basisinstallation === Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen. 1. Image starten 1. Sprache: Deutsch 1. Lizenz akzeptieren 1. Installieren 1. Als Dateisystem für die Installation ,,Ext3" auswählen 1. (Tastenkombination + zeigt Details über den Installationsfortschritt an, mit + geht zurück zum Installationsbildschirm 1. Neustart akzeptieren 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok 1. Zeitzone: {{{Europe/Berlin}}} --> Ok 1. Hostname des Rechners: {{{gateway}}} eingeben 1. Domainname des Rechners: {{{intern}}} 1. Kennwort für SSH-Zugriff festlegen und bestätigen: Ok 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: Ok 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten 1. Typ der Netzwerkkonfiguration * GREEN + RED * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.) * Nach Bestätigung mit Rückkehr ins vorherige Menü. 1. Treiber- und Kartenzuordnung * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein. * Fertig, bestätigen. 1. Adress-Einstellungen * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert * IP-Adresse: 10.0.0.1 * Subnetzmaske: 255.0.0.0 * RED nimmt später Verbindung zur Außenwelt auf. * DHCP auswählen * Der Hostname ist {{{gateway}}} * Keine IP-Adresse eintragen *BLUE wird für ein internes WLAN o.Ä. konfiguriert * IP-Adresse: 172.31.0.1 * Subnetzmaske: 255.255.255.0 1. DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden. 1. DHCP-Konfiguration Nicht aktivieren, sondern mit Ok bestätigen. === Fine-Tuning der Firewall === Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der [[Technik/Installation/VM/HauptServerTjener|Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'']] wird an dieser Stelle fortgefahren. Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen. 1. System - Startseite * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire. 1. Status (Klick auf Reiter) * Hier sind nur Informationen zum System-Status einsehbar. Keine Möglichkeit Einstellungen zu tätigen. Alte ipFire-Versionen (vor ca. 02/2012) besitzen diesen Reiter nicht. 1. Netzwerk (Klick auf Reiter) * Webproxy * '''Allgemeine Einstellungen''' * ändern: [x] Aktiviert auf Grün * Proxyport: 3128 * '''Anzahl der Filterprozesse''' * URL-Filter: aktivieren * Update-Accelerator: aktivieren * '''Vorgelagerter Proxy''' * Proxy-Adresse weiterleiten: [x] * Benutzernamen weiterleiten: [x] * '''Protokolleinstellungen''' * Protokoll aktiviert: [x] * Protokolliere Query-Terms: [x] * Protokolliere Useragents: [x] * '''Cache-Verwaltung''' * Cache-Manager aktivieren [x] * Cache-Größe: <50% vom Arbeitsspeicher> (in MByte) * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte) * Max. Objektgröße: 409600 (in KByte) * '''Ziel-Ports''' * (keine Änderungen) * '''Netzwerkbasierte Zugriffskontrolle''' * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen * Dann am Seitenende auf '''Speicher und Neustarten''' klicken 1. Netzwerk - URL-Filter: * URL-Blacklist: blacklist.tar.gz runterladen, zum Beispiel von [[http://shallalist.de|shallalist.de]] * URL-Filter Wartung: Blacklist hochladen FixMe: Screenshots beifügen