21277
Sep 28, 2010, updated at Oct 18, 2012 at 16:43:38 (UTC)
5601
20
1
Linuxfirewalls
Fragen zu den o.g. Firewalls
Hallo,
wir möchten in unserem Unternehmen den ISA 2000 Server abschaffen. Ich würde gerne als Firewall
eine Linuxversion einsetzen. ca 20 Personen greifen von innen auf das Internet zu. Zusätzlich sind
15 VPN Benutzer draußen Unterwegs und greifen auf das Firmennetz zu. Zwei Standorte sollen
später per ipsec verbunden werden.
Eine Testinstallation der ipfire habe ich aufgesetzt. Die Standardgeschichten gehen auch alle (proxy, VPN, ein SSL Server).
Als Interne Dienste verwenden wir OWA, mehrere Sharepointseiten (https) sowie Oracle Apex Applikationen.
Bisher folgende Zielsätze im ISA konfiguriert:
URL______________________IP-Adresse Intern
https://www.mailserver.de/exchange Interne IP: 222.0.0.1
https://www.sharepoint.de Interne IP: 222.0.0.2
usw.
geht das bei den Linuxfirewall (ipfire/ipcop)?
Gruss
Micha
wir möchten in unserem Unternehmen den ISA 2000 Server abschaffen. Ich würde gerne als Firewall
eine Linuxversion einsetzen. ca 20 Personen greifen von innen auf das Internet zu. Zusätzlich sind
15 VPN Benutzer draußen Unterwegs und greifen auf das Firmennetz zu. Zwei Standorte sollen
später per ipsec verbunden werden.
Eine Testinstallation der ipfire habe ich aufgesetzt. Die Standardgeschichten gehen auch alle (proxy, VPN, ein SSL Server).
Als Interne Dienste verwenden wir OWA, mehrere Sharepointseiten (https) sowie Oracle Apex Applikationen.
Bisher folgende Zielsätze im ISA konfiguriert:
URL______________________IP-Adresse Intern
https://www.mailserver.de/exchange Interne IP: 222.0.0.1
https://www.sharepoint.de Interne IP: 222.0.0.2
usw.
geht das bei den Linuxfirewall (ipfire/ipcop)?
Gruss
Micha
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 151954
Url: https://administrator.de/contentid/151954
Printed on: April 23, 2024 at 07:04 o'clock
20 Comments
Latest comment
Konichi wa,
vielleicht solltest Du Deine internen öffentlichen Adressen gegen private austauschen.
Gruß, Arch Stanton
vielleicht solltest Du Deine internen öffentlichen Adressen gegen private austauschen.
Gruß, Arch Stanton
Hmm, ich weiß nicht ob euch das zu teuer ist oder ihr das Geld investiren wollt.
Eine Hardware basierende Geschichte wäre z.B. eine Lancom oder Endian.
Endian gibt es auch als Software zum Download. Wenn du noch ein Stück Hardware hast, könntest du dieses dafür Mißbrauchen.
Außerdem geb es hier vor ein paar Tagen eine gute Anleitung um sich eine Firewall selber zu bauen, such mal hier nach M0n0wall.
Eine Hardware basierende Geschichte wäre z.B. eine Lancom oder Endian.
Endian gibt es auch als Software zum Download. Wenn du noch ein Stück Hardware hast, könntest du dieses dafür Mißbrauchen.
Außerdem geb es hier vor ein paar Tagen eine gute Anleitung um sich eine Firewall selber zu bauen, such mal hier nach M0n0wall.
die Firewall läuft jetzt in einer Testumgebung zufriedenstellend. Was mich vielmehr interessiert wie sind die Erfahrungen anderer mit den Linuxfirewalls.
Ich möchte die FW auf einem Atomboard laufen lassen. Vorgestellt hatte ich mir: Atom D510 (Dualcore), 2GB Ram und booten von einer CF Karte...
Ich möchte die FW auf einem Atomboard laufen lassen. Vorgestellt hatte ich mir: Atom D510 (Dualcore), 2GB Ram und booten von einer CF Karte...
wie meinst Du das? Das waren alles Beispiele......
