18
freie Linux Firewall
Hallo,
ich bin auf der Suche nach einer freien Linux Firewall.
Folgende Features sollte sie haben.
Bin für jeden Ratschlag dankbar.
Gruss
Michael
ich bin auf der Suche nach einer freien Linux Firewall.
Folgende Features sollte sie haben.
- QOS (wegen VoIP, etc....)
- OpenVPN
- IPSec VPN
- In- und Outbound Load Balancing
- Hardware Failover
- DNS
- DNS-Server
- DHCP
- DMZ
- Website-Sperrung
Bin für jeden Ratschlag dankbar.
Gruss
Michael
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 103193
Url: https://administrator.de/contentid/103193
Printed on: April 24, 2024 at 20:04 o'clock
18 Comments
Latest comment
Guten Morgen!
Also du könntest dir mal IPCop oder pfSense anschauen.
Aber ehrlich gesagt, Firewalls solltest du jemandem mit Ahnung überlassen.
Denn nur weil Linux drauf steht ist das noch kein Freifahrtschein für ein sicheres System.
Gruß
Dennis
P.S.: Man schneit das draußen^^
Also du könntest dir mal IPCop oder pfSense anschauen.
Aber ehrlich gesagt, Firewalls solltest du jemandem mit Ahnung überlassen.
Habe da leider nicht wirklich die Ahnung von. Denn nur weil Linux drauf steht ist das noch kein Freifahrtschein für ein sicheres System.
Gruß
Dennis
P.S.: Man schneit das draußen^^
Hi,
hab es raus gemacht.
War aber nicht so gemeint wie du es verstanden hast.
Von der Einrichtung hab ich Ahnung. Nur hab ich keine Ahnung welche Linux-Firewall brauchbar ist und welche nicht.
Gruss
Michael
hab es raus gemacht.
War aber nicht so gemeint wie du es verstanden hast.
Von der Einrichtung hab ich Ahnung. Nur hab ich keine Ahnung welche Linux-Firewall brauchbar ist und welche nicht.
Gruss
Michael
Achso, ok, war leicht missverständlich.
Aber die beiden genannten kannst dir ja mal anschauen ob die deine Ansprüche erfüllen.
Beiden können auch über Erweiterungen fehlende Funktionen ergänzt werden.
Aber die beiden genannten kannst dir ja mal anschauen ob die deine Ansprüche erfüllen.
Beiden können auch über Erweiterungen fehlende Funktionen ergänzt werden.
Also die IPCop hatte ich schon mal und naja wirklich zufrieden war ich nicht.
Eventuell gäbe es auch noch die Möglichkeit, das du dir deine eigene Firewall baust.
Je nach Linuxfähigkeiten kann diese dann besser und sicherer als die fertigen Firewall Distris sein
Ich für meinen Teil habe bisher mit IPCop, pfSense aber auch mit was selbstgebautem gute Erfahrungen gemacht.
Je nach Linuxfähigkeiten kann diese dann besser und sicherer als die fertigen Firewall Distris sein
Ich für meinen Teil habe bisher mit IPCop, pfSense aber auch mit was selbstgebautem gute Erfahrungen gemacht.
So gut sind dann meine Linuxfähigkeiten dann doch nicht.
hab im netz jetzt noch diese hier gefunden http://www.ipfire.org/index/de sagt die dir was?
hab im netz jetzt noch diese hier gefunden http://www.ipfire.org/index/de sagt die dir was?
M0n0wall wäre auch noch eine Alternative für dich:
http://m0n0.ch/wall/
Dafür benötigst du keinerlei Unix Know how, denn alles ist fertig.
Brenn dir einfach die CD und boote damit mal ein Live System zum Üben. das kannst du sofort auf deinem PC machen...
http://m0n0.ch/wall/download.php?file=cdrom-1.3b15.iso
Konfiguriert wird das System über eine Weboberfläche die keinerlei Unix Kenntnisse erfordert und auch für Technik Unkundige leicht machbar ist.
Eine weitere zu empfehlende Firewall mit erheblich mehr Funktionalitäten ist die Endian Firewall... Auch nur CD rein, Installation abnicken und Konfiguration über ein Webinterface die einfach für einen laien ist:
http://www.endian.com/de/community/overview/
http://m0n0.ch/wall/
Dafür benötigst du keinerlei Unix Know how, denn alles ist fertig.
