Die untentstehende Tabelle fasst die Standardeinstellungen der Firewall zusammen und beschreibt die Schritte, die nötig sind, Zugriffe zwischen den Schnittstellen zu öffnen und zu verwalten.

Seit Version 1.4 gibt es eine neue Datei, in der benutzerdefinierte Einstellungen zu den Firewall-Regeln abgelegt werden: /etc/rc.d/rc.firewall.local

Diese Datei wird durch /etc/rc.d/rc.firewall verarbeitet. Der manuelle Aufruf erfolgt durch:

$ /etc/rc.d/rc.firewall.local {start|stop|reload}

	Anmerkung
	Die reload Option wurd in Version 1.4.2 hinzugefügt und in Version 1.4.6 erweitert. Diese Änderungen sind in den offiziellen Updates nicht enthalten, um zu verhindern, dass benutzerdefinierte Einstellungen überschrieben werden.

Weiterhin existieren seit IPCop v1.3 spezielle Regelketten, welche für benutzerspezifische Anpassungen vorgesehen sind: CUSTOMINPUT, CUSTOMOUTPUT und CUSTOMFORWARD.

Ebenfalls seit Version 1.3 existiert die Datei /etc/rc.d/rc.local, die beim Systemstart ausgeführt wird. In dieser Datei können benutzerspezifische Kommandos eingepflegt werden, die beim Booten erforderlich sind (z.B. Initialisierung eines internen Modems).

Keine dieser Dateien wird durch ein offizielles Update verändert. Die Dateien werden mitgesichert, wenn die IPCop-Datensicherung ausgeführt wird.

Über diese Seite werden die Port-Weiterleitungen verwaltet. Port-Weiterleitungen sind zu 100% optional, Sie können dieses Kapitel also überspringen, wenn Sie von diesem Feature keinen Gebrauch machen wollen.

2.6.3.2. Port-Weiterleitung und externer Zugang

In Version 1.3.0 wurde das Interface zur Port-Weiterleitung überarbeitet. Es unterscheidet sich deutlich von älteren Versionen. Die oben beschriebenen Portnummern gelten aber weiterhin.

Die Seite Externer Zugang hat keinen Einfluss auf das grüne oder orangene Netzwerk. Sie dient dazu, Ports auf den IPCop selbst zu öffnen und nicht auf das grüne oder orangene Netzwerk.

Wie ermöglicht man dann den externen Zugang? Er ist kombiniert in der Port-Weiterleitungs-Seite - über das Feld

'Quell-IP, oder Netzwerk (Leer für "ALL"):'

Dieses Feld kontrolliert den externen Zugang - wenn Sie es leer lassen, wird die Port-Weiterleitung für alle Internet-Adressen geöffnet. Alternativ können Sie hier eine Adress oder Netzwerk eintragen, die Weiterleitung wird dann hierauf begrenzt.

Sie können mehr als eine externe Adresse haben. Nachdem Sie den Weiterleitungs-Eintrag angelegt haben, erscheint er in der Tabelle. Wenn Sie eine weitere externe Adresse hinzufügen möchten, klicken Sie auf den roten Bleistift mit dem Plus-Symbol. Der Eintrag wird in die Eingabefelder oben übernommen und Sie können eine neue IP-Adresse oder ein neues Netzwerk hinzufügen.

Nach dem Speicher taucht der neue Eintrag in der Tabelle auf.

Weiterhin muss beachtet werden:

• Das GRE-Protokoll wird unterstützt.

• Bei den Ports können Bereiche mit Platzhaltern (Wildcards) eingegeben werden. Einige Beispiele:

• * ergibt 1-65535

• 85-* ergibt 85-65535

• *-500 ergibt 1-500

Folgende Zeichen können bei der Angabe von Port-Bereichen verwendet werden: „:“ oder „-“. Beachten Sie, dass „-“ in „:“ übersetzt wird, auch wenn es als „-“ angezeigt wird.

Sie müssen nur den ersten Quell-Port eingeben, der Ziel-Port wird automatisch eingetragen.

Sie können einen Eintrag ändern, in dem Sie auf den gelben Bleistift in der jeweiligen Zeile klicken.

Wenn Sie einen Eintrag bearbeiten, wird er in der Tabelle gelb hervorgehoben.

Um einen Eintrag zu löschen, klicken Sie auf den Papierkorb.

Port-Bereiche dürfen sich nicht überlappen.