Zitat von @Arch-Stanton:
Konichi wa,
vielleicht solltest Du Deine internen öffentlichen Adressen gegen private austauschen.
Gruß, Arch Stanton
Konichi wa,
vielleicht solltest Du Deine internen öffentlichen Adressen gegen private austauschen.
Gruß, Arch Stanton
wie meinst Du das? Das waren alles Beispiele......
Hmm, wie gesagt schau dir die echt gute Anleitung von aqui doch mal...
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
VLAN Installation und Routing mit pfSense, Mikrotik, DD-WRT oder Cisco RV Routern
Ich würde gerne als Firewall eine Linuxversion einsetzen.
Das würde ich mir aber genau überlegen.
Der ISA/TMG ist keine schlechte Firewall und vor allem eine der übersichtlichsten, die ich bisher gesehen habe.
Zudem ist der VPN-Server direkt mit Windows-Clients kompatibel
Sicher, mit Linux kann man mehr machen, aber bei einer netfilter-basierten Firewall bräuchte ich grob 2x so viele Regeln wie auf dem ISA und das geht auf die Übersichtlichkeit.
Hi,
also wenn es hier um Übersicht und geht würde ich Endian IPCop vorziehen, ipfire kenne ich nicht, da halte ich mich mal raus. Von Funktionalität unterscheiden sich die Systeme kaum, Endian ist eigentlich nichts anderes nur mit einer schöneren Bedienoberfläche und sehr gut zu konfigurierende Firewall - finde ich zumindest. Es bietet alles, was du hier angegeben hast, die Installation und Grundeinrichtung benötigen ca. 1h. das System habe ich auf einer CF-Card 4GB in einem alten Terminal von Maxdata (Falkon 300) zum Laufen gebracht mit irgendein VIA-Onboard-Prozi und 512MB Ram, sollte also auf einem Intel Atom auch problemlos laufen.
Ein Test allemal wert! Für Performance ist auch hier Ram wichtig 512MB-1GB sollten es schon sein. Mit 4GB HD ist noch genug Reserve, will man allerdings viel loggen (Traffic, Zugriffe System und VPN) wäre eine Festplatte angebrachter.
Ansonsten wäre vieleicht eine Kaufvariante eines VPN-Routers aus dem Hause Cisco (Linksys) noch interessant z.B. RV042 (ca. 130€) oder der große Bruder RV082 (ca. 230€) mit 8! LAN-Anschlüssen. Den Tipp, da kaum einer an die Stromkosten denkt, wenn da so ein PC 24h/Tag vor sich hin rauscht.
Noch schnell gemessen: der RV042 liegt bei 9W und 11,9VA Stromverbrauch.
Gruß!
Chris
also wenn es hier um Übersicht und geht würde ich Endian IPCop vorziehen, ipfire kenne ich nicht, da halte ich mich mal raus. Von Funktionalität unterscheiden sich die Systeme kaum, Endian ist eigentlich nichts anderes nur mit einer schöneren Bedienoberfläche und sehr gut zu konfigurierende Firewall - finde ich zumindest. Es bietet alles, was du hier angegeben hast, die Installation und Grundeinrichtung benötigen ca. 1h. das System habe ich auf einer CF-Card 4GB in einem alten Terminal von Maxdata (Falkon 300) zum Laufen gebracht mit irgendein VIA-Onboard-Prozi und 512MB Ram, sollte also auf einem Intel Atom auch problemlos laufen.
Ein Test allemal wert! Für Performance ist auch hier Ram wichtig 512MB-1GB sollten es schon sein. Mit 4GB HD ist noch genug Reserve, will man allerdings viel loggen (Traffic, Zugriffe System und VPN) wäre eine Festplatte angebrachter.
Ansonsten wäre vieleicht eine Kaufvariante eines VPN-Routers aus dem Hause Cisco (Linksys) noch interessant z.B. RV042 (ca. 130€) oder der große Bruder RV082 (ca. 230€) mit 8! LAN-Anschlüssen. Den Tipp, da kaum einer an die Stromkosten denkt, wenn da so ein PC 24h/Tag vor sich hin rauscht.