Brenn dir einfach die CD und boote damit mal ein Live System zum Üben. das kannst du sofort auf deinem PC machen...
http://m0n0.ch/wall/download.php?file=cdrom-1.3b15.iso
Konfiguriert wird das System über eine Weboberfläche die keinerlei Unix Kenntnisse erfordert und auch für Technik Unkundige leicht machbar ist.
Eine weitere zu empfehlende Firewall mit erheblich mehr Funktionalitäten ist die Endian Firewall... Auch nur CD rein, Installation abnicken und Konfiguration über ein Webinterface die einfach für einen laien ist:
http://www.endian.com/de/community/overview/
Die Endian ist leider auch durchgefallen.
Der Grund wäre mal interessant....
Ansonste gibt es noch ein freies Image der Astaro Firewall für die private Nutzung:
http://www.astaro.de/
Ansonste gibt es noch ein freies Image der Astaro Firewall für die private Nutzung:
http://www.astaro.de/
Vielleicht hab ich es übersehen aber ich habe da kein QOS und das ist zwingend.
Mmmhhhh, wozu soll das QoS denn sinnvoll sein ??? Etwa um VoIP über das Internet oder einen VPN Tunnel zu machen ??
Dafür wäre ein QoS natürlich kompletter Unsinn, denn spätestens beim Provider Router an dem du mit deiner FW dranhängst ist sofort Schluss mit QoS !
Dort werden QoS Settings ob nun 802.1p oder DiffServ sofort gelöscht vom Paket bzw. so oder so vollkommen ignoriert !!
Denn warum solltest du dir als normaler Kunde in seinem Netz einen erheblichen Vorteil vor anderen normalen Kunden verschaffen ohne viel Geld zusätzlich dafür zu bezahlen ???!!!
Am Provider Router sind alle gleich bzw. werden zwangsweise gleich gemacht....!
Auch wenn dein über ein Internet Exchange geht gehen die QoS Settings sofort flöten !! Logisch denn Provider X akzeptiert niemals QoS Settings von Provider Y aus den gleichen Gründen. Bei ihm kommt aber so oder so schon QoS befreiter Traffic an so das eine Diskussion darüber obsolet ist !!
Ganz zu schweigen von VPNs wo das Kapselpaket ja so oder so plain IP ist und QoS im eingekapselten Paket nie zum tragen kommt.
Auch wenn das VPN Paket ein QoS Setting hätte erfährt es das gleiche Schicksal am Provider Router wie oben schon beschrieben.
In einem internen Netz benötigt man auf der FW kein QoS denn damit geben sich ja die Switches und Router ab..
Kann es sein das du in deinem vermutlich laienhaften QoS Verständnis da einem schweren Denkfehler unterlaufen bist oder dir diese Zusammenhänge nicht klar sind ???
Dafür wäre ein QoS natürlich kompletter Unsinn, denn spätestens beim Provider Router an dem du mit deiner FW dranhängst ist sofort Schluss mit QoS !
Dort werden QoS Settings ob nun 802.1p oder DiffServ sofort gelöscht vom Paket bzw. so oder so vollkommen ignoriert !!
Denn warum solltest du dir als normaler Kunde in seinem Netz einen erheblichen Vorteil vor anderen normalen Kunden verschaffen ohne viel Geld zusätzlich dafür zu bezahlen ???!!!
Am Provider Router sind alle gleich bzw. werden zwangsweise gleich gemacht....!
Auch wenn dein über ein Internet Exchange geht gehen die QoS Settings sofort flöten !! Logisch denn Provider X akzeptiert niemals QoS Settings von Provider Y aus den gleichen Gründen. Bei ihm kommt aber so oder so schon QoS befreiter Traffic an so das eine Diskussion darüber obsolet ist !!
Ganz zu schweigen von VPNs wo das Kapselpaket ja so oder so plain IP ist und QoS im eingekapselten Paket nie zum tragen kommt.
Auch wenn das VPN Paket ein QoS Setting hätte erfährt es das gleiche Schicksal am Provider Router wie oben schon beschrieben.
In einem internen Netz benötigt man auf der FW kein QoS denn damit geben sich ja die Switches und Router ab..
Kann es sein das du in deinem vermutlich laienhaften QoS Verständnis da einem schweren Denkfehler unterlaufen bist oder dir diese Zusammenhänge nicht klar sind ???
Das kann schon sein dass ich da einen Denkfehler habe.
Es sind rund 15 Rechner die über die Firewall gehen.
Mein denken war, dass ich dann die beschnittene Bandbreite furch QOS so beeinflusse, dass die Sprachqualität von VoIP keine Beeinträchtigung hat.
Wollte dadurch sicherstellen, dass ein FTP-Down / Upload etc. nicht die Bandbreite des VoIP klaut.
Lieg ich damit so falsch?
Es sind rund 15 Rechner die über die Firewall gehen.
Mein denken war, dass ich dann die beschnittene Bandbreite furch QOS so beeinflusse, dass die Sprachqualität von VoIP keine Beeinträchtigung hat.
Wollte dadurch sicherstellen, dass ein FTP-Down / Upload etc. nicht die Bandbreite des VoIP klaut.
Lieg ich damit so falsch?
Bei 64kBit/s Traffic pro Gespräch (und auch nur wenn man gerade spricht..) ist in heutigen modernen Gigabit Netzwerken eine Diskussion darüber vermutlich sowieso sinnfrei....
Gesetzt den Fall deine 15 Leute telefonieren allesamt zu gleicher Zeit sind das 960kBit/s und das auch nur wenn sie alle mal "Aaaaahhh" sagen.
Da erschlägt man alles eh alles mit Bandbreite..
Oder was meinst du mit "15 Rechner durch die Firewall" ???
In Richtung Internet oder was ???
Dann gilt wieder das oben bereits gesagte...
Was du machen kannst ist ein Rate Limiting. Aber das macht man dann tunlichst auf dem Router der in eine niedrigere bandbreite routet niemals aber auf eine FW.
So oder so machen ja deine Endgeräte ein QoS Setting sei es 802.1p oder DiffServ mit denen diese Pakete gleich so ins Netz kommen.
Die FW forwardet das so oder so transparent ohne diese Settings zu ändern, reicht diese also unangetastet weiter.... Wo ist also letztendlich dein Problem bei der FW ??
Gesetzt den Fall deine 15 Leute telefonieren allesamt zu gleicher Zeit sind das 960kBit/s und das auch nur wenn sie alle mal "Aaaaahhh" sagen.
Da erschlägt man alles eh alles mit Bandbreite..
Oder was meinst du mit "15 Rechner durch die Firewall" ???
In Richtung Internet oder was ???
Dann gilt wieder das oben bereits gesagte...
Was du machen kannst ist ein Rate Limiting. Aber das macht man dann tunlichst auf dem Router der in eine niedrigere bandbreite routet niemals aber auf eine FW.
So oder so machen ja deine Endgeräte ein QoS Setting sei es 802.1p oder DiffServ mit denen diese Pakete gleich so ins Netz kommen.
Die FW forwardet das so oder so transparent ohne diese Settings zu ändern, reicht diese also unangetastet weiter.... Wo ist also letztendlich dein Problem bei der FW ??
Also ich hab eine 16 Mbit DSL-Leitung.
Hinter der Firewall arbeiten 15 Rechner (Cients).
Durch das QOS will ich den VoIP - Traffice bevorzugen, dass andere Clients mit z.B. FTP-Übertragungen nicht die 16Mbit Leitung zu machen und die VoIP - Verbindung Qualitätsprobleme hat / bekommt. Unterm Strich soll VoIP eine garantierte Bandbreite haben und die restliche Bandbreite soll für den anderen Traffic sein.
Hinter der Firewall arbeiten 15 Rechner (Cients).
Durch das QOS will ich den VoIP - Traffice bevorzugen, dass andere Clients mit z.B. FTP-Übertragungen nicht die 16Mbit Leitung zu machen und die VoIP - Verbindung Qualitätsprobleme hat / bekommt. Unterm Strich soll VoIP eine garantierte Bandbreite haben und die restliche Bandbreite soll für den anderen Traffic sein.
Das machst du dann aber auf dem Router und nicht an der FW ??
Erstmal musst du dazu zwingend rausbekommen ob deine VoIP Clients 802.1p oder DiffServ machen.
Am besten snifferst du mal mit Wireshark oder NetMonitor3.2 diese VoIP Pakete und siehst dir das Setting mal an wenn der Hersteller der VoIP Komponenten das nicht beantworten kann.
Wenn du das dann letztlich weisst musst du rausbekommen welche Priority die denn setzen für DiffServ oder 802.1p.
Wenn du das dann wiederum weisst kannst du dem DSL Router sagen: OK priorisiere DiffServ 7 oder 802.1p mit Prio 7 hier bitte am LAN Port.
Nur so wird ein Schuh draus...
Können deine VoIP Komponenten sowas generell nicht hast du keine Chance, denn dann sind es für den Router nur banale IP Pakete sonst nix....
Oder....du hast einen etwas besseren Router, filterst alle Telefon IP Adressen mit einer Access Liste und priorisierst diese dann am LAN Interface.
Da musst du aber etwas tiefer in die Tasche greifen...
Billigrouter ala Speedport und Co. supporten sowas Edles natürlich niemals...
Erstmal musst du dazu zwingend rausbekommen ob deine VoIP Clients 802.1p oder DiffServ machen.
Am besten snifferst du mal mit Wireshark oder NetMonitor3.2 diese VoIP Pakete und siehst dir das Setting mal an wenn der Hersteller der VoIP Komponenten das nicht beantworten kann.
Wenn du das dann letztlich weisst musst du rausbekommen welche Priority die denn setzen für DiffServ oder 802.1p.
Wenn du das dann wiederum weisst kannst du dem DSL Router sagen: OK priorisiere DiffServ 7 oder 802.1p mit Prio 7 hier bitte am LAN Port.
Nur so wird ein Schuh draus...
Können deine VoIP Komponenten sowas generell nicht hast du keine Chance, denn dann sind es für den Router nur banale IP Pakete sonst nix....
Oder....du hast einen etwas besseren Router, filterst alle Telefon IP Adressen mit einer Access Liste und priorisierst diese dann am LAN Interface.
Da musst du aber etwas tiefer in die Tasche greifen...
Billigrouter ala Speedport und Co. supporten sowas Edles natürlich niemals...
Eigentlich habe ich keinen Router das macht alles die Firewall.
Daher muss es ja auch die Firewall können und nicht der Router.
Im Moment habe ich eine IpCop (Router/Firewall) am laufen. Auf der IpCop hab ich das Adon "QOS für VoIP" installiert. Bei dem AdOn wurde der Begriff Layer7 genannt.
Bei einem laufendem VoIP-Gespräch habe ich damit eine Verbesserung erzielt. (QOS im laufenden Betrieb eingeschaltet.) Insgesamt laufen die Gspräche jetzt teilweise einfach besser.
Ich habe das Problem, dass bei den Gsprächen Verbindungen abbrechen, es hallt, ein Echo da ist oder die Stimme wie r2d2 klingt.
Der Witz bei der ganzen Sache ist, dass die Probleme nicht nur bei externen Anrufen auftritt sondern auch bei internen Anrufen (Lan).
Daher muss es ja auch die Firewall können und nicht der Router.
Im Moment habe ich eine IpCop (Router/Firewall) am laufen. Auf der IpCop hab ich das Adon "QOS für VoIP" installiert. Bei dem AdOn wurde der Begriff Layer7 genannt.
Bei einem laufendem VoIP-Gespräch habe ich damit eine Verbesserung erzielt. (QOS im laufenden Betrieb eingeschaltet.) Insgesamt laufen die Gspräche jetzt teilweise einfach besser.
Ich habe das Problem, dass bei den Gsprächen Verbindungen abbrechen, es hallt, ein Echo da ist oder die Stimme wie r2d2 klingt.
Der Witz bei der ganzen Sache ist, dass die Probleme nicht nur bei externen Anrufen auftritt sondern auch bei internen Anrufen (Lan).
Ja und jetzt weiss ich halt nimmer weiter.
Daher hab ich mir gedacht tausch mal die Firewall/Router aus und kuck was passiert.
Daher hab ich mir gedacht tausch mal die Firewall/Router aus und kuck was passiert.
Die Wahl ist getroffen. Es wurde die IpFire (1)
