Forum: PC Hard- und Software Firewall - mit IPFire


von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

IPFire ist eine Firewall auf Basis von Linux mit ClamAntivir und 
URL-Filter.

Von http://www.ipfire.org/ kann man die Firwall laden und auf einen PC 
installieren. Alternativ kann die Firewall auch auf einem virtuellen PC, 
was natürlich nicht wirklich sicher ist.

In diesem Thread kann man ein paar Tipps austauschen bzgl. 
Konfigurationen.

Ursprünglich wurde ab hier diskutiert:
Beitrag "Re: Das Gezerre um Adblock"
Aber das ist wohl nicht der richtige Thread, daher dieser neue.

War wird für IPFire benötigt?
- PC mit 4GB besser 8GB RAM
- CPU sollte nicht die schwächste sein
- Festplatte >= 50GB

Was kann IPFire?
- Firewall, klar
- URL-Filter mit Blackliste, Ladbar aus dem Internet
- Antivirus ClamAV
- Update Accelerator, speichert z.B. Windows Updates und stellt diese 
einem zweiten PC ebenfalls zur Verfügung (spart Download-Bandbreite, 
daher auch die relativ große Festplatte)
- Bis zu 4 Netzwerke (RED, GREEN, BLUE, ORANGE)
- Statusinfos, Loglisten, Statistiken
- einfache Konfiguration per Webinterface
- Systemkonfiguration mittels root-Login und dem Befehl "setup"
- Viel Software kann noch mit dazu installiert werden
- Und einiges mehr

Jeder der ein Büro, eine Firma oder mehrere PC's hat und sich vor den 
Angriffen aus dem Internet schützen möchte, der sollte sich solch eine 
Firewall dazwischen schalten.
z.B. mein Router lässt trotz eingeschalteter Firewall alle 
Internet-Anfragen mit Port > 50000 einfach in mein Netzwerk durch, die 
Firewall blockt die.
Mit der Logfunktion sieht man alle Programme, die nach Hause 
telefonieren, bzw. deren HTTP Anfragen.

von Peter II (Gast)


Lesenswert?

Markus Müller schrieb:
> z.B. mein Router lässt trotz eingeschalteter Firewall alle
> Internet-Anfragen mit Port > 50000 einfach in mein Netzwerk durch, die
> Firewall blockt die.

wie soll denn das gehen? Wohin soll denn der router die Anfragen 
schicken, wenn mehre PCs vorhanden sind?

> - Antivirus ClamAV
bringt nichts, jedes Virus kann einfach per https übertragen werden

> URL-Filter mit Blackliste, Ladbar aus dem Internet
bringt auch nichts bei https

> PC mit 4GB besser 8GB RAM
für eine Firewall? das haben andere nicht im Rechner. So eine 
Rourcenverschwendung.

von Uhu U. (uhu)


Lesenswert?

Peter II schrieb:
>> PC mit 4GB besser 8GB RAM
> für eine Firewall? das haben andere nicht im Rechner. So eine
> Rourcenverschwendung.

IPFire ist mit 256 MB RAM vollauf zufrieden... Davon sind bei mir 
maximal 80% belegt und der Swap ist unbenutzt - das ist kein Wnder, denn 
das Teil hat keine graphische Oberfläche.

https ist allerding ein Punkt, den ich gerne in den Griff bekäme. Ubuntu 
hat in den Systemeinstellung auch die Möglichkeit, ein https-Proxy 
einzutragen, nur wäre ein entsprechender Proxy in IPFire nicht schlecht, 
mit dem zumindest als faul bekannte https-URLs blockiert werden können, 
oder bestimmte Rechner nur über eine Whitelist für https raus können.


@ Markus:
Mein Problem mit den angeblich falschen URLs hat sich in Luft aufgelöst.

Allerdings bin ich von der Sperrleistung für Anzeigengeblinke von 
SquidGuard bisher noch nocht überzeugt. Meine eigene Sperrliste im IPCop 
macht das besser, obwohl sie deutlich kleiner ist.

von Uhu U. (uhu)


Lesenswert?

Mittlerweile blockt er auch ordentlich - lag wohl daran, daß ich die 
Einstellungen für squid nur gespeichert hatte, ohne ihn neu zu starten.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Angehängte Dateien:

Lesenswert?

