Nur eine Netzwerkkarte benutzen

Aus IpcopWiki

Wechseln zu: Navigation, Suche

Es kann in bestimmten Situationen von Vorteil sein, nur Komponenten des IPCop zu benutzen:

  • Ein Kunde stellte die Anforderung, nur den URLFilter mit Virenscanning zur Verfügung zu bekommen
  • Eine 2. Firewall (oder ein einfacher Router) an einem zweiten (eigenständigen) DSL-(ISDN-,Modem-)Anschluss soll als Ausfallsystem dienen (hierfür gibt es die Alternative HighAvailable)
  • Es soll für jemand anderes (Kunden, befreundetes Netzwerk, etc.) ein "2.-IPCop" im eigenen Netzwerk aufgesetzt, konfiguriert und mit den neuesten Updates versehen werden (Hierfür müssen die beim Neustart wirkenden Änderungen dann natürlich wieder entfernt werden)

Diese Konzepte wollte ich mit einem standardisiertem System wie dem IPCop erreichen, um meinen Pflege- und Wartungsaufwand zu minimieren. Damit geht je nach Aufgabengebiet der Sinn einer Firewall grundsätzlich verloren und dieses Konstrukt wird daher nicht empfohlen.

Gelungen ist mir das wie folgt:

  • IPCop und die AddOns wie gewohnt installieren
  • den Befehl vi /etc/resolv.conf auf der Konsole ausführen und folgenden Inhalt eintragen 
nameserver <IP-vom-DNSProxy-in-grün>
  • Eintrag speichern und die Datei /etc/rc.d/rc.local öffnen 
route add default gw <IP-vom-Internetgateway-in-grün>
  • Eintrag ebenfalls speichern, damit der Inhalt beim nächsten Neustart ausgeführt werden kann.

somit werden alle Aufrufe zurück in das grüne Netz zu dessen Internetgateway bzw. DNS-Proxy geleitet.

Damit alle Programme inkl. der IPCop-Updates möglichst weiterhin funktionieren, wird die Datei /var/ipcop/red/active in den meisten Programm-Bereichen auf ihre Existenz überprüft. Mit 

touch /var/ipcop/red/active

sollten dann auch ClamAV- und IPCop-Updates zum Beispiel problemlos funktionieren. Dieser Eintrag kann dann ebenfalls in die /etc/rc.d/rc.local, damit beim starten die Datei gleich mit angelegt wird.

folgende Nachteile hat das Konzept:

  • Unter Windows ist der Proxy oder ein Mailkonto ein Bereich von HKEY_CURRENT_USER. Den Zugriff eines Users auf diesen Zweig zu sperren, ist sehr aufwendig. Zudem hat der User fast immer die Möglichkeit, den Proxy zu umgehen, da es ja im grünen Netz den IPCop und den "anderen" Zugang ins Internet gibt.
  • Das Anlegen der Datei /var/ipcop/red/active kann unangenehme Nebenwirkungen haben. Weitreichendere Tests wie Mails abholen, Spam-Scanning etc. stehen noch aus.
  • Es kann durch das "Dreiecks-Routing" zu Problemen kommen, welche sich im Log mit Meldungen wie:"NEW NOT SYN?" bemerkbar machen. Diese Pakete werden durch eine Firewall wie IPCop dabei geblockt und müssen durch eine eigene Regel freigegeben werden.( /sbin/iptables -I NEWNOTSYN -j ACCEPT ), besser wäre es, am vorstehenden Router die Route so zu setzen, dass alle Pakete aus dem Netz an die Firewall gesendet werden...
  • Das Konzept von IPCop inkl. Copfilter funktioniert nicht, wenn das System keine Namensauflösung in das Internet machen kann (davorgeschalteter Proxy). Es werden weder Updates geladen noch Mails versandt!
Von „http://www.ipcopwiki.de/index.php/Nur_eine_Netzwerkkarte_benutzen
Persönliche Werkzeuge