Noch schnell gemessen: der RV042 liegt bei 9W und 11,9VA Stromverbrauch.
Gruß!
Chris
Hallo,
danke für Deinen informativen Beitrag. Den Cisco Router hatten wir schon zum testen. Angeschlossen war dieser an einer T-Kom Business Leitung. Hier hatten wir
bemerkt das der Router sich bei einer Zwangstrennung nicht zügig wieder die Verbindung herstellt. Nach dem Tausch gegen das AVM VOIP Gateway waren zumindest
die Einwahlprobleme beseitigt. Hier konnte ich auch den Zeitraum der Zwangstrennung in die Nachtstunden legen was bei dem Cisco nicht möglich war. Die Endian FW werde ich mal testen. Ist diese kostenlos?
Sind die Linuxfirewalls nicht MS VPN Kompatibel?
Gruss
Micha
danke für Deinen informativen Beitrag. Den Cisco Router hatten wir schon zum testen. Angeschlossen war dieser an einer T-Kom Business Leitung. Hier hatten wir
bemerkt das der Router sich bei einer Zwangstrennung nicht zügig wieder die Verbindung herstellt. Nach dem Tausch gegen das AVM VOIP Gateway waren zumindest
die Einwahlprobleme beseitigt. Hier konnte ich auch den Zeitraum der Zwangstrennung in die Nachtstunden legen was bei dem Cisco nicht möglich war. Die Endian FW werde ich mal testen. Ist diese kostenlos?
Sind die Linuxfirewalls nicht MS VPN Kompatibel?
Gruss
Micha
Zitat von @dog:
> Ich würde gerne als Firewall eine Linuxversion einsetzen.
Das würde ich mir aber genau überlegen.
Der ISA/TMG ist keine schlechte Firewall und vor allem eine der übersichtlichsten, die ich bisher gesehen habe.
Zudem ist der VPN-Server direkt mit Windows-Clients kompatibel
Sicher, mit Linux kann man mehr machen, aber bei einer netfilter-basierten Firewall bräuchte ich grob 2x so viele Regeln wie
auf dem ISA und das geht auf die Übersichtlichkeit.
> Ich würde gerne als Firewall eine Linuxversion einsetzen.
Das würde ich mir aber genau überlegen.
Der ISA/TMG ist keine schlechte Firewall und vor allem eine der übersichtlichsten, die ich bisher gesehen habe.
Zudem ist der VPN-Server direkt mit Windows-Clients kompatibel
Sicher, mit Linux kann man mehr machen, aber bei einer netfilter-basierten Firewall bräuchte ich grob 2x so viele Regeln wie
auf dem ISA und das geht auf die Übersichtlichkeit.
hier geht es ja auch um die Kosten. Den ISA 2000 den wir einsetzen der ist auch nicht unbedingt aktuell. Und wir haben ein bisher ungelöstes Problem:
Der ISA 2000 läuft auf einem Windows 2000 Server. Im Netz haben wir auch noch einen 2000'er DC. Wenn ich diesen vom Netz nehme können sich die
User nicht mehr per VPN Anmelden. Anscheinend kann er das AD, die dann auf 2003'er bestehen, nicht zum Einwahlberechtigungsüberprüfung verwenden.
Fahre ich den 2000'er wieder hoch ist alles i.o. mit dem VPN.
Gruß
Micha
Für deine User Anzahl sollte diese Firewall hier auch ausreichen nur mal so als Alternative:
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zudem kostet sie mit 20 Euro im Jahr erheblich weniger als ein oller stromfressender P3 mit Endian oder anderer Freeware.
Für VPNs und allen anderen Funktion musst du auch nicht in Foren suchen sondern es reicht das Forum hier
Preiswerte, VPN fähige Firewall im Eigenbau oder als Fertiggerät
Zudem kostet sie mit 20 Euro im Jahr erheblich weniger als ein oller stromfressender P3 mit Endian oder anderer Freeware.
