Konzept(fragen) Antworten & Anregungen erwünscht

Internet Internet Sicherheit
#1

Hallo, Experten!

Ich habe einige Fragen zum Thema Firewall und Routing.

Umgebungsbeschreibung:

Ich betreibe ein kleines Netzwerk mit derzeit 2 ((XP und Win2K)) und demnächst 5 Rechnern
(1 x XP Home, 2x Linux (SUSE 9.1), und 2x Win2K Pro).

Der XP-Rechner ist der vom Sohnemann, der/die andere(n) stehen im Büro, und wir teilen uns einenDSL-Zugang, was (leider) nicht anders realisierbar ist. - Auch befinden sich (noch) alle Rechner-IPs in einem Netz, aber das soll jetzt nicht Gegenstand sein.

Konzept:

Ich möchte nun hingehen und einen Linux-Rechner (Suse 9.1) als Router/Firewall nutzen und ihn mit 3 Netzwerkkarten versehen.
Drei Netzwerkkarten, weil ich den Sohnemann in ein „eigenes Netz“ (z.B. 192.168.120.x/24) stecken möchte und er direkt mit dem Router verbunden werden soll.
Die Bürorechner bekommen eine eigene Netz-IP (z.B. 192.168.110.x/24) und werden via Switch mit der zweiten Netzwerkkarte verbunden.
Die dritte ist - logischerweise - die Verbindung zum DSL-Modem.

Ich stelle es mir so vor, daß beide Netze mit dem Internet Verbindung aufnehmen können.
Ein ‚internes routing‘ MUSS aber zwingend unterbunden werden. - Das ist ja möglich.

Als Sicherheitsstandard habe ich mir gedacht so anzufangen, daß alle Ports geschlossen sind.
Lediglich die Ports 25 & 110 sowie 80 & 443 sollen für beide internen Netze zur Verfügung stehen, die Ports 20 & 21 nur für die Bürorechner und - sofern möglich - auch nur bei Bedarf.
(Kann ja bei Bedarf erweitert werden)

Begründung:

Ich weiß, daß sich das ziemlich strikt anhört, aber die Sicherheitslücke vor der Tastatur des Sohnemann-PCs lässt sich anscheinend nur durch ein Tötungsdeliktes schließen *knurr*…
Die üblichen Hinweise zur Emailanhängen unbekannter Absender schlägt er ebenso in den Wind (könnte ja was interessantes sein) wie die Aufforderung dubiose Webseiten nicht aufzusuchen.
Selbst aus Schaden wird er nicht klüger, da er schon öfters mal Datenverluste zu beklagen hatte.
Kommt noch anderes dazu (z.B. surfen mit Adminrechten), so das ich ihn mit seinen Problemen mittlerweile im Regen stehen lasse weil ich es leid bin stundenlang vor seinem Rechner zu hocken.

Darin begründet sich auch die Aufsplittung in 2 interne Netze und die physikalische Trennung, da ich keinerlei Datenpakete von ihm in „meinem“ Netz wünsche (ich werde u.a. Kundendaten schützen müssen).

Das Büro ist noch im Aufbau, es gibt also NOCH keine sensiblen Daten zu schützen, was sich jedoch in 2 bis 3 Monaten ändern wird und jetzt schon den Router zu kofigurieren und zu testen erscheint mir sinnvoll.

Fragen:

  1. Ist es möglich, den Router automatisiert (uhrzeitabhängig) zu konfigurieren? - Will sagen: Sohnemanns Netz wird z.B. von 8 bis 12 und von 14 bis 16 Uhr nicht ins Internet gelassen?

  2. Die Frage 1 erledigt sich, wenn es eine Möglichkeit gibt den Traffic zu verteilen (1/3 er und 2/3 Büro)

  3. Ist es möglich (von der Uhrzeit abhängig) verschiedene Routingstandards zu atomatisieren?
    Damit der Sohnemann z.B. ab 20:00 Uhr zocken kann, wenn die Bürorechner sicher aus sind.

  4. Lässt es sich realisieren, daß der Router um 00:00 Uhr automatisch die Verbindung zum Internet unterbricht und auch vor 06:00 Uhr keine Einwahl mehr zulässt? Ein Tip „wie“ wäre toll!

  5. Die eben angesprochenen Szenarien müssen „bei Bedarf“ problemlos ausser Kraft gesetzt werden können. Nein, nicht alle Ports offen, sondern bei einer „Nachtschicht“ darf die Verbindung nicht unterbrochen werden und es gelten die Regeln aus Frage 1 bzw. 2 und die oben im text genannten Standards.
    Ich stelle mir das so vor, das der Router auf eine andere „Regeldatei“ zugreift und damit arbeitet. - Gehts das? (Daß das manuell gestartet werden müsste ist mir klar)

  6. Würde es meine Sicherheit erhöhen, wenn „mein“ Netz nicht ebenfalls Klasse C wäre?

  7. Ich hatte angedacht, den Router auch als Timeserver zu verwenden, der in regelmäßigen Abständen (2 x am Tag oder so) in Braunschweig nach der Uhrzeit fragt und die PCs lediglich beim Router nach der Zeit fragen. - Oder wäre es sinvoller den PCs zu erlauben „mit Braunschweig zu telefonieren“? Eine minutengenaue Uhrzeit reicht mir völlig aus.

