Linux Hardware Firewall selber bauen?

#1 Hi Leute!

Ich hätt da mal ne Frage! Ich möchte mir gerne eine "Hardware-Firewall" die unter Linux läuft zusammen bauen. Was brauche ich da an minimal hardware? welche Linux Version soll da installiert werden?

Hat wer von euch einen Link mit einer Konfigurationsbeschreibung wie ich mir so ne Firewall einrichte?

greetz
Lord

#2 Hmm, wenn das ein normaler Rechner mit Linux ist wird das aber keine Hardware-FW sondern eine normale Software FW

Aber wenn du das normal mit Linux machen möchtest reicht normalerweise eine minimale Linux Installation ohne den ganzen GUI Teil.

Das ganze kann dann z.B. über ipfw realisiert werden. Eine Anleitung über die Parameter gibt es in der Console einfach per "man ipfw"

Ich würde da für privat dann aber schon eher einen sehr guten Router empfehlen. Gute Router haben oft auch eine sehr gute Hardware FW integriert. Ausserdem haben diese teuren Router auch meist schon DoS Defense usw. eingebaut was oft noch wichtiger ist als eine FW.

#3 @mac

Zitat

Ausserdem haben diese teuren Router auch meist schon DoS Defense

hm, ich frage mich, wo der nutzen einer DoS Defense ist, wenn mein 768k downlink von einem eben so starken uplink (oder DDoS) zugemüllt wird

alle anderen DoS angriffsformen (mit ständig wachsender erkennungsrate durch fortschreitende entwicklung durch die community) lassen sich auch einfach mittels programmen wie snort unter linux wirksam erkennen und eindämmen - meist reicht dazu schon HTB/CBQ und IPTABLES

gegen eine "richtige" DoS hat ein privatanwender (mit entsprechender anbindung) kaum eine chance

greez

#4 Hi again!

Ich hab ne alte Cyrix 166 MHz Gurke herumstehen. Würd der Rechner also reichen wenn ich suse 8.0 installe. also nur das "textbasierte" Linux? Ich hab noch ne alte 6.2 Version herumliegen. Die würd ja auch gehen oder?

Weil du gesagt hast nen Router kaufen. Den könnt ich ja dann auf den 166er hängen und meinen normalen Rechner dann auf den 166er und dann über den ins netz. Also hätte ich dann eigentlich doppelten Schutz oder?

Ich könnt mir die Linux Firewall dann zwar sparen aber das wär ja kein Spaß. Will wissen wie ich das konfigen muß. :o)

#5

Zitat

Ich hab ne alte Cyrix 166 MHz Gurke herumstehen. Würd der Rechner also reichen wenn ich suse 8.0 installe.

ja, mit ein wenig gedult bei der installation

Zitat

hab noch ne alte 6.2 Version herumliegen

diese version (<8.0) gilt als deprecated, wird also nicht mehr unterstützt (softwarelücken, ... ) - wenn du etwas schlankes möchtest, dann nimm gentoo oder debian (mittelmäßig hoher installationsaufwand)

Zitat

Also hätte ich dann eigentlich doppelten Schutz oder?

wenn du hinter einem router hängst und zusätzlich eine linuxfirewall auf deinem system laufen hast? nein, denn was ist denn "doppelter schutz" ? 200% ? oder vllt. kein schutz ?

im normalfall reicht ein gut konfigurierter HW-Router, wie MACD bereits schrieb, aus, denn der "versteckt" dein netz hinter sich und nimmt anfragen direkt entgegen ohne dabei per default irgendwelche forwardings durchzuführen - auf der anderen seite reicht aber auch ein gut konfigurierter netfilter und ein aktuelles system aus, um die gröbsten angriffe von script kiddies zu blocken

musst du halt selbst entscheiden - ich würde mir, wenn ich davon ausgehe, skills in netfilter/iptables und gnu/linux zu haben, keinen router hinstellen - der wäre dann nur unnötiger stromfresser

ps: suse 8.0 mit X auf einem 166 ist schon bissi lahm

greez

#6

Zitat

musst du halt selbst entscheiden - ich würde mir, wenn ich davon ausgehe, skills in netfilter/iptables und gnu/linux zu haben, keinen router hinstellen - der wäre dann nur unnötiger stromfresser

Der Router braucht aber um einiges weniger Leistung als selbst der beste und älteste Rechner den er da hinstellen kann. Alleine aus diesem Grund würde ich schon niemals einen extra Rechner nur als Firewall nutzen privat. Mein Router benötigt hier ca. 5-6 Watt was noch einigermassen gut ist.