Einzelne Ports können nicht innerhalb von bereits vergebenen Port-Bereichen festgelegt werden. Wenn Sie z.B. den Bereich 2000-3000 vergeben haben, können Sie Port 2500 nicht mehr vergeben, Sie erhalten dann eine Fehlermeldung. Auch kann ein Port nicht auf mehrere Maschinen weitergeleitet werden.

Reservierte Ports - auf der roten Hauptadresse (DEFAULT IP) sind einige Ports für IPCop reserviert. Dies sind die Ports 67, 68, 81, 222 und 445.

Wenn Sie eine Portweiterleitung bearbeiten, erscheint eine separate Checkbox 'Überschreibe externen Zugang zu ALL:'. Sie dient dazu, den Port für Testzwecke schnell für alle Internet-Adressen zu öffnen. Dieses Feature entstand aus einer Benutzer-Anforderung.

Beachten Sie, dass ein für mehrere externe Adressen geöffneter Port für alle Adressen geöffnet wird, wenn Sie die einzelnen Adressen löschen.

Mit einem Klick auf den Aktiviert-Schalter können Sie eine Weiterleitung schnell ein- und ausschalten. Achtung: Wenn Sie eine Port-Weiterleitung deaktivieren, werden alle zugewiesenen externen Adressen deaktiviert.

Über diese Seite können Sie den externen Zugang auf Ihren IPCop konfigurieren. Diese Einstellung ist optional, wenn Sie keinen externen Zugang zum IPCop benötigen, können Sie diesen Abschnitt überspringen.

Seit Version 1.3.0 wird über den externen Zugang nur der Zugriff auf den IPCop eingerichtet. Dies hat keinen Einfluss auf den Zugriff auf das grüne, blaue oder orangene Netz. Nutzen Sie dazu bitte die Port-Weiterleitung.

Wenn Sie Ihren IPCop fernwarten wollen, konfigurieren Sie den TCP-Port 445 (HTTPS). Wenn Sie auch ssh-Zugang von extern benötigen, konfigurieren Sie den TCP-Port 222 (SSH).

Über die Liste TCP/UDP wählen Sie das Protokoll für die Regel. Die meisten normalen Server benutzen TCP. Quell-IP ist die IP-Adresse des externen Rechners, dem Sie die Zugangsberechtigung geben wollen. Sie können dieses Feld leer lassen, damit ist der Zugriff für jede Adresse erlaubt. Dies kann eine Gefahrenquelle darstellen, ist aber nützlich, wenn Sie den IPCop von überall aus fernwarten wollen. Ziel-Port ist der externe Port, über den der Zugriff gestattet werden soll, z.B. 445. Über Ziel-IP-Adresse können Sie die IP-Adresse der roten Schnittstelle festlegen, für die die Regel gelten soll. IPCop kann mehrere IP-Adressen an der roten Schnittstelle verwalten. Wenn Sie nur eine rote IP-Adresse haben, wählen Sie hier DEFAULT IP.

Wenn alle Eingaben getätigt wurden, setzen Sie das Häkchen bei Aktiviert und klicken Sie Hinzufügen. Die Regel wird dann in die Tabelle unten aufgenommen.

Unter Aktuelle Regeln werden alle eingerichteten Zugangsregeln aufgelistet. Um eine Regel zu löschen, klicken Sie auf das Papierkorb-Symbol. Um einen Eintrag zu bearbeiten, klicken Sie auf das gelbe Bleistift-Symbol.

Um eine Regel schnell zu aktivieren oder deaktivieren, klicken Sie auf das Symbol mit dem Häkchen.

Über diese Seite konfigurieren Sie die DMZ-Schlupflöcher. Diese Einstellungen sind optional, wenn Sie keine Schlupflöcher benötigen, können Sie diesen Abschnitt überspringen.

	Anmerkung
	Diese Seite wird nur angezeigt, wenn Sie eine Netzwerkkarte für Blau oder Orange installiert haben.

Eine DMZ oder Demilitarisierte Zone (ORANGE Zone) wird als halbsicherer Austauschpunkt zwischen der externen ROTEN Zone und der internen GRÜNEN Zone genutzt. In der GRÜNEN Zone befinden sich alle Ihre internen Rechner. Die ROTE Zone ist das gesamte Internet. Eine DMZ ermöglicht es nun, Serverdienste anzubieten, ohne unzulässige Zugriffe auf das interne LAN durch Benutzer in der ROTEN Zone zu erlauben.

