== Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks ==
<<TableOfContents(3)>>

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen {{{gateway.intern}}} erreichbar sein.

=== Funktionen der Schul-Firewall ===
Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

 * Schutzfunktion für das Schul-Intranet bei Zugriffsversuchen von schulextern
 * Sperrung des Internetzugriffs für alle Endgeräte im Schul-Intranet
 * Verbindung zum Internet für Server-Komponenten des Schul-Intranets
 * VPN-Zugang für Administrator/innen, Lehrer/innen (Fernwartung)
 * weitere Fernwartungszugriffsmöglichkeiten für Administrator/innen
 * Cache für Internetseiten (http-Proxy mit großem Festplatten-Cache)
 * URL-Filterung, ggf. optional auch Inhaltsfilterung von Web-Inhalten
 * Update-Cache für automatische Updates (Windows Update, Antiviren-Beschreibungen)
 * etc.

=== Download / Installationsmedium erstellen ===
Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der [[http://www.ipfire.org/support|ipFire-Dokumentation]] entnehmen.

=== Netzwerkkarten identifizieren ===
Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.

=== Basisinstallation ===
Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

 1. Image starten <ENTER>
 1. Sprache: Deutsch
 1. Lizenz akzeptieren <ja>
 1. Installieren <ja>
 1. Als Dateisystem für die Installation ,,Ext3" auswählen
 1. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm
 1. Neustart akzeptieren
 1. Tastaturlayout: {{{de-latin1-nodeadkeys}}} --> Ok <Enter>
 1. Zeitzone: {{{Europe/Berlin}}} --> Ok <Enter>
 1. Hostname des Rechners: {{{gateway}}} eingeben
 1. Domainname des Rechners: {{{intern}}}
 1. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
 1. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>
 1. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
  * '''Typ der Netzwerkkonfiguration'''
   * GREEN + RED
   * Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
   * Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.
  * '''Treiber- und Kartenzuordnung'''
   * Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
   * Fertig, bestätigen.
  * '''Adress-Einstellungen'''
   * GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
    * IP-Adresse: 10.0.0.1
    * Subnetzmaske: 255.0.0.0
   * RED nimmt später Verbindung zur Außenwelt auf.
    * DHCP auswählen
    * Der Hostname ist {{{gateway}}}
    * Keine IP-Adresse eintragen
   * BLUE wird für ein internes WLAN o.Ä. konfiguriert
    * IP-Adresse: 172.31.0.1
    * Subnetzmaske: 255.255.255.0
  * '''DNS- und Gateway-Einstellungen''' müssen vorerst nicht bearbeitet werden.
 1. DHCP-Konfiguration
  * Nicht aktivieren, sondern mit Ok bestätigen.

=== Fine-Tuning der Firewall ===
Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der [[Technik/Installation/VM/HauptServerTjener|Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'']] wird an dieser Stelle fortgefahren.

''Wichtig:'' Das Fine-Tuning der Firewall wird vom Haupt-Server ''TJENER'' aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

==== System - Startseite ====
  * Fireinfo-Dienst aktivieren durch Klick auf ''Bitte schalten Sie den Fireinfo-Dienst ein''. Diese Funktion unterstützt die Entwicklung und Verbesserung von ipFire.

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-00.png||width=80%}} ||
||<style="text-align: center;">Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen ||

