IPFire ist eine Firewall auf Basis von Linux mit ClamAntivir und URL-Filter. Von http://www.ipfire.org/ kann man die Firwall laden und auf einen PC installieren. Alternativ kann die Firewall auch auf einem virtuellen PC, was natürlich nicht wirklich sicher ist. In diesem Thread kann man ein paar Tipps austauschen bzgl. Konfigurationen. Ursprünglich wurde ab hier diskutiert: Beitrag "Re: Das Gezerre um Adblock" Aber das ist wohl nicht der richtige Thread, daher dieser neue. War wird für IPFire benötigt? - PC mit 4GB besser 8GB RAM - CPU sollte nicht die schwächste sein - Festplatte >= 50GB Was kann IPFire? - Firewall, klar - URL-Filter mit Blackliste, Ladbar aus dem Internet - Antivirus ClamAV - Update Accelerator, speichert z.B. Windows Updates und stellt diese einem zweiten PC ebenfalls zur Verfügung (spart Download-Bandbreite, daher auch die relativ große Festplatte) - Bis zu 4 Netzwerke (RED, GREEN, BLUE, ORANGE) - Statusinfos, Loglisten, Statistiken - einfache Konfiguration per Webinterface - Systemkonfiguration mittels root-Login und dem Befehl "setup" - Viel Software kann noch mit dazu installiert werden - Und einiges mehr Jeder der ein Büro, eine Firma oder mehrere PC's hat und sich vor den Angriffen aus dem Internet schützen möchte, der sollte sich solch eine Firewall dazwischen schalten. z.B. mein Router lässt trotz eingeschalteter Firewall alle Internet-Anfragen mit Port > 50000 einfach in mein Netzwerk durch, die Firewall blockt die. Mit der Logfunktion sieht man alle Programme, die nach Hause telefonieren, bzw. deren HTTP Anfragen.
Markus Müller schrieb: > z.B. mein Router lässt trotz eingeschalteter Firewall alle > Internet-Anfragen mit Port > 50000 einfach in mein Netzwerk durch, die > Firewall blockt die. wie soll denn das gehen? Wohin soll denn der router die Anfragen schicken, wenn mehre PCs vorhanden sind? > - Antivirus ClamAV bringt nichts, jedes Virus kann einfach per https übertragen werden > URL-Filter mit Blackliste, Ladbar aus dem Internet bringt auch nichts bei https > PC mit 4GB besser 8GB RAM für eine Firewall? das haben andere nicht im Rechner. So eine Rourcenverschwendung.
Peter II schrieb: >> PC mit 4GB besser 8GB RAM > für eine Firewall? das haben andere nicht im Rechner. So eine > Rourcenverschwendung. IPFire ist mit 256 MB RAM vollauf zufrieden... Davon sind bei mir maximal 80% belegt und der Swap ist unbenutzt - das ist kein Wnder, denn das Teil hat keine graphische Oberfläche. https ist allerding ein Punkt, den ich gerne in den Griff bekäme. Ubuntu hat in den Systemeinstellung auch die Möglichkeit, ein https-Proxy einzutragen, nur wäre ein entsprechender Proxy in IPFire nicht schlecht, mit dem zumindest als faul bekannte https-URLs blockiert werden können, oder bestimmte Rechner nur über eine Whitelist für https raus können. @ Markus: Mein Problem mit den angeblich falschen URLs hat sich in Luft aufgelöst. Allerdings bin ich von der Sperrleistung für Anzeigengeblinke von SquidGuard bisher noch nocht überzeugt. Meine eigene Sperrliste im IPCop macht das besser, obwohl sie deutlich kleiner ist.
Mittlerweile blockt er auch ordentlich - lag wohl daran, daß ich die Einstellungen für squid nur gespeichert hatte, ohne ihn neu zu starten.
