Sie sind nicht angemeldet.

1

20.08.2015, 13:07

Gentoo GNU+LINUX als Firewall und VoIP Lösung mit rtorrent P2P Funktionalität? + TOR Server?

Hallo an all euch liebe Gentoo Hacker!

Wie ihr an der Überschrift dieses Beitrags lesen könnt, habe ich viele Fragen an euch...

Da ich einen defekt (nur die Soundkarte ist defekt und bereits mit einer 100% Linuxkompatiblen PCI Soundkarte ersetzt!) auf eBay als angeblich voll Funktionstüchtigen Intel Atom 330 mit 4GB DDR2 800MHz RAM mein eigen nenne. Und dieser über eine 80GB Intel SSD und zwei Western Digital 2TB HDDs verfügt, denke ich gerade über ein Gentoo LINUX als Firewalllösung nach.

Im IPCop Forum, habe ich allerdings bereits gelesen, dass P2P auf einer Firewall prinzipiell eine schlechte Idee sein soll.
- In wie weit trifft das denn zu?

Ich will aber meine 2 x 2 TB WD Green HDDs auch auslasten können. Derzeit seede ich meine LINUX ISOz auf meinem i7-4770T via rtorrent. Auf der Firewall, welche ich mit Gentoo LINUX einrichten will, soll dass dann mit 20W weniger Verbrauch als auf besagtem i7 von statten gehen.

In meinem gesamten Heim-LAN befindet sich kein einziger Microsoft Windows Client. Es ginge lediglich um ein Kubuntu 14.04 Laptop und ein Gentoo LINUX (auf besagtem i7-4770T) als Clients.

Ich plane die Gentoo LINUX Firewall rund um die Uhr und mit VoIP Funktionalität (im idealfall gemanaged über die Kommandozeile ohne irgendeine GUI VoIP Lösung) zu betreiben.

So viel zur groben Vorgeschichte.

Jetzt zu meinen Fragen:

Wenn ich die 2 x 2TB als /home LVM für den rtorrent Client zusammengefasst betreibe, finden da sämtliche LINUX ISOz (Laut Richard Stallman gibt es da ja über 1000 verschiedene!!) überhaupt Platz??

Welches Paket stellt eine geeignete Firewall unter Gentoo GNU+LINUX bereit?? Wie konfiguriere ich die Firewallpakete richtig zum o.g. Einsatzzweck??

Ich hatte bereits einmal ein Debian GNU/LINUX GNOME Desktopsystem mit einer nahezu unkonfigurierten arno-iptables-firewall am Laufen, und habe damit mein kleiner Bruder Corvin mal seine Crackerkünste beweisen kann via Browser die Firewall meines Vodafone Routers gänzlich deaktiviert. Mein System war innerhalb von Sekunden gecrackt und es funktionierte gar nix mehr...
...und da ich die bestehenden IP-Verbindungen nicht getraced habe, vermag ich nichtmal mit bestimmtheit zu sagen, wer da an der unkonfigurierten arno-iptables-firewall vorbei mein GNOME gehackt hat.

Kann ich eventuell auch die Router Firewall aktiviert lassen und sowas wie Portforwarding auf die geplante Gentoo LINUX Firewall konfigurieren?? (Vermutlich geht dann aber VoIP nichtmehr...)

Ein TOR-Server (ohne EXIT-Node, damit die ehemals grünen Männchen nicht auf der Matte stehen) wie ist der dann zu konfigurieren???

Ich habe so unendlich viele Fragen zu der Thematik... dass könnt ihr euch auch sicher denken. Aber mir ist es egal wie laaangsaaam mein Intel Atom einen XFCE Desktop kompiliert, denn eine GUI hat auf einer Firewall sowieso nix zu Suchen...

Also ganz viele =?

Würde mich über viele Antworten, im Idealfall eine /etc/portage/make.conf von jemandem, der so eine Wall schon laufen hat sehr freuen.

LG

Euer solarseed

P.S.: Ist eventuell IPCop doch Gentoo LINUX vorzuziehen und gibt es vielleicht schon eine IPCop Erweiterung für P2P???
Gentoo LINUX wäre mir irgendwie lieber als IPCop, weil wesentlich flexibler... (zumindest in meinen Augen, als gänzlich Firewall-Unerfahrenem!)

