Jo's Linux Firewall Howto: Beispielsystem

Das Beispielsystem

Wie bereits erwähnt, gehe ich von einem (privaten?) Mini-Netz aus, in dem zwei bis zehn (?) PCs u. U. gleichzeitig auf das Internet zugreifen wollen. Dies soll über eine gemeinsame ISDN- oder DSL-Leitung erfolgen. Diese Lösung eignet sich natürlich auch für 1 kleine Firma.

Da eine Firewall dazu dient, zwei Netze zu trennen, benötigt sie also mindestens zwei Netzwerkkarten. Im Falle einer ISDN-Verbindung wird die zweite Netzwerkkarte durch die ISDN-Karte ersetzt. Diese bindet nicht nur - über 1 Wählverbindung - das externe Netz an, sie wird vom Betriebssystem auch als Netzwerkkarte verwaltet. Dadurch wird einem das Leben doch sehr erleichtert, denn es ist eh schon schwer genug ;-).

Es ist natürlich auch möglich, mehrere interne Netzwerke miteinander und mit dem Internet zu verbinden. Dadurch wird die Paketfilterung allerdings etwas aufwendiger. Näheres dazu unter Paketfilter.

Das lokale Netz

Als Basis für 1 LAN (engl. local area network = Nahbereichs Netzwerk) bietet sich heutzutage das Ethernet (sprich: Isernett) an. Dieser Netzwerktyp ist am weitesten verbreitet und man bekommt die benötigten Kompenten preiswert an jeder Ecke. Alle gebräuchlichen Betriebssysteme unterstützen diesen Netzwerktyp von Haus aus.

Pro PC benötigt man 1 Netzadapter. Bei PCs spricht man auch von Netzwerkkarte, bei Laptops sind dies üblicherweise PCMCIA-Adapter bzw. PC-Cards.

Die Firewall bekommt auch eine Netzwerkkarte für das lokale Netz. Wie man das lokale Netz am besten verkabelt, erkläre ich hier, wenn ich einmal ganz viel Zeit habe. Wie man die einzelnen Rechner, wenn sie denn erfolgreich verkabelt sind, konfiguriert, damit sie über die Firewall auf's Netz der Netze zugreifen können, erkläre ich unter Klienten.

Das externe Netz

Als das externe Netz nehme ich hier das Internet an, das über eine Wählverbindung zu einem Provider angesprochen wird. Wird als Verbindung zum Internet ein Kabelmodem oder eine DSL-Verbindung eingesetzt, so werden diese einfach über eine weitere Netzwerkkarte angeschlossen. Auch eine "normale" Modemverbindung ist natürlich möglich, wenn auch aufwendiger zu installieren und bei weitem nicht so leistungsfähig. Selbstverständlich kann eine Firewall auch einfach 2 Netze  trennen(z.B. innerhalb 1 Schule die PCs, zu denen Schüler Zugang haben, von der EDV), was aber am prinzipiellen Aufbau der Firewall nichts ändert.

Die Netzwerkkarte für das externe Netz ist also ggf. eine ISDN Karte. Bis auf die Tatsache, daß beim ersten Zugriff auf das externe Netz über die ISDN-Karte immer 1 kleine Pause auftritt, weil diese erst den Provider anwählen und sich einloggen muß, kann man sie wirklich als Netzwerkkarte auffassen. Nur die Geschwindigkeit zeigt einem regelmäßig, das es über 1 Telefonleitung geht. Natürlich sind bei der Installation schon noch 1 paar Dinge zu beachten - dafür das Kapitel isdn.

Die Verwaltung der Netze

Beispielnetz

Um die verschiedenen Netzwerke sauber identifizieren zu können, benötigt jede Netzwerkschnittstelle eine eindeutige Adresse, die IP-Nummer. Außerdem muß der Router wissen, welches Netz an dieser Schnittstelle angeschlossen ist, wofür es die Netmask gibt. Nicht zuletzt, welche Netze ggf. hinter diesem Netz liegen und wie diese zu ereichen sind, dafür dienen die Gateways. Wer genau wissen will, wie das alles funktioniert, sie auf die - reichlich vorhandene - Literatur verwiesen. Ich werde hier nur ein mittleres Halbwissen vermitteln, das ausreichen sollte, um das hier beschriebene System zu Laufen zu bringen.

Die Vergabe der IP-Adressen wird im Internet durch offizielle Stellen geregelt, damit sichergestellt ist, daß diese wirklich eindeutig sind, also jede Adresse wirklich nur einmal vergeben ist. Netterweise gibt es aber 1 sog. Class C Subnet, welches für lokale Netze, die keine direkte Verbindung zum Internet haben, zur Verfügung steht. Dies ist 192.168.x.x. Aus diesem Adressenpool kann das lokale Netz bedient werden, da es über die Firewall vom Internet so abgetrennt wird, daß nach außen keine internen Adressen sichtbar sind. (Wie das geschieht steht unter ipchains)

Für die einzelnen angeschlossenen Netze vergibt man am besten jeweils 1 Class D Subnet, wobei die Firewall immer die Adresse 1 erhält. Dies ermöglicht es, pro Netz bis zu 254 Rechner anzuschließen. Wer größere Netze plant, muß sich wohl oder übel tiefer in die Materie einarbeiten. Die internen Netze numeriere ich einfach ab 0 durch, der Zugang nach außen, also das Netz hinter der ISDN-Karte erhält willkürlich die Nummer 47. Die Netzwerkadresse und Netmask für die ISDN-Karte gilt eh nur, wenn keine Verbindung besteht (siehe isdn).

Hier 1 kleine Tabelle zur Übersicht:

Netzwerkarte Netz IP-Adresse Netmask / PtP Bemerkung
eth0 erstes internes Netz 192.168.0.1 255.255.255.0
eth1 zweites internes Netz 192.168.1.1 255.255.255.0
eth4 isdn 192.168.47.1 192.168.47.2 PtP (Point to Point Adresse)

Diese Dinge kann man mit YaST recht einfach eintragen. Näheres unter setup.

– — – — – — – — –

Weiter mit: Die Installation des Linux Betriebssystems.

Urheber © Dr. Joachim Wiesemann

Letzte Aktualisierung: 28.5.2006