Über Sinn oder Unsinn des Einsatzes des IDS kann man natürlich diskutieren. Aber man sollte zumindest die Möglichkeit haben, darüber selbst zu entscheiden, sprich es sollte auch funktionieren, ohne die efw zum Absturz zu bringen.
Gruß
Meisen
Über Sinn oder Unsinn des Einsatzes des IDS kann man natürlich diskutieren. Aber man sollte zumindest die Möglichkeit haben, darüber selbst zu entscheiden, sprich es sollte auch funktionieren, ohne die efw zum Absturz zu bringen.
Gruß
Meisen
In v2.2 hatte ich Snort auf Rot und Rot/Grün.
Jetzt in v2.3 gibt es diese Auswahl gar nicht mehr.
Gruß
Meisen
Wenn Du alles an hast, dann hast Du ja auch zwangsläufig VPN-Verbindungen. Hast Du mal versucht, auf einen entfernten Host/Server eine Remotedesktop-Sitzung zu machen?
Ich habe auch alles am Laufen bis auf den OpenVPN-Server. Meine VPN-Tunnel habe ich über IPSec eingerichtet.
Wie ich ja in meinem vorherigen Post schon geschrieben habe, fror die efw nur ein, wenn Snort gleich beim Booten geladen wurde. Wenn ich die Verbindung in den folgenden Versuchen nach dem Hochfahren Snort gleich beendet habe und später wieder über das WebGUI aktiviert habe, lief das System auch weiter. Erst ein Aktualisieren der Regeln brachte dann wieder alles zum Stehen.
Im Augenblick läuft die efw mit deaktiviertem Snort einwandfrei.
Gruß
Meisen
So, nach einigen neuen Versuchen habe ich zwischenzeitlich die Einbruchsdetektierung (Snort) als Fehlerquelle ausgemacht. Sowohl in der v2.2 wie auch in der v2.3 friert mir die efw ein, wenn Snort aktiv ist und ich z.B. über einen VPN-Tunnel eine Remotedesktop-Verbindung öffnen will.
Vorgestern habe ich nach dem Booten Snort an der Konsole gleich ausgeschaltet. Danach lief die efw stabil. Gestern habe ich Snort über's Webinterface aktiviert. Lief weiter stabil. Heute Mittag habe ich in einem Anflug von Verwegenheit die Snort-Regeln aktualisiert. Ergebnis: efw sofort tot. Und zwar so, dass ich auch über die Konsole keinerlei Zugriff mehr habe. Konnte den Rechner nur noch über den Einschaltknopf "resetten".
Ich werde also vorläufig mal die Finger von Snort lassen...
Danke für eure Bemühungen!
Grüße
Meisen
Hallo pritter,
danke für die Antwort. Zwischenzeitlich habe ich es zum Laufen bekommen. Ich denke schon, dass ich einigermassen weiss, was ich tue. Ich hatte ja bereits einen Mailserver mit Amavis, Spamassassin etc. am Laufen, der sehr stabil und auch kein offener Relay o.ä. ist.
Was ich mich aber gefragt habe ist, ob ich z.B. eine SMTP-Authentifizierung bei Endian eintragen muss, wenn diese schon der Mailserver mit auf den Weg gibt. Da Endian als Proxy fungiert müsste das eigentlich gehen. Ich habe es aber trotzdem sicherheitshabler hinterlegt.
Ansonsten bewältigt die EFW ein Mailaufkommen von ~ 10.000 Mails pro Woche bislang sehr gut.
Grüße
Meisen
Hallo Leute,
wie das Thema schon sagt, hätte ich ein paar Fragen zum SMTP Proxy.
Da ich aus der Hilfe nicht ganz schlau werde und hier im Forum auch keine Details zur Konfiguration des SMTP Proxys zu finden sind, wollte ich mal fragen, ob hier jemand einen Mailserver hinter der EFW betreibt und wie er das konfiguriert hat.
Bislang holt mein Mailserver die Nachrichten direkt beim Provider ab, scannt diese auf Spam und Viren und speichert sie dann lokal ab, bis der Benutzer sie per POP3 abholt. Ebenso nimmt der Mailserver interne Mails entgegen und leitet diese an den Provider weiter.
Nun würde ich gerne die EFW als transparenten Proxy dazwischen schalten und dort die Spam- und Virenprüfung erledigen lassen. Anschliessend sollen die Mails an der internen Mailserver weitergeleitet werden.
Hat jemand so ein Szenario am Laufen und könnte mir dazu ein paar Fragen beantworten?
Viele Grüße
Meisen
Hallo wolfili und Sabine,
die Netzwerkkarten sind nicht diejenigen, die ich vorher verwendet habe. Das habe ich auch als potentielle Fehlerursache in Betracht gezogen und deshalb bei jedem Versuch andere Karten verbaut.
Auch werden die Karten nicht besonders heiss. Ich würde mal sagen, die liegen bei Umgebungs- bis maximal Körpertemperatur, also deutlich < 40°C.
Und zuguterletzt haben die Karten zuvor in anderen Geräten klaglos ihren Dienst verrichtet.
