Installation und Konfiguration der Firewall¶
Installation der Firewall¶
Booten Sie den für die Firewall vorgesehenen Server von der IPFire-CD. Bestätigen Sie durch Drücken der ENTER-Taste, dass Sie den IPFire installieren möchten.
Bestätigen Sie, dass Sie den IPFire installieren möchten.
Wählen Sie mit den Pfeiltasten die Sprache aus und bestätigen Sie ihre Auswahl mit der ENTER-Taste.
Wählen Sie die gewünschte Sprache aus.
Bestätigen Sie durch Drücken der ENTER-Taste, dass Sie den IPFire installieren möchten.
Bestätigen Sie, dass Sie den IPFire installieren möchten
Akzeptieren Sie die Lizenz. Springen Sie dazu mit der TAB-Taste auf das Bestätigungsfeld und drücken die Leer-Taste. Bestätigen Sie anschließend mit der ENTER-Taste.
Akzeptieren Sie die Lizenz
Bestätigen Sie durch Drücken der ENTER-Taste, dass in den folgenden Schritten die Festplatte partitioniert und formatiert werden soll. Dabei gehen alle auf der Festplatte vorhandenen Daten verloren.
Bestätigen Sie die Partitionierung und Formatierung der Festplatte.
Wählen Sie durch Drücken der ENTER-Taste ext4 als Dateisystem.
Wählen Sie ext4 als Dateisystem
Nach der Installation entfernen Sie die CD und bestätigen Sie den Reboot durch Drücken der ENTER-Taste.
Entfernen Sie die CD und bestätigen Sie den Reboot.
Konfiguration der Firewall¶
Nach dem Reboot erfolgt die Erstkonfiguration des IPFire. Wählen Sie mit den Pfeil-Tasten das Tastaturlayout und bestätigen Sie ihre Auswahl durch Drücken der ENTER-Taste.
Wählen Sie das Tastaturlayout.
Wählen Sie mit den Pfeil-Tasten die Zeitzone aus und bestätigen Sie ihre Auswahl durch Drücken der ENTER-Taste.
Wählen Sie die Zeitzone aus.
Geben Sie als Hostname ipfire ein und bestätigen Sie durch Drücken der ENTER-Taste.
Geben Sie als Hostname ipfire ein.
Geben Sie den Domänennamen ein und bestätigen Sie durch Drücken der ENTER-Taste. Empfehlung: Verwenden Sie linuxmuster-net.lokal
Warnung
Verwenden Sie nicht local als Teil des Domänennamens.
Geben Sie den Domänennamen ein.
Geben Sie das Passwort für den Benutzer root ein und bestätigen Sie Ihre Eingabe mit der ENTER-Taste. Mit diesem Benutzer melden Sie sich später an der Konsole des IPFire an.
Bemerkung
Sie sehen das Passwort bei der Eingabe nicht, auch nicht in Form der sonst üblichen Sterne.
Wählen Sie das Passwort für den Benutzer root.
Geben Sie das Passwort für den Benutzer admin ein und bestätigen Sie Ihre Eingabe mit der ENTER-Taste. Mit diesem Benutzer melden Sie sich später am Webinterface des IPFire an.
Wählen Sie das Passwort für den Benutzer admin.
Wählen Sie den Punkt Typ der Netzwerkkonfiguration durch Drücken der ENTER-Taste aus.
Wählen Sie den Punkt Typ der Netzwerkkonfiguration.
Wählen Sie den Punkt GREEN + RED + BLUE mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Bemerkung
- Im grünen Netz befinden sich später die Computer der Schule.
- Über das rote Netz wird der IPFire über den Router mit dem Internet verbunden.
- Das blaue Netz ist das Gästenetz, in diesem befinden sich später BYOD-Geräte oder per WLAN verbundene Geräte.
Warnung
Wählen Sie die Konfiguration auch dann, wenn Sie nicht vorhaben, ein Gästenetz anzubieten. Die weitere Installation schlägt sonst fehl.