Für VPNs und allen anderen Funktion musst du auch nicht in Foren suchen sondern es reicht das Forum hier
Zitat von @21277:
Hallo,
Hallo,
Hallo
Sind die Linuxfirewalls nicht MS VPN Kompatibel?
Logischerweise sind sie das Nicht. Schon mal ein Linux gesehen
das mit Windows Profilen umgehen kann oder dein AD verwalten? ;)
Mfg.
@Phalanx82
Das muss es auch nicht, denn solange die Firewall PPTP oder L2TP basierende VPNs supporten sind sie "MS VPN Kompatibel" und können problemlos mit Win Clients eingesetzt werden. Das siehst du schon an der Vielzahl der auf dem Markt befindlichen Consumer VPN Router ala Draytek, Lancom, Edimax usw.
Außerdem wird kein Mensch im Prifi Bereich Win VPNs auf einem Server terminieren sondern immer auf professionellen Firewalls ala Cisco und Juniper usw. Mal abgesehen davon das die dann eh keine MS VPNs machen aus Sicherheitsgründen und Client Features.
Das zum Thema VPN. AD oder Profile haben per se rein gar nichts damit zu tun, denn das sind unterschiedliche Baustellen.
AD ist zudem LACP basierend und kann problemlos in Unix/Linux integriert werden was ja die vollständig mögliche Integration von Samba als CIFS Applikation klar beweist. In der Beziehung ist deine o.a. (falsche) Pauschalaussage also mit großer Vorsicht zu genießen !!
Das muss es auch nicht, denn solange die Firewall PPTP oder L2TP basierende VPNs supporten sind sie "MS VPN Kompatibel" und können problemlos mit Win Clients eingesetzt werden. Das siehst du schon an der Vielzahl der auf dem Markt befindlichen Consumer VPN Router ala Draytek, Lancom, Edimax usw.
Außerdem wird kein Mensch im Prifi Bereich Win VPNs auf einem Server terminieren sondern immer auf professionellen Firewalls ala Cisco und Juniper usw. Mal abgesehen davon das die dann eh keine MS VPNs machen aus Sicherheitsgründen und Client Features.
Das zum Thema VPN. AD oder Profile haben per se rein gar nichts damit zu tun, denn das sind unterschiedliche Baustellen.
AD ist zudem LACP basierend und kann problemlos in Unix/Linux integriert werden was ja die vollständig mögliche Integration von Samba als CIFS Applikation klar beweist. In der Beziehung ist deine o.a. (falsche) Pauschalaussage also mit großer Vorsicht zu genießen !!
na den LDAP Server kann man ja im Linux einstellen. Das PPTP oder LPT2 Protokoll müßte halt unterstützt werden. Und wie schon geschrieben hat das nichts mit den Windows Profilen zu tun.
Hallo Miklein,
ja, die Endian gibt es als Freeware in einer abgespeckten Version. die Firma vertreibt auch Hardwarerouter mit dem System, die größeren Modelle besitzen dazu noch ein Hotspotmodul mit Ticketsystem.
Das ganze System habe ich auch auf einem Server für unsere Studenten mit derzeit 150 Nutzer per Lan und 180 Nutzer über WLan. VPN ist vorhanden, als Client funktioniert Open-VPN. Das ist noch ein bisschen Bastelarbeit aber auch da gibt es gute Forenbeiträge.
Wenn man die Hardware kauft bekommt man ein fertiges Tool der Firma mitgeliefert.
LDAP-Anbindung geht auch bei Kauf- und Freeversion. Bei dem Teil sollte man wirklich lieber auflisten was nicht geht, für eine Firewall ist jedenfalls alles Wünschenswertes vorhanden.
Um mit der Laufstabilität sicher zu gehen haben wir 1/2 Jahr Testphase mit unterschiedlicher Hardware betrieben - absolut zuverlässig. Die Freeware ist bei uns im Einsatz und für Hotspot haben wir uns die X1 angeschafft.