Bild 1, Speichernutzung der letzten Woche. Ich habe in dem VirtualPC mal 3GB reserviert, wovon maximal 2GB in der Woche genutzt wurden. (Immer wieder Neustart von Squid wegen Parameteränderungen, daher geht der Speicher wieder zurück) Je nach dem welche Blacklist man verwendet werden dafür schon fast 1GB RAM benötigt um die Dateien im Cache zu halten (schneller). Auch ClamAV ist ein Ressourcenfresser. Bild 2, Irgend wer will über Port 443 auf die Firewall zugreifen. Ja, https ist nach wie vor ein Problem, kann man aber wohl mit Firefox/Proxy einstellen. Ich habe mich darum noch nicht gekümmert.
Markus Müller schrieb: > Ja, https ist nach wie vor ein Problem, kann man aber wohl mit > Firefox/Proxy einstellen. Ich habe mich darum noch nicht gekümmert. bei https kann man nichts irgendwie einstellen! Das ist eine Ende zu Ende Verschlüsselung. Man müsste auf den clientPCs ein eigenes Root-Zertifikat hinterlegen und auf dem Proxy für jede SSL Domain OnTheFly ein neue Zertifikat ausstellen. Nur hat man danach noch weniger Sicherheit bei https. > Je nach dem welche Blacklist man verwendet werden dafür schon fast 1GB > RAM benötigt um die Dateien im Cache zu halten (schneller) hast du eine Ahnung wie viele URLs man in 1GB Ram stecken könnte? Die sperrliste dürfte nicht mal 100Mbyte ausmachen.
Es geht nicht nur um die Textliste mit den URL's. Ich habe im IPFire Forum gelesen, dass ein PC mit 800MB RAM doch etwas knapp dimensioniert ist, was die aufgezeigte Grafik (mein letzter Post) auch deutlich zeigt. Wenn man eine leistungsfähige Firewall möchte und keine zusätzliche Wartezeiten, dann muss die Firewall nun mal etwas mehr Power als ein Mikrocontroller haben. Und ja, die Firewall funktioniert auch auf einem uralt Pentium PC mit 256MB RAM - wenn man gerne warten möchte. Bei mir sind oft 5-10 Leute gleichzeitig im Internet und da merkt man das. Schlussendlich muss jeder selbst entscheiden was er für eine Hardware für seine Firewall verwenden (ausgeben) möchte.
Markus Müller schrieb: > Forum gelesen, dass ein PC mit 800MB RAM doch etwas knapp dimensioniert > ist, was die aufgezeigte Grafik (mein letzter Post) auch deutlich zeigt. die Grafig zeit nur das Speicher belegt wird, nicht das es sinnvoll ist. Wichtig währe zu wissen wie viele Daten überhaupt mehrfach aufgerufen werden. Wenn der Cache nur mit Daten gefüllt ist die genau 1mal im Monat geladen werden macht es keine sinn so einen Cache zu verwenden. Da die Browser auch selber einen Cache haben macht ein zentrale Cache bei den vielen dynamischen Seiten keinen Sinn mehr. Es ist also durchaus möglich das deine 2GB Ram einfach nur mit Daten gefüllt sind, die nie wieder verwendet werden. Der Zentrale URL Filter mag ja noch sinnvoll sein, aber vom Cache halte ich nicht viel. So mal auch hier wieder keine HTTPS Daten gecacht werden.
Das blaue in der Grafik ist der genutzte Speicher, das gelbe der Cache. 100% = 3GB Ich dachte, ich hatte die Grafik mit dem Posting ausreichend beschrieben. Allerdings habe ich auch bis zu 50 Threads für Squid erlaubt, daher wohl mein größerer RAM verbrauch.
Peter II schrieb: > bei https kann man nichts irgendwie einstellen! Das ist eine Ende zu > Ende Verschlüsselung. Aber die IP-Adressen sind unverschlüsselt und damit für Black-/Whitelisting zugänglich. > Der Zentrale URL Filter mag ja noch sinnvoll sein, aber vom Cache halte > ich nicht viel. Bei 10 Arbeitsplätzen würde ich das nicht unbedingt unterschreiben... Aber weden Squid-Cache nicht braucht, kann ihn wegkonfigurieren. @Markus: Ich habe den URL-Filter bisher nur mit transparentem Proxy zum Laufen bekommen und in der Einstellung geht https daran vorbei.