Wählen Sie den Punkt GREEN + RED + BLUE.
Wählen Sie den Punkt Netzwerkkartenzuordnungen mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt Netzwerkkartenzuordnungen.
Im Folgenden ordnen Sie die einzelnen Netzwerkkarten anhand ihrer MAC-Adresse die Netze zu.
Bemerkung
Falls Sie nicht wissen, welche MAC-Adressen zu welcher Netzwerkkarten gehört, können Sie die Netzwerkkartenzuordnung an dieser Stelle beliebig vornehmen und später feststellen, welche Netzwerkkarte sich in welchem Netz befindet.
Wählen Sie den Punkt GREEN mit den mit den Pfeil-Tasten aus und bestätigen Sie ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt GREEN.
Wählen Sie die Netzwerkkarte für das grüne Netzwerk mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie die Netzwerkkarte für das grüne Netzwerk.
Wählen Sie den Punkt RED mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt RED.
Wählen Sie die Netzwerkkarte für das rote Netzwerk mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie die Netzwerkkarte für das rote Netzwerk.
Wählen Sie den Punkt BLUE mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt BLUE.
Wählen Sie die Netzwerkkarte für das blaue Netzwerk mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie die Netzwerkkarte für das blaue Netzwerk.
Bestätigen Sie das Ende der Netzwerkkartenzuordnungen. Wählen mit mit den Pfeil-Tasten den Punkt FERTIG aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Bestätigen Sie das Ende der Netzwerkkartenzuordnungen.
Wählen Sie den Punkt Adresseinstellungen mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt Adresseinstellungen.
Wählen Sie den Punkt GREEN mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt GREEN.
Bestätigen Sie den Sicherheitshinweis durch Drücken der ENTER-Taste.
Bestätigen Sie den Sicherheitshinweis.
Geben Sie als IP-Adresse 10.16.1.254 und als Netzmaske 255.240.0.0 ein und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Bemerkung
Wenn Sie einen anderen Adressbereich gewählt haben, müssen Sie diese Eingabe anpassen.
Geben Sie als IP-Adresse 10.16.1.254 und als Netzmaske 255.240.0.0 ein.
Wählen Sie den Punkt BLUE mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt BLUE.
Geben Sie als IP-Adresse 172.16.16.254 und als Netzmaske 255.255.255.0 ein und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Bemerkung
Wenn Sie einen anderen Adressbereich gewählt haben, müssen Sie diese Eingabe anpassen.
Geben Sie als IP-Adresse 172.16.16.254 und als Netzmaske 255.255.255.0 ein.
Wählen Sie den Punkt RED mit den mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Wählen Sie den Punkt RED.
Wählen Sie entsprechend Ihrer Internetverbindung die passende Option mit den Pfeil-Tasten aus und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Bemerkung
Schulen in Baden-Württemberg sind oft mit einem Router von BelWü ausgestattet und besitzen damit eine statische IP. In diesem Fall wählen Sie Statisch aus.
Statisch¶
Falls Sie Statisch gewählt haben, geben Sie die Daten, die Sie von Ihrem Provider (z.B. Belwü) erhalten haben, ein und bestätigen Sie mit der ENTER-Taste.
Falls Sie im letzten Schritt Statisch gewählt haben, navigieren Sie mit Pfeil-Tasten auf DNS- und Gatewayeinstellungen und bestätigen Sie mit der ENTER -Taste.
Geben Sie nun Ihren primären und sekundären DNS sowie das Standard-Gateway ein und bestätigen Sie Ihre Eingabe mit der ENTER-Taste.
Navigieren Sie mit Pfeil-Tasten auf Fertig und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
DHCP¶
Falls Sie DHCP gewählt bestätigen Sie mit der ENTER-Taste.