Bild 1, Speichernutzung der letzten Woche. Ich habe in dem VirtualPC mal 
3GB reserviert, wovon maximal 2GB in der Woche genutzt wurden. (Immer 
wieder Neustart von Squid wegen Parameteränderungen, daher geht der 
Speicher wieder zurück)
Je nach dem welche Blacklist man verwendet werden dafür schon fast 1GB 
RAM benötigt um die Dateien im Cache zu halten (schneller). Auch ClamAV 
ist ein Ressourcenfresser.

Bild 2, Irgend wer will über Port 443 auf die Firewall zugreifen.

Ja, https ist nach wie vor ein Problem, kann man aber wohl mit 
Firefox/Proxy einstellen. Ich habe mich darum noch nicht gekümmert.

von Peter II (Gast)


Lesenswert?

Markus Müller schrieb:
> Ja, https ist nach wie vor ein Problem, kann man aber wohl mit
> Firefox/Proxy einstellen. Ich habe mich darum noch nicht gekümmert.

bei https kann man nichts irgendwie einstellen! Das ist eine Ende zu 
Ende Verschlüsselung. Man müsste auf den clientPCs ein eigenes 
Root-Zertifikat hinterlegen und auf dem Proxy für jede SSL Domain 
OnTheFly ein neue Zertifikat ausstellen. Nur hat man danach noch weniger 
Sicherheit bei https.

> Je nach dem welche Blacklist man verwendet werden dafür schon fast 1GB
> RAM benötigt um die Dateien im Cache zu halten (schneller)

hast du eine Ahnung wie viele URLs man in 1GB Ram stecken könnte? Die 
sperrliste dürfte nicht mal 100Mbyte ausmachen.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Es geht nicht nur um die Textliste mit den URL's. Ich habe im IPFire 
Forum gelesen, dass ein PC mit 800MB RAM doch etwas knapp dimensioniert 
ist, was die aufgezeigte Grafik (mein letzter Post) auch deutlich zeigt.
Wenn man eine leistungsfähige Firewall möchte und keine zusätzliche 
Wartezeiten, dann muss die Firewall nun mal etwas mehr Power als ein 
Mikrocontroller haben.
Und ja, die Firewall funktioniert auch auf einem uralt Pentium PC mit 
256MB RAM - wenn man gerne warten möchte.
Bei mir sind oft 5-10 Leute gleichzeitig im Internet und da merkt man 
das.

Schlussendlich muss jeder selbst entscheiden was er für eine Hardware 
für seine Firewall verwenden (ausgeben) möchte.

von Peter II (Gast)


Lesenswert?

Markus Müller schrieb:
> Forum gelesen, dass ein PC mit 800MB RAM doch etwas knapp dimensioniert
> ist, was die aufgezeigte Grafik (mein letzter Post) auch deutlich zeigt.

die Grafig zeit nur das Speicher belegt wird, nicht das es sinnvoll ist. 
Wichtig währe zu wissen wie viele Daten überhaupt mehrfach aufgerufen 
werden. Wenn der Cache nur mit Daten gefüllt ist die genau 1mal im Monat 
geladen werden macht es keine sinn so einen Cache zu verwenden. Da die 
Browser auch selber einen Cache haben macht ein zentrale Cache bei den 
vielen dynamischen Seiten keinen Sinn mehr.

Es ist also durchaus möglich das deine 2GB Ram einfach nur mit Daten 
gefüllt sind, die nie wieder verwendet werden.

Der Zentrale URL Filter mag ja noch sinnvoll sein, aber vom Cache halte 
ich nicht viel. So mal auch hier wieder keine HTTPS Daten gecacht 
werden.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Das blaue in der Grafik ist der genutzte Speicher, das gelbe der Cache.
100% = 3GB
Ich dachte, ich hatte die Grafik mit dem Posting ausreichend 
beschrieben.

Allerdings habe ich auch bis zu 50 Threads für Squid erlaubt, daher wohl 
mein größerer RAM verbrauch.

von Uhu U. (uhu)


Lesenswert?

Peter II schrieb:
> bei https kann man nichts irgendwie einstellen! Das ist eine Ende zu
> Ende Verschlüsselung.

Aber die IP-Adressen sind unverschlüsselt und damit für 
Black-/Whitelisting zugänglich.

> Der Zentrale URL Filter mag ja noch sinnvoll sein, aber vom Cache halte
> ich nicht viel.

