In einer Viertelstunde zur Linux-Firewall
Wer einen ausgedienten PC in der Ecke stehen hat, der kann ihn jetzt in fünfzehn Minuten zu einer Linux-basierten Firewall aufrüsten. Kenntnisse von Linux und seiner Administration benötigt man zur erfolgreichen Inbetriebnahme der Firewall nicht.
- Oliver Lau
Das kostenlose IPCop ist um Längen flexibler als mancher Hardware-Router mit integrierter Firewall. Für ein Plus an Bequemlichkeit kann der ambitionierte IPCop-Administrator den integrierten DHCP-Server, den Webproxy mit Cache, den NTP-Client oder den Dynamic DNS-Client aktivieren. Das Extraquäntchen Sicherheit erzielt man mit der ebenfalls im Paket befindlichen Einbruchserkennung (Snort).
Die Heft-CD in c't 09/2003 enthält ein ISO-Image, bestehend aus dem vollständigen Softwarepaket in der aktuellen Version 1.2, die neuesten Sicherheitsupdates inklusive. Ebenfalls darauf zu finden sind zwei PDF-Dokumente mit dem englischsprachigen Installations- und Administrationshandbuch. Aus dem circa 26 MByte großen Image ist lediglich eine bootfähige CD zu brennen, und schon kann die Installation beginnen.
Das IPCop-Team gibt als Systemvoraussetzung ein 386er-System mit 16 MByte RAM und eine Festplattengröße von 125 MByte an. Eine vollständige Liste unterstützter Netzwerkkarten steht auf der Projekt-Homepage [1]. Darüber hinaus kann die Freeware mit ISDN-, DSL- und Modemkarten umgehen. Die weit verbreitete AVM Fritz!Card DSL wird jedoch nicht unterstützt.
Installation Die Einwahl ins Internet von kleinen Heim- oder Büronetzwerken aus stellt das wohl gängigste Szenario dar. Das lokale Netzwerk bezeichnet IPCop dabei als "grün", das Internet als "rot". Anwender, die über ein separates DSL-Modem verfügen, statten die Firewall mit zwei Ethernet-Karten aus. Für diesen Fall ist als Netzwerkkonfigurationstyp "RED+GREEN" zu wählen, in allen anderen Fällen "GREEN (RED is modem/ISDN)", zum Beispiel für Benutzer mit ISDN- oder Analoganschluss.
Die gängigen Netzwerk- und ISDN-Karten sollte die Installationsroutine automatisch erkennen. Bei älteren Netzwerkkarten mit ISA-Schnittstelle funktioniert die automatische Erkennung nicht. Man gibt sie stattdessen dem System per Hand bekannt, indem man in der Liste der Netzwerkkarten "manuell" auswählt. Wenn beispielsweise zwei NE2000-Karten auf die Ports 0x340 ("grünes" Interface) und 0x300 ("rotes" Interface) eingestellt sind, dann lautet die Konfigurationszeile dafür
ne io=0x340,0x300
Um ADSL-Modems mit USB-Schnittstelle oder solche auf PCI-Karten zu betreiben, sind die erforderlichen Treiber nach der Installation zunächst im Web-Frontend hochzuladen (Menü: System/Updates).
