Nexinto Business Cloud IPFire - Firewall Anleitung zum Aufsetzen eines IPFire - Firewall Images. Version: 1.0

Ähnliche Dokumente
Nexinto Business Cloud - HAProxy Anleitung zum Aufsetzen eines HAProxy Images. Version: 1.0

Nexinto Business Cloud IaaS smart Quick Start Guide des Data Center Designers. Version: 1.2

Site-To-Site VPN Anleitung IAAS Smart <-> IAAS Premium. Version: 1.0

Leitfaden für die Installation der freien Virtual Machine. C-MOR Videoüberwachung auf einem VMware ESX Server

Mindbreeze InSpire. Management Center ... Support : Tel.:

SaaS Exchange Handbuch. Version 2

RRC101-IP. Schnellstartanleitung

Verwandeln Sie Ihren Windows PC in einen professionellen Videoüberwachungsserver, einen NVR.

und fordert sie auf sich anzumelden. Benutzername: admin Passwort: 1234

IaaS Handbuch. Version 2

Leitfaden für die Installation der freien Virtual Machine C-MOR Videoüberwachung auf einem Microsoft Hyper-V-Server

Leitfaden für die Installation von C-MOR auf einer freien Virtual Machine Experten Installation mit eigener Partitionierung

HowTo SoftEther Site-2-Site (Client-Bridge)

HowTo SoftEther VPN Server (global)

LAN-Schnittstelle des GSV-2-TSD-DI (Xport)

Network-Attached Storage mit FreeNAS

Arris TG3442 Kurzanleitung Version 1

Network Access Protection

terra CLOUD Hosting Handbuch Stand: 02/2015

WDS Einrichtung fuer WHR-G300NV2 / WZR-HP-G300NH / WHR-HP-G300N und. WHR-HP-GN Router Modelle

Inhalt. Konfigurationsanleitung AVM FRITZ!Box für htp Net Business Direct. Sehr geehrte Kundin, sehr geehrter Kunde,

Anleitung zur Einrichtung des Bridge-Modus Für DIR-868L mit aktueller Firmware und deutschem Sprachpaket

MODEM SINGLE USER KONFIGURATION TG788A1VN

[Geben Sie Text ein] ISCSI Targets mit der Software FreeNAS einrichten

pd-admin v4.x Erste Schritte für Reseller

Installation und Konfiguration des Routers: LINKSYS Wireless G ADSL Gateway

Leitfaden für die Installation von C-MOR in einer Virtuellen Maschine Experten Installation mit eigener Partitionierung ab Version 5.

JUNG Facility-Pilot Visualisierungs-Server Version 2.2

Bedienungsanleitung Ethernet/Internet

XELOS 8 VM-Admin Guide

WLAN Nutzung an der HTL Kapfenberg

NetMan Desktop Manager Quickstart-Guide

ANLEITUNG ZUR VERWENDUNG DER Z21 IN EINEM HEIMNETZWERK SEITE 1 VON 7

STRATO Mail Einrichtung Microsoft Outlook

Konfiguration Agenda Anywhere

HowTo OpenVPN Client mit öffentlich erreichbaren Feste IP Adressen

WLAN-Anleitung unter MAC OS X

Einrichtung der EiMSIG Remote App für ios

TeamViewer Handbuch Wake-on-LAN

Installations- & Konfigurationsanleitung

a.i.o. control AIO GATEWAY Einrichtung

Leitfaden für die Installation der Videoüberwachung C-MOR

MikroTik CCR. TV7: IGMP Proxy aktivieren

MikroTik RB2011UiAS TV7: IGMP Proxy aktivieren

Leitfaden für die Installation der Videoüberwachung C-MOR

Konfiguration Agenda Anywhere

GSM ONE: Setup Guide

pinremotex Handbuch Version 1.0

Netzwerk Linux-Kurs der Unix-AG

Schnellstart- Anleitung für Windows

Warten Sie bis die LED Ihres DIR-505 grün leuchtet.

Kurzanleitung für IP-Kamera SEC24-Q1

STRATO Mail Einrichtung Microsoft Outlook

Schulrouter Plus VM Installationsanleitung Hyper-V

A1 WLAN Box PRG AV4202N für Windows 2000

Installationsanleitung

Sie möchten als Hochschulangehöriger das Internet sowie spezielle Angebote der Fachhochschule Köln nutzen?

Ubiquiti Edge Router X

1) Konfigurieren Sie Ihr Netzwerk wie im nachfolgenden Schaubild dargestellt.