==== Netzwerk (Klick auf Reiter, oben rechts) ====

===== Webproxy (Klick auf Menüpunkt rechts) =====

   * '''Allgemeine Einstellungen'''
    * ändern: [x] Aktiviert auf Grün
    * Proxyport: 3128
   * '''Anzahl der Filterprozesse'''
    * URL-Filter: aktivieren
    * Update-Accelerator: aktivieren
   * '''Vorgelagerter Proxy'''
    * Proxy-Adresse weiterleiten: [x]
    * Benutzernamen weiterleiten: [x]
   * '''Protokolleinstellungen'''
    * Protokoll aktiviert: [x]
    * Protokolliere Query-Terms: [x]
    * Protokolliere Useragents: [x]
   * '''Cache-Verwaltung'''
    * Cache-Manager aktivieren [x]
    * Cache-Größe im Arbeitsspeicher: <50% vom Arbeitsspeicher> (in MByte)
    * Aktiviere Offline-Modus [ ]
    * Cache auf der Festplatte: <2/3 der eingebauten Festplattengröße> (in MByte)
    * Max. Objektgröße: 409600 (in KByte)
   * '''Ziel-Ports'''
    * (keine Änderungen)
   * '''Netzwerkbasierte Zugriffskontrolle'''
    * Erlaubte Subnetze: vorhandene Einträge entfernen, nur 10.0.2.2/32 eintragen
    * Dann am Seitenende auf '''Speichern''' klicken

||<tablestyle="width: 85%;" style="text-align: center;">{{attachment:ipFire-screenshot-01.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-02.png||width=80%}} ||
||<style="text-align: center;">{{attachment:ipFire-screenshot-03.png||width=80%}} ||<style="text-align: center;">{{attachment:ipFire-screenshot-04.png||width=80%}} ||
||<style="text-align: center;" colspan="2">Web-Proxy (Internet Cache) konfigurieren / anpassen ||