Falls Sie im letzten Schritt DHCP gewählt haben, navigieren Sie mit Pfeil-Tasten auf Fertig und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Abschluss der Konfiguration¶
Aktivieren Sie nicht den DHCP-Dienst für das grüne Netzwerk, diese Funktionalität übernimmt der der linuxmuster.net-Server selbst. Navigieren Sie mit den Pfeil-Tasten auf die Schaltfläche OK und bestätigen Sie Ihre Auswahl mit der ENTER-Taste.
Aktivieren Sie nicht den DHCP-Dienst.
Bestätigen Sie das Ende des Setups mit der ENTER-Taste.
Bestätigen Sie das Ende des Setups.
Installation eines Admin-PCs¶
Richten Sie einen PC ein, der über einen Switch mit dem grünen Netzwerkinterface des IPFire verbunden wird. Mit diesem PC können Sie im nächten Abschnitt die Netzwerkkarten zuordnen und später per Browser das Web-Interface des IPFire bedienen.
Geben Sie dem Admin-PC eine feste IP. Sie benötigen dazu folgende Daten:
- IP: 10.16.1.2
- Netzmaske: 255.240.0.0
- Gateway: 10.16.1.254
Bemerkung
Wenn Sie einen anderen Adressbereich gewählt haben, müssen Sie diese Eingabe anpassen.
Zuordnen der Netze zu den Netzwerkkarten¶
Falls Sie während des Setup nicht sicher waren, welche Netzwerkkarte sich in welchem Netz befindet erfolgt nun die Zuordnung. Anderenfalls fahren Sie bitte mit dem Anpassen der SSH-Konfiguration fort.
Zuordnen der Netzwerkkarte zum grünen Netz¶
Verbinden Sie eine der drei Netzwerkkarten mit einem Switch. Im Folgenden wird geprüft, ob diese Netzwetzwerkkarte dem grünen Netz zugeordnet ist.
Bemerkung
An diesen Switch dürfen während des Testens keine weiteren Geräte angeschlossen sein.
Vom Admin-PC aus pingen Sie nun auf die IP 10.16.1.254. Unter Linux sieht der Befehl und eine Antwort so aus:
linuxadmin@admin-pc:~$ ping 10.16.1.254 -c 1
PING 10.16.1.254 (10.16.1.254) 56(84) bytes of data.
64 bytes from 10.16.1.254: icmp_req=1 ttl=63 time=0.438 ms
--- 10.16.1.254 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 0.438/0.438/0.438/0.000 ms
Bei keiner Antwort lautet die Rückmeldung Destination Host Unreachable und liefert 100% packet loss.
Erhalten Sie eine Antwort befindet sich diese Netzwerkkarte im grünen Netz. Fahren Sie in diesem Fall mit der Zuordnen der Netzwerkkarte zum roten Netz fort.
Erhalten Sie keine Antwort, ziehen Sie das Kabel aus der 1. Netzwerkkarte des IPFires ab und stecken Sie es in die zweite. Pingen Sie erneut auf die IP 10.16.1.254. Erhalten Sie eine Antwort befindet sich diese Netzwerkkarte im grünen Netz. Fahren Sie in diesem Fall mit Zuordnen der Netzwerkkarte zum roten Netz fort.
Erhalten Sie keine Antwort, ziehen Sie das Kabel aus der 2. Netzwerkkarte ab und stecken Sie es in die dritte. Testen Sie dies sicherheitshalber, indem Sie erneut auf die IP 10.16.1.254 pingen. Sie erhalten nun eine Antwort.
Zuordnen der Netzwerkkarte zum roten Netz¶
Melden Sie sich mit dem Benutzer root und dem von Ihnen gewählten Passwort an der Konsole des IPFire an.
ipfire login: root
Password:
Bemerkung
Sie sehen das Passwort bei der Eingabe nicht, auch nicht in Form der sonst üblichen Sterne.
Verbinden Sie nun eine der beiden noch nicht angeschlossenen Netzwerkkarten mit Ihrem Router. Starten Sie danach das Netzwerk neu.
[root@ipfire ~]:# /etc/init.d/network restart
Bringen Sie danach die Paketlisten auf den neuesten Stand, um die Verbindung zum Internet zur Prüfen.
