Bandbreitenmanagement und die Kontrolle von Filesharing-Aktivitäten im Netz sorgen bei IT-Verantwortlichen oft für schlaflose Nächte. Die IPCop-LinuxUser-Edition löst diese und andere Netzwerkprobleme auf einen Schlag.

Den Netzwerkverkehr in das Internet detailiert zu regeln, bei dieser Aufgabe geraten Hardware-Router – speziell in den unteren Preisklassen – schnell an ihre Grenzen. Diese stellen oft nur rudimentäre Port-Filter bereit. Die VPN-Funktion bauen die Hersteller ohnehin erst in der gehobenen Preisklasse in die Geräte ein.

Der auf Linux from Scratch (LFS) basierter Software-Router IPCop [1] (Abbildung 1) ist in dieser Hinsicht deutlich flexibler. Ein ausgemusterter Rechner mit einer 90-MHz-CPU, eine Festplatte mit wenigstens 500 MByte sowie zwei Netzwerkkarten reichen als Grundlage. Das System stellt von Hause aus eine Reihe von Kontrollfunktionen und Filter bereit, die durch Addons in der vorliegenden Version nochmals deutlich erweitert wurden.

Abbildung 1: IPCop kontrolliert den Datenverkehr zwischen den Netzen sehr detailliert.

Die Modifikationen im Überblick:

• P2pblock: Sperrt Netzwerkverkehr zu Tauschbörsen
• QoS: Verteilen der Bandbreite auf verschiedene Dienste (Traffic Shaping)
• Advanced Proxy: Umfangreiche Verwaltungsoberfläche für den Proxy Squid
• URL-Filter: Blockieren unerwünschter Web-Seiten
• Doorman: Öffnen von Ports auf ein Signal hin
• Sarg: Analyse-Tool für Squid-Logfiles
• Fwlogs: Grafisches Aufbereiten von Firewall-Logs

Speziell das Verknüpfen eines Layer-7-Filters (Application Layer Filter) mit dem Traffic Shaper hilft, den Datenstrom im Netz zu bändigen. Mit dieser Kombination legen Sie fest, welchem Service – unabhängig vom verwendeten Port – welche Bandbreite zusteht. Da Filesharing-Programme auf beliebigen Ports arbeiten, stellen normale Paketfilter kein probates Mittel bereit, diesen Datenstrom zu kontrollieren oder zu verhindern.

Dieser Artikel beschäftigt sich in erster Linie mit den Besonderheiten der Version, die auf der Heft-CD integriert ist. Detailierte Informationen zur Installation und Konfiguration des IPCop finden Sie sowohl auf unserer Web-Seite [2] als auch auf dem Datenträger im Verzeichnis LinuxUser/ipcop/.

Installation

Beachten Sie, dass IPCop bei der Installation den kompletten Platz auf der Festplatte verwendet. Parallelinstallationen sind damit nicht möglich. Nach dem ersten Start erleichtert ein grafisches Setup die Grundkonfiguration. Nach Eingabe der Parameter startet die Installationsroutine den Rechner zwei mal neu. Nach dem ersten Neustart erfolgt das Einbinden der Addons; Veränderungen am Kernel erfordern den zweiten Neustart.

Nachträgliche Änderungen am Setup erreichen Sie über die Eingabe von setup in der Shell. Im laufenden Betrieb konfigurieren Sie die Distribution über ein Web-Frontend. Rufen Sie dazu im Browser http://IP-Adresse:81 auf, wobei Sie IP-Adresse mit der Adresse der Netzwerkkarte ersetzen, die Sie für die grüne Zone definiert haben.

Qualität garantiert

Das Addon QoS [3] ersetzt das Standardmodul von IPCop und erlaubt eine deutlich effektivere Bandbreitenkontrolle. Sie richten diesen ebenfalls im Web-Frontend (Abbildung 2) über den Menüpunkt DiensteQOS ein.

Generell handelt es sich bei Quality of Service (QoS) um eine Methode, bestimmten Protokollen oder IP-Adressen eine definierte oder garantierte Bandbreite zuzuweisen.

Starten Sie zum Beispiel einen umfangreichen Download, nimmt dieser im Normalfall die komplette Bandbreite für sich in Anspruch. Andere Dienste wie E-Mail oder Secure Shell (SSH) schränkt das in ihrer Funktion ein. Legen Sie jedoch mit QoS fest, dass POP3 eine garantierte Bandbreite erhält, funktionert das Abrufen der Mails auch bei großen Downloads problemlos.

