Project DIY Firewall: dos and donts

Hab mir als "kleines" Projekt für mich zuhause den Aufbau einer Firewall auf Linux Basis ausgesucht. Will damit einfach meine Kentnisse in diese Richtung vertiefen.

Als Hardware hält hier ein Uralt Rechner von mir her: PIII 800, 256MB SDRam auf einem Asus Cusl2, 40GB Seagate IDE Platte, NICs: 2x Intel 1Gbit, 1x 3com 905c.

System lief schon mit IPCop 1.4.21(damals 3x 905c NIC) recht stabil seit einiger Zeit und jetzt will ichs mal ganz von Anfang an probieren.
Als System werde ich wahrscheinlich grml einsetzen, da ich ansonst eigentlich auch nur mit Debian und Abwandlungen davon zu tun habe, und mir grml am passendsten erscheint.

Habe vor bei Interesse das ganze hier mit zu schreiben und mich gleichzeitig mit denen die sich auch dafür interessieren auszutauschen bzw mir Ratschläge zu holen.

Als allererstes werd ich einfach mal nur System aufsetzen, die 1Gbit Karten als WAN/LAN und die 905er als DMZ einrichten. Danach IPtables reinklopfen und mal schauen was passiert.

Erste Frage an die Allgemeinheit ist mal was würdet ihr ansonst für Dienste einrichten auf einer Firewall. Bisher fiel mir nur ein das ein IDS System mit snort(Alternativen?) eine Idee wäre.

Eventuelle Geschwindigkeitsbegrenzungen durch die Hardware lasse ich mal ausser acht. Das an diesem Punkt sicher optimiert werden kann bis zum Umfallen ist mir klar.

du kannst dir ja mal shorewall und fwbuilder anschauen damit tut man sich imho wesentlich leichter als mit reinen iptables skripten.
Ist auch vom Funktionsumfang nicht eingeschränkt dadurch.

In Wahrheit ist das aber alles overkill, da ich nicht annehme das du zuhause eine so große umgebung hast wäre es imho sinnvoller z.B m0n0wall zu verwenden.

mal ein anderer aspekt: wie testet man so eine (und jede andere) firewall eigentlich?
woher weißt du dann dass sie gut funktioniert?

Zitat

mal ein anderer aspekt: wie testet man so eine (und jede andere) firewall eigentlich?
woher weißt du dann dass sie gut funktioniert?

nmap z.B oder tools die einfache dos attacken simulieren.

Ist wiegesagt nur die Testplattform. Sollte ich damit zufrieden sein werd ich mir dementsprechende Hardware kaufen.

Um wieder auf meine eigentliche Frage(n) zurück zu kommen, was denkt ihr wäre neben IDS noch wichtig? DNS Cache? Sonstige Verteidigungs-/Sicherheitsmechanismen ? Fällt euch etwas ein das euch passiert ist und ich auf jeden Fall beachten sollte?

Zitat von Obermotz

Einfach die externe IP im richtigen Forum posten

Das würd ich nur machen wenn nichts dahinter steht :P

Ein dhcp server wäre für den anfang vllt eine idee.

Ein Freund von mir hat in seinem heim netzwerk ipv6 laufen natürlich mit ipsec und was es da nicht noch alles gibt. Auf einem schönen schlanken lfs mit grsec. Um das am laufen zu halten wird einem nicht langweilig.

Ich stell den Lerneffekt auch einmal in frage, weil http://www.gentoo.org/doc/en/home-router-howto.xml und http://en.gentoo-wiki.com/wiki/Snort kannst du in weniger als einer stunde runterreißen.
Wenns nicht gentoo ist.

Man schreibt "dos and donts"

nur ein kleinens Planungsupdate darüber was wo hin soll:

WAN als DHCP Client(chello)
LAN und DMZ als DHCP, wobei in der DMZ wahrscheinlich per mac ip´s fixiert werden bzgl port forwarding

LAN beinhaltet ganz normal pcs und einen file server, zugriff überall hin, eventuell verteilung von updates per file server(windows, av)

DMZ beinhaltet file(samba), web(apache) und mail(postfix?) server, fürs testen zuhause wahrscheinlich nur eine Maschine mit einer LAMP Installation als Basis oder sowas, dmz darf nur nach draussen gehen

externer ssh zugriff zu Firewall, LAN und DMZ Server, ansonst nur was notwendig ist nach aussen offen

@Neo IPS?

@Marcellus IPv6 wär sicher ne Idee anzusehen. Bzgl Lerneffekt ist es für mich (also jetzt persönlich) so das ich mir das Tutorial zigmal durchlesen kann und teilweise Sachen nicht kapier. Aber mach ich es praktisch durch hab ich es recht schnell intus.

@Burschi Klugsch*** :P Gramatik und Rechtschreibefehler darfst dir behalten