© Achim Prill, 123RF

Die schlanke Linux-Distribution IP-Fire ist für den Betrieb als Firewall zugeschnitten, der Admin richtet sie komfortabel über eine Weboberfläche ein. Die neue Version kann unter anderem den Netzwerkverkehr auf Basis geografischer Daten filtern.

IP-Fire genügt bereits ein System mit i586-Prozessor ab 1 GHz, 512 MByte Hauptspeicher, 4 GByte Festplattenplatz und zwei Netzwerkschnittstellen [1]. Die Festplatte beziehungsweise SSD greift sich IP-Fire komplett, sie sollte folglich keine wichtigen Daten mehr enthalten. Die Installation erfolgt über ein gerade einmal 156 MByte großes ISO-Image, das der Administrator wahlweise auf eine CD brennt oder mit »dd« auf einen USB-Stick schreibt. Für eingebettete (ARM-)Systeme stellt das IP-Fire-Projekt ein 215 MByte großes Flash-Image mit vorinstalliertem IP-Fire bereit, unter anderem für den Raspberry Pi [2].

Farbenspiele

Wer das ISO-Image verwendet, installiert IP-Fire nach Schema F über einen Assistenten. Nach einem Neustart erfragt IP-Fire unter anderem den Hostnamen und den Domainnamen des Firewall-Rechners sowie die Passwörter für den Benutzer »root« und den normalen User »admin« .

Bei der Netzwerkeinrichtung kennzeichnet IP-Fire alle Schnittstellen mit Farben: Unsichere Devices, die etwa ins Internet führen, erscheinen rot, alle sicheren ins Intranet grün, WLAN-Schnittstellen hingegen blau und eine eventuelle DMZ orangefarben (Abbildung 1). Bei zwei eingebauten LAN-Schnittstellen markiert IP-Fire eine rot, die andere grün.

Abbildung 1: In der Weboberfläche markiert IP-Fire die Schnittstellen in ihren jeweiligen Farben.

Um noch weitere blaue und orangefarbene Schnittstellen zuzuweisen, wählt der Admin erst »Typ der Netzwerkkonfiguration« und dann den passenden Modus. Danach ordnet er über »Netzerkkartenzuordnungen« jeder Schnittstelle ihre Farbe zu.

In den »Adresseinstellungen« wählt er nacheinander die Schnittstellen anhand ihrer Farbe aus und weist ihnen dabei jeweils eine IP-Adresse zu. Grüne Schnittstellen brauchen stets statische IP-Adressen, rot markierte bringen den Rechner in der Regel ins Internet. Sie erhalten wahlweise eine statische IP-Adresse, beziehen diese per DHCP oder praktizieren bei einem (DSL-)Modem die Einwahl über PPP. Die Netzwerkschnittstellen müssen dabei in verschiedene Subnetze führen. Im Hauptmenü hinterlegt der Admin bei Bedarf noch die »DNS- und Gatewayeinstellungen« , anschließend kann er einen DHCP-Server aktivieren und das System neu starten.

Webzugriff

Die Firewall steuert der Administrator bequem über eine per HTTPS und Port 444 erreichbare Weboberfläche. Er meldet sich dort als User »admin« an. Bei Problemen loggt er sich auf der Kommandozeile des Firewallrechners als »root« ein und erneuert über »setup« die Netzwerkkonfiguration (Abbildung 1).

Geo-IP

In der aktuellen Version 2.17 Core 90 kann IP-Fire erstmals den ein- und ausgehenden Netzwerkverkehr anhand des Herkunfts- oder Ziellandes reglementieren (Abbildung 2). Administratoren erlauben so beispielsweise ausschließlich Zugriffe aus Deutschland oder untersagen Rechnern aus dem Internet den Kontakt mit Servern aus bestimmten Ländern. Wem diese Einstellungen zu grob sind, der kann auch detaillierte Filterregeln vorgeben und so etwa die Anzahl der gleichzeitigen Verbindungen aus einem Land limitieren.

Abbildung 2: Dank des Geo-IP-Filters lässt sich schnell Netzwerktraffic aus bestimmten Ländern abblocken.

Fazit

IP-Fire ist eine verlässliche, gut gepflegte und vor allem genügsame Firewall-Distribution. Die Installation ist schnell erledigt, die Administration gelingt bequem über die Weboberfläche. Der Geo-IP-Filter hilft Angriffsversuche aus bestimmten Ländern abzuwehren.