linux als router?

[Dennis Wronka]

Ich denke wir sind weit vom Glaubenskrieg entfernt und denke eher, dass unsere Diskussion unserem unerfahrenem Freund von Vorteil sein koennte, denn so werden wenigstens verschiedene Modelle beleuchtet und vorgestellt.

Wenn IPCop 32MB belegt waere es fuer meinen 1. Linux-Server nicht geeignet gewesen, denn der hatte nur 16MB und war ein Pentium 75. Mittlerweile laeuft dort ein K6-2 450 mit 96MB RAM, auch keine sonderlich dicke Kiste.
Fuer dieses Szenario finde ich das UML-Modell einfach zu Speicherintensiv, vor allem wenn alle moeglichen Serverdienste (z.B. DNS, SMTP, POP3, HTTP, DHCP, Proxy und Samba) auf der Firewall laufen sollen.
Und man kann einen Dienst ja auch anders einsperren und dafuer sorgen, dass er nicht auf Bereiche zugreifen kann in denen er nichts zu suchen hat. Man kann einen Dienst z.B. in einer chroot-Umgebung laufen lassen und mit einem eigenen User, welcher nur auf die notwendigen Bereiche Zugriff hat.
Und dann gibt es natuerlich noch SELinux, welches aber ein richtig harter Brocken sein muss. Ich hab ein paar interessante Artikel darueber gelesen und wollte mich demnaechst mal damit auseinandersetzen.

Diese Ansaetze sind natuerlich mit mehr Konfigurationsarbeit verbunden und benoetigen einiges mehr an Vorwissen und Lesestoff aber ich denke, dass dadurch mindestens die gleiche Sicherheit bei weniger Systembelastung erreicht werden kann.

 

[Sway]

Um Gottes willen, Serverdienste wie POP3, HTTP oder Samba laufen ja nicht auf der Firewall , die finden Platz im Wirtsystem
Klar ist chroot ne Möglichkeit, sollten jedoch die Resourcen vorhanden sein würde ich mich nach meinen Erfahrungen mit UML oder auch XEN eher dafür entscheiden. Das ist dann wohl eher Geschmackssache.


Das passende System muss man sich anhand der Hardware aussuchen, das stimmt. Meinen letzten Router habe ich auch auf einem P133/64MB aufgesetzt und hatte ne es auf einer 8MB CF-Card laufen. Nur nachdem ich mehr wollte (Samba, HTTP, IMAP/SMTP, Video-Streaming) habe ich mir nen 2ten Rechner dafür genommen. Als ich den Beitrag in der c't gelesen hab, bin ich umgestiegen um nur noch einen Stromverbraucher dauerhaft laufen zu haben. Vorher waren beide ständig an.

Es gibt nicht DAS System für alles, es gibt aber immer DAS System für den jeweiligen Anwendungsbereich. Da wirst du mir sicher zustimmen.

 

[Dennis Wronka]

Im Grunde kann ich Dir nur recht geben, solche Dienste gehoeren eigentlich nicht auf die Firewall, aber wenn man daheim nur genuegend alte Hardware fuer einen Server rumfliegen hat muss man sich eben damit abfinden.
Fuer einen Home-User ist die Bedrohung eh nicht so gross wie es bei Firmen der Fall ist.
An die meisten Dienste kommt man vom Internet ja nichtmal dran da der Zugriff vom Paket-Filter nur vom LAN aus zugelassen wird. Aber wie gesagt, normal gehoeren all diese Dienste auf einen (oder mehrere) seperate Server.

Richtig, jeder hat andere Anforderungen und Vorgaben/Moeglichkeiten. Und in diesem Rahmen muss man sich dann die passende Loesung suchen. Und Linux bietet ja zum Glueck genuegen Auswahl um viele viele Moeglichkeiten abdecken zu koennen.

 

[hpvw]

Hallo Experten,
was haltet ihr von Eisfair?

Ich muss zugeben, dass ich nur bedingt gewillt bin, mich intensiv mit Linux auseinander zu setzen. Mir ist klar, dass man nicht ganz ohne Kenntnisse und Einarbeitung einen Router mit diversen Serverapplikationen unter Linux aufsetzen kann, aber der Aufwand sollte sich für einen (bei mir privat genutzten) Router doch in Grenzen halten.

Mir scheint, dass Eisfair verhältnismäßig einfach zu konfigurieren ist. Zur Zeit läuft der ganze Spaß bei mir unter Win2k. Das hat natürlich eine ganze Menge Overhead, der nur Ressourcen kostet und an dem Zweck völlig vorbei geht, daher spiele ich schon länger mit dem Gedanken, dafür Linux zu nutzen. Es ist jedoch so, dass ich den Win2k-Server/-Router inklusive Apache, MySQL, PHP, CVS, Anruferkennung, Faxempfang, etc. an einem Abend schnell aufsetze und befürchte, dass ich bei einer Umstellung auf einen Linux-Server mehrere Tage offline bin.

Was haltet ihr von solchen "Instant-Servern"? Ist das wirklich so schnell und einfach aufgesetzt, wie versprochen? Ist das soviel "schlechter", als die von euch vorgeschlagenen Wege, die nach meinen Vorstellungen sehr tief ins System gehen und eine Menge Kenntnisse erfordern?