BIT IT Cloudio. Konfigurationsanleitung

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 5.1 vom Kassenärztliche Vereinigung Niedersachsen

Browser mit SSL und Java, welcher auf praktisch jedem Rechner ebenso wie auf vielen mobilen Geräten bereits vorhanden ist

EINRICHTEN DER FRITZ!BOX FÜR JOBST DSL Diese Anleitung ist nur für die Verwendung mit Jobst DSL gedacht

Ältere Parallel Drucker via USB, die laufend Stockende Druckaufträge sowie solche die ins leere laufen!

WLAN UND PROJEKTOREN AN DER FRIEDRICH-LIST-SCHULE WIESBADEN

enet IP-Gateway TestApp Leitfaden für die Installation und erste Schritte

Backup und Restore mit PC Wrapper

FAQ s KWB Comfort Online

Dokumentation Aufbau und Inbetriebnahme RS-232

Anleitung zur Einrichtung eines DDNS Accounts im NSA-320 mit dem Anbieter (ab NSA-320 Firmware V4.01(AFO.1))

Anleitung Software Only Mitel-Endgeräte IPfonie centraflex

Hamachi für Spiele und Freigaben nutzen

Benutzerhandbuch Digitalisierungsbox. Digitalisierungsbox LTE Backup (LTE 3302) Copyright Version 5.1, 2018 bintec elmeg GmbH

A1 WLAN Box PRG AV4202N für Windows 2000

Anleitung zur Freigabe der CL-Studio-Version

Fernzugriff auf Heimnetz über IPv6

Erweiterte Konfiguration Agenda Anywhere

adsl Privat unter Windows 98 SE

Kurzanleitung Domains Control Panel 2.1.6

Konfigurieren des VoIP-Gateways Welltech ATA172plus-PoE für die 3CX-PBX

Kurzbeschreibung BNC2 - BACnet Gateway Erweiterung für den SNMP / WEB / MODBUS Manager CS121/CS141

HowTo: Einrichtung von Roaming zwischen APs mittels des DWC-1000

Quick Guide DCS Touch Display

Leitfaden für die Installation der Videoüberwachung C-MOR

Bestellsoftware ASSA ABLOY Matrix II

EWIO Quickstart. EWIO Quickstart. Seite 1. Version 2.1x ( )

untermstrich SYNC Handbuch

2.) Vorbereitung: Funkkarte einstecken und Strom einschalten

ASP-Portal - Anleitung

Anleitung vcloud. Business Support T Inhalt

Installation. Wenn SPG-Verein nur an einem Arbeitsplatz genutzt werden soll, dann sollte diese Installationsart gewählt werden.

Installationsanleitung. Novaline Bautec.One incl. MS SQL Server 2012 Express. ohne Demodaten

KVN-Portal. das Onlineportal der KVN. Dokumentation für Microsoft Windows. Version 6.0 vom Kassenärztliche Vereinigung Niedersachsen

Installations-Dokumentation, YALG Team

Kurzanleitung zur Einrichtung eines BITel DSL Zugangs über Siemens Gigaset SE555dsl

Transkript:

Nexinto Business Cloud IPFire - Firewall Anleitung zum Aufsetzen eines IPFire - Firewall Images Version: 1.0

Inhaltsverzeichnis Inhaltsverzeichnis... ii 1 Einleitung... 3 2 Vorbereitungen... 4 2.1 Anlegen eines Datacenters... 4 2.2 Reservieren fester IP Adressen... 4 3 Erstellen der Firewall... 5 3.1 Anlegen einer virtuellen Maschine... 5 3.2 Anlegen der virtuellen Netzwerke RED und GREEN... 5 3.3 Anlegen des Storage... 7 4 Ersteinrichtung... 8 4.1 Zugriff auf die Firewall... 15 4.2 Änderung des Password... 16 4.3 Beschränkung des administrativen Zugangs... 16 ii 2

