Mit dem c't Server, der einen ipcop-Firewall in einer virtuellen Linux-Umgebung und diverse Server-Funktionen enthielt, war ich sehr zufrieden. Doch gab es schon seit längerem keine Updates mehr für den ipcop und die ipcop-Community unterstützt leider keine Projekte, bei denen der ipcop auf keiner eigenen Hardware läuft.
Doch ich fand eine genauso gute Lösung - ohne den ipcop -, die ebenfalls sehr effizient ist.
Probleme mit ipcop
... gab es im Grunde keine, er ist eine sehr leistungsfähige Open Source Firewall, die keinen Vergleich mit kommerziellen Lösungen zu scheuen braucht.
Aber wie bereits erwähnt unterstützt die Community aus Sicherheitsgründen keinen Einsatz des ipcops in einer "virtuellen" Umgebung. Das hat sicher seine Berechtigung, wobei ich den Ansatz bei vielen kleinen Standard-Anwendern zu hoch gegriffen finde. Ich persönlich halte den ipcop auch in einer virtuellen Linux-Umgebung für genügend sicher - sicherer jedenfalls als eine (Personal) Firewall auf einem Windows Client.
Der zweite Punkt ist, dass der ipcop mein kleines, stromsparendes 600 MHz EPIA Board doch ganz schön forderte. Denn mein Rechner hatte die Funktionen: Firewall, File-Server, Print-Server, DNS-Server und Client.
Was tun?
Die Lösung
... sollte natürlich ebenfalls energiesparend und schnell(er) sein.
Wichtig war, dass es nur einen zusätzlichen externen Verbraucher - neben dem PC -, geben sollte und damit auch weniger Verbindungs- und Netzkabel benötig werden. Als Arcor-DSL Kunde wurde mir zwar ein kostenloses ADSL-Modem zur Verfügung gestellt, das sollte zukünftig schon in der Firewall enthalten sein.
Zuerst liebäugelte ich mit dem ZyWALL 2 Plus von ZyXel - ein sicherlich sehr gutes Produkt, das seine Stärken in der Konfigurierbarkeit der Firewalleinstellungen hat, aber leider ohne eingebautes ADSL-Modem und zu einem relativ hohen Preis.
Schliesslich wurde ich fündig bei dem DG834BGR ADSL Modem Router mit 4-Port Switch von Netgear.
Es ist ein Multifunktionsgerät, denn es enthält
- ein schnelles ADSL 2+ Modem (damit kann man auch die höheren DSL-Geschwindigkeiten nutzen)
- einen Router
- eine (stateful) Firewall mit den wichtigsten Konfigurationsmöglichkeiten (NAT, PVN, DNS-Server ...)
- einen 4-Port Switch
- ... und das zu einem günstigen Preis.
Der Netgear Router hat ein schickes kleines Gehäuse, welches gut zu meiner Apple-Tastatur passt ;-)
Da ich kein Freund zusätzlicher Strahlungsquellen im Haus bin, war WLAN kein Thema für mich, aber es gibt auch das gleiche Gerät mit WLAN (Netgear DG834GBGR Wireless DSL Firewall Router 54 Mbit/s, integrierter 802.11g Wireless Access Point).
Erfreulicherweise ist es ein Gerät, welches Open Source Software enthält. Die GNU-Lizenz (GPL) liegt bei und man kann sich - wenn man will - die komplette Software für das Gerät herunterladen (viel Spass ;-).
Die Installation
... war sehr einfach. Leider konnte ich mein Ethernet-Kabel, welches ich als Verbindung zur Arcor-Splitterbox verwende, nicht direkt in den Router einstecken, sondern musste 2 Euro in eine Ethernet-Kupplung (2x "Weibchen") investieren, denn das mitgelieferte Kabel ist nicht so lang.
Nach dem Einschalten, muss man sich über einen Browser am Gerät anmelden und es startet ein Wizard, der den DSL-Anschluss sofort richtig erkannt hat. Quasi plug-and-play - wenn man von der notwendigen Eingabe der Benutzerkennung, des Passwortes und der beiden Nameserver absieht.
Ich musste nur noch den ipcop auf meinem Rechner deaktivieren und schon konnte ich mich - sogar etwas schneller als vorher - auf den Weg in die Weiten des Internets machen.
Zugang von Aussen
Wenn man einen ssh-Zugang über das Internet braucht oder einen persönlichen Web-Server in Betrieb nehmen will, kann man das sehr elegant und sicher mit einem UML-Linux ("virtuell") realisieren.
Dazu ist noch eine DynDNS-Kennung nötig, die vom Router selbstverständlich unterstützt wird.
Eine gute Beschreibung ist bei q-vadis.net zu finden, wobei ich es etwas anders als dort beschrieben realisiert habe.