[root@ipfire ~]:# pakfire update
Wird der Befehl mit einem Herunterladen neuer Listen oder ohne Rückmeldung ausgeführt, befindet sich die Netzwerkkarte im roten Netz (und somit die dritte noch nicht verkabelte im blauen Netz, die belassen sie auch vorerst so). Fahren Sie mit dem Anpassen der SSH-Konfiguration fort. Gibt der Befehl
[root@ipfire ~]:# pakfire update
PAKFIRE ERROR: You need to be online to run pakfire!
zurück befindet sich die Netzwerkkarte im blauen Netz. Verbinden Sie in diesem Fall die verbleibende dritte Netzwerkkarte mit Ihrem Router und führen danach den Befehl
[root@ipfire ~]:# /etc/init.d/network restart
erneut aus. Die „blaue Netzwerkkarte“ bleibt vorerst unverkabelt.
Anpassen der SSH-Konfiguration¶
Damit der linuxmuster.net-Server bei der Installation auf den IPFire zugreifen kann, muss der SSH-Server aktiviert werden. Die ist auf zwei alternativen Wegen möglich: auf der Konsole des IPFire oder im Webinterface des IPFire. Beide Wege sind gleichwertig.
SSH-Konfiguration über das Webinterface¶
Öffnen Sie in dem an den Switch angeschlossenen Admin-PC einen Browser und rufen die Adresse https://10.16.1.254:444 auf. Akzeptieren Sie den Sicherheitshinweis, in dem Sie zunächst auf Ich kenne das Risiko klicken.
Bemerkung
Je nach Browser könne die folgenden Bilder variieren. Hier wurde der Firefox verwendet.
Rufen Sie die Adresse https://10.16.1.254:444 auf und akzeptieren Sie den Sicherheitshinweis.
Klicken Sie auf Ausnahme hinzufügen.
Klicken Sie auf Ausnahme hinzufügen.
Klicken Sie auf Sicherheits-Ausnahme bestätigen.
Klicken Sie auf Sicherheits-Ausnahme bestätigen
Melden Sie sich mit dem Benutzer admin und dem von Ihnen gewählten Passwort an.
Geben Sie Ihre Anmeldedaten ein.
Klicken Sie unter System auf SSH-Zugriff.
Klicken Sie unter System auf SSH-Zugriff.
Setzen Sie zusätzlich Haken bei
- SSH-Zugriff
- Authentifizierung auf Basis öffentlicher Schlüssel zulassen
und bestätigen Sie Ihre Auswahl durch Klicken auf die Schaltfläche Speichern.
Erlauben sie den SSH-Zugriff sowie die Authentifizierung auf Basis öffentlicher Schlüssel
Bemerkung
Werden in der Weboberfläche des IPFire Aktualisierungen gemeldet, spielen Sie diese bitte nicht ein. Nutzen Sie stattdessen nach der Installation des linuxmuster.net-Servers den Befehl linuxmuster-ipfire --upgrade. So ist sichergestellt, dass die Version des IPFires mit der Version des linuxmuster.net-Servers kompatibel sind. Siehe dazu auch Aktualisierung der Firewall IPFire
Fahren Sie nun mit der Konfiguration des Proxys fort.
SSH-Konfiguration über die Konsole¶
Melden Sie sich an der Konsole mit dem Benutzer root und dem von Ihnen vergebenen Passwort an.
Bearbeiten Sie die Datei /var/ipfire/remote/settings mit dem Editor vi, sodass diese den folgenden Inhalt hat. Die letzte Zeile muss nicht angepasst werden.