===== URL-Filter (Klick auf Menüpunkt rechts) =====
   * '''Automatisches Blacklist-Update'''
    * Aktivieren [x]
    * Zeitplan für automatische Updates: ''wöchentlich'' auswählen
    * Downloadquelle auswählen: Shalla Secure Services
    * auf Button ''Update-Einstellungen speichern'' klicken (Seite lädt neu)
    * nach unten Scrollen
    * auf Button ''Jetzt Updaten'' klicken, dies kann etwas dauern, nach Abschluss des Downloads verändert sich die Liste mit Sperrkategorien am Seitenanfang derselben Konfigurationsseite
   * '''Sperrkategorien''' auswählen
    * FixMe: vergl. Screenshot
   * '''Angepasste Whitelist'''
   {{{
bads.de         # Website mit Drogenpräventionsprogramm
89.105.213.23   # Avira Update-IPs
89.105.213.24   # Avira Update-IPs
62.146.64.146   # Avira Update-IPs
62.146.64.147   # Avira Update-IPs
80.190.130.194  # Avira Update-IPs
80.190.130.195  # Avira Update-IPs
}}}
    * [x] Aktivieren (der Whitelist nicht vergessen)
   * '''Sperrseiteneinstellungen'''
    * Zeige Kategorie auf der Sperrseite [x]
    * Zeige URL auf der Sperrseite [x]
    * Zeige IP auf der Sperrseite [x]
   * '''Erweiterte Einstellungen'''
    * Aktiviere Ausdruckslisten [x]
    * Sperre Ads mit dem leerem Fenster [x]
    * Sperre Seiten, auf die über die IP-Adresse zugegriffen wird [x]
    * Aktivere Protokoll [x]
    * Protokolliere Benutzername [x]
    * Protokoll in Kategorien aufteilen [x]
   * Klick auf ''Speichern''
===== Update-Accelerator (Klick auf Menüpunkt rechts) =====
   * '''Allgemeine Einstellungen'''
    * Aktiviere Protokoll [x]
    * Aktiviere Passiv-Modus [ ] (auf keinen Fall setzen!!!)
   * '''Leistungsoptionen'''
    * Geringe CPU-Priorität für Downloads [x]
    * Maximale externe Download-Rate: 64 (in kbit/s)
   * '''Quellenprüfung'''
    * Ersetze veraltete Dateien während der Prüfung [x]
   * Klick auf ''Speichern''
===== DHCP-Server (Klick auf Menüpunkt rechts) =====
   * -> kein DHCP-Server darf aktiviert sein
==== Dienste (Klick auf Reiter, oben rechts) ====
===== OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts) =====
   * '''Globale Einstellungen'''
    * VPN auf ROT [x]
    * Optional: VPN auf BLAU [x]
    * OpenVPN-Subnetz: 172.28.0.0/255.255.0.0
    * Protokoll: von ''UDP'' auf ''TCP'' ändern
    * LZO-Kompression [x]
    * Klick auf Button ''Erweiterte Server Optionen'':
     * '''DHCP-Push Optionen'''
     * Domain: vpn.intern
     * DNS: 10.0.2.2
     * WINS: 10.0.2.2
     * Klick auf ''Erweiterte Optionen speichern''
===== Zertifizierungsstellen (CAS) =====
   *. Stammzertifikat erstellen: Auf ''Erzeuge root/host-Zertifikate'' klicken
    i. Name der Organisation: <Ausfüllen mit Name der Schule>
    i. ipFire's Hostname: {{{vpn.intern}}}
    i. Ihre e-Mail: hostmasters-<schulkürzel>@it-zukunft-schule.de
    i. Abteilung: IT Services
    i. Stadt: <Name der Stadt od. Kreis>
    i. Bundesstaat od. Provinz: <Bundesland>
    i. Land: ''Germany'' auswählen
    i. Klick auf ''Erzeuge root/host Zertifikat'' --> dies kann etwas dauern
===== Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen) =====
   * Es werden Zertifikate für die VPN-Clients erstellt, die dann später in die OpenVPN-Konfiguration des VPN-Client-Rechner kopiert werden müssen
    i. Verbindungstyp auswählen: Host-zu-Netz Virtual Private Network (RoadWarrior)
    i. Klick auf ''Hinzufügen''
    i. Informationen zum VPN-Client ausfüllen:
     * '''Verbindung''':
     * Name: <schulkürzel>cl<userid>
     * Anmerkung: --> kann freigelassen werden
     * '''Authentifizierung''':
     * Methode ''Erzeuge ein Zertifikat'' auswählen...
     * Voller Name oder System Hostname: ''<Vorname> <Zuname>''
     * e-Mailadresse des Benutzers: ''<user@domain>'' (Mail-Adresse erfragen! Ohne Mail-Adresse kein VPN!!!)
     * Abteilung: eine von ''Kollegium'',''IT-Dienstleister'',o.ä. auswählen
     * Name der Organisation: <Name der Schule>
     * Stadt: <Name von Stadt od. Kreis>
     * Bundesstaat/Provinz: <Bundesland>
     * Land: ''Germany'' auswählen
     * Gültig bis: 10000 Tage, ggf. strengere Richtlinie für Zertifikatgültigkeit verwenden
     * Passwort: setzen und dem/der Benutzer/in mitteilen
    i. Schließlich auf ''Speichern'' klicken
  * Wieder unter Globale Einstellungen: Klick auf Button ''Starte OpenVPN''
  * Nach dem OpenVPN-Start sollte in grüner Farbe angezeigt werden: '''OpenVPN Server Status: LÄUFT'''
==== Firewall (Klick auf Reiter, oben rechts) ====
===== Ausgehende Firewall (Klick auf Menüpunkt rechts) =====
  * Policy Modus ändern auf: Modus 1 (in diesem Modus werden nur Verbindungen nach definierten Regeln zugelassen)
  * p2p-Block konfigurieren: alle Protokolle deaktivieren (ggf. außer Bittorrent)
  * Regeln definieren, Klick auf Button: ''Neue Regel''
  * Regeln erstellen...
   a. Beschreibung: ''TJENER'', Quellen-IP oder -Netz: 10.0.2.2, Logging: inaktiv -> Button ''Hinzufügen''
   a. Beschreibung: ''localhost'', Quellen-IP oder -Netz: 127.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen''
   a. Beschreibung: ''FIREWALL'', Quellen-IP oder -Netz: 10.0.0.1, Logging: inaktiv, Ports: ''53,3128'' -> Button ''Hinzufügen''
   a. Beschreibung: ''EXTERN'', Quellen-IP oder -Netz: 192.168.100.20, Logging: inaktiv -> Button ''Hinzufügen''
   a. Für Regel ''drop'' (vordefiniert) den Schalter auf ''On'' legen und auf das Speichersymbol (blaue Diskette) klicken
   * Alle Regeln müssen auf aktiv gesetzt werden. 
FixMe: Screenshots beifügen