IPCop im Virtuellen PC

Ich würde gerne in einem virtuellen PC den IPCop installieren,
und das Hostsystem in der DMZ, meine andernen Rechner in der grünen Zone.

Gibt es irgendwelche Erfahrungen was zu empfehlen ist?
XEN, UMLinux oder gar VMware?
(Hostsystem ist SuSE 9.3)

Da bei XEN Kernelanpassungen gemacht werden müssen,
gibt es einen IPCop für XEN?

Oder hat jemand ein sinnvoll vorkonfiguriertes Image für
VMware?

also ich weiss nicht, für was du ein image für vmware brauchst, es ist extrem einfach das zu installieren und zu konfigurieren, mal ganz abgesehen von der tatsache, dass es ein "image" für ein installiertes programm garnicht geben kann! Wenn übehaupt, dann könnte man evtl ein image der fetsplatte erzeugen, was aber auf einem anderem pc auch wieder nicht gehen wird, weil andere hardware! Wie du siehst, hast du da ein paar denkfehler drin :roll:

bei IPCöppchen ist DMZ + Grüne Zone ein und dasselbe, auf grün wird einfach ALLES zugelassen, auch wieder unsinnig beides zu erstellen.

Dein Vorhaben ist an sich ohne Probleme möglich, ich würde hier auch VMWare nahelegen, das macht bei weitem nicht so viele Probleme wie andere Derivate. Einfach die RPM saugen, den neuesten patch installieren (falls nicht schon dabei), zb den "any-any-update92", installieren + konfigurieren (Kinderspiel wenn man lesen kann), starten und fertich. Ab nun kannst du dein IPCöppchen draufmachen (würde ich zwar von abraten, aber egal) und alles so benutzen/testen/ändern wie du willst. Mit SuSe 9.3 klappt das zb. extrem schnell und gut, sogar besser als unter Windoof. Wenn du einfach nur nen Router aufsetzten willst, guck dir mal das hier an, da entfällt jedes IPCop, fl4l oder sonstwas von vornerein:
http://www.linux-club.de/viewtopic.php?t=32470&highlight=
--> Das geht natürlich nur mit 2 Netzerkkarten, aber selbst das ist mit VMware problemlos zu realisieren. Ich würde als System Adamantix oder Debian nahelegen, die sind wohl mit am besten geeignet für einen Router, der auch einigermassen sicher sein soll.
Übrigens würde ich bei der Konfiguration von VMWare alle Netzwerkmethoden erstmal aktivieren, welche du benutzt kannst du in nachhinein noch beliebig per GUI auswählen. Wenn du meiner Anleitung folgst, benötigst du "Bridged" vNetcards, diese mit den entsprechenden IP´s versehen. Als Gateway dein Hostsystem angeben, ebenso mit DNS in /etc/resolv.conf. Damit das funktioniert, musst du auf deinem Host bind9 oder bind8 installieren. Routing kannste hier ausgeschalten lassen, benötigst du nur auf dem vServer, dort ist es logischerweise unabdingbar:

--> hab ich mal eben schnell zusammengereimt, wenn es nicht wirklich funktioniert, tschuldigung. Aber du siehst ja was zu machen ist...

Danke für die Antwort,

nur zu meinem angeblichen Denkfehler: VMware emuliert immer
ein und die selbe Hardware, deshalb kann es ein Image geben.

In IPCop ist die DMZ orange und nicht grün.

Etwas ähnliches gab es in der c't mal. Ist nicht lange her. Ein Debian-Server
mit IPCop unter (UML).

Läßt sich dort auch als ISO ziehen, falls
interesse besteht.

http://www.heise.de/ct/ftp/projekte/srv/

starte mal dein ipcop, und gib iptables -L ein, du wirst sehen, dass auf dem grün alles auf ACCEPT steht --> DMZ. bei orange siehst du ein paar regeln --> kein DMZ.

Hallo Jakimo72,

ich kann dir auch nur raten den Tip von cero mal zu verfolgen. Lass dich von "rm rf /" und seinen Theorien nicht unnötig verwirren.

