english



Das Thema Firewall ist sehr komplex. Die Injoy Firewall bietet sehr viele Möglichkeiten zur genauen Kontrolle und Filterung des Datenstromes.
Dies hier ist nur eine kleine Hilfe für die ersten Schritte und schöpft die Möglickkeitenbei weitem nicht aus.

Setup eines ADSL Routers mit der Injoy Firewall.

Als Router habe ich einen Zyxel 650R

Der Router wird wie folgt verbunden:
 

Am Router verwenden wir das rote Patchkabel.
Hier habe ich eine Intel MBit  und eine Onboard RTL8139. Die Firewall horcht an der Intelkarte und, wenn diese nicht mit dem Router verbunden ist, dann trapt eventuell  der Firewalltreiber FXWARAP.SYS !

Unser Firewallrechner hat ZWEI Netzwerkkarten.  Ausser wir haben nur einen Rechner.
 

Die Installation ist durch das selbstentpackende Archiv einfach. Aber damit läuft unsere Firewall noch nicht. Folgende Anpassungen müssen wir noch machen:
- TCP/IP Konfiguration der Clients 
- TCP/IP Konfiguration der Firewall
- PROTOCOL.INI anpassen (nicht nötig für Version3.0 RC 3 und neuer)

 Nun starten wir das Firewall GUI. Mit der rechten Maustaste auf den linken Balken klicken und wir bekommen das Einstellungs Menü.

Menu File:

  • unter Properties  haben wir Firewall Priority. Default ist 45 was sich als guter Wert erwiesen hat.
  • Unter Firewall Server sind NAT Gateway Support und Firewall security als default. PPPoE funktioniert nicht bei der Trial Version. Erst wenn wir den Schlüssel eingegeben haben wird PPPoE freigegeben.
  • Unter Network sind die drei Netzwerke, die wir intern benutzen können.  Diese drei Adressbereiche sind private Bereiche, die im Internet nicht vorkommen. Wir sollten keine anderen IP's für unser internes Netz verwenden !
  • DHCP kann aktiviert werden, wenn wir keine feste IP haben.
  • Unter Intermediary können wir assemble Packs aktivieren. Unter DNS Forwarding tragen wir die beiden  IP Nummern der DNS Server ein.
  • Unter Link Watch können wir durch Pingen eines anderen Rechners im Internet gewährleisten, das unsere Verbindung steht.
Menu Firewall:
  • unter Security Level können wir bestimmen, was noch durch die Firewall durchkommt. Default ist 5. Ich habe die Einstellung auf 7 hochgestellt.
  • Allow by defaultFirewall Loging und Safemail Proxy  sollte man aktivieren.
  • Block Firewall server sollte aktiviert werden.
  • Untermenü Custom:
    • unter General können wir die Anzahl der Verbindungen heruntersetzen oder erhöhen. Ebenso das Timeout.
    • unter Safe Mail haben wir den Punkt SMTP Control können wir die IP unseres internen Mailserver angeben. Voraussetzung ist, das wir einen Mailserver haben.
    • unter Configure aktivieren wir enable Realy Control und wir tragen unsere Domain ein. Fals wir einen Relay betreiben, wird der ebenfalls eingetragen.
    • unter ICMP ändern wir nichts, es sei denn, man ist ein IP Spezialist und weiss genau, was man tut.
    • unter System Roules können wir nachsehen, welche  Roules aktiv sind.  Wollen wir ein Roule aktivieren, oder deaktivieren, dann nur draufklicken. Beim draufklicken bekommen wir auch eine Erklärung, was das Roule macht. Wenn wir nun den Button Edit Rulefiles anklicken öffnet sich der Rule Workshop. Generell sollte man die Systemroules nicht ändern, sonder höchstens aktivieren.
  • Untermenu Roule Workshop ->  User Roules :
    • Hier können wir unsere eigenen Roules eingeben, anpassen verändern.  Zu beachten ist, das einige Dinge eine Gewisse Zeit brauchen, damit sie wirksam werden. Wenn wir einen Mailserver aufgesetzt haben, und wir und eine Nachricht senden, dann schickt und der andere Mailserver eine mail. Kommt diese nicht gleich beim ersten Versuch durch, kann es sein, dass der ferne Mailserver eine Stunde wartet bis er es erneut probiert. In dieser Zeit können wir sicher 50 Möglichkeiten durchtesten, von der scheinbar keine funktioniert.  Bei einer Aenderung in einem DNS Server vergeht bis zu einer Woche.  In dieser Zeit kann es sein, das man noch auf alte Einträge trifft.
  • Wir öffnen den Port für unseren Webserver. Dies ist der Port 80. Wir vergeben einen Namen.  Folgende Werte müssen wir eingeben:
    1. Security Level     NONE
    2. Direction             Ignore
    3. Protocol               Ignore
    4. Source                  Any / 255.255.255.255
    5. Destination          Unsere IP im internet  /  255.255.255.255
    6. Ports                      Any / 80
    7. Packet Type          Normal / Normal
    8. Redirect                 IP des Internern Servers
    9. Wir bestätigen mit "Save" und klicken mit der rechten Maustaste  auf unser roule, das links in der Tabelle ist.
    10. Rule Status -> enable. Sonst passiert nichts.
  • Das Selbe machen auch für die Richtung nach aussen :
    1. Scurity level        NONE
    2. direction               Ignore
    3. Protocol                Ignore
    4. Source                   IP des internen Servers / 255.255.255.255
    5. Destination            any /  255.255.255.255
    6. Ports                       80 / Any
    7. Packet Type           Normal / Normal
    8. Redirect                  No Change / 80
Wir öffnen einen Port für den Mailserver. Die Port nummer ist in der Datei x:\MPTN\ETC\services festgelegt.  Dort finden wir unter SMTP die nummer 25. Diesen Port müssen wir freigeben.  Wenn wir unsere Post auch vonausserhalb abholen wollen, dann müssen wir auch den Port 110 für POP freigeben.  Der Vorgang ist der Gleiche wie oben, ausser das wir den Port 25 angeben.
  • Nach Abschluss müssen wir noch mit Reload Konfiguration Betätigen.