Nehmen wir an, Ihr Unternehmen betreibt einen Webserver. Sicherlich wollen Sie, daß Ihre Kunden (die in der ROTEN Zone) darauf zugreifen können. Weiterhin sei angenommen, daß Ihr Webserver Bestellungen von Kunden an Ihre Angestelten in der GRÜNEN Zone weiterleiten soll. Mit einer traditionellen Firewallkonfiguration würde dies nicht gehen, weil die Anfrage, auf die GRÜNE Zone zuzugreifen von außerhalb der GRÜNEN Zone initiiert wurde. Sie möchten sicherlich nicht allen Ihren Kunden direkten Zugriff auf die Rechner auf der GRÜNEN Seite gewähren. Wie kann eine solche Anforderung nun erfüllt werden? Durch die Einrichtung einer DMZ und die Benutzung von DMZ-Schlupflöchern.

DMZ-Schlupflöcher geben Rechnern in der ORANGEN Zone (DMZ) begrenzten Zugriff auf bestimmte Ports auf Rechnern in der GRÜNEN Zone. Da Server (die Rechner in der ORANGEN Zone) gelockerte Regeln hinsichtlich der ROTEN Zone haben, sind sie anfälliger für Hacker-Angriffe. Dadurch daß von ORANGE nach GRÜN nur ein beschränkter Zugriff zugelassen wird, werden unberechtigte Zugriffe auf geheime Bereiche verhindert, sollte der Server kompromittiert werden.

Die TCP/UDP DropDown-Liste ermöglicht die Auswahl des Protokoll für die Regel. Größtenteils benutzen die Server TCP. Einige Spieleserver und Chatserver benutzen UDP. Wenn das Protokoll in der Serverdokumentation nicht beschrieben ist, wird in aller Regel TCP eingesetzt. Benutzten Sie das Protokoll, das auf der Seite zur Port-Weiterleitung festgelegt wurde.

Quell-Netz ist ein DropDown-Liste, welche die verfügbaren Quell-Netzwerke auf dem IPCop Server zeigt.

Quell-Netz ist die IP-Adresse des Rechners, dem Sie die Erlaubnis zum Zugriff auf ihre internen Server erteilen wollen.

Ziel-Netz ist eine DropDown-Liste, welche die verfügbaren Ziel-Netzwerke auf dem IPCop Server zeigt.

Ziel-Port ist der Port auf dem Rechner, welcher auf die Anfrage hört

Ziel-Netz ist die IP-Adresse des Rechner in der GRÜNEN oder BLAUEN Zone, der die Anfrage entgegennimmt.

Nachdem alle Informationen eingetragen sind, setzen Sie das Häkchen in das Aktiviert-Symbol und betätigen den Schalter Hinzufügen. Danach wird die Regel in den nächsten Abschnitt verschoben und dort als aktive Regel aufgelistet.

Der Abschnitt Aktuelle Regeln enthält alle Regeln, die momentan in Kraft sind. Um eine zu löschen, müssen Sie das „ Papierkorb-Symbol anklicken. Um eine Regel zu bearbeiten, klicken sie auf das gelbe Bleistift-Symbol.

Zum de-/aktivieren einer Regel müssen Sie das Aktiviert-Symbol (das Häkchen links in der „Aktion-Spalte) der jeweiligen Adresse anklicken. Das Häkchen im Symbol verschwindet, wenn eine Regel deaktiviert ist. Um sie wieder zu aktivieren, müssen Sie das leere Kästchen erneut anklicken.

Auf dieser Administrationsseite können Sie Einstellungen für Wireless Accesspoints im BLAUEN Netzwerk, die sich mit dem IPCop Server verbinden dürfen, vorgenehmen. Die Nutzung dieses Features ist freigestellt. Sie können ohne Bedenken diesen Abschnitt übergehen, wenn Sie davon keinen Gebrauch machen wollen.

	Anmerkung
	Diese Seite wird nur angezeigt, wenn eine BLAUE Netzwerkkarte installiert und konfiguriert wurde.

