.:: TechBlog ::. RSS Feed

4.03.2005Konzeption eines Firewall-Systems
Mein bisheriges Netzwerk ist recht schnell beschrieben. Zwei Workstations, einen Laptop und einen alten P1MMX 166 MHZ als Server. Verbunden wird alles über einen Router mit integriertem 802.11b WLAN. Als Netzwerkinteressierten natürlich bei weitem nicht ausreichend und so musste ein neues Konzept her.... :-)
Meine Ansprüche waren dementsprechend hoch und meine Anforderungen sahen wie folgt aus:
  • Testmaschine, Firewall und Web-/Fileserver
  • Trennung von WAN, DMZ und LAN
  • Stromsparend und leise
Meine Lösung sah einen Allround-Server vor. Der Vorteil liegt im Platzverbrauch und in den Kosten für den Heimgebrauch. Man muss sich aber über den Nachteil des Single Point of Failures und der verminderten Sicherheit durch Ballung von Diensten bewusst sein.

Hardwarerealisierung (~700 Euro, Stand: Januar 2005):
  • Intel Pentium M 1,7 GHz
  • AOpen i855GMEm-LFS Mainboard (2 x 1 GBit/s)
  • Antec Aria Gehäuse (integrierten extra leisen 120mm Lüfter)
  • 512 MB Infineon DDR RAM
  • HDD Samsung SP1614C SATA 160GB
  • Alten Plextor 12x10x32x
Softwarerealisierung:
  • Basis OS: W2k3
  • VMWare
    • Firewall: IPCop + BlockOutTraffic
    • DMZ: WinXP Prof. SP2, Eisfair
    • LAN: Debian, Gentoo, FreeBSD
Die Leistung der Hardware wird durch die Kombination vieler virtuellen Maschinen auf dem Server begründet. Anfangs war mein Wunsch die leistungsschwächeren VIA C3s oder eine Transmeta CPU einzusetzen. Dies wurde aber durch die Hardwareanforderungen für VMWare/Virtual PC & Co. in Luft aufgelöst. Diese unterstützen nämlich ausschliesslich Intel und AMD Prozessoren. Die Entscheidung für den Pentium M als stromsparende CPU war somit recht einfach, auch wenn das ganze Potential der Stromsparmechanismen erst durch die Kombination mit anderen Komponenten voll zum tragen kommt (den Mehrpreis der CPU zur Stromrechung will ich an dieser Stelle mal nicht gegenrechnen).

Achtung: Die Installation der SATA Festplatte ist nicht ganz trivial. Das extra Treiber auf einer Diskette geliefert werden ist zwar schön, aber das fehlende Diskettenlaufwerk in meinem Server und der fehlende Stromanschluss am Netzteil gestalteten die Sache etwas anspruchsvoller. Die Lösung war der gute alte Server P1MMX166. Ich verband das Floppykabel aus dem neuen Rechner mit dem Diskettenlaufwerk des alten Servers, der seinen Strom weiter über den alten Server bezog. Damit war es möglich die Treiber wie gewünscht bereitzustellen.

Einige werden sich sicher fragen: Warum W2k3 als Host und kein Linux/BSD. Ich muss sagen, dass ich mir mit der Entscheidung nicht leicht getan habe.
Grund #1: In einem homogenen Netz, dass den Server nur als Fileablage nutzen soll, ist Windows der logische Schritt (auch wenn Samba ähnliches leistet).
Grund #2: Geprägt durch den Job, ist die Administration eines W2k3 Servers für diese geringen Ansprüche einfacher und komfortabler (RDP...).
Grund #3: Die Treiber und Tools der Hardware sind grösstenteils für Windows entwickelt worden (dynamische Lüftergeschwindigkeit abhängig von der Temperatur usw.).

Wie funktioniert das jetzt alles?
NIC#1 ist mit dem DSL-Modem verbunden und wird mit direkt in die virtuelle Maschine von IPCop eth2 gebridged. TCP/IP Einträge werden dabei im Host gelöscht. NIC#2 geht an den LAN-Switch und wird ebenfalls von IPCop an eth0 gebridged. Eth1 von IPCop (3 virtuelle NICs) wird an einen virtuellen Switch gehangen, dass zugleich meine DMZ bildet. Eine ähnliche Anleitung findet sich auch in c't 02/2005, wobei diese nicht ganz fehlerfrei ist. So nutzt der c't Autor eine "Host-only" Verbindung um zwischen Host und Firewall zu kommunizieren. Das geht solange gut, wie im LAN auch nur dieser eine Rechner vorhanden ist. Weitere Rechner haben keinen Zugriff zu dem WAN/der Firewall. Weiterhin finden sich Autorenfehler in der Nutzung des virtuellen Switches. Eine virtuelle NIC im Host ist nicht nötig, genauso wenig das Vergeben von TCP/IP Einstellungen für dieses Interface. Als Grundlage ist der Artikel aber allemal lesenswert.
Nur 3 Wochen nach dem Aufbau meines Servers schienen die c't Autoren (04/2005) wohl meine Gedanken gelesen zu haben und eine eigene Lösung auf Basis von Debian präsentiert.

Fazit:
Alles in allem ist der All-In-One-Server gar nicht so schwierig und bietet viel. IPCop (http://www.ipcop.org) ist eine solide auf iptables basierende Firewall. Wer wie ich mit Webentwicklungen handiert und ab und zu Ftp Zugang benötigt wird sich schnell mit Eisfair in der eigenen DMZ anfreunden können. Zusätzliche Testserver runden das Gesamtpaket für den kleinen Hausadmin ab.

Screenshots:

Screenshot vergrößern
[ Server Neu vs. Server Alt ]
Screenshot vergrößern
[ Server - VMWare virtuelle Adapter ]
Screenshot vergrößern
[ Server - Netzwerkeinstellungen ]
Screenshot vergrößern
[ Netzwerkstruktur ]

Kommentare:

Keine Kommentare vorhanden!

Kommentar hinzufügen:

E-Mail Adresse:    Name:   

Kommentar*:

Um unerwünschten, automatisierten Einträgen vorzubeugen muss abschließend ein Code eingegeben werden. Diese finden sie direkt unter diesem Text auf der linken Seite.

Code eingeben*:     Security Code

* Pflichtfelder

Impressum