Wenn man aber das ganze auf seinem eigenem rechner installiert kann man das natürlich sparen. Kommt drauf an wieviel Rechner man ins Netz bringen möchte und wie das ganze genutzt wird. Sollen da Server laufen oder ist das nur ein ganz normaler Surf und Spiele rechner usw.

Je nachdem was bei dir dann läuft muß der Schutz auch ausgelegt werden. Ist da z.B. nur eine Linuxkiste hinter mit der man mal 1 Stunde surft muß da so gut wie nix hin. Hat man hingegen ein WinXp der rund um die Uhr als Webserver laufen soll muß man aufbieten was man finden kann

#7 Wir sollten hier von Software/Hardwarerouter unterscheiden.

Softwarerouter sind für eine/mehrere Architekuren vorhanden (z.B. i386/i586).

Hardwarerouter sind auf eine Spezielle Hardware zugeschnitten (z.B. Epox Mainboards).

Einen Hardwarerouter zum selber bauen findest du hier : http://lr101.linux-it-solutions.de/

Gruss poiin2000
__________
http://linux.regionnet.de/ - http://www.pf-lug.de/ - http://www.4logistic.de/ - http://www.pfenz.de

#8

Zitat

diese version (<8.0) gilt als deprecated, wird also nicht mehr unterstützt (softwarelücken, ... ) - wenn du etwas schlankes möchtest, dann nimm gentoo oder debian (mittelmäßig hoher installationsaufwand)

Na da würd ich bei einem alten 166MHz wärmstens Debian GNU/Linux empfehlen.
A) der Installationsaufwand ist gleich null und ist kürzer als bei SuSE (kleines base system)
B) Man hat nen Packetmanager der einem auf kommando direkt das entsprechende installiert (precompiled)
C) bei Gentoo müßte man kompiliern, der Installationsaufwand ist größer und lohnt sich auf einem so schwachen Rechner nicht - es sei denn man hat noch andere Rechner im netz wo distccd läuft.

Zitat

er Router braucht aber um einiges weniger Leistung als selbst der beste und älteste Rechner den
er da hinstellen kann. Alleine aus diesem Grund würde ich schon niemals einen extra Rechner nur als Firewall nutzen privat. Mein Router benötigt hier ca. 5-6 Watt was noch einigermassen gut ist.

Da kann ich MacDefender nur recht geben - das lohnt sich überhaupt nicht wenn man NUR eine Firewall/Router haben will. Und son 166MHz der ist eh schon schwach ich weiß nicht ob man den noch dann zusätzlich zu anderen Sachen missbrauchen kann. Wenn man jedenfalls nicht noch andere Dinge vor hat wie webserver/ftpserver etc. dann lohnt es sich nicht wirklich.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#9 Bei mir laeuft ein Linux SW Router (allerdings 400MHz) und der braucht 66 Watt. HW Router mit 5-6 Watt sind da wesentlich kostenguenstiger (1/10). Es sollte also noch einen anderen Grund geben um diese Loesung zu waehlen. Es ist zwar recht verlockend einen alten Rechner dafuer herzunehmen - aber die hoeheren Kosten sollten schon gerechtfertigst sein.
__________
"Really, I'm not out to destroy Microsoft. That will just be a completely unintentional side effect." Linus Benedict Torvalds

#10 Wie empfiehlt hier eigentlich niemand IPCop?
Ich habe es aufgrund der empfehlung eines Administrators, der insgesamt ca 1000 Rechner betreut (200 davon direkt) installiert, eingerichtet (was im Prinzip Recht simpel war) und bin seitdem voll und ganz zufrieden!
Joe

#11 @framp

Ja da hast du recht, die Stromkosten sind definitiv höher für einen Rechner - kommt halt drauf an wenn man nur einen Router braucht ist nen HW Router evntl. besser geeignet.

