Skip to content

IPFire Konfiguration Teil 1

Verschoben IPFire
  • In meinem Artikel IPFire installieren habe ich Euch die Installation einer IPFire vorgestellt. Nun gehen wir mal an die Grundkonfiguration der IPFire. Ich werde hier die Grundlagen für einen Anfänger versuchen zu erklären. Da es unendlich viele Konfigurationsmöglichkeiten gibt, beschränke ich mich hier auf die meiner Meinung nach wichtigsten für jemanden, der das erste mal mit einer IPFire Firewall zu tuen hat.

    Wir fangen mal mit dem Grundlegenden an. Unter "Firewall/Firewalloptionen" findet ihr folgende Einstellmöglichkeiten.

    0_1525593211824_pic1.png

    Outgoing regelt wie die Firewall selber (ROT) aufs Internet zugreifen darf. Standardmäßig habe ich dieses auf zugelassen, das ist auch die Empfehlung des IPFire-Teams. Wenn man das auf "blockiert" setzt, muss man für alles eigene Regeln erstellen, z.B. DNS usw.. Das ist für einen Anfänger definitiv nicht zu empfehlen. Also, so lassen! Bei der Regel für Forward ist das schon was anderes, das kommt aber auch wieder auf jeden selber an. Ich halte es in meinem privaten Netz so, das alle Zugriffe nach außerhalb verboten sind, solange ich sie nicht erlaube. Also steht diese Regel bei mir auf "blockiert". Das ist evt. für einen Anfänger auch etwas zu kompliziert, im Zweifel auf "Zugelassen" stellen und fertig! Beides auf "Zugelassen" ist auch die Standardeinstellung nach der Installation.

    Was sich bei mir als ganz nützlich erwiesen hat, ist die Geräte alle erst mal zu erfassen. Das macht man unter "Firewall/Firewallgruppen".

    0_1525593234540_pic2.png

    Wenn man dort auf "Hosts" klickt, kommt man auf folgenden Screen.

    0_1525593251710_pic3.png

    Nach dem Speichern, sieht das dann wie folgt aus.

    0_1525593272168_pic4.png

    Wenn nun das Standardverhalten der Firewall auf "Blockiert" steht, können wir mit dem Haupt-PC nicht ins Netz. Damit wir jetzt ins Netz kommen, müssen wir eine Regel erstellen. Dazu auf "Firewall/Firewallregeln" gehen. Dann "Neue Regel erstellen" anklicken und man sieht diesen Bildschirm.

    0_1525593285064_pic5.png

    Unter Quelle wählen wir den angelegten Host "Haupt-PC" aus. Das Ziel ist das Standard-Netzwerk "ROT". Protokoll "Alle". Auf "Akzeptieren(ACCEPT)" stellen, evt. noch eine Anmerkung eingeben und dann auf "Hinzufügen" klicken.

    0_1525593314266_pic6.png

    Sofort erscheint oben ein Button "Änderungen übernehmen". Wenn man den betätigt werden alle Firewallregeln gelöscht und neu geladen. Danach kann der Haupt-PC ins Internet. Bitte beachten, er könnte nicht auf BLAU zugreifen, weil wir nur ROT angegeben haben.

    Vorteil bei dieser Vorgehensweise ist, das alle Geräte im Netz erst mal nicht raus telefonieren können. Erst die Geräte, die man freigibt, kommen ins Internet. Das kann man natürlich auch noch auf die Spitze treiben, wenn man das mit einzelnen Ports macht, aber der Aufwand ist mir für mein privates Netz etwas zu hoch. Ein TV der am Netz hängt, kann auf diese Weise nicht meine Sehgewohnheiten nach Hause senden. Einer der Hauptgründe für mich damals, mir eine Firewall vor mein Netz zu hängen.

    Ein Beispiel soll es hier noch geben, und zwar umgekehrte Richtung. Wir wollen von außen auf einen FTP-Server zugreifen. Nehmen wir die IP-Adresse mit 10.10.1.110 an. Die Regel dafür würde so aussehen.

    0_1525593336004_pic7.png

    Danach sieht das unter "Firewallregeln" so aus.

    0_1525593351644_pic8.png

    Hier ist die Quelle wichtig, die muss auf ALLE stehen, weil das auch das Internet beinhaltet. Dann gibt es eine Weiterleitung auf die IP-Adresse 10.10.1.110. Dahin werden aber nur Datenpakete, die auf Port 21 reinkommen, weitergeleitet. (Ich weiß das ein funktionierender FTP-Server weitere Ports benötigt, soll hier nur ein Beispiel sein.)

    Im obigen Beispiel habe ich die IP-Adresse des FTP-Servers benutzt, man kann natürlich auch unter Hosts erst den FTP-Server anlegen und diesen in der Regel dann als Ziel festlegen. Das sieht dann so aus:

    0_1525593367894_pic9.png

    Die beiden genannten Varianten unterscheiden sich nur in der Lesbarkeit für uns Menschen, die Funktion ist die selbe.

    Wichtig!

    Ich empfehle ausdrücklich die o.g. Vorgehensweise nicht, dafür gibt es andere Möglichkeiten. Der FTP-Server könnte in ein vorhandenes ORANGES Netz gestellt werden. Das ist die DMZ der IPFire. Oder, meine bevorzugte Variante, man benutzt einen OpenVPN-Tunnel ins heimische Netzwerk. Zu OpenVPN habe ich einen ausführlichen Artikel verfasst. OpenVPN auf dem IPFire installieren

    Im Teil 2 kümmern wir uns dann mal um ein WLAN und dessen Installation und Konfiguration.

    IPFire Konfiguration Teil 2