IPCop ist da!
Endlich ist sie angekommen, die Hardware für den IPCop! Im Grunde genommen schon seit ein paar Tagen, doch ich beschäftigte mich seit der Ankunft nur noch mit diesem Edel-Teil, und so musste dieser Bericht warten. Ausschlaggebend für diese Umstellung war unser Netzwerkgebastel, und der 400 Watt Server im Dachstock, der doch eigentlich nur als Datenspeicher funktionierte und sonst keine Funktionen hat. Ausserdem hatte ich auf diesem Server des öfteren mit CRC-Fehlern zu kämpfen, und das ausgerechnet auf meinen wichtigsten Daten! Das alte Netzwerk hatte einfach überhaupt kein Konzept! Von DNS gar nicht zu sprechen. Klagen über die Geschwindigkeit des Internets, verstopfte Leitungen und Virenbefall füllten das Fass weiter. Und nun ist er endlich da, der Erlöser: IPCop!
IPCop ist eine freie Linux-Distribution, die in erster Linie als Router und Firewall fungiert. Der IPCop stellt direkt nach der Installation einen Router, eine funktionierende Firewall, einen Proxy-Server (Squid), einen DHCP-Server, einen Caching-Nameserver (BIND) sowie ein Intrusion Detection System (Snort) bereit. Weitere Funktionen wie Traffic Shaping, VPN und Dynamic DNS sind vorhanden.
Die unterschiedlichen Netzwerke werden farblich gekennzeichnet. Das rote Netz ist das Internet. Das Grüne ist das kabelgebundene LAN. Diese zwei Netzwerke werden vom IPCop minimal benötigt, um überhaupt als Firewall funktionieren zu können.
Weiter könnte man noch eine DMZ definieren (Orange), oder einen Access-Point für Wireless-Clients anschliessen (Blau). In der Konfiguration kann man genau einstellen, welche Netzgruppe was tun darf, und was nicht. Standardmässig ist der Zugriff der einzelnen Netze so konfiguriert:
Soviel zu den Grundfunktionen.
Hardwareinstallation
Bei der Hardware entschied ich mich für ein VIA-Epia MiniITX-Mainboard, 600MHz CPU passiv gekühlt, 2x Onboard-LAN, und dazu ein passendes Gehäuse.
Also auf geht’s; Mainboard rein, RAM drauf, Festplatte dran.
Oha, nur ein Stromstecker? Der wird aber schon für die Festplatte gebraucht. Ok, und jetzt will ich IPCop von CD installieren. Ich brauch zusätzlichen Strom.
Schnell ein altes Netzteil vom PC-Schrotthaufen geholt und angeschlossen. Sieht ganz schön chaotisch aus:
Allerdings ist dies ein ATX-Netzteil. Und Netzteile dieser Bauart schalten sich mit dem PC ein. Dummerweise ist dieses Netzteil nicht an einem PC angeschlossen, also muss ich es kurzschliessen, indem ich Pin 4 und Pin 6 miteinander verbinde:
*Piep* – das Teil geht. Gut. Die Hardware wird 100% erkannt. Super! Etwas später werden LAN und Internet angeschlossen, und kurz darauf präsentiert sich das Webinterface.
Praxis
Boah, mit aktiviertem Proxyserver werden die Seiten förmlich aus der Leitung gerissen! In Kombination mit einer dicken Leitung surft es sich wirklich verdammt schnell. Und sicher. Zum Glück hat der IPCop Addon-Support, so können Addons per Webinterface hochgeladen und installiert werden.
Zusätzlich zur Standardinstallation habe ich den Cop um eine WakeOnLan-Funktion erweitert, und den Copfilter installiert.
Copfilter ist ein etwas besserer Proxyserver, der HTTP-, FTP- und Mail-Traffic nach Viren, Spam und anderem Internetmüll filtern kann. Auch Popups, Banner und schädlicher Code lässt sich ausfiltern. Also theoretisch könnte man nun mit einem frisch installierten Windows XP Home-Edition ohne Updates mit dem Internet Explorer surfen, und es würde nichts passieren 😉
BlockOutTraffic nennt sich ein Addon, mit dem sich die Firewall noch ein bisschen feiner über das Webinterface steuern lässt. Auch Zeitfenster können für die einzelnen Regeln definiert werden. So könnte ich z.B. eine Regel erstellen, die den Port 27015 (Steam) zu gewissen Zeiten sperrt, und so den Spieltrieb meines Brüderchens ein bisschen dosieren 😀
Aber nicht nur sperren, sondern auch tunen von Datenverkehr ist möglich. Und zwar mit Traffic Shaping. Das bewirkt, dass die verfügbare Bandbreite fair unter allen Netzwerkteilnehmern aufgeteilt wird. Vorbei sind die Zeiten, bei denen ein Download die ganze Leitung blockiert!
Und wenn ich es noch etwas feiner möchte, könnte ich auch einzelne Dienste priorisieren. Also Steam auf Low-Prio und FTP auf High.
