Benutzer-Werkzeuge

Webseiten-Werkzeuge


 [[dokumentation:handbuch:installation:ipfire.defaultconfig]] 

indexmenu_n_50

<note warning>Diese Dokumentation wurde verlegt in die technische Dokumentation unter Auslieferungszustand des IPFire (lmn 6.2).</note>

Auslieferungszustand des IPFire

Die linuxmuster.net spezifische Konfiguration der Firewall erledigt das Paket linuxmuster-ipfire im Zuge des Server Setups, welches bestimmte für den Betrieb mit linuxmuster.net notwendige Voreinstellungen am IPFire-System vornimmt. Dieser Artikel informiert über die Einstellungen im Einzelnen:

Webproxy

  • Netze GRÜN und BLAU sind transparent aktiviert.
  • Cachemanager ist aktiviert.
  • URL-Filter ist nicht aktiviert.
  • Die Netze GRÜN und BLAU sind als erlaubte Subnetze eingetragen.

DHCP-Server

  • Für Netz BLAU aktiviert.
  • IP-Range 172.16.[16xn].1 bis 172.16.[16xn].200 ist vorkonfiguriert.

OpenVPN

  • Ist auf ROT und BLAU aktiviert.
  • Ein selbstsigniertes Zertifikat ist erstellt.
  • OpenVPN ist als Dienst mit der Netzadresse 172.16.18.0/2255.255.255.0 mit dem Protokoll UDP und dem Port 1194 aktiviert. Diese Daten werden auch für alle weiteren Firewallregeln benötigt.
  • In den erweiterten Serveroptionen ist Redirect-Gateway def1 aktivert. Soll bei einer Remote-Verbindung der Internet-Zugriff lokal erfolgen, so muss die Option deaktiviert werden.

Zeitserver

Unter „Dienste|Zeitserver“ sind folgende Optionen aktiviert

  • Uhrzeit von einem Netzwerk Zeitserver ermitteln.
  • Uhrzeit dem lokalen Netzwerk zur Verfügung stellen.
  • Erzwinge das Setzen der Systemzeit im Bootvorgang.

Firewall

Firewallregeln

Es sind acht Firewallregeln vordefiniert (im Menü unter Firewall|Firewallregeln):

  • Eingehend (Portforwarding):
    • Eingehender TCP-Port 2222 wird auf Port 22 der Server-IP weitergeleitet (SSH), aktiv.
    • Eingehender TCP-Port 25 wird auf Port 25 der Server-IP weitergeleitet (SMTP), nicht aktiv.
    • Eingehender TCP-Port 443 wird auf Port 443 der Server-IP weitergeleitet (HTTPS), nicht aktiv.
    • Eingehender TCP-Port 636 wird auf Port 636 der Server-IP weitergeleitet (LDAPS), nicht aktiv.
  • Ausgehend:
    • Server darf auf allen Ports raus, aktiv.
    • Firewall darf auf allen Ports raus, aktiv.
    • Rechnergruppe allowedhosts darf auf Ports raus, die in der Dienstgruppe allowedports definiert sind, aktiv (wird für Internetsperre genutzt).
    • Netzwerkgruppe allowednetworks darf auf Ports raus, die in der Dienstgruppe allowedports definiert sind, aktiv (wird für Internetsperre genutzt, wenn bei aktiviertem Subnetting für Subnetze Internetzugriff zugelassen wurde).

Firewall Regeln 6.1

Regeln können einfach aktiviert und deaktiviert werden, indem man die Checkbox in der Spalte Aktion aus- oder abwählt.

Firewallgruppen

Unter

  • Hosts
  • Netzwerk-/Hostgruppen
  • Dienstgruppen

sind drei Firewallgruppen vordefiniert (im Menü unter Firewall|Firewallgruppen).

Bild

Zu den Konfigurationsseiten der Firewallgruppen gelangt man über die entsprechende Schaltfläche.

Hosts

Hier sind alle Hosts des Systems mit ihrer IP-Adresse eingetragen. Der Workstationsimport auf dem Server aktualisiert diese Liste. Eigene Einträge sind hier nicht vorgesehen. Hier ein Beispiel (im Auslieferungszustand ist diese Gruppe leer):

Bild

Hostgruppen

Die Hostgruppe allowedhosts ist vordefiniert und wird vom System verwaltet. Die Internetsperre trägt die IP-Adresse freigeschalteter Hosts in diese Gruppe ein. Eigene Hostgruppen können hinzugefügt und selbst verwaltet werden. Die allowedhosts-Gruppe sollte nicht geändert werden, da sie bei jeder Änderung der Internetsperre neu geschrieben wird. Hier ein Beispiel (im Auslieferungszustand ist diese Gruppe leer):

Bild

Dienstgruppen

Es ist eine Dienstgruppe allowedports vordefiniert, die für die Internetsperre genutzt wird. Sie enthält zusätzliche Ports (Port 80 wird vom Webproxy verwaltet), die für freigeschaltete Hosts (Hostgruppe allowedhosts und ggf. Netzwerkgruppe allowednetworks) geöffnet sind.

Bild

Im Auslieferungszustand sind die Ports für die Dienste SSH, HTTPS, FTP und FTPS für freigeschaltete Hosts zugelassen. Falls weitere Ports zugelassen werden sollen, müssen sie in dieser Gruppe ergänzt werden.

Netzwerkgruppen bei aktiviertem Subnetting

Bei aktiviertem Subnetting werden automatisch alle definierten Subnetze unter Firewall|Firewallgruppen|Netzwerke aufgelistet. Beispiel:

Bild

Subnetze, für die in der Datei /etc/linuxmuster/subnets auf dem Server Internetzugriff freigeschaltet wurde, werden automatisch in die Netzwerkgruppe allowednetworks eingetragen. Subnetze in dieser Gruppe erhalten Internetzugriff über den Webproxy und zusätzlich über die Ports, die in der Dienstgruppe allowedports definiert sind. Beispiel:

Bild

Standardverhalten der Firewall

Das Standardverhalten der Firewall ist im Auslieferungszustand so eingestellt, dass ausgehende und eingehende Verbindungen blockiert werden, wenn keine entsprechenden Allow-Regeln definiert sind (im Menü unter Firewall|Firewalloptionen).

Bild

Es ist strengstens empfohlen diese Einstellungen nicht zu ändern.

search?q=..%3Anavmenu%26nofooter%26noindent&amp;btnI=lucky

 [[dokumentation:handbuch:installation:ipfire.defaultconfig]] dokumentation/handbuch/installation/ipfire.defaultconfig.txt · Zuletzt geändert: 2016/07/21 13:45 von Tobias