Nochmal einen ganz lieben Gruß an alle Forumianer.
...neverending Black...

The "G" in Gentoo stands for: Good Choice, The "E" stands for: Enormously Powerfull, The "N" stands for: Nothing Else, The "T" stands for: TTY, Both "O's" stand for: Overwhelming Overlord!

...wir benutzen sie...

Dieser Beitrag wurde bereits 6 mal editiert, zuletzt von »solarseed« (22.08.2015, 23:03)


2

21.08.2015, 11:39

Im Prinzip ist die einzige Linux-Firewall netfilter/iptables, integriert in den Kernel. Dies ist unabhängig von der Distribution. Das schwierige daran ist es die Regeln zu schreiben. Es ist ein sehr komplexes Thema und wenn man es nicht versteht, fühlt man sich in Schein-Sicherheit, wie Du es mit "arno" erlebt hast. Die einzelnen "Firewalls" für Linux sind Skript-Generatoren die Dir ein iptables-Skript zusammenbauen. Dieses kannst Du dann natürlich auf jedem Linux nutzen. Leider kenne ich mich mit diesen "Firewalls" nicht aus, denn ich schreibe meine Skripte selbst. Den Einstig hatte ich mit net-firewall/fwbuilder und einem Helfer der sich damit auskannte geschafft. Aber in der Portage-Kategorie net-firewall ist noch einiges drin, da muss jemand anderes beraten.

Zu den anderen Fragen:
P2P auf der Firewall ist keine gute Idee, denn falls jemand über einen Bug oder Hintertür in der Software auf das System kommt, kann er auch die Firewall umbiegen. Im Prinzip sollte auf einer Firewall nur Kernel, das Basis-System und gespeicherte Firewall-Regeln laufen. Alles weitere ist ein Angriffs-Vektor und gehört da nicht hin. Mir war das auch zu paranoid, habe keine Lust zig Rechner da stehen zu haben, also habe ich virtualisiert. Dh. Auf der Firewall habe ich mehrere abgesicherte LXC-Container, P2P würde ich dann auch in solch einen Container packen. Weitere Dienste, wie zB. von außen erreichbare Webseite (Owncloud mit Zugriff auf eine ebenfalls 2TB Festplatte), nur intern erreichbarer test-Webserver ebenfalls in je eigenem Container. Alles auf einem System.

4 TB für 1000 ISO's? Mathematik: 4000 GB / 1000 sind max 4 GB pro ISO. Ich denke die meisten ISO's sind drunter, es gibt aber auch welche die größer sind (DVD=4,7GB, selten bis 9GB Dual-Layer). könnte also knapp werden.

VOIP: Damit kenne ich mich nicht aus. Und es ist ein Schlagwort für vieles. Telekom: => extra VLAN, In ein normales Telefon-Netz einspeisen => net-misc/asterisk Oder einfach Web-Dienste wie Skype...

Wenn Du den Router eh laufen lassen musst, würde ich die Firewall aktiviert lassen. Diese bietet etwas zusätzliche Sicherheit. Wenn damit Voip nicht läuft, dann wird es möglicherweise auch ohne die Firewall nicht laufen, da der Voip-VLAN möglicherweise gar nicht ins LAN geroutet wird.
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

3

21.08.2015, 12:17

Danke bell! Dank dir bin ich schonmal einen Schritt weiter! :)

rtorrent halte ich allerdings für einen relativ bugfreien Torrent Client...

Nach dem was du so schreibst, bin ich jetzt ernsthaft am überlegen, ob ich das Gentoo LINUX Firewallprojekt überhaupt beginne...

Virtualisierung auf nem Intel Atom... ist etwas Lastkritisch. Das Ding ist ohnehin total lahm...

LG

solarseed
...neverending Black...

The "G" in Gentoo stands for: Good Choice, The "E" stands for: Enormously Powerfull, The "N" stands for: Nothing Else, The "T" stands for: TTY, Both "O's" stand for: Overwhelming Overlord!