  8. Ist es Sinnvoll, den Router auch als Proxy einzusetzen?
    (Ist ein P-II 400Mhz, 128 MB, 8GB Platte)

  9. Worüber muß ich mir vor der Umsetzung noch Gedanken machen, was ich derzeit nicht sehe?

Tjo, das wären meine Fragen bis jetzt.

Was haltet ihr von dem Konzept? - Anregungen sind Willkommen!
(Ich weiß das es keine 100%ige Sicherheit gibt, aber dummerweise sitzt „einer der Feinde“ im
eigenen Haus *SEUFZ*.)

TIA,
Michael

#2
  1. Ist es möglich, den Router automatisiert (uhrzeitabhängig)
    zu konfigurieren? - Will sagen: Sohnemanns Netz wird z.B. von
    8 bis 12 und von 14 bis 16 Uhr nicht ins Internet gelassen?

ipfw via cron

  1. Die Frage 1 erledigt sich, wenn es eine Möglichkeit gibt
    den Traffic zu verteilen (1/3 er und 2/3 Büro)

Ja, via dummynet (?) in ipfw, aber ich weiss nicht , ob man es so hinbekommt, dass z.B. das Buero das andere 1/3 auch nutzen kann, wenn Dein Sohn nicht surft.

  1. Ist es möglich (von der Uhrzeit abhängig) verschiedene
    Routingstandards zu atomatisieren?
    Damit der Sohnemann z.B. ab 20:00 Uhr zocken kann, wenn die
    Bürorechner sicher aus sind.

ipfw via cron, die routen willst Du nicht wirklich aendern

  1. Lässt es sich realisieren, daß der Router um 00:00 Uhr
    automatisch die Verbindung zum Internet unterbricht und auch
    vor 06:00 Uhr keine Einwahl mehr zulässt? Ein Tip „wie“ wäre
    toll!

ifconfig ethx up/down via cron wobei ethx das Interface ist, an dem DSL haengt.

  1. Die eben angesprochenen Szenarien müssen „bei Bedarf“
    problemlos ausser Kraft gesetzt werden können. Nein, nicht
    alle Ports offen, sondern bei einer „Nachtschicht“ darf die
    Verbindung nicht unterbrochen werden und es gelten die Regeln
    aus Frage 1 bzw. 2 und die oben im text genannten Standards.
    Ich stelle mir das so vor, das der Router auf eine andere
    „Regeldatei“ zugreift und damit arbeitet. - Gehts das? (Daß
    das manuell gestartet werden müsste ist mir klar)

ersetze 4 durch ein kleines script, das z.B. ueberprueft, ob Du auf dem router
eingeloggt bist

  1. Würde es meine Sicherheit erhöhen, wenn „mein“ Netz nicht
    ebenfalls Klasse C wäre?

Nein.

  1. Ich hatte angedacht, den Router auch als Timeserver zu
    verwenden, der in regelmäßigen Abständen (2 x am Tag oder so)
    in Braunschweig nach der Uhrzeit fragt und die PCs lediglich
    beim Router nach der Zeit fragen. - Oder wäre es sinvoller den
    PCs zu erlauben „mit Braunschweig zu telefonieren“? Eine
    minutengenaue Uhrzeit reicht mir völlig aus.

Braunschwig wird es freuen, wenn nich alle Deiner Rechner ständig nachfragen.
Ausserdem sollte es die relative Genauiogkeit Deiner Uhren verbessern, wenn Du einen eigenen Timeserver berteibst.

  1. Ist es Sinnvoll, den Router auch als Proxy einzusetzen?
    (Ist ein P-II 400Mhz, 128 MB, 8GB Platte)

Wuerde ich bei Deinem Szenario sowieso machen, da bessere Konfigurierbarkeit -
Du kannst deinem Sohn dann z.B. den Download von .exe .com etc. verbieten.
Auch die Zeit-Geschichten werden dann einfacher.
Etsprechend dann natuerlich auch Port 80/443 nicht mehr durchlassen. Zudem werden so zahlreiche Server die nicht auf Port 80 arbeiten wieder erreichbar.

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?
  • den Router gegen Zugriffe aus dem Heimnetz absichern
  • smtp und pop/imap auf die entsprechenden Rechner deines ISPs beschraenken
  • auf dem Router nat aktivieren
  • hardening Hinweise befolgen, die Menge an datentransfer zum SMTP Server begrenzen etc. kommt daruf an, wie paranoid Du wirklich werden willst.

ML

#3

Auch hallo.