Um eine Zugriff auf BLAU einzurichten gehen Sie wie folgt vor:

Wenn Sie auf dem BLAUEN Netzwerk nur http-Datenverkehr zum Internet (ROTES Netzwerk) bereitstellen müssen, tragen Sie die IP-Adress oder die MAC-Adress des Wireless Routers bzw. die einzelnen Wireless verbundenen Geräte, falls Sie einen Accesspoint benutzen, auf der Administrationsseite ein. Sie müssen mindestens eine MAC- oder eine IP-Adresse pro Gerät eingeben. Wahlweise können Sie beides, MAC- und IP-Adresse, für ein Gerät eingeben.

Ein Accesspoint verhält sich wie ein Ethernet Hub. IPCop vergibt DHCP-Leases durch ihn hindurch an die Wireless Geräte. Ein Wireless Router macht NAT, vergibt IP-Adressen an sein eigenes Subnetz per DHCP und hat seine eigene Zugangskontrollen.

	Anmerkung
	Ihr Accesspoint muss "DHCP passthrough" unterstützen, wenn Ihr IPCop über diesen per DHCP Zuordnungen an Ihr Drahtlosnetzwerk verteilen soll. Nicht alle Geräte unterstützen diese Funktion im Accesspoint-Modus (z.B. der Netgear WG614).

Sie können das IPCop Webinterface von einem Computer im BLAUEN Netzwerk anzeigen. Sie können jedoch nicht zum GRÜNEN Netzwerk verbinden ohne einige zusätzlichen Handgriffe.

Um sich vom BLAUEN Netzwerk zum GRÜNEN Netzwerk zu verbinden, müssen Sie entweder:

Im Abschnitt Gerät hinzufügen tragen Sie die IP-Adresse oder die MAC Adresse eines Wireless Accesspoints oder jedes Geräts auf dem BLAUEN Netzwerk ein, welches über den IPCop Server zum Internet verbinden können soll.

Sie müssen mindestens eine MAC- oder eine IP-Adresse pro Gerät eingeben.

Wenn Sie DHCP im BLAUEN Netzwerk verwenden und Sie wollen, dass jedes Gerät Zugriff auf das ROTE Netzwerk hat, müssen Sie für jede IP-Adresse aus Ihrem DHCP-Bereich einen Eintrag erstellen. Lassen Sie, wenn Sie jede dieser IP-Adressen eintragen, das Feld für die MAC-Adresse leer.

Umgekehrt, wenn Sie den Zugriff auf bekannte Geräte beschränken wollen, fügen Sie für jedes dieser Geräte die MAC-Adresse hinzu und lassen das Feld für die IP-Adresse leer. Dies wird aufgelisteten Geräten, unabhängig ihrer erhaltenen Zuordnung per DHCP, den Zugriff erlauben.

Nachdem alle Informationen eingetragen sind, setzen Sie das Häkchen in das Aktiviert-Symbol und betätigen den Schalter Hinzufügen. Danach wird der Eintrag in den nächsten Abschnitt verschoben und dort als aktives Gerät aufgelistet.

Der Abschnitt Geräte auf Blau enthält alle aktuellen Einträge. Um eines zu löschen, müssen Sie das Papierkorb-Symbol anklicken. Um eines zu bearbeiten, klicken sie auf das gelbe Blestift-Symbol.

Zum de-/aktivieren eine Gerätes müssen Sie das Aktiviert-Symbol (das Häkchen links in der Aktion-Spalte) des jeweiligen Eintrages anklicken. Das Häkchen im Symbol verschwindet, wenn ein Gerät deaktiviert ist. Um es wieder zu aktivieren, müssen Sie das leere Kästchen erneut anklicken.

Wenn DHCP für das BLAUE Netzwerk aktiviert ist, wird der Abschnitt Aktuelle DHCP Zuordnungen auf Blau angezeigt.

Dort erhalten Sie ein schnelle Möglichkeit um Wireless Geräte zur Liste hinzuzufügen. Sie müssen lediglich auf das blaue Bleistift-Symbol klicken, um ein neues Gerät in die Liste der aktuellen Geräte aufzunehmen. Sie können dann den Eintrag, falls erforderlich, durch einen Klick auf das gelbe Bleistift-Symbolbearbeiten.

Auf dieser Administrationsseite können Sie einige Einstellungen zum Verhalten der IPCop Firewall vornehmen. Die Nutzung dieses Features ist freigestellt. Sie können ohne Bedenken diesen Anschnitt übergehen, wenn Sie davon keinen Gebrauch machen wollen.

Um die Änderungen zu sichern, drücken Sie den Speichern.