Grüße
Meisen
Gestern habe ich einen neuen Versuch gestartet auf einem neuen Rechner (DualCore Pentium, 2GB RAM). Image neu heruntergeladen, gebrannt und installiert.
Alles lief problemlos, aber sobald ich die efw ans Netz nehme, bricht mir das System nach ca. 20-30 Minuten so zusammen, dass nur noch ein Reset hilft.
Mir ist es echt schleierhaft, wieso das so ist und ich offenbar der einzige mit diesem Problem bin. Ich teste nur abends, bin also der einzige User, der auf die efw zugreift. Und ich produziere nicht mal viel Netzwerk-Traffic.
Hat vielleicht noch jemand 'nen Tipp, was ich noch tun könnte? Ich würde die efw wirklich gerne produktiv einsetzen, da mich das Konzept überzeugt. Aber ohne Stabilität und Zuverlässigkeit ist das nicht möglich.
Grüße
Meisen
Hallo Sabine,
ja, memtest habe ich komplett durchlaufen lassen. Efw habe ich auch schon mehrmals neu installiert. Auch auf unterschiedlichen Rechnern, um Hardwarefehler als Ursache auszuschliessen.
Ich werde es kommende Woche nochmal mit einem stärkeren Rechner probieren.
Danke für Deine Hilfe.
Gruß
Meisen
Hallo Sabine,
Snort und Virenfilter sind bei mir aktiviert. Voll am Saugen war ich bisher nicht, sondern hatte lediglich ein paar kleinere Downloads laufen (~20 MB) und nebenher Webradio gehört.
Das Einfrieren geschieht willkürlich, also auch wenn die efw gerade vor sich hin idlet. Gestern Abend war das z.B. so. Da habe ich ca. 20 Minuten gar keinen Traffic gehabt und meinen Rechner auch schon runtergefahren gehabt, als ich anschliessend noch einen Kontrollblick auf die Konsole werfen wollte. Da war diese dann schon wieder tot.
Gruß
Meisen
Hallo Sabine und Wolfi,
als Hardware habe ich einen P4 mit 1,8 GHz und 1 GB RAM im Einsatz. Mir ist bewusst, dass Endian aufgrund der vielen Dienste mehr Ressourcen braucht als ein IPCop.
Die Speicherauslastung liegt nach dem Neustart mit den von mir aktivierten Diensten bei 40%.
Da ich im Augenblick noch in der Testphase bin und Endian nicht auf meine User loslassen kann, bevor die Firewall stabil und zuverlässig läuft, bin ich der einzige Benutzer. Die RAM-Auslastung geht bei aktiviertem Uplink auf maximal 50%, der Pufferspeicher auf 15%.
Grüße
Meisen
Hallo Wolfi,
danke für Deine Antwort.
Memtest habe ich schon laufen lassen. Der Speicher ist in Ordnung.
Wie gesagt, an der Hardware liegt's nicht. Ich habe auch schon die Festplatte und andere Komponenten überprüft.
Was auffällig ist: Wenn die Firewall nicht aktiv ist, d.h. der Uplink beendet wird, läuft der Rechner problemlos tagelang durch.
Ich habe mir eben nochmal die Protokolle von vor dem letzten Einfrieren angeschaut, kann aber überhaupt nichts Auffälliges finden. Das ist schon sehr seltsam.
Grüße
Meisen
Hallo zusammen,
ich versuche seit einiger Zeit die Community-Version 2.2 zum Einsatz zu bringen. Installation und Konfiguration funktioniert alles bestens. Jedoch friert mir die Maschine nach einiger Zeit immer ein, so dass nicht mal mehr ein Zugriff per Konsole möglich ist und ich nur noch den Rechner hart resetten kann.
Die Hardware ist 100%ig in Ordnung. Ein IPCop lief auf derselben Maschine zuvor über Monate völlig stabil.
Ich weiss, das ist jetzt ziemlich allgemein, aber ich weiss nicht, wo ich ansetzen könnte, um eine stabile Firewall zu bekommen. Und anscheinend hatte hier noch niemand ein ähnliches Problem.
Hat mir vielleicht jemand einen Tipp, wo ich bei der Fehlersuche beginnen könnte?
Danke & Gruß
Meisen
Hallo Forum,
ich bin vor kurzem von IPCop auf Endian umgestiegen und bisher ganz angetan von den vielen Möglichkeiten. Es funktioniert auch alles wie zuvor, bis auf eine Sache:
Ich hatte zwischen zwei IPCops einen permanenten VPN-Tunnel, über den auch der VOIP-Datenverkehr lief. Seit auf der einen Seite nach wie vor der IPCop steht, auf der anderen Seite aber Endian, kann ich zwar vom IPCop Richtung Endian über den Tunnel telefonieren, jedoch nicht mehr umgekehrt.
Auf Endian habe ich u.a. die Firewall für ausgehenden Datenverkehr aktiviert und dort auch schon versucht, mit entsprechenden Portfreigaben die Telefonie zu ermöglichen. Ebenso habe ich den SIProxy aktiviert gehabt. Beides aber ohne Erfolg.
Kann mir jemand auf die Sprünge helfen, wie ich das Problem sonst lösen könnte?
Besten Dank im voraus!
Grüße
Meisen