Da hat ja einer Grosses vor :wink:

Konzept:

Ich möchte nun hingehen und einen Linux-Rechner (Suse 9.1) als
Router/Firewall nutzen und ihn mit 3 Netzwerkkarten versehen.
Drei Netzwerkkarten, weil ich den Sohnemann in ein „eigenes
Netz“ (z.B. 192.168.120.x/24) stecken möchte und er direkt mit
dem Router verbunden werden soll.
Die Bürorechner bekommen eine eigene Netz-IP (z.B.
192.168.110.x/24) und werden via Switch mit der zweiten
Netzwerkkarte verbunden.
Die dritte ist - logischerweise - die Verbindung zum
DSL-Modem.

Stimmt soweit.

Ich stelle es mir so vor, daß beide Netze mit dem Internet
Verbindung aufnehmen können.
Ein ‚internes routing‘ MUSS aber zwingend unterbunden werden.

  • Das ist ja möglich.

Ja.

Als Sicherheitsstandard habe ich mir gedacht so anzufangen,
daß alle Ports geschlossen sind.
Lediglich die Ports 25 & 110 sowie 80 & 443 sollen für beide
internen Netze zur Verfügung stehen, die Ports 20 & 21 nur für
die Bürorechner und - sofern möglich - auch nur bei Bedarf.
(Kann ja bei Bedarf erweitert werden)

Begründung:

Ich weiß, daß sich das ziemlich strikt anhört, aber die
Sicherheitslücke vor der Tastatur des Sohnemann-PCs lässt sich
anscheinend nur durch ein Tötungsdeliktes schließen *knurr*…

*hehe*

Die üblichen Hinweise zur Emailanhängen unbekannter Absender
schlägt er ebenso in den Wind (könnte ja was interessantes
sein) wie die Aufforderung dubiose Webseiten nicht
aufzusuchen.

Das sich der M$ IE mit Passwörtern kontrollieren lässt, ist ja bekannt…?

Selbst aus Schaden wird er nicht klüger, da er schon öfters
mal Datenverluste zu beklagen hatte.
Kommt noch anderes dazu (z.B. surfen mit Adminrechten), so das
ich ihn mit seinen Problemen mittlerweile im Regen stehen
lasse weil ich es leid bin stundenlang vor seinem Rechner zu
hocken.

Darin begründet sich auch die Aufsplittung in 2 interne Netze
und die physikalische Trennung, da ich keinerlei Datenpakete
von ihm in „meinem“ Netz wünsche (ich werde u.a. Kundendaten
schützen müssen).

Fragen:

  1. Ist es möglich, den Router automatisiert (uhrzeitabhängig)
    zu konfigurieren? - Will sagen: Sohnemanns Netz wird z.B. von
    8 bis 12 und von 14 bis 16 Uhr nicht ins Internet gelassen?

Bei einem Router weiss ich nicht, aber beim Rechner mit SUSE 9.1: crontab. Es sei denn, es spielt einer mit root-Rechten in YAST herum…

  1. Die Frage 1 erledigt sich, wenn es eine Möglichkeit gibt
    den Traffic zu verteilen (1/3 er und 2/3 Büro)

Das müsste man auf Seiten des Routers einstellen können.

  1. Ist es möglich (von der Uhrzeit abhängig) verschiedene
    Routingstandards zu automatisieren?
    Damit der Sohnemann z.B. ab 20:00 Uhr zocken kann, wenn die
    Bürorechner sicher aus sind.

Naja, die Netzwerkkonfiguration unter Linux lässt sich via Kommandozeile ändern: http://www.nickles.de/go!linux/faq/index.php3?cmd=lt…
Da sind noch andere „Sauereien“ drin: http://www.linux-fuer-alle.de/doc_show.php?docid=70&…
Allerdings muss man sich dafür mit ‚crontab‘ auseinandersetzen. Oder einem anderen Programm, dass wie ein Terminplaner agieren kann…

  1. Lässt es sich realisieren, daß der Router um 00:00 Uhr
    automatisch die Verbindung zum Internet unterbricht und auch
    vor 06:00 Uhr keine Einwahl mehr zulässt? Ein Tip „wie“ wäre
    toll!

Kein Switch für den Router greifbar ? Irgendwo im Router Steuerungs Programm müsste etwas Derartiges zu finden sein. Alternativ schaltet man am Server solang einfach die Netzwerkkarten ab.