Wie gesagt, ein Test schadet nichts, laufen tut es auch sehr gut auf einen P3 mit 512MB Ram, drei Netzwerkkarten rein uns los geht es. DMZ oder zweites Netzwerk auswählbar, bei zwei Festplatten Raid1 in der Installation auswählbar, Syslog ist eingebaut und die Backups des Systems kann man sich auch per Mail regelmäßig zuschicken lassen.
Gruß!
Chris
ja, die Endian gibt es als Freeware in einer abgespeckten Version. die Firma vertreibt auch Hardwarerouter mit dem System, die größeren Modelle besitzen dazu noch ein Hotspotmodul mit Ticketsystem.
Das ganze System habe ich auch auf einem Server für unsere Studenten mit derzeit 150 Nutzer per Lan und 180 Nutzer über WLan. VPN ist vorhanden, als Client funktioniert Open-VPN. Das ist noch ein bisschen Bastelarbeit aber auch da gibt es gute Forenbeiträge.
Wenn man die Hardware kauft bekommt man ein fertiges Tool der Firma mitgeliefert.
LDAP-Anbindung geht auch bei Kauf- und Freeversion. Bei dem Teil sollte man wirklich lieber auflisten was nicht geht, für eine Firewall ist jedenfalls alles Wünschenswertes vorhanden.
Um mit der Laufstabilität sicher zu gehen haben wir 1/2 Jahr Testphase mit unterschiedlicher Hardware betrieben - absolut zuverlässig. Die Freeware ist bei uns im Einsatz und für Hotspot haben wir uns die X1 angeschafft.
Wie gesagt, ein Test schadet nichts, laufen tut es auch sehr gut auf einen P3 mit 512MB Ram, drei Netzwerkkarten rein uns los geht es. DMZ oder zweites Netzwerk auswählbar, bei zwei Festplatten Raid1 in der Installation auswählbar, Syslog ist eingebaut und die Backups des Systems kann man sich auch per Mail regelmäßig zuschicken lassen.
Gruß!
Chris
Hallo,
ich habe die FW gestern runtergeladen und bin am experimentieren. Gefällt mir wirklich ganz gut. Habt Ihr einen Exchange bzw den OWA freigegeben?
Diverse Portforwardings habe ich eingestellt (http/RDP). Leider bekomme ich den OWA nicht nach draußen. Hast Du einen Hinweis für mich?
Der OWA läuft intern auf Port 80/443. Intern geht natürlich alles.
Gruss
Micha
ich habe die FW gestern runtergeladen und bin am experimentieren. Gefällt mir wirklich ganz gut. Habt Ihr einen Exchange bzw den OWA freigegeben?
Diverse Portforwardings habe ich eingestellt (http/RDP). Leider bekomme ich den OWA nicht nach draußen. Hast Du einen Hinweis für mich?
Der OWA läuft intern auf Port 80/443. Intern geht natürlich alles.
Gruss
Micha
Zitat von @Schnuffo:
Hallo Miklein,
ja, die Endian gibt es als Freeware in einer abgespeckten Version. die Firma vertreibt auch Hardwarerouter mit dem System, die
größeren Modelle besitzen dazu noch ein Hotspotmodul mit Ticketsystem.
Das ganze System habe ich auch auf einem Server für unsere Studenten mit derzeit 150 Nutzer per Lan und 180 Nutzer über
WLan. VPN ist vorhanden, als Client funktioniert Open-VPN. Das ist noch ein bisschen Bastelarbeit aber auch da gibt es gute
Forenbeiträge.
Wenn man die Hardware kauft bekommt man ein fertiges Tool der Firma mitgeliefert.
LDAP-Anbindung geht auch bei Kauf- und Freeversion. Bei dem Teil sollte man wirklich lieber auflisten was nicht geht, für
eine Firewall ist jedenfalls alles Wünschenswertes vorhanden.
Um mit der Laufstabilität sicher zu gehen haben wir 1/2 Jahr Testphase mit unterschiedlicher Hardware betrieben - absolut
zuverlässig. Die Freeware ist bei uns im Einsatz und für Hotspot haben wir uns die X1 angeschafft.