1 Einleitung Dieses Dokument beschreibt den Aufbau einer Firewall Lösung im NBC-Designer. Alle Funktionen sind mit dem Open-Source Produkt ipfire realisiert und erfordern keine Lizenzgebühren. Mit Hilfe von vorbereiteten Festplatten-Abbildern ist es möglich schnell und mit minimalem Konfigurationsaufwand eine effektive und leicht bedienbare Firewall Lösung aufzubauen. Da ein populäres Standardprodukt verwendet wird, kann die Konfiguration beliebig an die eigenen Bedürfnisse angepasst werden. Im Internet findet man zahlreiche Beispiele für unterschiedliche Anwendungsfälle. Die hier beschriebene Firewall Lösung enthält: Stateful Packet Inspection Firewall Intrusion Detection Symtem (Snort) IPSEC-VPN, OpenVPN DHCP Server Caching Namerserver (DNS) Dynamic Nameserver (DynDNS) NTP Server Zahlreiche Add-On s (PakFire) Voraussetzungen: Grundkenntnisse in Netzwerktechnik und Serveradministration Ein Zugang zum NBC Designer (https://nbc-designer.nexinto.com ) Eine virtuelle Maschine (kostenpflichtig wenn eingeschaltet) Ein virtuelles Storage von ca. 10GB (kostenpflichtig) Mindestens eine feste IP Adresse (kostenpflichtig) Die neueste Version von Java sollte installiert sein Ein bestehendes Datacenter Seite 3 von 17

2 Vorbereitungen 2.1 Anlegen eines Datacenters Falls noch nicht geschehen erstellen Sie ein neues Datacenter. Die erforderlichen Festplattenimages werden in den Rechenzentren in Frankfurt und Karlsruhe bereitgestellt. 2.2 Reservieren fester IP Adressen Üblicherweise werden Firewall s mit einer festen öffentlichen IP Adresse versehen. Vor der Einrichtung der Firewall sollten Sie eine IP Adresse für die Firewall reservieren. Sollten Sie keine feste IP Adresse benötigen, können Sie diesen Schritt auch überspringen. Über den Menüpunkt IP Manager am oberen Bildschirmrand des Datacenter Designers erreicht man das Menü zur Konfiguration fester IP Adressen. Über den Button (+) IP s reservieren können feste IP Adressen reserviert werden. Der Name ist in diesem Fall beliebig und dient nur der besseren Übersicht. Eine DNS Namensauflösung wird in diesem Fall nicht eingerichtet. Es ist zu beachten, dass die IP Adressen immer einer Region zugeordnet sind und nicht umgezogen werden können. Somit sollten das Datacenter und die IP Adresse in derselben Region registriert sein. (Beide in Frankfurt oder beide in Karlsruhe) Die Preise für feste IP Adressen sind der jeweils aktuellen Preisliste zu entnehmen. Seite 4 von 17

Nach erfolgter Reservierung, sieht man auf der rechten Seite des Menüs, welche IP Adressen zugeordnet wurden. 3 Erstellen der Firewall 3.1 Anlegen einer virtuellen Maschine Legen Sie im Datacenter Designer einen neuen Server an. Der Name ist beliebig, gibt aber sinnvollerweise einen Hinweis, dass es sich um eine Firewall handelt. 2 Cores und 2 GB RAM sind für den Anfang ausreichend. 3.2 Anlegen der virtuellen Netzwerke RED und GREEN Verbinden Sie das erste Firewall Interface mit einem Internet Access. Da die Firewall für den Interzugang die Interfacebezeichnung RED verwendet, verwendet man am Bestens dafür auch die Farbe Rot. Seite 5 von 17

Hat man den Server im Datacenter Designer ausgewählt gelangt man über den Reiter Netzwerk zur Konfiguration des Netzwerk Interfaces. Hier ist standardmäßig die DHCP Funktion aktiviert und man würde eine automatisch zugewiesene IP Adresse erhalten. Wir deaktivieren hier jedoch das Häkchen bei DHCP und wählen unter Zusätzliche IP s eine der zuvor reservierten IP Adressen aus dem Menü aus. Die Funktion Firewall bleibt deaktiviert. Im Anschluss führen Sie dieselbe Konfiguration für das zweite Netzwerkinterface des FW-Servers durch. Hier wählen Sie jedoch als Farbe Grün, und können die Funktion DHCP aktiviert lassen. Seite 6 von 17

3.3 Anlegen des Storage Die Firewall erhält ein HDD Storage. Eine Größe von 10 GB ist dafür ausreichend. Bei der Installation des Images wird die Größe automatisch angepasst, falls es sich um ein größeres Image handeln sollte. Der Name ist beliebig, darf jedoch innerhalb eines Datacenters immer nur einmal verwendet werden. Im Menüpunkt Eigene Images finde Sie ein vorbereitetes Images für eine IPFire Firewall. Nach der Auswahl des Images wird nach dem Operating System gefragt. Hier wählt man Linux aus. Im Anschluss rufen Sie den Server im Inspektor auf der rechten Seite des DCD auf. Hier wählen Sie die dritte Reiterkarte mit der Bezeichnung Storage und stellen den Bustyp auf IDE. Seite 7 von 17