Firewall in virtueller Maschine:

Für Testzwecke / zum Üben etc: ok

Ansonsten würde ich das allerhöchstens machen wenn die Netzwerkkarten für intern, extern und ggf DMZ physikalisch getrennt sind.

cybermailer schrieb:

und seinen Theorien nicht unnötig verwirren.

Zum Vergrößern anklicken....

wir merken: hier in dem forum ist definitiv eine grössere Affinität zum einseitigen Betrachten der Informatik vorhanden, ferner kann man von einer eher paradoxen Art ausgehen, meine "Theorien" anzuzweifeln. Denkt einer von euch überhaupt über meine geistigen "Ergüsse" nach, oder schreibt ihr schon einfach so diese synaptischen Abstürze? Teste es einfach, DANN kannste mit sowas kommen. Falls ich Unrecht habe ist natürlich jede Kritik durchaus angebracht. Aber da ich selbst mich mit dem IPCöppchen schon öfters rumärgern musste, speziell das Thema voreingestellte Iptables-Regeln des Programms, denke ich das einfach behaupten zu können, denn auf MEINER MASCHINE mit MEINER VERSION des Programms ist es nämlich ganz genau so: Grüne Zone: alles erlaubt, egal ob INPUT OUTPUT oder sogar FORWARD. DMZ definiert sich ganz genau durch diese Eigenschaft: ALLE UNBEKANNTEN PAKETE EINFACH MA DUCRHLASSEN. Und wo ist jetzt der Unterschied?? Vielleicht erkenne ich in meiner geistigen Umneblung dies nicht, in dem Fall wäre ich dankbar für sinngemäße Aufklärung

rm -rf / schrieb:

DMZ definiert sich ganz genau durch diese Eigenschaft: ALLE UNBEKANNTEN PAKETE EINFACH MA DUCRHLASSEN.

Zum Vergrößern anklicken....

Hallo rm -rf /,

wer bringt dir eigentlich diesen Blödsinn bei, oder woraus gewinnst du deine Einsichten? Das ist doch alles absoluter Quatsch was du da schreibst.

Es kann ja sein das du deine "DMZ" so konfigurierst, das du alle unbekannten Pakete einfach mal durchlässt, deswegen wird es aber nicht richtiger.

Vielleicht ist ja noch was zu retten, deswegen wollen wir die "DMZ" mal an einem einfachen Beispiel besprechen.

Ich gehe jetzt in meinen Beispiel mal davon aus, das sich in der "DMZ" ein Webserver befindet. Ich gehe jetzt mal bewusst vom IPCOP weg, und baue meine "DMZ" mit zwei Routern, auf denen ein Paketfilter zum Einsatz kommt.

Der eine Router hängt mit einem Bein am Internet (externer Router), der andere Router mit einem Bein im Firmennetz (interner Router). Beide Router bilden gemeinsam mit dem anderen Bein die "DMZ", in der nun unser Webserver steht.

Deiner Meinung nach würden jetzt "ALLE UNBEKANNTEN PAKETE EINFACH MA DUCRHLASSEN" werden. Was soll das deiner Meinung nach für einen Sinn haben?

Ich sag es dir, absolut keinen. Im Gegenteil, du erhöst unnötig das Sicherheitsrisiko, und hebelst deine Sicherheit selber aus.

In diesem Beispiel würden alle Anfragen von aussen (Internet) geblockt, ausser die die an den Webserver gerichtet sind, sofern er denn vom Internet erreichbar sein soll, wovon ich jetzt hier einfach mal ausgehe. Auf dem inneren Router würden dann absolut alle Verbindungsversuche von aussen verboten, also auch die, die vom externen Router noch an den Webserver durchgelassen wurden.

Diese Ausführung hatte jetzt leider nichts mehr mit der Anfrage von Jakimo zu tun, aber ich hoffe es hilft dir, deine Theorien noch mal zu überdenken.

Die Grundeinstellungen des IPCOP stehen wieder auf einem anderen Blatt Papier, aber auch diese lassen sich entsprechend anpassen, wenn man das nötige Verständnis für die Sache besitzt.