Menu PPPoE

  • Untermenu Login
    • Unter ISP geben wir einen Namen für den Account ein.
    • unter Login Information
      • Den Namen des ISP
      • Den Usernamen
      • und das Passwort
  • Untermenu TCP
    • unter IP Aderess geben wir die IP Adresse an, die wir im internet haben. IP und Netzwerkmaske bekommen wir von unserem Provider. Ist die IP nicht Fest, dann 0.0.0.0 eintragen. Wenn wir nur eine IP haben, dann ist die Netzwerkmaske 255.255.255.255.
    • unter Domain Name Server geben wir die zwei DNS unseres ISP an.
    • unter Doamin geben wir unsere Domain im Internet an. Haben wir keine eigene Domain, dann geben wir unser lokales Netz, einen Punkt und danach die Domain des Providers an.  Wenn unser ISP blah.net als Domain hat und wir den lokalen Netzwerknamen Chef wählen, dann heisst die Domain Chef.blah.net
    • unter Link lassen wir so, wie es ist, ausser wir haben Probleme mit der Verbindung.


Gleich nach der Speicherung der Werte versucht Injoy eine gültige Verbindung herzustellen.

Die einzelnen Zeilen haben folgende Bedeutung:

Set Config: ISP [Zugernet] hier mein Provider, den ich habe.
User ID: die User ID wird angezeigt
Local IP ist unsere IP, die wir im Internet haben
Peer IP ist die IP, die die Gegenseite beim Provider hat
dns1 ist der erste DNS
dns2 ist der zweite DNS
Link mtu ist die blockgrösse, die übertragen wird. sie ist eigentlich 1500, davon verbraucht aber PPPoE deren 8
Connecting : ISP :[ zugernet]  der einwählvorgang beginnt
acx Conzentator name ist ein teil des einwahlverfahrens.
negotiation successfull Session ID ..... heisst, ds wir im Inter net sind
CHAP: Logged on successfully  CHAP ist ein anmelde Protokoll
[ppp0] [Die IP der Gegenstelle], [Unsere IP] und [die Netzwerkmaske]
Deafult route [Die IP des routers beim ISP]
Local IP  ist unsere IP im Internet
Peer IP ist die IP des Providers
dns 1 ist der erste dns
dns2 ist der zweite dns
link mtu siehe oben
connection ready : wir könne anfangen zu surfen