  1. Die eben angesprochenen Szenarien müssen „bei Bedarf“
    problemlos ausser Kraft gesetzt werden können. Nein, nicht

Mit root-Rechten geht alles…

alle Ports offen, sondern bei einer „Nachtschicht“ darf die
Verbindung nicht unterbrochen werden und es gelten die Regeln
aus Frage 1 bzw. 2 und die oben im text genannten Standards.
Ich stelle mir das so vor, das der Router auf eine andere
„Regeldatei“ zugreift und damit arbeitet. - Gehts das? (Daß
das manuell gestartet werden müsste ist mir klar)

  1. Würde es meine Sicherheit erhöhen, wenn „mein“ Netz nicht
    ebenfalls Klasse C wäre?

Nicht zwangsläufig. Das grösste Problem sitzt immer noch vor dem Rechner :smiley:

  1. Ich hatte angedacht, den Router auch als Timeserver zu
    verwenden, der in regelmäßigen Abständen (2 x am Tag oder so)
    in Braunschweig nach der Uhrzeit fragt und die PCs lediglich
    beim Router nach der Zeit fragen. - Oder wäre es sinvoller den
    PCs zu erlauben „mit Braunschweig zu telefonieren“? Eine
    minutengenaue Uhrzeit reicht mir völlig aus.

http://www.nickles.de/go!linux/faq/index.php3?cmd=lt… & http://www.linux-fuer-alle.de/doc_show.php?docid=7&c… &
http://www.ptb.de/de/zeit/uhrzeit.html

  1. Ist es Sinnvoll, den Router auch als Proxy einzusetzen?
    (Ist ein P-II 400Mhz, 128 MB, 8GB Platte)

Vielleicht, auch wenn die HW für heutige Verhältnisse etwas schwach ist…

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?

Firewall’s auf dem Server und den Workstations, feste IP’s für jede Karte. Was tun, wenn’s kracht ? …

Was haltet ihr von dem Konzept? - Anregungen sind Willkommen!
(Ich weiß das es keine 100%ige Sicherheit gibt, aber
dummerweise sitzt „einer der Feinde“ im
eigenen Haus *SEUFZ*.)

Unter Netzwerkverbindung - Eigenschaften findet sich auch ein Punkt zum Aktivieren der Windows Firewall. Den noch zusätzlich verwenden…
Und das der Server nicht mit root-Rechten aktiv sein sollte, ist, denke ich, klar :wink:

HTH
mfg M.L.

***Werbung***
http://www.winhelpline.de
http://www.server-magazin.de

#4

Hallo Martin,

zunächst einmal vielen Dank für die Antworten, da hab ich ja einiges zum einlesen, ausprobieren und lernen :smiley:

  1. Die Frage 1 erledigt sich, wenn es eine Möglichkeit gibt
    den Traffic zu verteilen (1/3 er und 2/3 Büro)

Ja, via dummynet (?) in ipfw, aber ich weiss nicht , ob man es
so hinbekommt, dass z.B. das Buero das andere 1/3 auch nutzen
kann, wenn Dein Sohn nicht surft.

Mit 2/3 kann ich leben. Aber vielleicht meldet sich ja noch jemand dazu…

  1. Ist es möglich (von der Uhrzeit abhängig) verschiedene
    Routingstandards zu atomatisieren?
    Damit der Sohnemann z.B. ab 20:00 Uhr zocken kann, wenn die
    Bürorechner sicher aus sind.

ipfw via cron, die routen willst Du nicht wirklich aendern

Stimmt, es wären nur andere ports offen.

  1. Ich hatte angedacht, den Router auch als Timeserver zu
    verwenden, der in regelmäßigen Abständen (2 x am Tag oder so)
    in Braunschweig nach der Uhrzeit fragt und die PCs lediglich
    beim Router nach der Zeit fragen. - Oder wäre es sinvoller den
    PCs zu erlauben „mit Braunschweig zu telefonieren“? Eine
    minutengenaue Uhrzeit reicht mir völlig aus.

Braunschwig wird es freuen, wenn nich alle Deiner Rechner
ständig nachfragen.

Stimmt.

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?
  • den Router gegen Zugriffe aus dem Heimnetz absichern

Ja, ich habe da weiter unten was zu gelesen mittlerweile.
Danke für den Tip!

  • smtp und pop/imap auf die entsprechenden Rechner deines ISPs
    beschraenken

Sowas geht? - Ich nutze die Email meines ISPs zwar nicht, aber das gesagte gilt dann halt für die (verschiedenen) anderen.

  • auf dem Router nat aktivieren

Wieder was zum nachlesen :smile:

  • hardening Hinweise befolgen, die Menge an datentransfer zum
    SMTP Server begrenzen etc. kommt daruf an, wie paranoid Du
    wirklich werden willst.

Mein Schutzbedürfniss ist, wenn das Büro steht, nur deutlich höher als jetzt im Augenblick, denn ich bin dann der Verantwortliche. - Vor allem wenn was passiert.
Die Umsetzung muß also angemessen und nicht ‚abgedreht‘ sein; bin nur ein kleines Büro und nicht die NASA, also kein Primärziel (denke ich) :smiley:

Danke Dir für die Einarbeitungshinweise!

Grüße, Michael

#5

Hallo Markus!

Da hat ja einer Grosses vor :wink:

Ja, grosses Grauen :-S

Die üblichen Hinweise zur Emailanhängen unbekannter Absender
schlägt er ebenso in den Wind (könnte ja was interessantes
sein) wie die Aufforderung dubiose Webseiten nicht
aufzusuchen.