Bei 10 Arbeitsplätzen würde ich das nicht unbedingt unterschreiben... 
Aber weden Squid-Cache nicht braucht, kann ihn wegkonfigurieren.

@Markus:
Ich habe den URL-Filter bisher nur mit transparentem Proxy zum Laufen 
bekommen und in der Einstellung geht https daran vorbei.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Wenn ich in Firefox die Verbindung auf "Manuellen Proxy" einstelle und 
den Port von IPFire (Webproxy > Proxy Port) dann sperrt die Blackliste 
auch die HTTPS Seite, die ich manuell eintrage.
Das könnte natürlich leicht durch den User ausgehebelt werden, da dies 
eine Einstellung vom Client Rechner und deren Browser ist.
Wenn man das jedoch selbst einstellt um vor ungebetenen HTTPS-Viren 
geschützt zu sein, dann wird man das wohl auch nicht deaktivieren.

von Peter II (Gast)


Lesenswert?

Markus Müller schrieb:
> Wenn ich in Firefox die Verbindung auf "Manuellen Proxy" einstelle und
> den Port von IPFire (Webproxy > Proxy Port) dann sperrt die Blackliste
> auch die HTTPS Seite, die ich manuell eintrage.

nein er sperrt die komplette IP und nicht einzelne Seiten. Der Server 
kann die URL gar nicht sehen.

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Ich habe noch ein Problem wo ich nicht weiß wie ich es konfigurieren 
soll, vermutlich muss ich da doch direkt in die Parameterdateien.

Das Problem:
Ich und mein Bruder teilen uns das Internet. Abends wird viel geladen 
usw.
Wenn mal ein paar Youtube Filme laufen und vielleicht noch ein Download 
läuft, so will ich gerne auch noch Seiten auf machen können ohne ewig zu 
warten.

Ich bräuchte so etwas wie eine "Mindestbandbreite". Im Webinterface kann 
ich aber nur eine "Download-Drosselung" einstellen.

Ich wollte da gerne eine Mindestbandbreite von z.B. 256KBit ein tragen. 
Wenn ich der einzige bin, dann würde ich die volle Bandbreite erhalten, 
wenn jedoch mehrere was aus dem Internet laden, so würde ich jedoch 
mindestens 256KBit der Bandbreite erhalten.
Ich hatte dazu auch schon im IPFire Forum eine Frage gestellt, jedoch 
keine Antwort erhalten.
Vielleicht weiß jemand wo ich darüber nachlesen könnte, bzw. welches 
Linux-Modul das macht?
Oder noch besser, wie das geht?

von Peter II (Gast)


Lesenswert?

Markus Müller schrieb:
> Vielleicht weiß jemand wo ich darüber nachlesen könnte, bzw. welches
> Linux-Modul das macht?

http://www.little-idiot.de/linuxsolutionguide/firewall-qos.htm

ist aber leider nicht einfach. Weil du die Downloadrate nur indirekt 
beeinflussen kannst. Denn die Daten haben ja schon die Leitung zu dir 
verstopft wenn sie am Router ankommen.

von Uhu U. (uhu)


Lesenswert?

Markus Müller schrieb:
> Wenn ich in Firefox die Verbindung auf "Manuellen Proxy" einstelle und
> den Port von IPFire (Webproxy > Proxy Port) dann sperrt die Blackliste
> auch die HTTPS Seite, die ich manuell eintrage.

Unter welchem OS?

> Das könnte natürlich leicht durch den User ausgehebelt werden, da dies
> eine Einstellung vom Client Rechner und deren Browser ist.

Ubuntu kann den Proxy auch systemweit vorgeben, aber damit habe es nicht 
hinbekommen

von Markus M. (Firma: EleLa - www.elela.de) (mmvisual)


Lesenswert?

Win7.

@Peter II:
Ich blicke da noch nicht ganz durch. Ich habe die Schnittstellen:


Internet --- red0 --> green0 --> meine Rechner
                  --> blue0  --> Rechner Bruder

wären das die Befehle?:
1
tc class add dev green0 parent 1:0 classid 1:1 htb rate 256kbit ceil 100mbit
2
tc class add dev blue0 parent 1:0 classid 1:1 htb rate 256kbit ceil 100mbit

Man könnte jetzt noch Ports zuordnen, brauche ich eigentlich nicht. Ich 
frage lieber bevor ich was kaputt konfiguriere.

Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.