Wenn ich in Firefox die Verbindung auf "Manuellen Proxy" einstelle und den Port von IPFire (Webproxy > Proxy Port) dann sperrt die Blackliste auch die HTTPS Seite, die ich manuell eintrage. Das könnte natürlich leicht durch den User ausgehebelt werden, da dies eine Einstellung vom Client Rechner und deren Browser ist. Wenn man das jedoch selbst einstellt um vor ungebetenen HTTPS-Viren geschützt zu sein, dann wird man das wohl auch nicht deaktivieren.
Markus Müller schrieb: > Wenn ich in Firefox die Verbindung auf "Manuellen Proxy" einstelle und > den Port von IPFire (Webproxy > Proxy Port) dann sperrt die Blackliste > auch die HTTPS Seite, die ich manuell eintrage. nein er sperrt die komplette IP und nicht einzelne Seiten. Der Server kann die URL gar nicht sehen.
Ich habe noch ein Problem wo ich nicht weiß wie ich es konfigurieren soll, vermutlich muss ich da doch direkt in die Parameterdateien. Das Problem: Ich und mein Bruder teilen uns das Internet. Abends wird viel geladen usw. Wenn mal ein paar Youtube Filme laufen und vielleicht noch ein Download läuft, so will ich gerne auch noch Seiten auf machen können ohne ewig zu warten. Ich bräuchte so etwas wie eine "Mindestbandbreite". Im Webinterface kann ich aber nur eine "Download-Drosselung" einstellen. Ich wollte da gerne eine Mindestbandbreite von z.B. 256KBit ein tragen. Wenn ich der einzige bin, dann würde ich die volle Bandbreite erhalten, wenn jedoch mehrere was aus dem Internet laden, so würde ich jedoch mindestens 256KBit der Bandbreite erhalten. Ich hatte dazu auch schon im IPFire Forum eine Frage gestellt, jedoch keine Antwort erhalten. Vielleicht weiß jemand wo ich darüber nachlesen könnte, bzw. welches Linux-Modul das macht? Oder noch besser, wie das geht?
Markus Müller schrieb: > Vielleicht weiß jemand wo ich darüber nachlesen könnte, bzw. welches > Linux-Modul das macht? http://www.little-idiot.de/linuxsolutionguide/firewall-qos.htm ist aber leider nicht einfach. Weil du die Downloadrate nur indirekt beeinflussen kannst. Denn die Daten haben ja schon die Leitung zu dir verstopft wenn sie am Router ankommen.
Markus Müller schrieb: > Wenn ich in Firefox die Verbindung auf "Manuellen Proxy" einstelle und > den Port von IPFire (Webproxy > Proxy Port) dann sperrt die Blackliste > auch die HTTPS Seite, die ich manuell eintrage. Unter welchem OS? > Das könnte natürlich leicht durch den User ausgehebelt werden, da dies > eine Einstellung vom Client Rechner und deren Browser ist. Ubuntu kann den Proxy auch systemweit vorgeben, aber damit habe es nicht hinbekommen
Win7. @Peter II: Ich blicke da noch nicht ganz durch. Ich habe die Schnittstellen: Internet --- red0 --> green0 --> meine Rechner --> blue0 --> Rechner Bruder wären das die Befehle?:
1 | tc class add dev green0 parent 1:0 classid 1:1 htb rate 256kbit ceil 100mbit |
2 | tc class add dev blue0 parent 1:0 classid 1:1 htb rate 256kbit ceil 100mbit |
Man könnte jetzt noch Ports zuordnen, brauche ich eigentlich nicht. Ich frage lieber bevor ich was kaputt konfiguriere.
Bitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.