...wir benutzen sie...

4

21.08.2015, 12:31

Ich hatte auch auf einem älteren 32-bit Atom mit 2 GB RAM die Firewall + 5 damals VServer (vorgänger von LXC) Container am Laufen ohne Probleme. Siehe hier. Später noch Anschluss an den Fernseher+XBMC. Ein LXC-Container ist keine Voll-Virtualisierung, keine Hardware-Emulation. Es ist eher mit einem abgesicherten chroot zu vergleichen. Also der selbe Kernel, aber neben dem "Host" einfach noch ein Paar weitere Userspaces. Der Host (Namespace 0) darf auf die anderen Userspaces zugreifen, umgekehrt jedoch nicht.
Was mir eher Sorgen macht sind die richtigen IPTables Regeln. Du kannst jedoch mit einer "Feritg-Firewal-Distri" starten und sobald Du ungefähr verstehst wie IPTables tickt, die generierten Skripte für Gentoo übernehmen.
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.

5

22.08.2015, 00:59

Nach vielen Jahren Erfahrung mit Firewalls. Kann ich dir nur davon abraten. Das was die meisten nicht bedenken ist, das man die Firewall auch pflegen muss, sprich updaten auf Sicherheitslücken achten und aufpassen das man keine Tür aufmacht die man nicht aufmachen möchte. Um zu verstehen wie alles funktioniert ist deine Lösung eine sehr gute. Aber um produktiv zu arbeiten und einen minimalen Zeitaufwand zu opfern, kann ich dir fertige Lösungen empfehlen. Da wäre IPFIRE, IPCOP (wohl eher nicht) und Monowall (IPV6 auch voll supportet). Das sind alle Opensourcelösungen und funktionieren ganz gut. Wenn du ein wenig Geld ausgeben möchtest kann ich dir Fortinet empfehlen. Nachdem ich viele Jahre mit Opensourcefirewalls zu tun hatte und damit auch sehr zufrieden war, blieb ich dann doch bei Fortinet hängen. Wenig Aufwand sehr profisionell. Hab auch schon viele Bekannt damit ausgestattet. Natürlich kann man die Dinger nicht zum realen Normalpreis kaufen, das ist einfach zu teuer. Aber in Ebay find ich immer wieder Firewalls die nur ein 10tel kosten und meist auch neu sind. Empfehlen kann ich dir 60C, 60D, oder auch 20C/D auch mit Wifi möglich.

http://www.ebay.at/itm/Fortinet-Fortigat…=item1c577214e6

Um das Teil zu nutzen benötigt man nicht unbedingt eine Lizenz. Möchte man Support, Garantie und Features wie Virenscan und kategorie basierenden Webfilter haben, sollte man sich ein Paket kaufen. Da muss man eben nachfragen wann die Subscription ausgelaufen ist.

Aber ich möchte dich hier nicht von deiner selbstgebauten Firewall aufhalten, macht auf jeden Fall Spass!

lg
Gentoo Can Do!

Wiki auf: http://deepdoc.at

6

22.08.2015, 23:03

Vielen Dank für die vielen Antworten schonmal soweit!!

Ich werde jetzt mal das Projekt Gentoo Firewall canceln, nach dem was boospy geschrieben hat - und zumal ich nicht bedachte, dass ich ja gerade erst die zweite Netzwerkkarte aus dem PCI Slot geholt habe und die Soundkarte reinmachte - zumal ohne Soundkarte VoIP Telefonie wenig freude bereiten wird. Und ich auch die investition in einen voll LINUX Kompatiblen LAN USB-Stick und dass dann wohl nötige Headset zum telefonieren mit Freunden und Familie; mir gerade echt absolut nicht leisten kann...

Ich setze den Beitrag jetzt auf "Erledigt"! :rolleyes:

LG

solarseed
...neverending Black...

The "G" in Gentoo stands for: Good Choice, The "E" stands for: Enormously Powerfull, The "N" stands for: Nothing Else, The "T" stands for: TTY, Both "O's" stand for: Overwhelming Overlord!

...wir benutzen sie...