Gruß hpvw

 

[Dennis Wronka]

Ich hab mich mit solchen Instantloesungen bisher nicht eingehend beschaeftigt, denke aber dass auch diese durchaus ihre Daseinsberechtigung haben.
Und auch dort wird man sicher auch noch die Moeglichkeit haben, falls irgendwann Interesse zur Einarbeitung besteht, spaeter noch Hand zum Fein-Tuning anzulegen.

Mir persoenlich ist es halt einfach lieber genau zu wissen was im System ablaeuft und meine Firewall regeln selbst zu stricken, so weiss ich dann wenigstens was von wo nach wo darf und was nicht. Zum Beispiel muss ja MySQL nicht von aussen zugaenglich sein, selbst wenn es fuer die Website benoetigt wird.

Vor allem von Eisfair hab ich hier hin und wieder mal gehoert, und nie negativ. Daher denke ich, dass das schon ein solides und bewaehrtes System ist.
Wie wir ja schon zuvor sagten ist das schoene an Linux, dass man die Freiheit hat zu waehlen welche der gebotenen Moeglichkeiten am besten den eigenen Beduerfnissen und dem eigenen Wissensstand entgegen kommen.

 

[hpvw]

Danke Dennis.

Ich habe schon viele Gerüchte und Vorurteile bezüglich der Hardwarekompatibilität gelesen. Siehst Du Chancen, dass man das auf einem alten Laptop mit einer noch älteren PCMCIA-Netzwerkkarte testen kann? Wie stark sind da die Unterschiede (oder wieder nur ein Gerücht) zwischen Linux-Versionen? Die Ubuntu-Live-CD kam mit der Netzwerkkarte klar. Sinnlos zerstören möchte ich mir das System auf dem Laptop eigentlich ungern, da er hin und wieder doch noch verwendet wird.
Kannst Du da einen Tipp abgeben? Ich bin Dir auch nicht böse, wenn es dann doch nicht klappt

Mir persoenlich ist es halt einfach lieber genau zu wissen ...

Ich hab lieber, dass es einfach läuft, zumindest im privaten Bereich.

Wie wir ja schon zuvor sagten ist das schoene an Linux, dass man die Freiheit hat zu waehlen welche der gebotenen Moeglichkeiten am besten den eigenen Beduerfnissen und dem eigenen Wissensstand entgegen kommen.

Das Schöne ist für mich und vermutlich auch andere Einsteiger das größte Problem.

Gruß hpvw

 

[Dennis Wronka]

Schon richtig, die grosse Auswahl kann natuerlich auch schnell zum "Wald-vor-lauter-Baeumen-nicht-sehen-Syndrom" fuehren. Da weiss der Hund dann auch nicht an welchem Baum er das Bein denn nun heben will.

Ist schon richtig, wenn man nicht unbedingt so verrueckt ist wie ich will man sich nicht gross einarbeiten um ein lauffaehiges Ergebnis zu bekommen. Und vor allem will man ja auch nicht mit ein paar Tagen Netzausfall leben muessen weil man Probleme hat die Firewall einzurichten.

Wenn die Netzwerkkarte mit Ubuntu funktioniert hat sollte sie eigentlich auch mit anderen Linux-Distributionen laufen. Denn die Treiber sind alle im Kernel enthalten und bei den meisten Distributionen werden wohl die meisten, oder gar alle Treiber als Module vorliegen damit diese bei Bedarf geladen werden koennen.

 

[The Hacky]

Noch eine kleine Anmerkung von mir. Eisfair ist ein Serversystem. Benutze fli4l, wenn Du einen Router aufsetzen möchtest. Ist vom gleichen Team, aber halt als Router gedacht.

 

[hpvw]

@Dennis: Dann werde ich das am Wochenende mal am Laptop testen.

@The Hacky: Das ist mir bekannt. fli4l hatte ein Bekannter von mir schon zu ISDN-Zeiten. Das ließ sich, zumindest damals noch, unter Windows mit irgendeiner Hilffssoftware konfigurieren, die dann eine Diskette erstellt hat. Eisfair muss man, soweit ich das bisher gelesen habe wirklich installieren und vor Ort bzw. über SSH oder Webinterface konfigurieren. Da fangen die Sorgen an...

Eisfair ist für mich schon das Richtige, da ich auf dem Rechner auch mein CVS, einen "online-äquivalenten" Webserver und einiges mehr laufen lassen möchte.
Neben der (erhofften) Performancesteigerung habe ich auch einen Umstieg auf Linux vor, weil der Hamster bei ersten Tests immer abgeschmiert ist und ich daher kein Vertrauen mehr habe. Außer dem Hamster habe ich für Windows nichts mehr gefunden. Bei Eisfair gibt es das Paket mail, was offensichtlich genau das kann, was ich brauche (POP3 abrufen, SMTP senden, Mails archivieren und per IMAP zur Verfügung stellen). Ich liege mit dieser Vermutung doch richtig?

Gruß hpvw

 

[The Hacky]

Das ist so alles richtig, aber es kann kein Routing und dies soll er doch auch können, oder?
Also wenn Du Routing haben willst, dann musst Du z.B. zu fl4l greifen und fli4l ist genauso einfach zu konfigurieren wie Eisfair und wenn ich mich nicht irre fängt man bei Eisfair auch mit einer Diskette oder CD an, was man bei fli4l genauso machen.
Also ich habe fli4l als Router jetzt schon seit Jahren im Einsatz und habe es nie bereut, weil es durch seine Module sehr bequem ist im installieren und die Konfiguration durch txt-Files auch genial ist und wenn man das ganze auf eine Festplatte installiert, dann ist auch das Updaten per ssh sehr schön.