|
Seite 2 von 2
Konfiguration des Firewalls Es war nicht mehr viel zu konfigurieren, da die wichtigen Einstellungen schon von ctsrvcfg durchgeführt wurden. Ich hatte allerdings Probleme dem ipcop eine eigene statische IP-Adresse zuzuweisen, denn er läuft ja als eigene getrennte Maschine in einem getrennten Adressbereich unter einem eigenen User.
Man muss sich auf dem ipcop-"Rechner" mit ssh -p 222 -l root ipcop anmelden um ihn zu konfigurieren. Das konnte ich aber nicht, weil er noch keine IP-Adresse hatte.
Es gab aber noch einen 2. Weg um sich auf dem ipcop-Rechner anzumelden mit: screen /dev/pts/0 oder 1, vorher mit ls -al /dev/pts überprüfen welches das richtige Terminal ist. Nach einigem Suchen fand ich die Konfigurationsdatei in: /var/ipcop/ethernet/settings. Dort trug ich unter "GREEN" (damit ist das LAN-Interface gemeint) die IP-Adresse, Netmask, Netaddress und Broadcast Address ein. Nachdem ipcop jetzt erreichbar war konnte der Rest über das komfortable Web-Interface durchgeführt werden (https://ipcop:445). Dort wird der Firewall gestartet. Es empfiehlt sich für Flatrate Besitzer, die Option "Beim Start von ipcop automatisch Verbindung herstellen" zu aktivieren. Ipcop hat noch viele weitere Funktionen: - Statistiken
- DNS-Server
- DHCP-Server (jeweils pro Interface vorhanden!)
- Web-Proxy
- Network-shaping
- VPN
- etc.
Jetzt gibt es nur noch das br0 Device auf meinem Rechner, eth0 wird von ipcop "gemanaged". Abschliessen noch ein Wort zur Performance: Meine Bedenken waren unbegründet, dass sich der Firewall auf meinem relativ langsamen Board (600 MHz) negativ bemerkbar macht. Bis jetzt hat sich ipcop max. 5 % der CPU-Leistung "geschnappt".
Wichtig ist, dass genügend Hauptspeicher zur Verfügung steht: mindestens 512 MByte. Ich kann dieses Vorgehen wirklich nur jedem empfehlen (ein Firewall in einer eigenen virtuellen Maschine). Man spart sich Hardwarekosten, der ipcop ist allemal leistungsfähiger als jeder "Baumarkt DSL-Router" und das c't-Debian-Server Projekt kann als zentraler Server incl. Firewall für das ganze Heimnetzwerk eingesetzt werden. Bücher zum Thema:   Mehr Details findet man in der c't und im IPCop-Forum. Inzwischen gibt es auch ein Forum zum c't Debian Server: ctserver.org.
Der Debian Server wurde weiterentwickelt und läuft jetzt unter Xen, weitere Details sind hier zu finden.
Tipps - Wenn der Firewall (ipcop) nicht mehr startet und man nicht mehr auf das Internet zugreifen kann, wurde meistens das Filesystem nicht sauber heruntergefahren und muss überprüft werden.
Wichtig: ipcop muss mit /etc/init.d/ipcop stop beendet werden und es darf kein ipcop-Prozess mehr laufen (ps -ef|grep ipcop).
Dann kann mit e2fsck /var/lib/uml/ipcop/ipcop.img und mit e2fsck /var/lib/uml/ipcop/ipcoplog.img das Filesystem des ipcop-Systems und das System mit den ipcop-Logging-Dateien getestet werden.
- Wenn ein Windows-Client (über DHCP) die falsche IP-Adresse bekommt, hilft es oft den "Lease" zurückzusetzen:
- Unter Windows 98/ME in der DOS-Box eingeben: ipconfig /release_all
- Unter Windows 2000/XP: ipconfig /release *
Powered by AkoComment!
|