Das sich der M$ IE mit Passwörtern kontrollieren lässt, ist ja
bekannt…?

Nein, ist es nicht. Ich habe aber auch keinen Zugriff auf Sohnemanns Rechner. Es ist sein Rechner und ich habe keinerlei Rechte dort; nicht mal n Account. - Sein Rechner geht mich, wie Du ja schon gelesen hast, nichts mehr an. Er bekommt zwar Tips, sofern ich die geben kann, aber annehmen und umsetzen mß er sie.
Auf den Bürorechnern wird es den IE für Benutzer nicht geben, sondern werde Firefox einsetzen.

  1. Ist es möglich, den Router automatisiert (uhrzeitabhängig)
    zu konfigurieren? - Will sagen: Sohnemanns Netz wird z.B. von
    8 bis 12 und von 14 bis 16 Uhr nicht ins Internet gelassen?

Bei einem Router weiss ich nicht, aber beim Rechner mit SUSE
9.1: crontab. Es sei denn, es spielt einer mit root-Rechten in
YAST herum…

Rootrechte/Adminrechte im Büro werde nur ich haben.
Das schließt gebauten Mist meinerseits aber nicht aus :smiley:

  1. Die Frage 1 erledigt sich, wenn es eine Möglichkeit gibt
    den Traffic zu verteilen (1/3 er und 2/3 Büro)

Das müsste man auf Seiten des Routers einstellen können.

Das wäre toll

  1. Würde es meine Sicherheit erhöhen, wenn „mein“ Netz nicht
    ebenfalls Klasse C wäre?

Nicht zwangsläufig. Das grösste Problem sitzt immer noch vor
dem Rechner :smiley:

Fast hätte ich geschrieben, daß ich ihm eher die PIN meiner EC-karte gebe als die Netzwerk-IP des Büros… *hust*

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?

Firewall’s auf dem Server und den Workstations

Zusätzlich zur FW im Router?

feste IP’s für jede Karte.

Bei der geringen Anzahl Rechner wohl kein Problem.

Was tun, wenn’s kracht ? …

Was meinst du damit? Backups ?

Und das der Server nicht mit root-Rechten aktiv sein sollte,
ist, denke ich, klar :wink:

Aber sicher!

Danke für die Tips und den Lernstoff!

Grüße, Michael

#6

Hallo nochmal.

Ja, grosses Grauen :-S

Bei DEM Sohnemann…

Nein, ist es nicht. Ich habe aber auch keinen Zugriff :auf
Sohnemanns Rechner. Es ist sein Rechner und ich habe :keinerlei
Rechte dort; nicht mal n Account. - Sein Rechner geht :mich,
wie Du ja schon gelesen hast, nichts mehr an. Er :bekommt zwar
Tips, sofern ich die geben kann, aber annehmen und :umsetzen mß
er sie.

Das war schon mal ungünstig…

Auf den Bürorechnern wird es den IE für Benutzer nicht :geben,
sondern werde Firefox einsetzen.

Gute Entscheidung :smile:

9.1: crontab. Es sei denn, es spielt einer mit :root-Rechten in
YAST herum…

Rootrechte/Adminrechte im Büro werde nur ich haben.
Das schließt gebauten Mist meinerseits aber nicht aus

Damit war eher gemeint, dass jemand mit Admin-Rechten auf die Uhr schaut und dann die Netzwerkkonfiguration einstellt…

  1. Die Frage 1 erledigt sich, wenn es eine :Möglichkeit gibt
    den Traffic zu verteilen (1/3 er und 2/3 Büro)

Das müsste man auf Seiten des Routers einstellen :können.

Das wäre toll

Der Router hat ein Steuerungsprogramm. Das mal konsultieren…

  1. Würde es meine Sicherheit erhöhen, wenn „mein“ :Netz nicht
    ebenfalls Klasse C wäre?

Fast hätte ich geschrieben, daß ich ihm eher die PIN :meiner
EC-karte gebe als die Netzwerk-IP des Büros… *hust*

Wenn eine bis x FW’s den Ping Zugriff auf einen Rechner blocken ist eh’ Ruhe…

  1. Worüber muß ich mir vor der Umsetzung noch :Gedanken machen,
    was ich derzeit nicht sehe?

Firewall’s auf dem Server und den Workstations

Zusätzlich zur FW im Router?

Ja, sicher ist sicher. Obwohl sich die FW’s ind Gehege kommen können…

feste IP’s für jede Karte.

Bei der geringen Anzahl Rechner wohl kein Problem.

Was tun, wenn’s kracht ? …

Was meinst du damit? Backups ?

Auch. Und wenn die Hardware anfängt zu spinnen…? (hab grad selbst so ein kleines Problem mit dem SAP Web Application Server 6.40 RC1: NW während aktiven Serverprogramms abgeschaltet -> WAS spinnt… :,-( )

Und das der Server nicht mit root-Rechten aktiv sein :sollte,
ist, denke ich, klar :wink:

Aber sicher!

mfg M.L.