7

24.08.2015, 00:11

Oh, entschuldige bitte, wollte dich jetzt auf keinen Fall entmutigen. Fang ruhig mal an zu bauen, wenn's um den Lernfaktor geht, der ist dabei enorm.

lg
boospy
Gentoo Can Do!

Wiki auf: http://deepdoc.at

8

25.08.2015, 14:33

Danke boospy!!!

Gut, dann besorge ich mir Anfang nächsten Monat ein Headset für 3,5mm Klinke und eine USB NIC... gibt es da schon was LINUX kompatibles für USB 3.0 mit nem akzeptablen Durchsatz??

Kann mir jemand Headsethardware empfehlen??

Für VoIP muss ich dann aber vermutlich doch die Firewall am Router komplett deaktivieren, oder?? Und ich brauche doch bestimmt dann auch die Einwahldaten von meinem Provider für mich?? (Vodafone...) :love:

LG

solarseed

P.S.: Wenn der Lernfaktor dabei hoch ist, dann probiere ich dass doch gern aus und scheue auch keine weiteren Investitionen...

P.P.S.: Noch einige weitere Fragen:

Wenn der VoIP Server steht, kann ich dann individuellen über die 1x Telefonleitung die ich am Start habe, eingehenden Nummern individuelle Anrufbeantworteransagen zuteilen? Und kann ich dem VoIP Server automatisierte Anrufe an bestimmte Nummern zu bestimmten Uhrzeiten in Auftrage geben? (Beispielsweise einen 06:15 Uhr Anruf an meine Mutter an 7 Tagen die Woche, dass sie jetzt endlich mit ihrer Hündin gehen soll etc.) ???

Und vermutlich reicht die Funktionalität eines einzigen Headsets an 3,5mm Klinke garnicht aus, denn für wichtige eingehende Nummern, brauche ich dann ja Raumklang. Ansonsten müsste ich ja Tag & Nacht das Headset tragen!!?

Außerdem: Ich hatte mal Hardened Gentoo ausprobiert, ich glaube da fehlte im Kernel gänzlich das EXT Filesystem etc. ... brauche ich dann ein NFS LVM für /home und ein NFS Filesystem für /root ???

So viele Fragen und weiterhin kaum Antworten :thumbup:

Lieben Gruß (zum 2.)

solarseed
...neverending Black...

The "G" in Gentoo stands for: Good Choice, The "E" stands for: Enormously Powerfull, The "N" stands for: Nothing Else, The "T" stands for: TTY, Both "O's" stand for: Overwhelming Overlord!

...wir benutzen sie...

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »solarseed« (25.08.2015, 14:54)


9

25.08.2015, 19:09

Direkt jetzt zur einer selber gebastelten Telefonanlage kann ich dir leider nicht helfen, habe zwar immer wieder damit zu tun (gezwungener Maßen). Aber nachdem das eine eigene Welt ist, kenn ich mich damit nicht aus. Ich kann dir aber grundsätzlich ein paar Tipps geben. Zum einen würde ich auf jeden Fall die Systeme trennen. Ein System für die Firewall, ein's für Asterisk. Weiers würde ich die Systeme auf jeden Fall mit Proxmox virtualisieren. Ist für Firewall und Telefonanlage kein Problem. Die kannst Hardware ohne Probleme durchscheusen. Das ganze hat den Vorteil, das zu betriebssystemunabhängig Snapshots und Backup ganz leicht mit ein paar Klicks organisieren kannst. Somit kannst du z.B. mal ein Grundsystem aufsetzen, dann ein Snapshot machen dann wieder weiter basteln. Macht wesentlich mehr Spass, und man braucht sich nicht drumm kümmern wenn mal abraucht.

Noch was zu den IPtables: Da könnest du auch für den Anfang Webmin mergen, hier kannst IPtables per Web einstellen... ist am Anfang leichter, dann kannste gucken was in die Config geschrieben wird. Für Asterisk falls zu komplex, gibt es auch fertige ISOs. Musst halt ein wenig Googlen, habe aber in der Vergangenheit einiges brauchbares gesehen.

