Ich hatte bereits mehrmals über die Möglichkeiten einer kostenfreien, Linux-basierten Firewall gesprochen. Die Rede ist von IPCop, einer sehr gelungenen Softwarefirewall, die kostenfrei zur Verfügung steht. In meinem HowTo möchte ich berichten, wie IPCop auf einem ESXi / vSphere Hypervisor System installiert und verwendet werden kann. IPCop eignet sich hervorragend für die Steuerung der Netzwerkaktivitäten in einer beispielhaften Demoumgebung, die auf einem ESXi / vSphere Hypervisor betrieben werden soll.
Der VMWare Server läuft in meiner Umgebung mit nur einer Netzwerkkarte. Im produktiven Betrieb sicherlich nicht zu empfehlen, in einer Laborumgebung jedoch nicht nachteilig. Um eine Firewall betreiben zu können, benötigen wir jedoch zwei Netzwerkkarten / zwei Netzwerksegmente. Dies sollten zunächst im VMWare Server konfiguriert werden.
In meinem Beispiel gibt es zwei Netzwerke, die Benennung der Netzwerke ist frei wählbar:
- VM Network – Das produktive, physische Netzwerk. Dieses wird bereits bei der Installation des VMWare Servers angelegt und wird in der IPCop Firewall als „externe Zone“ (ROT) bezeichnet. In einer Produktivumgebung könnte man hiermit beispielsweise das Internet bezeichnen (externes Netzwerk)
- DS Network – Zweites, zusätzlich erstelltes Netzwerksegement, das für die interne Kommunikation innerhalb der virtuellen Maschinen dient (GRÜN). Darin werden zukünftig die Demoserver ausgeführt.
Damit IPCop auch eine Festplatte im Setupprozess erkennen kann, benötigen wir eine Festplatte, die als SCSI-Controller Typ „BusLogic Parallel“ verwendet. Diese Variante muss explizit ausgewählt werden, da ansonsten standardmässig „LSI Logic SAS“ ausgewählt ist. Dies kann die IPCop aufgrund mangelnder Treiber nicht erkennen. (Bild Punkt 1)
Ansonsten benötigen wir natürlich auch 2 Netzwerkkarten (virtuell). Hierbei ist es besonders wichtig, die MAC Adressen der virtuellen Adapter zu notieren und diese jeweils an die verschiedenen Netzwerksegmente zu koppeln. Das notieren der MAC Adressen ist im Setupprozess von IPCop sehr wichtig, da wir die beiden Zonen (grün und rot) definieren müssen. Da beide Adapter den gleichen Namen tragen, kann man sich hier nur anhand der MAC Adressen orientieren. (Bild Punkt 2)
Um hier die Anzahl der Screensshots gering zu halten, habe ich die Installation der IPCop Firewall in ein kleines Video gepackt und vertont. Viel Spaß beim anschauen! Bei Fragen oder Anregungen freue ich mich über Kommentare in diesem Beitrag.
Kommentare
Kommentar veröffentlichen