Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Linuxfirewalls

Frage Sicherheit Firewall

Mitglied: FSX2010

FSX2010 (Level 2) - Jetzt verbinden

28.09.2010, aktualisiert 18.10.2012, 4961 Aufrufe, 20 Kommentare

Fragen zu den o.g. Firewalls

Hallo,

wir möchten in unserem Unternehmen den ISA 2000 Server abschaffen. Ich würde gerne als Firewall
eine Linuxversion einsetzen. ca 20 Personen greifen von innen auf das Internet zu. Zusätzlich sind
15 VPN Benutzer draußen Unterwegs und greifen auf das Firmennetz zu. Zwei Standorte sollen
später per ipsec verbunden werden.

Eine Testinstallation der ipfire habe ich aufgesetzt. Die Standardgeschichten gehen auch alle (proxy, VPN, ein SSL Server).

Als Interne Dienste verwenden wir OWA, mehrere Sharepointseiten (https) sowie Oracle Apex Applikationen.

Bisher folgende Zielsätze im ISA konfiguriert:

URL______________________IP-Adresse Intern

https://www.mailserver.de/exchange Interne IP: 222.0.0.1
https://www.sharepoint.de Interne IP: 222.0.0.2
usw.

geht das bei den Linuxfirewall (ipfire/ipcop)?

Gruss

Micha
Mitglied: Arch-Stanton
28.09.2010 um 16:29 Uhr
Konichi wa,

vielleicht solltest Du Deine internen öffentlichen Adressen gegen private austauschen.

Gruß, Arch Stanton
Bitte warten ..
Mitglied: Sorata-Kun
28.09.2010 um 17:35 Uhr
Hmm, ich weiß nicht ob euch das zu teuer ist oder ihr das Geld investiren wollt.

Eine Hardware basierende Geschichte wäre z.B. eine Lancom oder Endian.
Endian gibt es auch als Software zum Download. Wenn du noch ein Stück Hardware hast, könntest du dieses dafür Mißbrauchen.

Außerdem geb es hier vor ein paar Tagen eine gute Anleitung um sich eine Firewall selber zu bauen, such mal hier nach M0n0wall.
Bitte warten ..
Mitglied: FSX2010
28.09.2010 um 18:35 Uhr
die Firewall läuft jetzt in einer Testumgebung zufriedenstellend. Was mich vielmehr interessiert wie sind die Erfahrungen anderer mit den Linuxfirewalls.
Ich möchte die FW auf einem Atomboard laufen lassen. Vorgestellt hatte ich mir: Atom D510 (Dualcore), 2GB Ram und booten von einer CF Karte...
Bitte warten ..
Mitglied: FSX2010
28.09.2010 um 18:35 Uhr
wie meinst Du das? Das waren alles Beispiele......
Bitte warten ..
Mitglied: FSX2010
28.09.2010 um 18:36 Uhr
Zitat von Arch-Stanton:
Konichi wa,

vielleicht solltest Du Deine internen öffentlichen Adressen gegen private austauschen.

Gruß, Arch Stanton

wie meinst Du das? Das waren alles Beispiele......
Bitte warten ..
Mitglied: Sorata-Kun
28.09.2010, aktualisiert 18.10.2012
Hmm, wie gesagt schau dir die echt gute Anleitung von aqui doch mal...

http://www.administrator.de/wissen/vlan-installation-und-routing-mit-m0 ...
Bitte warten ..
Mitglied: dog
28.09.2010 um 23:36 Uhr
Ich würde gerne als Firewall eine Linuxversion einsetzen.

