Linux Firewall so möglich?

Seite 1 von 2 - Forum: Linux and other OS auf overclockers.at

URL: https://www.overclockers.at/linux/linux_firewall_so_moeglich_147396/page_1 - zur Vollversion wechseln!

da ich nen "alten" pc rumstehen hab , möchte ich aus dem was sinnvolles machen:

Firewall / Router
1 Wan Port
3 Ports für´s Lan , je Port mit eigenen Zugangsbeschränkungen (DMZ - Port,...)
WLAN AP nur mit Karte (wenn möglich)
Mailserver
Zugang zum Mailserver nur per VPN auf Webclient von extern , intern per IMAP
Mailserver soll einige fremde Accounts abfragen und einsortieren
VPN soll auf dem Router laufen

Hardware: AMD XP-M mit genug Ram (1GB+)
Aktive Intel Multiport karten
WLAN Karte ?

Mailserver würde ich auf eine andere Maschiene packen, einen echten billigen AP fürs WLAN, kleinere hardware für Router/Firewall und IPCop drauf (selbst 200MHz und 128MB Ram sind da schon sehr hoch dimensioniert).

würd die firewall auch eher auf einem extra rechner laufen lassen. Den WLAN-AP würd ich an deiner Stelle mit einem Radius Server kombinieren, da ja bekanntlich WEP nicht gerade das gelbe vom Ei ist.

Dafür macht IPCop ipsec-VPN von allen unsicheren Netzen (WLAN und WAN).

@Crash Override: Das macht nicht nur IPCop, das kannst du auch mit jeder anderen Linux Distri machen.

@topic: Ich würde die Firewall auf einem eigenen Rechner laufen lassen, da sich die Sicherheit durch die ganzen anderen laufenden Dienste nicht grade erhöht.

@BigJuri: Aber bei jeder anderen Distribution braucht man länger als 30 Min um das system komplett einzurichten. Nur der Mailserver hat nichts auf dem Router verloren, VPN sollte aber der Router machen.

Zitat von Crash Override

@BigJuri: Aber bei jeder anderen Distribution braucht man länger als 30 Min um das system komplett einzurichten.

Vielleicht hilft dir die C't server

c't-Debian-Server 1.1
Der von der Heft-CD installierbare Server auf Debian-Basis konfiguriert viele Dienste automatisch, die anderenfalls mühsam von Hand eingerichtet werden müssten. Er regelt Druck- und Dateidienste, speichert Ihre E-Mails zentral ab und kümmert sich um deren Versand und Empfang. Ein Bonbon ist die integrierte Router-Firewall IPCop: Sie tut ihren Dienst in einer virtuellen Maschine und ersetzt die übliche Server-Firewall.

Da laufen mail server und ipcop (firewall) in verschiedene instances unaghanging von einander. Wahre vielleicht eine alternatieve, wahrscheinlich nicht DER sicherste, aber immerhin mail server und ipcop auf einem rechner.

Selber verwende ich ein ganz kleiner firewall separaat weil ich die jetzt schon habe

Wykat

Die trennung Firewall | Services macht fuer einen Privaten kaum Sinn. Schmeisz alles auf einen Rechner, und gut is'.

Zitat von COLOSSUS

Die trennung Firewall | Services macht fuer einen Privaten kaum Sinn. Schmeisz alles auf einen Rechner, und gut is'.

Zitat von Wykat

Vielleicht hilft dir die C't server

c't-Debian-Server 1.1
Der von der Heft-CD installierbare Server auf Debian-Basis konfiguriert viele Dienste automatisch, die anderenfalls mühsam von Hand eingerichtet werden müssten. Er regelt Druck- und Dateidienste, speichert Ihre E-Mails zentral ab und kümmert sich um deren Versand und Empfang. Ein Bonbon ist die integrierte Router-Firewall IPCop: Sie tut ihren Dienst in einer virtuellen Maschine und ersetzt die übliche Server-Firewall.

Da laufen mail server und ipcop (firewall) in verschiedene instances unaghanging von einander. Wahre vielleicht eine alternatieve, wahrscheinlich nicht DER sicherste, aber immerhin mail server und ipcop auf einem rechner.

Selber verwende ich ein ganz kleiner firewall separaat weil ich die jetzt schon habe

Wykat

@COLOSSUS: Woher nimmst Du die Weisheit? Hast du etwa keine sensiblen Daten in deinem Netzwerk? Wurde dein System schon mal gehackt?

@Topic: der c't server macht nur mehr Probleme als er beseitigt. Die UML ist noch nicht ausgereift.

Zitat von voyager

in welcher c´t war denn die drin ?

@Crash Override: Was hat das damit zu tun, ob ich Services und Firewall extra, oder beides auf einem Geraet laufen habe?

Dennoch will ich mitspielen... Wenn ich mir die mittlere Anzahl der bekannten Remote Exploits der von mir auf der WAN-Seite horchenden Dienste euber die letzten Jahre ansehe, dazu noch die Anzahl der technisch dazu befaehigten Menschen, die diese ausnutzen koennten, in Betracht ziehe, und mir dann noch die Wahrscheinlichkeit durch den Kopf gehen lasse, mit der sich ein solcher jemand zufaellig an meinem kleinen Reich zu Hause, anstatt an einer der Millionen ungleich leichter zu nehmenden ungepatchten Wurmdows-Boxen vergreift, kann ich sagen: Meine Daten sind nicht so sensibel, dass ich dieses minimale Restrisiko nicht zugunsten der Kosten- und Stromersparnis durch Wegfallen eines Geraets einzugehen bereit bin.

Weiters waere es ein Novum in diesem (wie auch in vielen anderen) Forum (Foren), wenn man endlich mal mit Bullshit wie "ist noch nicht ausgereift", "suckt halt", "ist crap" und dergleichen, sprich empirisch kaum belegbaren Behauptungen ohne sachlichen Rueckhalt in irgendeiner Form, endigen koennte, und tatsaechlich qualifizierte Statements ueber die Qualitaet verschiedener Produkte, wie auch dem c't Debian Server, abgeben koennte, die auch etwas technischen Hintergrund als Kausalitaet fuer den verbalen Verriss mitliefern.

Den c't Debian Server kann man auch von der heise.de-internetpraesenz beziehen...

-> http://www.heise.de/ct/ftp/projekte/srv/

Das "ist noch nicht ausgereift" bezieht sich auf die Probleme die nur in der UML auftreten. Siehe http://www.ipcop-forum.de und suche nach c't server. Dort wirst du sehen das dies nicht nur so dahingestellt ist sondern sich real belegen lässt. Und du glaubst garnich wieviel Skriptkiddies sich die Exploits zu nutze machen. Hast du schon mal was von Whoppix gehört? Damit werden die Exploits sogar per skript durchprobiert um reinzukommen, und für die anfänger gibt es Videotutorials.

overclockers.at v4.thecommunity
© all rights reserved by overclockers.at 2000-2025