Revision 39 vom 2012-08-24 09:20:55

Nachricht löschen

Installationshinweise: Firewall des Debian Edu / Skolelinux Netzwerks

Zwischen Internet-Uplink und Schul-Intranet wird ein gutes und flexibel konfigurierbares Firewall-System zwischengeschaltet. Als Hardware verwenden wir für das Firewall-System ein kleines, energiesparendes PC-System mit 3 (mind. 2) Netzwerkschnittstellen. Je nach Anforderung und Stellmöglichkeit innerhalb der Schule wird das Firewall-System in einem 19"-Gehäuse oder in einem Desktop-ähnlichen Gehäuse eingebaut.

Das Firewall-System wird auf Basis der freien Firewall-GNU/Linux-Distribution ipFire (http://www.ipfire.org) umgesetzt. Im Schul-Intranet wird später das Firewall-System über den DNS-Namen gateway.intern erreichbar sein.

Funktionen der Schul-Firewall

Folgende Funktionen im Schulnetzwerk werden über das Firewall-System abgedeckt:

Download / Installationsmedium erstellen

Zunächst muss ipFire für das gewählte Installationsmedium (CD-ROM, USB-Stick) heruntergeladen werden: http://www.ipfire.org/downloads

Nach dem Download muss das Boot-Medium erstellt werden. Genauere Hinweise hierzu bitte der ipFire-Dokumentation entnehmen.

Netzwerkkarten identifizieren

Bevor mit der Installation des Firewall-Systems begonnen werden kann, muss für alle Netzwerkkarten die jeweils zugehörige MAC-Adresse ermittelt werden. Eine eindeutige Zuordnung von MAC-Adressen zu Netzwerkports ist für die spätere Konfiguration der Firewall-Software notwendig.

Basisinstallation

Den PC für das Firewall-System vom Installationsmedium starten und im Abfrage-Dialog von ipFire die folgenden Optionen auswählen.

  1. Image starten <ENTER>

  2. Sprache: Deutsch
  3. Lizenz akzeptieren <ja>

  4. Installieren <ja>

  5. Als Dateisystem für die Installation ,,Ext3" auswählen
  6. (Tastenkombination <Alt>+<F2> zeigt Details über den Installationsfortschritt an, mit <Alt>+<F1> geht zurück zum Installationsbildschirm

  7. Neustart akzeptieren
  8. Tastaturlayout: de-latin1-nodeadkeys --> Ok <Enter>

  9. Zeitzone: Europe/Berlin --> Ok <Enter>

  10. Hostname des Rechners: gateway eingeben

  11. Domainname des Rechners: intern

  12. Kennwort für SSH-Zugriff festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  13. Gleiches Kennwort für Webadminstration festlegen und bestätigen: <Passwort> <Tab> <Passwort> <Tab> Ok <Enter>

  14. Netzwerkkonfiguration: Es erscheint ein Menü mit 4 Auswahlmöglichkeiten
    • Typ der Netzwerkkonfiguration

      • GREEN + RED
      • Alternativ: GREEN + RED + BLUE (mit WLAN-Netzwerk für Notebook o.Ä.)
      • Nach Bestätigung mit <Tab> <Enter> Rückkehr ins vorherige Menü.

    • Treiber- und Kartenzuordnung

      • Anhand der MAC-Adressen die Netzwerkschnittstellen zu den Interfaces RED, GREEN und BLUE zuordnen. GREEN und BLUE müssen auf jeden Fall Gigabit-Schnittstellen sein, RED darf auch eine mit 100Mbit sein.
      • Fertig, bestätigen.
    • Adress-Einstellungen

      • GREEN wird für das interne Debian Edu/Skolelinux-Netzwerk konfiguriert
        • IP-Adresse: 10.0.0.1
        • Subnetzmaske: 255.0.0.0
      • RED nimmt später Verbindung zur Außenwelt auf.
        • DHCP auswählen
        • Der Hostname ist gateway

        • Keine IP-Adresse eintragen
      • BLUE wird für ein internes WLAN o.Ä. konfiguriert
        • IP-Adresse: 172.31.0.1
        • Subnetzmaske: 255.255.255.0
    • DNS- und Gateway-Einstellungen müssen vorerst nicht bearbeitet werden.

  15. DHCP-Konfiguration
    • Nicht aktivieren, sondern mit Ok bestätigen.

Fine-Tuning der Firewall

Das Fine-Tuning der Firewall wird zunächst aufgeschoben. Nach der Installation des Debian Edu / Skolelinux Haupt-Server ''TJENER'' wird an dieser Stelle fortgefahren.

Wichtig: Das Fine-Tuning der Firewall wird vom Haupt-Server TJENER aus vorgenommen. Alternativ kann ein PC (Notebook) mit Webbrowser auf die IP 10.0.2.2 (Netzmaske: 255.0.0.0, Gateway 10.0.0.1) eingerichtet werden und da von diesem PC aus die Konfiguration vorgenommen werden.

Die Web-Administrationsoberfläche besteht aus einer Reiterleiste (oben rechts, in rot gehalten) und Menüpunkten für jeden Reiter (Spalte rechts). Die folgende Übersicht für Anpassungen von Firewall-Einstellungen orientieren sich an den Namen der Reiter und den Menüeinträgen.

System - Startseite

attachment:ipFire-screenshot-00.png

Fireinfo Dienst aktivieren, um die Entwicklung von ipFire zu unterstützen

Netzwerk (Klick auf Reiter, oben rechts)

Webproxy (Klick auf Menüpunkt rechts)

attachment:ipFire-screenshot-01.png

attachment:ipFire-screenshot-02.png

attachment:ipFire-screenshot-03.png

attachment:ipFire-screenshot-04.png

Web-Proxy (Internet Cache) konfigurieren / anpassen

URL-Filter (Klick auf Menüpunkt rechts)

Update-Accelerator (Klick auf Menüpunkt rechts)

DHCP-Server (Klick auf Menüpunkt rechts)

Dienste (Klick auf Reiter, oben rechts)

OpenVPN wird für Schul-Admins und Dienstleister konfiguriert (Klick auf Menüpunkt rechts)

Zertifizierungsstellen (CAS)

Client Status und Kontrolle (diesen Schritt ggf. mehrmals - d.h. pro VPN-Benutzer/in einmal - ausführen)

Firewall (Klick auf Reiter, oben rechts)

Ausgehende Firewall (Klick auf Menüpunkt rechts)

FixMe: Screenshots beifügen