Wie gesagt, ein Test schadet nichts, laufen tut es auch sehr gut auf einen P3 mit 512MB Ram, drei Netzwerkkarten rein uns los geht
es. DMZ oder zweites Netzwerk auswählbar, bei zwei Festplatten Raid1 in der Installation auswählbar, Syslog ist
eingebaut und die Backups des Systems kann man sich auch per Mail regelmäßig zuschicken lassen.
Gruß!
Chris
Hallo Miklein,
ja, die Endian gibt es als Freeware in einer abgespeckten Version. die Firma vertreibt auch Hardwarerouter mit dem System, die
größeren Modelle besitzen dazu noch ein Hotspotmodul mit Ticketsystem.
Das ganze System habe ich auch auf einem Server für unsere Studenten mit derzeit 150 Nutzer per Lan und 180 Nutzer über
WLan. VPN ist vorhanden, als Client funktioniert Open-VPN. Das ist noch ein bisschen Bastelarbeit aber auch da gibt es gute
Forenbeiträge.
Wenn man die Hardware kauft bekommt man ein fertiges Tool der Firma mitgeliefert.
LDAP-Anbindung geht auch bei Kauf- und Freeversion. Bei dem Teil sollte man wirklich lieber auflisten was nicht geht, für
eine Firewall ist jedenfalls alles Wünschenswertes vorhanden.
Um mit der Laufstabilität sicher zu gehen haben wir 1/2 Jahr Testphase mit unterschiedlicher Hardware betrieben - absolut
zuverlässig. Die Freeware ist bei uns im Einsatz und für Hotspot haben wir uns die X1 angeschafft.
Wie gesagt, ein Test schadet nichts, laufen tut es auch sehr gut auf einen P3 mit 512MB Ram, drei Netzwerkkarten rein uns los geht
es. DMZ oder zweites Netzwerk auswählbar, bei zwei Festplatten Raid1 in der Installation auswählbar, Syslog ist
eingebaut und die Backups des Systems kann man sich auch per Mail regelmäßig zuschicken lassen.
Gruß!
Chris
Simples Port Forwarding des öffentlichen Firewall Ports / IP Adresse von TCP 80 und TCP 443 auf die interne lokale IP des OWA bringt das sofort zum Fliegen !
hatte ich schon entsprechend konfiguriert. Hat leider erst mal nicht funktioniert. Mit der Endian FW habe ich noch ein Problem: Mir ist aufgefallen das fie FW nach dem einstellen von Regeln hin und wieder den Internetverkehr komplett blockiert. Hiernach stelle ich das letzte Backup wieder her und alles ist o.k.
Ist das bei euch auch so. Ich verwende die letzte comunity Version.
Ist das bei euch auch so. Ich verwende die letzte comunity Version.
Zitat von @aqui:
Simples Port Forwarding des öffentlichen Firewall Ports / IP Adresse von TCP 80 und TCP 443 auf die interne lokale IP des OWA
bringt das sofort zum Fliegen !
Simples Port Forwarding des öffentlichen Firewall Ports / IP Adresse von TCP 80 und TCP 443 auf die interne lokale IP des OWA
bringt das sofort zum Fliegen !
Port 53 für DNS mit reinnehmen, vielleicht hängt es daran. Eine komplett blockierte Firewall hatte ich bisher nicht. Wichtig wie bei Ciscoroutern ist die Reihenfolge der Regeln wichtig.
Gruß!
Chris
Gruß!
Chris
Zitat von @Schnuffo:
Port 53 für DNS mit reinnehmen, vielleicht hängt es daran. Eine komplett blockierte Firewall hatte ich bisher nicht.
Wichtig wie bei Ciscoroutern ist die Reihenfolge der Regeln wichtig.
Gruß!
Chris
Port 53 für DNS mit reinnehmen, vielleicht hängt es daran. Eine komplett blockierte Firewall hatte ich bisher nicht.
Wichtig wie bei Ciscoroutern ist die Reihenfolge der Regeln wichtig.
Gruß!
Chris
Port 53 ist drin. Das die Reihenfolge wichtig ist klar.
