Routing für alle

Nützliche Zusätze

fli4l-Module, die über eine Standard-Anwendung hinausgehen und deshalb für viele Einsatzzwecke nicht notwendig sind, lädt man als separate Pakete von http://www.fli4l.de/german/download.htm oder http://www.fli4l.de/german/developer.htm herunter. Zum Teil handelt es sich dabei um kleinere Tools, zum Teil um weitere Serverdienste.

So kann der im Paket dhcp.tar.gz enthaltene DHCP-Server den Clients im LAN IP-Adressen zuteilen und auch nötige Infos zu Standard-Gateway und DNS-Server übertragen. Samba lässt sich als Drucker-Server in Kombination mit dem Spooler lpd einsetzen. Das Paket samba_lpd.tar.gz enthält eine ältere Samba-Version, die durchaus noch auf die Diskette passt. Eine Alternative ist lpdsrv.tar.gz, ein Drucker-Server, der ohne Warteschlange auskommt und daher vom Hauptspeicherbedarf (alles läuft ja in der RAM-Disk) bescheidener ist. Mit integrierter ISDN-Karte kann fli4l auch als Anrufbeantworter dienen. Das Paket vbox.tar.gz ermöglicht dabei die Aufzeichnung der Anrufe. Abgerufen werden sie von den Clients aus – über ein vbox-Client-Programm, wie es vielen Linux-Distributionen beiliegt.

Wer sein LAN mit einem Web-Proxy ausstatten will, kann dies mit squid.tar.gz auf dem Router tun – allerdings nur, wenn fli4l auf Festplatte installiert ist. Dies ist mit dem zusätzlichen Installationsmodul hd.tar.gz möglich. Ist die Platte zu laut, residiert fli4l alternativ auch auf einer Compact-Flash-Karte, wie man sie von Digitalkameras kennt. In diesem Fall benötigen Sie allerdings einen Compact-Flash-Adapter zum Anschluss der Karte an die IDE-Schnittstelle des Rechners.

Ein LCD-Display-Modul zum Anzeigen der wichtigsten Verbindungsdaten (lcd.tar.gz) lässt das Bastlerherz höher schlagen – hier kann sich der fortgeschrittene fli4l-User austoben. Der Mini-HTTP-Server aus httpd.tar.gz erlaubt es, Funktionalitäten, wie sie die imon-Clients bieten, über einen Web-Browser zu nutzen. Der Daemon telmond aus dem Paket isdn.tar.gz protokolliert eingehende Telefonanrufe auf dem ISDN-S0-Bus, so dass man abends nachschauen kann, wer im Laufe des Tages versucht hat anzurufen. Auch kann man telmond aus der Ferne per Telefonanruf auf einer speziellen MSN zu einer Aktion bewegen, zum Beispiel den Router ins Internet einwählen lassen. Einige fli4l-Anwender treiben dies sogar soweit, dass der fli4l-Router nach erfolgter Einwahl eine SMS mit der vom ISP vergebenen, dynamischen IP-Adresse an ihr Handy schickt.

Zum direkten Zugriff auf den fli4l-Router per Shell können die Dienste telnetd oder sshd aus dem Paket inet.tar.gz installiert werden. Normalerweise ist der Shell-Zugang zum Betrieb des Routers jedoch nicht nötig und sollte aus Sicherheitsgründen vermieden werden – auch wenn der in fli4l integrierte Paketfilter einen Zugriff von außen standardmäßig verhindert. Ein ftpd zum Filetransfer rundet das inet-Modul ab.

Rührige fli4l-User sorgen mit weiteren, unter http://www.fli4l.de/german/opt.htm und http://www.fli4l.de/german/addons.htm zu findenden Paketen für zusätzliche Funktionalität. Zu nennen sind hier zum Beispiel Bridging aus dem OPT_BRIDGE-Paket, automatisches Anmelden bei dynamischen DNS-Anbietern (OPT_DYNDNS), ein kleiner Mail-Server (OPT_EXTREMAIL), Unterstützung von Funk-LAN-Karten (OPT_FUNK_LAN), ein Fax-Empfänger über Modems (OPT_MGETTY), ein QOS-Paket (OPT_QOS) zur Vergabe von Transferraten für die Clients, ein SNMP-Modul (OPT_SNMP), eine VPN-Anwendung (OPT_VPND) und, und, und…

Sicher ist sicher

Bei der Nennung des Telnet- und des FTP-Servers mag schon mancher die Stirn gerunzelt haben: Gerade auf einem Router haben Sicherheitsfragen schließlich oberste Priorität. Die meisten installierbaren Dienste werden an die lokale Netzwerkkarte gebunden oder vom konfigurierbaren Paketfilter des fli4l-Routers vor Zugriff von außen geschützt. Hierzu gibt man in der Konfigurationsdatei des Basis-Pakets diejenigen Ports an, auf denen ein Verbindungsaufbau von außen abgelehnt werden soll. Die Beispiel-Datei enthält bereits die nötige Konfiguration, um Zugriffe von außen zu verweigern. Da Linux ohnehin Zugriffe auf Ports ablehnt, auf denen kein Dienst angeboten wird, bleibt diese Konfiguration überschaubar.

Außerdem kann das Routing bestimmter Protokolle, die festgelegte Ports verwenden, untersagt werden, indem man einfach die entsprechenden Ports in der Konfiguration angibt. So blockiert man auch die Kommunikation bestimmter Spyware, die "nach Hause telefoniert".

Desweiteren ist es möglich, dem integrierten DNS-Server eine "Blacklist" von Domains oder Hosts mitzugeben, welche er nicht auflösen soll. Kommt nun ein findiger User im LAN auf die Idee, stattdessen einen DNS-Server im Internet direkt anzusprechen, sperrt man zusätzlich das Routing (Forwarding) des für DNS zuständigen Ports 53, sodass er mehr oder minder gezwungen wird, den DNS-Servers des fli4l-Routers zu verwenden.

Die Paketfilterkonfiguration ist normalerweise statisch, denn sie muss bereits bei Erstellung der Diskette festgelegt sein. Abhilfe schafft hier ein zusätzliches Paket (OPT_CGICONF), mit dem sich die Paketfilterkonfiguration über den Web-Browser zur Laufzeit ändern lässt. Damit ist es dann auch möglich, einzelnen Clients im LAN den Internet-Zugang zu bestimmten Zeiten zu verwehren – z. B. nachts, wenn die Kinder schon lange ins Bett gehören.

Trotz Paketfilters empfiehlt es sich, so wenig wie möglich Server-Dienste auf dem Router laufen zu lassen – dafür eignet sich ein dedizierter Zweitrechner besser. Doch was in der Firma selbstverständlich sein sollte, kann im Heimbereich Kompromisse verlangen. Hier muss jeder fli4l-User selbst abwägen, ob und welche Dienste er installieren möchte. Notwendig zum Betrieb als Router sind sie selbstverständlich nicht: Im Idealfall sollte man gänzlichst auf sie verzichten.