So, nun haben wir gefiltert, geblockt und getunt. Nun wollen wir wissen, wie es unserem System so geht. Möglich macht dies MRTG, ein Tool, welches Statistiken vom System und Netzwerk erstellt, und zwar in jeweils vier Grafiken: Pro Tag, pro Woche, pro Monat und pro Jahr.
RAM-Auslastung der letzten 24 Stunden…
Am Traffic-Graph lässt sich so erkennen, wann wieviel gesurft wird, und wie die Tendenz ist. Das wird sicher spannend!
Fazit: Mit IPCop stehen unzählige Möglichkeiten offen, ein Netzwerk zu konfigurieren. Der Funktionsumfang ist riesig, und kann mit Addons ständig erweitert werden. Das, was im Geschäft auf mehreren Servern verteilt ist, kriegt man hier für unter 400.- in einer fast lautlosen Box, die etwa 12 Watt Strom verbraucht. IPCop steht einer Enterprise-Firewall nichts nach!
Wi!!iam Wa!!ace
supper kurzgschlosse longneck aber bitte nimm droht demits niene andersch kontakt cha gä well denn wirds gföhrlich! oh sorry ha vergässe du liebsches jo mit em füür zspiele 😀
Longneck
die 12V bisse nonig…
abr was mir so als idee cho isch; mit däm netzteil chönnt me knallgas produziere :-D:-D
Wi!!iam Wa!!ace
jä chunnt mr longneck aber machs net! well du bechunsch denn automatisch die OPTIMALI MISCHIG ahne und denn längt e chli weneli und es fliegt dir s’ganze badzimmer um d’ohre!!!
Longneck
genau das isch jo s praktische, die optimal mischig. 😀
kei angst. irgendwenn chunt das no. aber hinter dicke muure 😛
Capt. Crakkstuh
eu gluegg wohned ihr am arsch vo dr welt. wenn oebbis passiert… ich bi zleech am game 🙂
Lülü
aesch/rynach = arsch vo dr wält….? was isch denn hochwald und die gempe käffr? 😀
rakudave
arsch vo dr welt??
*hust, hust*
/me thakes a big rifle
Foxie
i sägg nur: i liebs i däm fall ans arsch vo dr wält z goh 😛
paxi|fixi|lexi
Hi @ all
Kurz zrug zum IpCop…
Ha das ding dehei scho fascht es johr am laufe..
Wenn ich en mol neu start, isches wenni unbedingt e neui IP Adresse bruch (Rapidshare.de o.ä)
Ich ha nur ei problem das ich bim Iwähle vom ADSL (ha sone scheiss Zyxel Presige 630 dra) eifach ca. 25 min goht (es sind immer 5 iwähl versüech) bis er wieder Online isch.
Hend ihr e ahnig was es chönt si?
Longneck
boah, 25min? i ha au mol probiert, über usb mit eme zyxel 630 modem online z goh. het abr irgendwie nid welle. vermuetlich hätti au 25min gwartet…
momentan weiss i au nüt witers, an was das ligge chönt.
momentan bini mit em zyxel 650me dra, über ethernet…
paxi|fixi|lexi
Aber s komische isch, das wenn ich dr IPCop neu start, es grad verbunde isch.
Isch also nur, wenn ich trennt worde bin, gohts sooo lang
I dont know.. => Das issch dr einzig Bug
Stephan
Das ist ein Problem vom Zusammenspiel der beiden Schnittstellen Zyxel – IPcop. Womöglich hilft ein Reboot des Zyxel.
Ich habe im Heimbereich mehrere Installation mit einem Cayman 3351 Router vor dem IPcop. Der Router delegiert die öffentliche IP seiner äusseren Netzwerkschnittstelle an IPcop-red (Bridge). Damit ist der IP und/oder die DMZ von aussen direkt erreichbar. Alternativ kann man in den IPcop-Gareway auch direkt ein DSL-Karte einbauen.
Die Lösungen sind nicht hochverfügbar, für den SOHO-Bereich aber absolut zufriedenstellend. Ohne Hardwarebastelleien hat man den IPcop in etwa einer Viertelstunde in der Grundkonfiguration am Laufen.
Bei den Addons ist etwas Vorsicht geboten. Immer wieder kommt es vor, dass sich eine Erweiterung nicht mit einem Update verträgt oder gar nicht mehr weiter gepflegt wird. Mein Rat deshalb: Nur soviele Erweiterungen wie zwingend nötig installieren. Werden es zu viele (<5), dann ist es Zeit auf eine leistungsfähigere Lösung umzustellen. Das Plug and Play Gefühl wie mit dem IPcop geht dann aber meist verloren.
rakudave
spannend, wie diese alten posts wieder auftauchen…
rakudave
das teil rockt ächt!!!!
*aucheinshabenwoll*
ps: momomomomomomomomomoooonsterblog… 😉