VM Templates für Gentoo habe ich hier, könnte ich dir zur Verfügung stellen, dann müssest die Teile nicht aufsetzten.

lg
Gentoo Can Do!

Wiki auf: http://deepdoc.at

10

30.08.2015, 23:34

Zitat

VM Templates für Gentoo habe ich hier, könnte ich dir zur Verfügung stellen, dann müssest die Teile nicht aufsetzten.


Dass Angebot nehme ich doch dankend an! Kannst mir das Zeug, sobald du mal Zeit hast mailen an: hoerbuchwelle@yahoo.de

Zitat

Weiers würde ich die Systeme auf jeden Fall mit Proxmox virtualisieren.


Proxmox sagt mir garnix. Habe bisher nur Erfahrung mit dem nicht wirklich sonderlich konfigurationsfreudigen VirtualBox von Oracle / Sun.

Aber virtualisierung an sich klingt supercool. Zumal ich jetzt für die Grundsatzlösung der Firewall richtig Geld in die Hand genommen habe. Intel Atom war mir doch zu langsam, und steht jetzt bei eBay zum Verkauf.
Neues System wird das 300W Triathlor Enermax Netzteil besser auslasten mit nem 4-Kerner AMD 615e Propus @ 45W...
...dank Virtualisierung geht da mit Sicherheit schonmal mehr als bei dem alten Intel Atom 330!

Vielen Dank für all die Inspiration soweit... :D :evil: :D

LG

solarseed
...neverending Black...

The "G" in Gentoo stands for: Good Choice, The "E" stands for: Enormously Powerfull, The "N" stands for: Nothing Else, The "T" stands for: TTY, Both "O's" stand for: Overwhelming Overlord!

...wir benutzen sie...

11

30.08.2015, 23:43

Schreib mir auf Jabber. boospy@jabber.ccc.de
Gentoo Can Do!

Wiki auf: http://deepdoc.at

12

31.08.2015, 03:17

Muss mir erstmal nen Account auf jabber.ccc.de machen. Und nen vernünftigen Konsolenclient für das Jabber Protokoll installieren...

EDIT:

Mal angenommen ich habe auf dem dann Gentoo only System Mainboard ca. 3x PCI Slots frei. Wenn ich in jeden Slot eine LAN Karte stecke, könnte ich dann auch die Firewall auf einem Desktopsystem komplett virtualisieren und den virtuellen Maschinen jeweils eigene PCI-Karten mit eigener MAC-Adresse etc. zuweisen??

Aber was das Projekt im allgemeinen angeht, beginne ich zu zweifeln, ob ein TOR-Server bei meinem 2K Bauern DSL überhaupt sinn macht... ganz ehrlich...

@ boospy

Ich bemühe mich gerade eine jabber Connection zu dir aufzubauen. Deine Freundschaftsanfrage ist bereits angenommen hier im Board... Finde auf http://www.ccc.de um das Verrecken gerade keinen Menüpunkt zum Jabber Account aufmachen... hast du da eventuell nen Link für mich, der mir die Sucherei erspart? Hatte schonmal einen jabber CCC Account aber das ist viele Jahre her... ich frag' mal kurz Google!! Nein Ecosia, die pflanzen Bäume... und Hit: http://web.jabber.ccc.de/
- Danke Ecosia Organisation ;) ... gleich mal schauen, ob solarseed noch frei ist... :D

Wie ist denn der Port vom jabber.ccc.de Server? Default Port liefert Meldung: Segmentation Fault und bringt mich in net-im/centerim direkt zurück zum CLI...

Habe es schon mit allen möglichen Nicks versucht, kann mich aber partout nicht Registrieren auf jabber.ccc.de ... kannst mir da mal unter die Arme greifen boospy?
net-im/centerim sieht jedenfalls sehr brauchbar aus!! :D
...neverending Black...

The "G" in Gentoo stands for: Good Choice, The "E" stands for: Enormously Powerfull, The "N" stands for: Nothing Else, The "T" stands for: TTY, Both "O's" stand for: Overwhelming Overlord!

...wir benutzen sie...

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »solarseed« (31.08.2015, 06:51)