ENABLE_SSH_KEYS=on
ENABLE_SSH_PROTOCOLL1=off
ENABLE_SSH_PASSWORDS=on
ENABLE_SSH_PORTFW=off
ENABLE_SSH=on
__CGI__=CGI=HASH(0x840b7a0)
Außerdem legt man mit den Befehlen
[root@ipfire ~]:# touch /var/ipfire/remote/enablessh
[root@ipfire ~]:# chown nobody:nobody /var/ipfire/remote/enablessh
die Datei enablessh an, damit der SSH-Dienst gestartet werden kann. Der Befehl
[root@ipfire ~]:# /etc/rc.d/init.d/sshd restart
startet den Dienst schließlich, was auf der Konsole mit einem [OK] quittiert wird.
Starten Sie den SSH-Dienst neu.
Fahren Sie nun mit der Konfiguration des Proxys fort.
Proxy-Zugriff für den Server aktivieren¶
Der linuxmuster.net-Server darf uneingeschränkt auf das Internet zugreifen. Hierzu muss der Webproxy konfiguriert werden, es gibt wieder zwei gleichwertige Alternativen: Webinterface oder Konsole.
Proxy-Konfiguration über das Webinterface¶
Öffnen Sie in dem an den Switch angeschlossenen Computer einen Browser und rufen die Adresse https://10.16.1.254:444 auf.
Falls noch nicht geschehen, akzeptieren Sie den Sicherheitshinweis und
fügen eine Ausnahme hinzu wie in Abschnitt SSH-Konfiguration
über das Webinterface und melden Sie
sich mit admin und dem gewählten Passwort an.
Klicken Sie unter Netzwerk auf Web-Proxy.
Klicken Sie unter Netzwerk auf Web-Proxy.
Tragen Sie im Abschnitt Netzwerkbasierte Zugriffskontrolle im Eingabefeld unterhalb von Uneingeschränkte IP-Adressen (eine pro Zeile): die IP-Adresse des Servers also 10.16.1.1 ein.
Gestatten Sie dem Server uneingeschränkten Zugriff auf das Internet.
Betätigen Sie danach die Schaltfläche „Speichern und Neustart“ auf der Seite unten.
Bestätigen Sie die Änderungen durch „Speichern und Neustart“
Bemerkung
Werden in der Weboberfläche des IPFire Aktualisierungen gemeldet,
spielen Sie diese bitte nicht ein. Nutzen Sie stattdessen nach
der Installation des linuxmuster.net-Servers den Befehl
linuxmuster-ipfire --upgrade. So ist sichergestellt, dass die
Version des IPFires mit der Version des linuxmuster.net-Server
kompatibel sind. Siehe dazu auch Aktualisierung der Firewall
IPFire
Fahren Sie nun mit der Installation des Servers fort.
Proxy-Konfiguration über die Konsole¶
Zunächst wird ein neuer Ordner acls angelegt und dessen Rechte angepasst.
[root@ipfire ~]:# mkdir /var/ipfire/proxy/advanced/acls
[root@ipfire ~]:# chown nobody:nobody /var/ipfire/proxy/advanced/acls
In diesem Ordner wird die Datei src_unrestricted_ip.acl erzeugt und deren Rechte angepasst.
[root@ipfire ~]:# touch /var/ipfire/proxy/advanced/acls/src_unrestricted_ip.acl
[root@ipfire ~]:# chown nobody:nobody /var/ipfire/proxy/advanced/acls/src_unrestricted_ip.acl
In die erstellte Datei mit dem Editor vi die IP des Servers eingetragen.
10.16.1.1
Abschließend wird Webproxy-Dienst neu gestartet.
[root@ipfire ~]:# /etc/rc.d/init.d/squid restart
Bei Erfolg wieder keinerlei Ausgabe erzeugt.
Bemerkung
Werden in der Weboberfläche des IPFire Aktualisierungen gemeldet, spielen Sie diese bitte nicht ein. Nutzen Sie stattdessen nach der Installation des linuxmuster.net-Servers den Befehl linuxmuster-ipfire --upgrade. So ist sichergestellt, dass die Version des IPFires mit der Version des linuxmuster.net-Server kompatibel sind. Siehe dazu auch Aktualisierung der Firewall IPFire
Fahren Sie nun mit der Installation des Servers fort.