Ich war bis vor kurzem noch ohne Firewall im Internet unterwegs. Unter Linux kann man das (noch) riskieren. Ich hatte aber nicht mehr viele Dienste laufen, SAMBA musste ich abstellen, weil die meisten Port-Aufrufe aus dem Internet auf die bekannten Windows-Ports gingen.
Mit iptables und firehol hatte ich keine so guten Erfahrungen gemacht, da ich nicht viel Zeit in die Konfiguration investieren wollte. Ausserdem hatte ich noch eine Software gegen Portscans installiert, die ich zufällig unter den vielen APT-Pakten fand, aber ob ich diese korrekt installierte war mir nicht so klar.

Aber seit ein paar Tagen habe ich den ipcop Firewall in Betrieb und bin begeistert vom einfachen Handling!
Mein "Vorher-Nachher Test" mit einem Web-basierten Port-Scan Service war auch überzeugend: Alles "Grün" mein Rechner ist zu 99,99% abgesichert!

Das c't-Debian-Server Projekt

In der c't 4/2005 wurde das c't-Debian-Server Projekt vorgestellt. Mit der beigelegten CD kann ein Debian-Linux basierten Server installieren werden. Folgende Dienste und Funktionen können implementiert werden:

• DHCP
• DNS
• Zugriff auf Windows-Domänen (Samba)
• Mail-Server (POP/IMAP)
• VLANs über WLAN mit IPsec
• usw.

und als besonderes Schmankerl kann man einen Firewall (ipcop) in einer eigenen virtuellen Maschine (mit UML - User Mode Linux) betreiben!

Das war genau das, nach dem ich immer gesucht hatte. Als Besitzer eines DSL-Modems, wollte ich mit nicht noch einen zusätzlichen DSL-Router besorgen, das bedeutet, wieder ein Kabel mehr und wieder ein zusätzliches Steckernetzteil (plus Stromverbrauch).

Diese Aufgabenstellung (Routing und Firewall) müsste per Software genauso gut lösbar sein.

In der c't war gleich die fertige Software dazu enthalten.
Nur wollte ich nicht einen komplett neuen Server aufsetzen, sondern meine bestehende Installation beibehalten und nur um den Firewall ergänzen.

Bootfähigen USB-Stick erstellen

Da ich kein CD-Rom Laufwerk in meinem Rechner (VIA EPIA 6000) habe, wollte ich für den Notfall vorbereitet sein und erstellte zur Sicherheit einen bootfähiges Linux auf einem USB-Stick.

Die Beschreibung steht in einem eigenen Artikel.

Installation des Linux Kernels 2.4.27

Ich hatte noch den Kernel 2.4.25 im Einsatz. Nach dem Ergänzen der Datei /etc/apt/sources.list um die Zeile deb ftp://ftp.heise.de/pub/ct/projekte/srv binary/ und der Eingabe von apt-get update installierte ich das Kernel Image 2.4.27-ct-1.

Nach einem Reboot lief mein neuer Kernel !

Installation des Firewalls

Als nächstes kopierte ich mir wie hier beschrieben die Debian Pakete von der CD in das Verzeichnis /var/packages.

Nach einem erneuten Auruf von apt-get update konnte ich dann die ipcop-Software installieren: Zuerst mit apt-get install ctsrvcfg das Installationsmenu installieren, danach ctsrvcfg aufrufen und ipcop aus diesem Menu heraus auf die Festplatte bringen. Es werden dabei noch Kennungen und Passwörter für die ipcop-Administration und den DSL-Zugang abgefragt und die Konfigurationsdateien entsprechend erstellt.