***Werbung***
http://www.it-administrator.de

#7

Hi,

Ich möchte nun hingehen und einen Linux-Rechner (Suse 9.1) als
Router/Firewall nutzen und ihn mit 3 Netzwerkkarten versehen.

Vorab: Die Antworten von Martin bezogen sich auf FreeBSD, nicht auf Linux - also wundere Dich nicht, wenn Du beim Googlen nach „SuSE+ipfw“ nicht viel findest. Ich kann leider auch nur von FreeBSD sprechen, aber ich versuche es allgemein zu halten, die Konzepte sind sicher auf Linux übertragbar.

Drei Netzwerkkarten, weil ich den Sohnemann in ein „eigenes
Netz“ (z.B. 192.168.120.x/24) stecken möchte und er direkt mit
dem Router verbunden werden soll.
Die Bürorechner bekommen eine eigene Netz-IP (z.B.
192.168.110.x/24) und werden via Switch mit der zweiten
Netzwerkkarte verbunden.
Die dritte ist - logischerweise - die Verbindung zum
DSL-Modem.

Das ist sinnvoll.

Ich stelle es mir so vor, daß beide Netze mit dem Internet
Verbindung aufnehmen können.
Ein ‚internes routing‘ MUSS aber zwingend unterbunden werden.

  • Das ist ja möglich.

Yep.

Als Sicherheitsstandard habe ich mir gedacht so anzufangen,
daß alle Ports geschlossen sind.
Lediglich die Ports 25 & 110 sowie 80 & 443 sollen für beide
internen Netze zur Verfügung stehen, die Ports 20 & 21 nur für
die Bürorechner und - sofern möglich - auch nur bei Bedarf.
(Kann ja bei Bedarf erweitert werden)

Wird auch erweitert werden müssen, aber das kommt mit der Zeit. Es ist gut, erstmal restriktiv anzufangen.

  1. Ist es möglich, den Router automatisiert (uhrzeitabhängig)
    zu konfigurieren? - Will sagen: Sohnemanns Netz wird z.B. von
    8 bis 12 und von 14 bis 16 Uhr nicht ins Internet gelassen?

cron-Job und Austausch der Regeln.

  1. Die Frage 1 erledigt sich, wenn es eine Möglichkeit gibt
    den Traffic zu verteilen (1/3 er und 2/3 Büro)

Das nennt sich „traffic shaping“ und ist zwar etwas kompliziert zu konfigurieren, aber problemlos machbar. Das läuft dann so, daß Du „garantierte Bandbreiten“ definierst, dadurch nutzt jeder immer soviel wie möglich, aber dem anderen ist eine gewisse Bandbreite garantiert, so daß die des ersten bei Bedarf eingeschränkt wird.

  1. Ist es möglich (von der Uhrzeit abhängig) verschiedene
    Routingstandards zu atomatisieren?
    Damit der Sohnemann z.B. ab 20:00 Uhr zocken kann, wenn die
    Bürorechner sicher aus sind.

Du meinst Portforwarding? Sicher, kein Problem. Du kannst die Regeln in „Module“ packen, die bei Bedarf ge- oder entladen werden, auch alles per cron.

  1. Lässt es sich realisieren, daß der Router um 00:00 Uhr
    automatisch die Verbindung zum Internet unterbricht und auch
    vor 06:00 Uhr keine Einwahl mehr zulässt? Ein Tip „wie“ wäre
    toll!

Entweder (bei einer Flatrate) einfach per Firewall-Regel („block all from any to any“ o.ä.) oder Du lässt per cron tatsächlich die Verbindung trennen.

  1. Die eben angesprochenen Szenarien müssen „bei Bedarf“
    problemlos ausser Kraft gesetzt werden können. Nein, nicht
    alle Ports offen, sondern bei einer „Nachtschicht“ darf die
    Verbindung nicht unterbrochen werden und es gelten die Regeln
    aus Frage 1 bzw. 2 und die oben im text genannten Standards.
    Ich stelle mir das so vor, das der Router auf eine andere
    „Regeldatei“ zugreift und damit arbeitet. - Gehts das? (Daß
    das manuell gestartet werden müsste ist mir klar)

Sicher. Bei Verwendung der Firewall dazu würdest Du einfach die „block all“ Regel entladen.

  1. Würde es meine Sicherheit erhöhen, wenn „mein“ Netz nicht
    ebenfalls Klasse C wäre?

Nein.

  1. Ich hatte angedacht, den Router auch als Timeserver zu
    verwenden, der in regelmäßigen Abständen (2 x am Tag oder so)
    in Braunschweig nach der Uhrzeit fragt und die PCs lediglich
    beim Router nach der Zeit fragen. - Oder wäre es sinvoller den
    PCs zu erlauben „mit Braunschweig zu telefonieren“? Eine
    minutengenaue Uhrzeit reicht mir völlig aus.