@JoeBananas

Nö, ich halte gar nichts von IPcop. Ich weiß nicht was du für einen Administrator kennst aber mit GNU/Linux hat er wohl nicht viel am Hut. Ein Admin der nur Windows Systeme betreut und ein Admin der sich auch mit UNIX/POSIX sys auskennt sind zwei ganz unterschiedliche Dinge. IPcop mag zwar eine einfache Lösung für privat Anwender sein - ich würds trozdem nicht für ca. 1000 Rechner benutzen. So einen Server möchte man ja doch lieber dann selber aufsetzen - vor allem weil IPcop ja eigentlich vom Prinzip her überflüssig ist - es vereinfacht ja nur verschiedene Wege über GNU/Linux für alle bunti-klicki user. Das heißt nicht das ich als Admin jetzt IPcop brauchen würde.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#12 Hi lordcyphon

Ich habe mir meinen eigenen Linux-Router/Firewall auf einer alten Kiste (Pentium 200Mhz, 40 MB RAM, 512 MB HDD) aufgebaut. Ich weiss zwar keine Konfigurationsbeschreibung dafür, aber ich versuche gerne dir zu helfen, wenn du direkte Fragen hast.

Zitat

Ich hab ne alte Cyrix 166 MHz Gurke herumstehen. Würd der Rechner also reichen wenn ich suse 8.0 installe. also nur das "textbasierte" Linux? Ich hab noch ne alte 6.2 Version herumliegen. Die würd ja auch gehen oder?

Die dürfte reichen. Kommt noch darauf an wieviel Arbeitsspeicher der Rechner hat!? Ich habe jetzt auch SuSE Linux 8.0 drauf musste aber erst einen Umweg über die SuSE 7.2 machen, da die 8.0 zu hohe Hardwarevoraussetzungen für die Installation hatte (bisschen seltsam). Nachher konnte ich dann updaten.

Vermutlich werde ich jetzt bald auf Debian umsteigen, nachdem ich damit gute Erfahrungen gemacht habe. Also würde ich dir auch gleich Debian ans Herz legen, wenn du keine Angst vor Konsolen-Arbeit hast ;-) !

Zitat

Weil du gesagt hast nen Router kaufen. Den könnt ich ja dann auf den 166er hängen und meinen normalen Rechner dann auf den 166er und dann über den ins netz. Also hätte ich dann eigentlich doppelten Schutz oder?

Ich könnt mir die Linux Firewall dann zwar sparen aber das wär ja kein Spaß. Will wissen wie ich das konfigen muß. :o)

In dem Fall gilt wohl nicht "Doppelt gemoppelt hält besser" :) ! Ein Hardware-Router würde reichen. Aber wie du auch sagst: das wär ja kein Spaß. Das geht mir genauso, ich mache auch viel überflüssiges weil es mir einfach Spaß macht und ich wissen will wie es geht :-) !

Also fang ruhig mal an damit und frag', wenn du was wissen willst!

Gruss,
Philip
__________
"Never trust an operating system
you don't have sources for."

#13 Hi,

habe mir sowas schon zusammengebaut... schau mal hier : http://www.linux-vpn.de/lr101.php .....

Einfach mal runter laden und ausprobieren ;-) ...

-Alex
__________
http://www.linux-vpn.de

#14 Hi, also nur eins nimm aufjedenfall nicht eine Personal Firewall wie die Norton 2005 welche z.Z wohl als eine der besten gillt, selbst diese kann man ganz einfach mit einem buffer overflow aushebeln!!! Deswegen auf jedenfall eine Firewall die im Router schon drin ist, oder was ich auch bald machen möchte eine Externe Firewall, @ die leute die es schwachsinnig fanden: Es lohnt schon!

Grüße euer Spino

#15 Hallo

Hardwarerouter mit Linux, ist ja schon falsch, es gibt ja keine Soft und Hardwarerouter, in beiden Fällen übernimmt ein OS + Sw das Routing und Masquerading.

Unter Linux gibts jedemenge Routerdistris
IpCop
fl4l
devillinux
LinuxLiveRouter
CoyoteLinux
Shorewall

außerdem kann man jede Distri zumRouter umfunktionieren.

Dann gibts noch ein Linxu als Firewall/Gateway komm i.M. nicht auf den Namen, für ein komplettes LAN, ist aber teilweise kommerziell.

Hardware kommt drauf an, es rciht eigentlich ein
P1, CROM, 1GB HDD, 32-64MB RAM, oder ein embegged Board mit dem man dann einen kleinen Router z.B. mit Flashcard und Shorewall realisieren kann.
__________
Mfg
schwedenmann