Um die eben durchgeführten Einstellungen zu übernehmen müssen Sie die Änderungen provisionieren. Dies geschieht über den grünen Button Änderungen provisionieren im DCD Inspector. 4 Ersteinrichtung Die initiale Konfiguration der Firewall erfolgt über die Remote Console, welche in der rechten oberen Ecke des Inspektor Menüs im Datacenter Designer zu finden ist. Beim Start der Remote Console öffnet sich ein neues Fenster mit einer Java Applikation. HINWEIS: GOOGLE CHROME BIETET KEINE JAVA UNTERSTÜTZUNG. WÄHLEN SIE DAHER EINEN ANDEREN BROWSER. Das Setup Programm bietet keine Mausunterstützung. Verwenden Sie die Cursor Tasten und die Tabulatortaste um zwischen den verschiedenen Menüoptionen zu wählen. Als Erstes wählen Sie bitte ihr Tastaturlayout und bestätigen die Auswahl mit OK. Wählen Sie die gewünschte Zeitzone und bestätigen die Auswahl mit OK Seite 8 von 17

Wählen Sie einen Hostnamen für die Firewall. Vergeben Sie einen Domainnamen Wählen Sie ein Root-Passwort und bestätigen Sie es durch erneute Eingabe. Dieses Passwort wird verwendet, um sich auf der Kommandozeile auf der Firewall einzuloggen. Da die Konfiguration der Firewall überwiegend über eine graphische Benutzeroberfläche erfolgt, wird diese Funktion selten genutzt werden müssen. Hier sollte man ein Password mit hohem Sicherheitsstandard wählen. Im direkten Anschluss nach der Vergabe des Root-Passwortes erfolgt die Festlegung Admin-Passwortes. Auch dieses muss durch die erneute Eingabe bestätigt werden. Dieses Passwort wird zum Login in die graphische Bedienoberfläche verwendet. HINWEIS: BEI DER EINGABE GIBT ES KEINE VISUELLE RÜCKMELDUNG. ES WIRD WEDER DAS EINGEGEBENE PASSWORD, NOCH PLATZHALTER WIE BEISPIELSWEISE STERNCHEN ANGEZEIGT. Nach der Passwortvergabe befinden Sie sich in dem Network configuration menu. Seite 9 von 17

Hier wählen Sie bitte als erstes den Menüpunkt Network configuration type. Für die einfach Konfiguration ist der Typ GREEN + RED ausreichend und wird auch in diesem Beispiel weiter verwendet. GREEN Dieses Netz wird durch die Firewall geschützt. RED Dieses Netz liegt außerhalb der im Internet BLUE Dies ist ein zusätzliches geschütztes Netz, was für die Anwendung von WLAN Accesspoints optimiert ist. ORANGE Die ist ein zusätzliches geschütztes Netzwerk Wählen Sie als Nächstes die Option Drivers and card assignments. Hier findet die Zuordnung der Netzwerkkarten zu den zu den jeweiligen Funktionen statt. Seite 10 von 17

Hier müssen Sie nun die Netzwerkkarte, welche die Verbindung ins Internet hat, dem logischen Interface RED und das interne Interface dem logischen Interface GREEN zuordnen. Diese Interfaces sind vorher auch farblich im DCD entsprechend gewählt worden. Die Auswahlliste im Menü der Firewall zeigt die MAC Adressen der verfügbaren Interfaces. Diese muss man jetzt mit den im Datacenter Designer MAC Adressen abgleichen und entsprechend zuordnen. Seite 11 von 17

Jetzt können den Interface IP Adressen zugeordnet werden. Dazu wählt man im Network configuration menu den Punkt Address settings Jetzt muss zuerst ausgewählt werden, welches Interface konfiguriert werden soll. Wichtig ist zunächst das Interface RED, damit ein Zugriff auf die graphische Benutzeroberfläche möglich ist. Zunächst wählt man den Typ Static. Die Leertaste bewirkt hier, dass die Auswahl übernommen wird. Die Punkte DHCP Hostname und Force DHCP MTU sind in diesem Fall irrelevant und können frei gelassen werden. Bzw. müssen nicht geändert werden. Die einzugebende IP Adresse ist diejenige, welche zuvor im IP-Manager reserviert wurde und dem Server im Datacenter Designer zugeordnet wurde. Die Network Mask lautet: 255.255.255.0 Seite 12 von 17