Lass das das Gateway machen.

  1. Ist es Sinnvoll, den Router auch als Proxy einzusetzen?
    (Ist ein P-II 400Mhz, 128 MB, 8GB Platte)

Der ist zu schmal, um als Proxy wirklich zu rennen. Zu kleine Platte, zu wenig RAM - das wird keinen Spaß machen.

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?

Du solltest Dir Gedanken darüber machen, ob Du in der Lage bist, dieses schon recht ausgefuchste Konzept umzusetzen. Wenn Du Mut und Zeit dafür hast - nur zu, es macht Spaß und man lernt viel dabei, aber trivial ist das nicht, was Du da vor hast. Besonders mit dem zusammenbasteln der Firewall-Regeln wirst Du viel Spaß haben *gg* Evtl. ist es günstiger für Dich, wenn Du das machen lässt, aber das ist nur ein allgemeiner Hinweis, ich kenne Deine Skills ja nicht, also nicht übelnehmen bitte :smile:

Gruß,

Malte.

#8

Hallo Malte!

Ich möchte nun hingehen und einen Linux-Rechner (Suse 9.1) als
Router/Firewall nutzen und ihn mit 3 Netzwerkkarten versehen.

Vorab: Die Antworten von Martin bezogen sich auf FreeBSD,
nicht auf Linux - also wundere Dich nicht, wenn Du beim
Googlen nach „SuSE+ipfw“ nicht viel findest. Ich kann leider
auch nur von FreeBSD sprechen, aber ich versuche es allgemein
zu halten, die Konzepte sind sicher auf Linux übertragbar.

Danke für den hinweis. Ein spontanes googlen nach „SuSE+ipfw“ gibt webweite 40300 Treffer, auf deutsch auch noch 356.
Ich denke das ich da passende infos finden werde.
FreeBSD kenne ich nur dem Namen nach. Naja, irgendwann werde ich mir das mal anschauen (und verzweifeln?! *G*) :wink:

  1. Ist es Sinnvoll, den Router auch als Proxy einzusetzen?
    (Ist ein P-II 400Mhz, 128 MB, 8GB Platte)

Der ist zu schmal, um als Proxy wirklich zu rennen. Zu kleine
Platte, zu wenig RAM - das wird keinen Spaß machen.

Demnach scheint der Prozessor aber zu genügen. Bin grad nicht sicher, aber ich glaube ich kann ihm nochmal 128 MB spendieren. Die Platte muß jedoch erstmal genommen werden.
Im Dezember (denke ich) werde ich einen neuen Rechner anschaffen und den ältesten (P-III 800MHz, 256 MB, 20GB) dann als Router/FW einsetzen.

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?

Du solltest Dir Gedanken darüber machen, ob Du in der Lage
bist, dieses schon recht ausgefuchste Konzept umzusetzen.

Das mit dem ausgefuchst werte ich als Kompliment, ist aber auch keine 5 Minutgeburt, sondern hat schon etwas Zeit in Anspruch genommen.

Wenn Du Mut und Zeit dafür hast - nur zu, es macht Spaß und man
lernt viel dabei, aber trivial ist das nicht, was Du da vor
hast. Besonders mit dem zusammenbasteln der Firewall-Regeln
wirst Du viel Spaß haben *gg* Evtl. ist es günstiger für Dich,
wenn Du das machen lässt, aber das ist nur ein allgemeiner
Hinweis, ich kenne Deine Skills ja nicht, also nicht
übelnehmen bitte :smile:

Don’t worry, no offence taken. :smile:
Meine Erfahrung… Schwer zu beschreiben: mittelprächtig Erfahrener Anwender, nicht der DAU-Admin (hoffe ich zumindestens) und programmieren auch ein bisserl. Ein kleines Script schreiben, mit Infomaterial zum nachschlagen, trau ich mir auch zu.

Das was ich da vorhabe, habe ich jedoch noch nie gemacht. - Es wird sicher nicht leicht und auch nicht von heute auf morgen funzen, aber das Zeitfenster ist ja groß genug um zumindestens was halbwegs vernünftiges hinzubekommen (kann nur am WE daran arbeiten).
Einen Profi damit zu beauftragen scheitert an zunächst schon einmal am Geldbeutel. Der Lernaspekt ist für mich aber auch ein Grund, daß selber anzugehen, denn ich denke mal das ein vom Profi aufgesetztes System für mich zwar bedienbar aber nicht erweiterbar (Regeln) wäre.

Ich habe jetzt erstmal genug Schlagwörter, um mich da einzulesen.
Am WE, wenn ich wieder zuhause bin, werde ich die Kiste anfangen zu vergewaltigen *G* und ein bisserl ausprobieren.
(Think, try, error, think again, retry)

Und wenn Fragen bei der Konfiguration auftauchen (das werden sie sicher), bin ich im Linux-Brett oder hier sicher bestens aufgehoben.

Euch allen einen schönen Abend!