Das würde ich mir aber genau überlegen.
Der ISA/TMG ist keine schlechte Firewall und vor allem eine der übersichtlichsten, die ich bisher gesehen habe.
Zudem ist der VPN-Server direkt mit Windows-Clients kompatibel

Sicher, mit Linux kann man mehr machen, aber bei einer netfilter-basierten Firewall bräuchte ich grob 2x so viele Regeln wie auf dem ISA und das geht auf die Übersichtlichkeit.
Bitte warten ..
Mitglied: Schnuffo
29.09.2010 um 08:39 Uhr
Hi,

also wenn es hier um Übersicht und geht würde ich Endian IPCop vorziehen, ipfire kenne ich nicht, da halte ich mich mal raus. Von Funktionalität unterscheiden sich die Systeme kaum, Endian ist eigentlich nichts anderes nur mit einer schöneren Bedienoberfläche und sehr gut zu konfigurierende Firewall - finde ich zumindest. Es bietet alles, was du hier angegeben hast, die Installation und Grundeinrichtung benötigen ca. 1h. das System habe ich auf einer CF-Card 4GB in einem alten Terminal von Maxdata (Falkon 300) zum Laufen gebracht mit irgendein VIA-Onboard-Prozi und 512MB Ram, sollte also auf einem Intel Atom auch problemlos laufen.
Ein Test allemal wert! Für Performance ist auch hier Ram wichtig 512MB-1GB sollten es schon sein. Mit 4GB HD ist noch genug Reserve, will man allerdings viel loggen (Traffic, Zugriffe System und VPN) wäre eine Festplatte angebrachter.

Ansonsten wäre vieleicht eine Kaufvariante eines VPN-Routers aus dem Hause Cisco (Linksys) noch interessant z.B. RV042 (ca. 130€) oder der große Bruder RV082 (ca. 230€) mit 8! LAN-Anschlüssen. Den Tipp, da kaum einer an die Stromkosten denkt, wenn da so ein PC 24h/Tag vor sich hin rauscht.
Noch schnell gemessen: der RV042 liegt bei 9W und 11,9VA Stromverbrauch.

Gruß!

Chris
Bitte warten ..
Mitglied: FSX2010
29.09.2010 um 09:08 Uhr
Hallo,

danke für Deinen informativen Beitrag. Den Cisco Router hatten wir schon zum testen. Angeschlossen war dieser an einer T-Kom Business Leitung. Hier hatten wir
bemerkt das der Router sich bei einer Zwangstrennung nicht zügig wieder die Verbindung herstellt. Nach dem Tausch gegen das AVM VOIP Gateway waren zumindest
die Einwahlprobleme beseitigt. Hier konnte ich auch den Zeitraum der Zwangstrennung in die Nachtstunden legen was bei dem Cisco nicht möglich war. Die Endian FW werde ich mal testen. Ist diese kostenlos?

Sind die Linuxfirewalls nicht MS VPN Kompatibel?

Gruss

Micha
Bitte warten ..
Mitglied: FSX2010
29.09.2010 um 09:16 Uhr
Zitat von dog:
> Ich würde gerne als Firewall eine Linuxversion einsetzen.

Das würde ich mir aber genau überlegen.
Der ISA/TMG ist keine schlechte Firewall und vor allem eine der übersichtlichsten, die ich bisher gesehen habe.
Zudem ist der VPN-Server direkt mit Windows-Clients kompatibel

Sicher, mit Linux kann man mehr machen, aber bei einer netfilter-basierten Firewall bräuchte ich grob 2x so viele Regeln wie
auf dem ISA und das geht auf die Übersichtlichkeit.

hier geht es ja auch um die Kosten. Den ISA 2000 den wir einsetzen der ist auch nicht unbedingt aktuell. Und wir haben ein bisher ungelöstes Problem:
Der ISA 2000 läuft auf einem Windows 2000 Server. Im Netz haben wir auch noch einen 2000'er DC. Wenn ich diesen vom Netz nehme können sich die
User nicht mehr per VPN Anmelden. Anscheinend kann er das AD, die dann auf 2003'er bestehen, nicht zum Einwahlberechtigungsüberprüfung verwenden.
Fahre ich den 2000'er wieder hoch ist alles i.o. mit dem VPN.

Gruß

Micha
Bitte warten ..
Mitglied: aqui
29.09.2010, aktualisiert 18.10.2012
Für deine User Anzahl sollte diese Firewall hier auch ausreichen nur mal so als Alternative:

http://www.administrator.de/wissen/preiswerte%2c-vpn-f%c3%a4hige-firewa ...

Zudem kostet sie mit 20 Euro im Jahr erheblich weniger als ein oller stromfressender P3 mit Endian oder anderer Freeware.
Für VPNs und allen anderen Funktion musst du auch nicht in Foren suchen sondern es reicht das Forum hier
Bitte warten ..
Mitglied: Phalanx82
29.09.2010 um 11:20 Uhr
Zitat von FSX2010:
Hallo,

Hallo

Sind die Linuxfirewalls nicht MS VPN Kompatibel?

Logischerweise sind sie das Nicht. Schon mal ein Linux gesehen
das mit Windows Profilen umgehen kann oder dein AD verwalten? ;)


Mit freundlichen Grüßen.
Bitte warten ..
Mitglied: aqui
29.09.2010 um 12:06 Uhr
@Phalanx82
Das muss es auch nicht, denn solange die Firewall PPTP oder L2TP basierende VPNs supporten sind sie "MS VPN Kompatibel" und können problemlos mit Win Clients eingesetzt werden. Das siehst du schon an der Vielzahl der auf dem Markt befindlichen Consumer VPN Router ala Draytek, Lancom, Edimax usw.
Außerdem wird kein Mensch im Prifi Bereich Win VPNs auf einem Server terminieren sondern immer auf professionellen Firewalls ala Cisco und Juniper usw. Mal abgesehen davon das die dann eh keine MS VPNs machen aus Sicherheitsgründen und Client Features.
Das zum Thema VPN. AD oder Profile haben per se rein gar nichts damit zu tun, denn das sind unterschiedliche Baustellen.
AD ist zudem LACP basierend und kann problemlos in Unix/Linux integriert werden was ja die vollständig mögliche Integration von Samba als CIFS Applikation klar beweist. In der Beziehung ist deine o.a. (falsche) Pauschalaussage also mit großer Vorsicht zu genießen !!
Bitte warten ..
Mitglied: FSX2010
29.09.2010 um 12:52 Uhr
na den LDAP Server kann man ja im Linux einstellen. Das PPTP oder LPT2 Protokoll müßte halt unterstützt werden. Und wie schon geschrieben hat das nichts mit den Windows Profilen zu tun.
Bitte warten ..
Mitglied: Schnuffo
30.09.2010 um 08:04 Uhr
Hallo Miklein,

ja, die Endian gibt es als Freeware in einer abgespeckten Version. die Firma vertreibt auch Hardwarerouter mit dem System, die größeren Modelle besitzen dazu noch ein Hotspotmodul mit Ticketsystem.

Das ganze System habe ich auch auf einem Server für unsere Studenten mit derzeit 150 Nutzer per Lan und 180 Nutzer über WLan. VPN ist vorhanden, als Client funktioniert Open-VPN. Das ist noch ein bisschen Bastelarbeit aber auch da gibt es gute Forenbeiträge.
Wenn man die Hardware kauft bekommt man ein fertiges Tool der Firma mitgeliefert.
LDAP-Anbindung geht auch bei Kauf- und Freeversion. Bei dem Teil sollte man wirklich lieber auflisten was nicht geht, für eine Firewall ist jedenfalls alles Wünschenswertes vorhanden.

Um mit der Laufstabilität sicher zu gehen haben wir 1/2 Jahr Testphase mit unterschiedlicher Hardware betrieben - absolut zuverlässig. Die Freeware ist bei uns im Einsatz und für Hotspot haben wir uns die X1 angeschafft.

Wie gesagt, ein Test schadet nichts, laufen tut es auch sehr gut auf einen P3 mit 512MB Ram, drei Netzwerkkarten rein uns los geht es. DMZ oder zweites Netzwerk auswählbar, bei zwei Festplatten Raid1 in der Installation auswählbar, Syslog ist eingebaut und die Backups des Systems kann man sich auch per Mail regelmäßig zuschicken lassen.

Gruß!

Chris
Bitte warten ..
Mitglied: FSX2010
30.09.2010 um 15:40 Uhr
Hallo,

ich habe die FW gestern runtergeladen und bin am experimentieren. Gefällt mir wirklich ganz gut. Habt Ihr einen Exchange bzw den OWA freigegeben?
Diverse Portforwardings habe ich eingestellt (http/RDP). Leider bekomme ich den OWA nicht nach draußen. Hast Du einen Hinweis für mich?
Der OWA läuft intern auf Port 80/443. Intern geht natürlich alles.

Gruss

Micha

Zitat von Schnuffo:
Hallo Miklein,

ja, die Endian gibt es als Freeware in einer abgespeckten Version. die Firma vertreibt auch Hardwarerouter mit dem System, die
größeren Modelle besitzen dazu noch ein Hotspotmodul mit Ticketsystem.

Das ganze System habe ich auch auf einem Server für unsere Studenten mit derzeit 150 Nutzer per Lan und 180 Nutzer über
WLan. VPN ist vorhanden, als Client funktioniert Open-VPN. Das ist noch ein bisschen Bastelarbeit aber auch da gibt es gute
Forenbeiträge.
Wenn man die Hardware kauft bekommt man ein fertiges Tool der Firma mitgeliefert.
LDAP-Anbindung geht auch bei Kauf- und Freeversion. Bei dem Teil sollte man wirklich lieber auflisten was nicht geht, für
eine Firewall ist jedenfalls alles Wünschenswertes vorhanden.

Um mit der Laufstabilität sicher zu gehen haben wir 1/2 Jahr Testphase mit unterschiedlicher Hardware betrieben - absolut
zuverlässig. Die Freeware ist bei uns im Einsatz und für Hotspot haben wir uns die X1 angeschafft.

Wie gesagt, ein Test schadet nichts, laufen tut es auch sehr gut auf einen P3 mit 512MB Ram, drei Netzwerkkarten rein uns los geht
es. DMZ oder zweites Netzwerk auswählbar, bei zwei Festplatten Raid1 in der Installation auswählbar, Syslog ist
eingebaut und die Backups des Systems kann man sich auch per Mail regelmäßig zuschicken lassen.

Gruß!

Chris
Bitte warten ..
Mitglied: aqui
01.10.2010 um 15:45 Uhr
Simples Port Forwarding des öffentlichen Firewall Ports / IP Adresse von TCP 80 und TCP 443 auf die interne lokale IP des OWA bringt das sofort zum Fliegen !
Bitte warten ..
Mitglied: FSX2010
02.10.2010 um 13:33 Uhr
hatte ich schon entsprechend konfiguriert. Hat leider erst mal nicht funktioniert. Mit der Endian FW habe ich noch ein Problem: Mir ist aufgefallen das fie FW nach dem einstellen von Regeln hin und wieder den Internetverkehr komplett blockiert. Hiernach stelle ich das letzte Backup wieder her und alles ist o.k.
Ist das bei euch auch so. Ich verwende die letzte comunity Version.



Zitat von aqui:
Simples Port Forwarding des öffentlichen Firewall Ports / IP Adresse von TCP 80 und TCP 443 auf die interne lokale IP des OWA
bringt das sofort zum Fliegen !
Bitte warten ..
Mitglied: Schnuffo
02.10.2010 um 14:41 Uhr
Port 53 für DNS mit reinnehmen, vielleicht hängt es daran. Eine komplett blockierte Firewall hatte ich bisher nicht. Wichtig wie bei Ciscoroutern ist die Reihenfolge der Regeln wichtig.

Gruß!

Chris
Bitte warten ..
Mitglied: FSX2010
02.10.2010 um 15:11 Uhr
Zitat von Schnuffo:
Port 53 für DNS mit reinnehmen, vielleicht hängt es daran. Eine komplett blockierte Firewall hatte ich bisher nicht.
Wichtig wie bei Ciscoroutern ist die Reihenfolge der Regeln wichtig.

Gruß!

Chris

Port 53 ist drin. Das die Reihenfolge wichtig ist klar.
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(3)

Tipp von agowa338 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...