Firewall für ein Wohnheim

Damals zu meinen Studienzeiten …

… wurden im Wohnheim die IPs von den Mitbewohner immer wieder gewechselt, und somit viele User aus dem Netzwerk gekickt (wer als letztes die IP im Netzwerk verwendet, darf sie behalten). Deshalb wurde im Admingremium im Sommer 2006 entschieden, die IP an eine MAC-Adresse zu koppeln.

Im Internet gibt es zu gefilterten Netzwerken viele Anleitungen und auch Tests, wobei aber immer wieder berichtet wird, dass eine entsprechend leistungsstarke Hardware vorhanden sein muss.  Meiner Meinung nach hat dies den Grund, dass auf den „Servern“ teilweise noch andere Dienste, wie grafische Benutzeroberflächen, laufen und nicht die optimale Hardware insbesondere Netzwerkkarten eingesetzt werden. Bei meinen Tests konnte ich das nicht nachvollziehen, obwohl ich nur Standardhardware verwendet habe welche bis heute einwandfrei läuft.

Hardwareausstattung:

    • – Gigabyte Mainboard
    • – Athlon 1000
    • – 384 MB SDRAM
    • – 10 GB Festplatte
    • – zwei 3COM 3C509TX Netzwerkkarten
    • – Ubuntu 8 als Linuxdistribution

Bei den eingesetzten Netzwerkkarten von 3Com ist der Vorteil, dass diese viel Arbeit der CPU abnehmen, anders als bei Realtek Chipsätzen, die die CPU bei jedem Paket stark belasten. Mit der Anordnung wurden und werden knapp 100 Benutzer versorgt, wobei eine Bandbreite von 95Mbit (Up- und Download) ins deutsch Forschungs- bzw. Internet (Anbindung 100Mbit) dauerhaft und auch mit vielen gleichzeitig aktiven Benutzern erreicht werden konnte.

Die zwei Netzwerkkarten wurden zu einer Bridge verbunden, die eine eigene IP für Wartungsaufgaben erhielt.

bridge:/> cat /etc/network/interfaces
auto lo
iface lo inet loopback

auto br0
iface br0 inet static
 address 10.x.y.z
 netmask 255.255.255.0
 gateway 10.x.y.1
 bridge_ports eth0 eth1
 bridge_fd 6
 bridge_stp no

Den Netzwerkverkehr kontrolliert eine Firewall, die nur autorisierte Rechner ins Netz lies (MAC-Filterung). Zusätzlich leitet die FW falsch konfigurierte Rechner über den internen DNS Server auf den hausinternen Webserver um, um Neueinzüge und Zombierechner auf den richtigen Weg zu bringen. Weiterhin kann über eigens dafür entwickelten Daemon neue User hinzugefügt bzw. alte gelöscht werden. Auch kannder aktuelle Status abgefragt werden, welche am Webserver komfortabel administriert werden konnten.

Netzwerk Bridge beim Testen

Netzwerk Bridge beim Testen

Wer etwas ähnliches benötigt, kann gerne mal anfragen!

Leave a comment

Your comment