Grüße, Michael.

#9

Vorab: Die Antworten von Martin bezogen sich auf FreeBSD,
nicht auf Linux - also wundere Dich nicht, wenn Du beim
Googlen nach „SuSE+ipfw“ nicht viel findest.

Sorry, ich hab hier außer MacOS (=~ .*BSD) noch RedHat Linux laufen, und da
heißt der Paketfilter auch ipfw (mit Konfig Befehl ipfwadm (unter MacOS ipfw)).
Da hatte ich angenommen, daß es bei SUSE auch dabei wäre.

Welchen Filter haben die denn dazugepackt ?

ML

#10

iptables owT
.

#11

Hi,

Danke für den hinweis. Ein spontanes googlen nach „SuSE+ipfw“
gibt webweite 40300 Treffer, auf deutsch auch noch 356.
Ich denke das ich da passende infos finden werde.

Du willst iptables. Das ist das Front für netfilter, welches der paketfilter des aktuellen Linuxkernels ist.

FreeBSD kenne ich nur dem Namen nach. Naja, irgendwann werde
ich mir das mal anschauen (und verzweifeln?! *G*) :wink:

Also, ich war begeistert anstatt verzweifelt :wink: Unter FreeBSD sind die konzepte ein bißchen anders, aber letztlich ist es „auch nur ein Unix“.

  1. Ist es Sinnvoll, den Router auch als Proxy einzusetzen?
    (Ist ein P-II 400Mhz, 128 MB, 8GB Platte)

Der ist zu schmal, um als Proxy wirklich zu rennen. Zu kleine
Platte, zu wenig RAM - das wird keinen Spaß machen.

Demnach scheint der Prozessor aber zu genügen.

Für wenige Plätze - bestimmt.

Die Platte muß jedoch erstmal genommen werden.

Ich würd’s erstmal lassen. Die Funktionalität ist nicht sooo wichtig bei nur wenigen Plätzen, und Plattenplatz ist da schon wichtig, damit’s was bringt.

  1. Worüber muß ich mir vor der Umsetzung noch Gedanken machen,
    was ich derzeit nicht sehe?

Du solltest Dir Gedanken darüber machen, ob Du in der Lage
bist, dieses schon recht ausgefuchste Konzept umzusetzen.

Das mit dem ausgefuchst werte ich als Kompliment, ist aber
auch keine 5 Minutgeburt, sondern hat schon etwas Zeit in
Anspruch genommen.

Glaub ich.

Meine Erfahrung… Schwer zu beschreiben: mittelprächtig
Erfahrener Anwender, nicht der DAU-Admin (hoffe ich
zumindestens) und programmieren auch ein bisserl. Ein kleines
Script schreiben, mit Infomaterial zum nachschlagen, trau ich
mir auch zu.

Die Frage ist eher, wie fit Du in der Administration von Systemen bist.

Das was ich da vorhabe, habe ich jedoch noch nie gemacht. - Es
wird sicher nicht leicht und auch nicht von heute auf morgen
funzen, aber das Zeitfenster ist ja groß genug um zumindestens
was halbwegs vernünftiges hinzubekommen (kann nur am WE daran
arbeiten).

Ich will Dir auch nicht den Mut nehmen - immer machen. Deine Programmierskills werden Dir dabei helfen, die Firewallregeln hinzubekommen. Denk nur immer daran, die richtige Reihenfolge einzuhalten:

  1. Grundsystem aufsetzen
  2. Routing konfigurieren
  3. Erst danach Firewalling aufsetzen, dabei
    3a. Erstmal alles verbieten.
    3b. SSH-Zugriff freischalten.
    3c. Dann Stück um Stück alles weitere freischalten.
    Dabei die Regeln in Abschnitte packen, passend zu den „Modulen“, die Du später ein- und ausschalten willst
    3d. Dann die Regeln auslagern und das laden und entladen testen
  4. Erst danach das Traffic Shaping konfigurieren

Einen Profi damit zu beauftragen scheitert an zunächst schon
einmal am Geldbeutel.

Das muß gar nicht so teuer sein, ich schreib Dir gern ein Angebot :wink:

Der Lernaspekt ist für mich aber auch
ein Grund, daß selber anzugehen, denn ich denke mal das ein
vom Profi aufgesetztes System für mich zwar bedienbar aber
nicht erweiterbar (Regeln) wäre.

Zu einer ordentlichen Dienstleistung gehört auch eine ordentliche Dokumentation - damit wären Erweiterungen dann nur noch Copy&amp:stuck_out_tongue_winking_eye:aste und kleine Änderungen. Aber der Lerneffekt ist schon enorm, gerade bei so einem Unterfangen lernst Du viel über Netzwerke an sich und auch über Unix an sich.

Und wenn Fragen bei der Konfiguration auftauchen (das werden
sie sicher), bin ich im Linux-Brett oder hier sicher bestens
aufgehoben.

Yep! Viel Spaß,

Malte.