Als nächsten Schritt wählt man erneut die Address settings und konfiguriert das Network GREEN Interne IP Adressen müssen nicht reserviert werden. Hier ist es möglich ein eigenes IP-Adressschema oder RFC-1918 konforme IP-Adressen zu verwenden. OPTION 1: ÜBERNAHME DER IP ADRESSEN AUS DEM INSPEKTOR DCD OPTION 2: KUNDE HAT EIGENES ADRESSSCHEMA UND ÜBERNIMMT EINE DER VORHANDENEN ADRESSEN OPTION 3: MAN FOLGT DER BEISPIELKONFIGURATION UND WÄHLT (192.168.76.1) Jetzt wird vom Setupprogramm angeboten einen DHCP Service zu konfigurieren. Diese Einstellungen können aber auch in der graphischen Benutzeroberfläche vorgenommen werden. Damit kann die Menüpunkt problemlos übersprungen werden. Seite 13 von 17

Die letzte Einstellung in der Netzwerkkonfiguration sind dann die DNS und Gatewayeinstellungen. In jedem Rechenzentrum stehen DNS Server zur Verfügung, die frei benutzt werden dürfen. Frankfurt 185.48.118.6 185.48.116.10 Karlsruhe 46.16.74.70 46.16.72.37 Las Vegas 208.94.37.18 162.254.24.10 Die Adresse des Default Gateway ermittelt man, indem man das letzte Oktett der eigenen IP Adresse durch eine 1 ersetzt und dieses dann bestätigt. Seite 14 von 17

Hiernach befindet man sich erneut im Network configuration menu und dieses Verlässt man durch die Bestätigung mit Done. Die Warnmeldung kann ignoriert werden, solange man auf der Konsole eingeloggt ist. Nach dem Abschluss der Grundkonfiguration startet die Firewall automatisch neu und das Konsolenfenster der Remote Console kann bedenkenlos geschlossen werden. 4.1 Zugriff auf die Firewall Der Zugriff auf das Management Interface der Firewall erfolgt über eine verschlüsselte SSL Verbindung in einem Webbrowser. https://<ihre IP Adresse> :444/ Username: admin Password: <wie bei der Erstinstallation definiert> Seite 15 von 17

4.2 Änderung des Password (Wenn Sie ein eigenes Password gewählt haben, können Sie diesen Schritt auslassen) Im Management Interface der Firewall gibt es keine Möglichkeit Passwörter zu ändern. Dies ist nur auf Systemebene möglich. Dazu wählt die Firewall im Datacenter Designer aus. In der rechten oberen Ecke findet man dann einen Button für den Zugriff auf die Remote Console. Im Konsolenfenster verwendet man den User root und das bei der Installation vergebene Passwort. Mit dem Kommando setup kommt man in ein Konfigurationsmenü, in dem die Passwörter für die User root (Zugriff auf die Systemebene) und den User admin (Zugriff auf die graphische Oberfläche) geändert werden können. 4.3 Beschränkung des administrativen Zugangs Nach der Installation ist es möglich aus dem Internet auf die graphische Benutzeroberfläche zuzugreifen. Dies erleichtert zwar die Erstkonfiguration sollte jedoch im Anschluss aus Sicherheitsgründen deaktiviert werden. Benutzen Sie dazu wieder die Remote Console der Firewall und melden sich als Root-User an. Zum Bearbeiten der Config Datei der Firewall, nutzen Sie den folgenden Befehl: vi /etc/init.d/firewall Seite 16 von 17

Suchen Sie in dieser Datei die Zeile mit der Konfigurationsregel, die einen GUIINPUT vom RED_DEV erlaubt. iptables A GUIINPUT i ${RED_DEV} p tcp --dport 444 j ACCEPT Aktivieren Sie den Insert Modus im Editor durch Eingabe von i und setzten Sie eine Raute an den Anfang der Zeile. Mit der ESC Taste beenden Sie den Insert Modus und durch die Eingabe von :wq wird der Befehl in die Datei geschrieben und der Editor beendet. Zur Aktivierung dieses geänderten Regelsatzes muss der Firewall Dienst oder einfach die gesamte Firewall neu gestartet werden. Dies können Sie mit dem folgenden Befehl erreichen: /etc/init.d/firewall restart HINWEIS: SOLLTEN SIE IMMER NOCH IN EINEM BROWSER AUF DER GRAFISCHEN OBERFLÄCHE ANGEMELDET SEIN, WIRD DIE LAUFENDE SITZUNG AUCH BEI EINEM NEUSTART DES FIREWALL DIENSTES NICHT UNTERBROCHEN. SCHLIEßT MAN JEDOCH DAS BROWSERFENSTER WIRD KEIN ERNEUTER LOGIN MEHR MÖGLICH SEIN. Seite 17 von 17

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback