Eigenbau Linux Router mit IPFire

bsox

Schwarze Socke

Registered: Jun 2009
Location: Dschibuti
Posts: 1078

09.11.2015 - 11:43

Ich konnte mein ipsec Problem übrigens auch eingrenzen: In der /etc/ipsec.conf hat es Einträge durcheinander gewürfelt und ich konnte zumindest einen Client wieder ins VPN bringen. Die anderen haben die selbe Ursache, habe ich aber aufgrund fehlendem Leidensdruck noch nicht wieder gerichtet.

CyQuest

Ozeanien

Registered: Nov 2001
Location: KTN
Posts: 656

13.11.2015 - 09:03

Hallo,

weis nicht ob es ganz hierzupasst.

Ich will einen Transparenter Proxy-Server mit Virenscanner aufbauen um meine Windows Pcs ein wenig zusätzlich abzusichern.

Das ganze soll in einer VM (Debian 8) laufen können mit nur einem Interface.

Wer eine idee? Sollte anfängertauglich sein

Danke

schizo

Produkt der Gesellschaft

Registered: Feb 2003
Location: Vienna
Posts: 2554

13.11.2015 - 10:30

SquidClamAV würds als open source lösung geben. Die meisten AV Lösungen kosten halt was und wären closed source

Daroude

OC Addicted

Registered: Jul 2002
Location: Vienna, Austria
Posts: 1534

13.11.2015 - 11:01

Zitat von michael
Ich habe mir jetzt mit dem banana pi r1 Ipfire Router gebaut...

Läuft so weit gut bis auf ein paar start schwierigkeiten.
Für meine Bedürfnisse reicht auch die vlan bridge...
Geschwindigkeit für meine 6/0,5mbps Leitung ist ausreichend.
Der Stromverbrauch ist ganz ok er kommt daweil mit einem 2A Netzteil aus.

ausgegraben

welche schwierigkeiten hattest du am start?

habs jetzt am RPi laufen und das einzige was mich stört ist das er die Verbindung nicht über 28MBit schafft. Wo das Bottleneck ist weiss ich nicht, wurde aber von andere auch bestätigt das sie maximal 25-29 schaffen. Weiss man ob der banana-pi auch nicht mehr schafft an Geschwindigkeit? Hätt gerne meine 70mbit.

nexus_VI

Overnumerousness!

Registered: Aug 2006
Location: südstadt
Posts: 3758

13.11.2015 - 11:11

Zitat von CyQuest
Hallo,

weis nicht ob es ganz hierzupasst.

Ich will einen Transparenter Proxy-Server mit Virenscanner aufbauen um meine Windows Pcs ein wenig zusätzlich abzusichern.

Das ganze soll in einer VM (Debian 8) laufen können mit nur einem Interface.

Wer eine idee? Sollte anfängertauglich sein

Danke

Du kannst dafür z.B. Squid mit ClamAV nutzen. Ich persönlich würde mir die Arbeit wahrscheinlich eher nicht antun.

Hier gibts eine Anleitung:
http://taste-of-it.de/pfsense-squid...tion-fuer-http/

CyQuest

Ozeanien

Registered: Nov 2001
Location: KTN
Posts: 656

13.11.2015 - 18:37

OK, danke. Schade aber echt nur a bastel Losung.

davebastard

Vinyl-Sammler

Registered: Jun 2002
Location: wean
Posts: 12305

13.11.2015 - 19:05

Zitat von CyQuest
OK, danke. Schade aber echt nur a bastel Losung.

nicht wirklich. clamav und squid sind recht große opensource projekte dies schon ewig gibt.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12083

13.11.2015 - 19:13

Die Firma hinter ClamAV wurde uebrigens 2013 durch Cisco gekauft.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11278

14.11.2015 - 08:56

Zitat von CyQuest
OK, danke. Schade aber echt nur a bastel Losung.

Es gibt auch fertige VM´s, es ist halt kein lokaler Virenscanner welchen man mit 2 Klicks installiert.

spunz

Super Moderator
Super Moderator

Registered: Aug 2000
Location: achse des bösen
Posts: 11278

14.11.2015 - 09:00

Zitat von Daroude
ausgegraben

welche schwierigkeiten hattest du am start?

habs jetzt am RPi laufen und das einzige was mich stört ist das er die Verbindung nicht über 28MBit schafft. Wo das Bottleneck ist weiss ich nicht, wurde aber von andere auch bestätigt das sie maximal 25-29 schaffen. Weiss man ob der banana-pi auch nicht mehr schafft an Geschwindigkeit? Hätt gerne meine 70mbit.

Der LAN Port läuft beim pi über USB, die Banane ist da deutlich schneller.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12083

15.11.2015 - 16:31

Bei uns (GH) beschweren sich in letzter Zeit immer haeufiger (wie wir durch explizites Nachfragen festgestellt haben) ipfire-User, dass sie durch unsere automatisierte Abuse-Prevention gebannt werden. Nachdem ich mir die Traffic-Muster dieser User genauer angesehen habe, scheinen mir alle Clients hinter ipfire-Gateways ein merkwuerdiges HTTP-Request-Verhalten an den Tag zu legen... GET-Requests werden stets zwei Mal gesendet: ein Mal ohne die "Referer"- und "User-Agent"-Header im HTTP-Request, ein Mal unmittelbar nach dem ersten Request dann nochmals mit (so wie man sie vom UA selbst erwarten wuerde).

Kann das jemand von euch, der ipfire selbst verwendet, bestaetigen? Mich wuerde die Motivation fuer dieses Verhalten interessieren, bzw. (falls zutreffend) die Ursache in unseren HTTP Responses, die zu diesem Verhalten fuehrt - dyn. generierte Response Bodies bei uns kommen fuer gewoehnlich mit Caching unterbindenden Headern aus unseren Frontends; vielleicht triggert das dieses seltsame Muster von ipfire-Clients hinter dem Caching Proxy dieser Loesung?

Ich hab diese Frage auch bereits auf Freenode im #ipfire-Channel diese Frage gestellt, dort ist es allerdings sehr, sehr still. Waere schoen, wenn mir hier jemand weiterhelfen koennte, das Problem besser zu verstehen.

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

15.11.2015 - 19:55

Ich bin einer von denen die euch eine Mail geschickt haben.. seit ich Squid abgestellt habe ist das nicht mehr aufgetreten.
Wenn es euch was hilft können wir da Hin-Her-Versuche starten??

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12083

15.11.2015 - 23:42

Oh ja bitte, das waer fein - ich meld' mich demnaechst bei dir per PM, wenn dir das recht ist!

Valera

Here to stay

Registered: Dec 2005
Location: Mint
Posts: 683

29.11.2015 - 20:22

Update nach 3 Wochen IPFire Nutzung:
Version: IPFire 2.17 - Core Update 94

1. Installation ist etwas verbuggt wenn man Snort + Sourcefire Rules nutzen will
2. Aber prinzipiell ist es recht simpel und man ist schnell online
3. OpenVPN ist easy zum Einrichten und funktioniert tadellos mit allen meinen Geräten egal ob Linux PC oder Android.
4. Logs von Snort funktionieren nicht. Es gibt keine wie auch immer geartete Rückmeldung ob Snort überhaupt funktioniert - zumindest nicht übers Webinterface.
5. Suqid hat regelmäßig und nachvollziehbar Bans auf geizhals verursacht. Ob der Fehler bei IPFire/Squid oder bei geizhals liegt kann wohl Colossus beantworten.

6. Logs von Suid funktionieren auch nicht. Zumindest nicht über die Webschnittstelle.
7. IPFire unterstützt nicht mehr als eine WAN Schnittstelle. (Außer die 2te ist eine Einwählverbindung wie zB ADSL aber das ist nicht dokumentiert.)

IPFire ist brauchbar, wenn man einfach nur ins Internet und eine gute OpenVPN Unterstützung will. Damit bringt IPFire schon mehr als 99% aller Kaufrouter. Aber wenn man mehr will, dann stößt man auf Bugs und diverse Grenzen. Klar kann man sich dann per ssh einloogen und der Sache händisch auf den Grund gehen. Aber da stellt sich für mich dann die Sinnfrage.

Für mich ist IPFire derzeit ausreichend, aber nicht der Weisheit letzter Schluß. Ich hab noch einen Rechner rumliegen, da werd ich mir pfsense mal ansehen.

mr.nice.

differential image maker

Registered: Jun 2004
Location: Wien
Posts: 6491

12.12.2015 - 12:04

Hallo downhillschrott, es gibt schon eine Rückmeldung ob das Intrusion Detection System funktioniert im Web-Interface. Wenn du auf Status -> Services gehst, siehst du den Status des IDS und auf welchen Interfaces es aktiviert ist.

Die Snort Regeln produzieren bei mir häufig Treffer, zu finden unter Logs -> IDS Logs. Vielleicht hast du die Regeln nicht aktiviert? Das machst du unter Services -> Intrusion Detection -> intrusion detection system rules. Dort musst du die gewünschten Regeln anhakerln und ganz unten auf "update" klicken, erst dann werden sie aktiviert.

Die Squid logs findest du unter Logs -> Proxy Reports, diese werden nur bei Bedarf generiert, indem du auf "Create Report" klickst.

Vor kurzem ist das Update 95 erschienen, welches einen upgedateten Linux-Kernel mit sich bringt, ein aktualisiertes Snort + OpenVPN und, für mich die beste Neuerung, IPset! Damit lassen sich mit minimalen Performanceverlusten Blacklists erstellen, die zigtausende IP-Adressen behinhalten können.

Der community developer ummeegge hat hier: http://forum.ipfire.org/viewtopic.php?t=15124
ein IPset Updatescript veröffentlicht, mit dem automatisch eine IPset Blacklist generiert wird, die aktuell 568 CIDRs and 11461 IPs beinhaltet. Auch neugierige Betriebssysteme lassen sich damit effektiv in die Schranken weisen, ich plane in naher Zukunft quasi eine Router seitige shutup10 Liste zu veröffentlichen.

bsox Schwarze Socke Registered: Jun 2009 Location: Dschibuti Posts: 1078	09.11.2015 - 11:43 Ich konnte mein ipsec Problem übrigens auch eingrenzen: In der /etc/ipsec.conf hat es Einträge durcheinander gewürfelt und ich konnte zumindest einen Client wieder ins VPN bringen. Die anderen haben die selbe Ursache, habe ich aber aufgrund fehlendem Leidensdruck noch nicht wieder gerichtet.
CyQuest Ozeanien Registered: Nov 2001 Location: KTN Posts: 656	13.11.2015 - 09:03 Hallo, weis nicht ob es ganz hierzupasst. Ich will einen Transparenter Proxy-Server mit Virenscanner aufbauen um meine Windows Pcs ein wenig zusätzlich abzusichern. Das ganze soll in einer VM (Debian 8) laufen können mit nur einem Interface. Wer eine idee? Sollte anfängertauglich sein Danke
schizo Produkt der Gesellschaft Registered: Feb 2003 Location: Vienna Posts: 2554	13.11.2015 - 10:30 SquidClamAV würds als open source lösung geben. Die meisten AV Lösungen kosten halt was und wären closed source
Daroude OC Addicted Registered: Jul 2002 Location: Vienna, Austria Posts: 1534	13.11.2015 - 11:01 Zitat von michael Ich habe mir jetzt mit dem banana pi r1 Ipfire Router gebaut... Läuft so weit gut bis auf ein paar start schwierigkeiten. Für meine Bedürfnisse reicht auch die vlan bridge... Geschwindigkeit für meine 6/0,5mbps Leitung ist ausreichend. Der Stromverbrauch ist ganz ok er kommt daweil mit einem 2A Netzteil aus. ausgegraben welche schwierigkeiten hattest du am start? habs jetzt am RPi laufen und das einzige was mich stört ist das er die Verbindung nicht über 28MBit schafft. Wo das Bottleneck ist weiss ich nicht, wurde aber von andere auch bestätigt das sie maximal 25-29 schaffen. Weiss man ob der banana-pi auch nicht mehr schafft an Geschwindigkeit? Hätt gerne meine 70mbit.
nexus_VI Overnumerousness! Registered: Aug 2006 Location: südstadt Posts: 3758	13.11.2015 - 11:11 Zitat von CyQuest Hallo, weis nicht ob es ganz hierzupasst. Ich will einen Transparenter Proxy-Server mit Virenscanner aufbauen um meine Windows Pcs ein wenig zusätzlich abzusichern. Das ganze soll in einer VM (Debian 8) laufen können mit nur einem Interface. Wer eine idee? Sollte anfängertauglich sein Danke Du kannst dafür z.B. Squid mit ClamAV nutzen. Ich persönlich würde mir die Arbeit wahrscheinlich eher nicht antun. Hier gibts eine Anleitung: http://taste-of-it.de/pfsense-squid...tion-fuer-http/
CyQuest Ozeanien Registered: Nov 2001 Location: KTN Posts: 656	13.11.2015 - 18:37 OK, danke. Schade aber echt nur a bastel Losung.
davebastard Vinyl-Sammler Registered: Jun 2002 Location: wean Posts: 12305	13.11.2015 - 19:05 Zitat von CyQuest OK, danke. Schade aber echt nur a bastel Losung. nicht wirklich. clamav und squid sind recht große opensource projekte dies schon ewig gibt.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12083	13.11.2015 - 19:13 Die Firma hinter ClamAV wurde uebrigens 2013 durch Cisco gekauft.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11278	14.11.2015 - 08:56 Zitat von CyQuest OK, danke. Schade aber echt nur a bastel Losung. Es gibt auch fertige VM´s, es ist halt kein lokaler Virenscanner welchen man mit 2 Klicks installiert.
spunz Super Moderator Super Moderator Registered: Aug 2000 Location: achse des bösen Posts: 11278	14.11.2015 - 09:00 Zitat von Daroude ausgegraben welche schwierigkeiten hattest du am start? habs jetzt am RPi laufen und das einzige was mich stört ist das er die Verbindung nicht über 28MBit schafft. Wo das Bottleneck ist weiss ich nicht, wurde aber von andere auch bestätigt das sie maximal 25-29 schaffen. Weiss man ob der banana-pi auch nicht mehr schafft an Geschwindigkeit? Hätt gerne meine 70mbit. Der LAN Port läuft beim pi über USB, die Banane ist da deutlich schneller.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12083	15.11.2015 - 16:31 Bei uns (GH) beschweren sich in letzter Zeit immer haeufiger (wie wir durch explizites Nachfragen festgestellt haben) ipfire-User, dass sie durch unsere automatisierte Abuse-Prevention gebannt werden. Nachdem ich mir die Traffic-Muster dieser User genauer angesehen habe, scheinen mir alle Clients hinter ipfire-Gateways ein merkwuerdiges HTTP-Request-Verhalten an den Tag zu legen... GET-Requests werden stets zwei Mal gesendet: ein Mal ohne die "Referer"- und "User-Agent"-Header im HTTP-Request, ein Mal unmittelbar nach dem ersten Request dann nochmals mit (so wie man sie vom UA selbst erwarten wuerde). Kann das jemand von euch, der ipfire selbst verwendet, bestaetigen? Mich wuerde die Motivation fuer dieses Verhalten interessieren, bzw. (falls zutreffend) die Ursache in unseren HTTP Responses, die zu diesem Verhalten fuehrt - dyn. generierte Response Bodies bei uns kommen fuer gewoehnlich mit Caching unterbindenden Headern aus unseren Frontends; vielleicht triggert das dieses seltsame Muster von ipfire-Clients hinter dem Caching Proxy dieser Loesung? Ich hab diese Frage auch bereits auf Freenode im #ipfire-Channel diese Frage gestellt, dort ist es allerdings sehr, sehr still. Waere schoen, wenn mir hier jemand weiterhelfen koennte, das Problem besser zu verstehen.
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	15.11.2015 - 19:55 Ich bin einer von denen die euch eine Mail geschickt haben.. seit ich Squid abgestellt habe ist das nicht mehr aufgetreten. Wenn es euch was hilft können wir da Hin-Her-Versuche starten??
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12083	15.11.2015 - 23:42 Oh ja bitte, das waer fein - ich meld' mich demnaechst bei dir per PM, wenn dir das recht ist!
Valera Here to stay Registered: Dec 2005 Location: Mint Posts: 683	29.11.2015 - 20:22 Update nach 3 Wochen IPFire Nutzung: Version: IPFire 2.17 - Core Update 94 1. Installation ist etwas verbuggt wenn man Snort + Sourcefire Rules nutzen will 2. Aber prinzipiell ist es recht simpel und man ist schnell online 3. OpenVPN ist easy zum Einrichten und funktioniert tadellos mit allen meinen Geräten egal ob Linux PC oder Android. 4. Logs von Snort funktionieren nicht. Es gibt keine wie auch immer geartete Rückmeldung ob Snort überhaupt funktioniert - zumindest nicht übers Webinterface. 5. Suqid hat regelmäßig und nachvollziehbar Bans auf geizhals verursacht. Ob der Fehler bei IPFire/Squid oder bei geizhals liegt kann wohl Colossus beantworten. 6. Logs von Suid funktionieren auch nicht. Zumindest nicht über die Webschnittstelle. 7. IPFire unterstützt nicht mehr als eine WAN Schnittstelle. (Außer die 2te ist eine Einwählverbindung wie zB ADSL aber das ist nicht dokumentiert.) IPFire ist brauchbar, wenn man einfach nur ins Internet und eine gute OpenVPN Unterstützung will. Damit bringt IPFire schon mehr als 99% aller Kaufrouter. Aber wenn man mehr will, dann stößt man auf Bugs und diverse Grenzen. Klar kann man sich dann per ssh einloogen und der Sache händisch auf den Grund gehen. Aber da stellt sich für mich dann die Sinnfrage. Für mich ist IPFire derzeit ausreichend, aber nicht der Weisheit letzter Schluß. Ich hab noch einen Rechner rumliegen, da werd ich mir pfsense mal ansehen.
mr.nice. differential image maker Registered: Jun 2004 Location: Wien Posts: 6491	12.12.2015 - 12:04 Hallo downhillschrott, es gibt schon eine Rückmeldung ob das Intrusion Detection System funktioniert im Web-Interface. Wenn du auf Status -> Services gehst, siehst du den Status des IDS und auf welchen Interfaces es aktiviert ist. Die Snort Regeln produzieren bei mir häufig Treffer, zu finden unter Logs -> IDS Logs. Vielleicht hast du die Regeln nicht aktiviert? Das machst du unter Services -> Intrusion Detection -> intrusion detection system rules. Dort musst du die gewünschten Regeln anhakerln und ganz unten auf "update" klicken, erst dann werden sie aktiviert. Die Squid logs findest du unter Logs -> Proxy Reports, diese werden nur bei Bedarf generiert, indem du auf "Create Report" klickst. Vor kurzem ist das Update 95 erschienen, welches einen upgedateten Linux-Kernel mit sich bringt, ein aktualisiertes Snort + OpenVPN und, für mich die beste Neuerung, IPset! Damit lassen sich mit minimalen Performanceverlusten Blacklists erstellen, die zigtausende IP-Adressen behinhalten können. Der community developer ummeegge hat hier: http://forum.ipfire.org/viewtopic.php?t=15124 ein IPset Updatescript veröffentlicht, mit dem automatisch eine IPset Blacklist generiert wird, die aktuell 568 CIDRs and 11461 IPs beinhaltet. Auch neugierige Betriebssysteme lassen sich damit effektiv in die Schranken weisen, ich plane in naher Zukunft quasi eine Router seitige shutup10 Liste zu veröffentlichen.

Eigenbau Linux Router mit IPFire

Forum Index > Hardware > Peripherie > Netzwerktechnik

bsox

CyQuest

schizo

Daroude

nexus_VI

CyQuest

davebastard

COLOSSUS

spunz

spunz

COLOSSUS

Valera

COLOSSUS

Valera

mr.nice.