OK, ich bestehe nicht auf den IPCop,
ich will folgendes

Die erste Firewall läßt von links nach rechts
Port 80 und 443 per Masquerating auf 192.168.17.3 durch.
von rechts nach links per NAT Port 80, 21, 443 und einge mehr, aber nicht alles.
Die zweite Firewall läßt von links nach rechts nichts durch!
Von rechts nach link nur Port 10080 per NAT auf 192.168.17.4

Alles soll physikalisch auf einer Maschine laufen
(natürlich ohne die Clients), aber soweit wie möglich
logisch getrennt. Der Webserver selber sollte aus Performancegründen auf dem Hostsystem laufen.
(Die echten IP-Adressen können auch anders sein...)

Wenn Ihr eine gute Firewall mit richtiger DMZ kennt,
dann reicht auch nur eine Firewall. (Ich dachte IPCop
wäre soetwas...)

Jakimo72 schrieb:

(Ich dachte IPCop
wäre soetwas...)

Zum Vergrößern anklicken....

Ist er ja auch. Dafür gibt es ja bei IPCOP die Möglichkeit 3 Interfaces zu konfigurieren. Da findet also das was ich weiter oben beschrieben habe, und du mit deiner Grafik dargestellt hast, auf einem Rechner, oder halt in einer virtuellen Umgebung statt.

Die drei Interfaces des IPCOP stellen praktisch den "äusseren Router", den "inneren Router", und die "DMZ" dar.

Die Variante mit den beiden Routern ist die sicherere Lösung, wird aber häufig wegen der höheren Kosten für die Hardware nicht angewandt.

Wie ich sehe hast du aber bereits den Sinn verstanden. Vielleicht hilft ja deine Grafik auch "rm -rf /" einen besseren Überblick zu bekommen.

Ob man jetzt den IPCOP oder was auch immer einsetzt, das ist Geschmackssache, und natürlich abhängig vom Geldbeutel.

rm -rf / schrieb:

DMZ definiert sich ganz genau durch diese Eigenschaft: ALLE UNBEKANNTEN PAKETE EINFACH MA DUCRHLASSEN.

Zum Vergrößern anklicken....

Unfug.

Eine DMZ ist eine Zone in die man Server stellt die eine direkte Verbindung zur Außenwelt haben. Deswegen geht man sicherheitshalber davon aus daß sie eventuell gehackt wurden und verbietet ihnen nach Möglichkeit auch den Zugang zum internen Netz.

Hier unbekannte Pakete 'einfach mal durchzulassen' macht ja eher gar keinen Sinn - dann kann ich die Server auch direkt auf die Straße stellen. Außer man weiß nicht was die Server in der DMZ eigentlich tun. Aber dann sollte man das ganze sowieso sein lassen.

Das ganze nennt sich dann 'Demilitarisierte Zone'

Vielleicht glaubt "rm -rf /" dir ja mehr als mir.

Wenn Du eh soviele Rechner da stehen hast dann nimm doch für IPCop eben einen alten Pentium-166 oder sowas mit drei Netzwerkkarten her, dann hast Du genau das was Du willst.

Also wenn ich das richtig verstehe hast Du im gegensatz zu Moenks Posting nur einen einzigen Rechner zur Verfügung ?!?

Der Host ist das Gast OS und in der VM soll dann die Firewall laufen ???

Wenn Du das wirklich so meinst verstehe ich vollgende Äußerung nicht :

Der Webserver selber sollte aus Performancegründen auf dem Hostsystem laufen.

Zum Vergrößern anklicken....

Die Performance die durch die VM verlorengeht ist ja auch nicht zu verachten !

Wenn Du wirklich nur einen Rechner hast, bau zwei Netzwerkkarten ein und lass den Webserver dann in einer chroot Umgebung auf diesem Rechner laufen (es ginge z.B auch xampp)

Das ist zwar nicht die beste Möglichkeit, weil auf einer Firewall so wenig Dienste wie möglich laufen sollen, aber besser als gar nichts ....
Und die Fehleranfälligkeit durch eine Riesensoftware wie z.B einer VM fällt dann auch weg !

Wenn Du es sauber machen möchtest such Dir lieber noch zwei kleine Rechern als Paketfilter, je nach Bandbreite reichen da z.B zwei kleine PII oder AMD mit vielleicht 300MHz

Bei Statfull Filtern solltest Du denen aber min 256 MB spendieren ...

So long

ThomasF