Nach dem Fertigstellen der Heft-CD erschien eine aktualisierte Version des Addons, das Sie als Update von unserer Webseite [4] herunterladen.

Abbildung 2: Die Administrationsoberfläche zum Bandbreitenmanagement erlaubt auf zahlreichen Wegen ein Regulieren des Netzwerkverkehrs.

Klassengesellschaft

QoS ist durch hierachisch aufgebaute Klassen organisiert. Um die verfügbare Bandbreite zu portionieren, bedient sich das System so genannter Unter- oder Parent-Klassen. Die Klasse stellt zunächst nur eine Eigenschaft dar, der Sie dann über Regeln einen bestimmten Teil des Netzwerkverkehrs zuweisen.

IPCop stellt Ihnen dafür das ausgezeichnete Mittel des Layer-7-Filter bereit, der Protokolle anhand seiner spezifischen Eigenarten erkennt – unabhängig von Ports oder IP-Adressen.

Da die Verknüpfung von Regeln und Klassen das Konfigurieren von QoS deutlich komplexer machen als das einer Firewall, ist das genaue Planen, welcher Netzwerkverkehr wie behandelt wird unumgänglich.

Die Konfiguration beginnt mit dem Festlegen der Root-Klassen, über welche Sie die Bandbreite des grsammten Interfaces bestimmen. Die Werte sollten 90 Prozent der zur Verfügung stehenden Bandbreite nicht überschreiten. Definieren Sie im Anschluß die Parent-Klassen, wobei Sie beachten, dass die Summe der garantierte Bandbreite aller Unterklassen die der Root-Klasse nicht überschreiten darf.

Bei QoS gilt: First match wins. Die Reihenfolge legen Sie über das Feld Klasse fest. Paketen mit hoher Priorität gewährt QoS Vorrang (je kleiner die Zahl, desto höher die Priorität). Geben Sie deshalb Klassen, die für wichtige Dienste vorgesehen sind (zum Beispiel DNS und SSH) eine hohe Priorität.

Im Feld garantierter <UploadDownload konfigurieren Sie, welche Bandbreite einem Dienst mindestens zusteht, unter maximale Up/Downloadgeschwindigkeit das Maximum. Über die Maximale Verzögerung legen Sie die höchste erlaubte Latenzzeit fest.

Der Wert sollte 200 Millisekunden nicht übersteigen. Für Dienste wie DNS empfiehlt sich eine möglichst niedrige Latenzzeit (30-40 ms) – das verhindert Verzögerungen bei der Namensauflösung.

Erstellen Sie jetzt die Regeln, mit denen Sie Netzwerkprotokolle mit Klassen verknüpfen. Dabei haben Sie die Wahl zwischen port/adressbasierten oder Layer-7-Regeln, die Sie über den Link Layer7-Regeln hinzufügen erreichen.

Geben Sie der Regel einen Namen und ordnen Sie sie einer Schnittstelle zu. Über das Drop-Down-Menü Protokoll wählen Sie, welches Protokoll die Regel betrifft, Markierung legt fest, welcher Klasse Sie die Regel zuordnen.

Auf unserer Webseite [5] stehen einige Basiskonfigurationen für verschiedene Bandbreiten zum Download bereit. Detailierten Aufschluss über das Thema Quality of Service gibt auch die Web-Seite Practical QoS [6].

Ausgesperrt

Das Addon P2pBlock (Abbildung 3), welches Sie unter DiensteP2PBLOCK finden, kontrolliert den Datenverkehr von Filesharing-Programmen im Netz unabhängig vom verwendeten Port. Dafür stellt es drei Methoden bereit: Stringmatch, layer7-Filter und ipp2p-Filter.

Jede Variante ermöglicht sowohl das Loggen als auch das Blocken des Traffics. Da sich Stringmatch im Alltag ressourcenhungrig und relativ unzuverlässig arbeitet, sollten Sie die anderen Möglichkeiten eher in Betracht ziehen.

Abbildung 3: Ein Klick reicht, um unliebsamen Filesharing Traffic wirkungsvoll zu verhindert .

Der Layer-7-Filter arbeitet auf Protokollebene und filtert anhand von Pattern-Files, die Sie im Verzeichnis /etc/l7-protocols/ finden. Diese werden regelmäßig automatisch aktualisiert.

Der Ipp2p-Filter [7] ist wie der Layer-7-Filter [8] ein Netfilter Modul und arbeitet ähnlich. Jedoch sind die Regeln fest kodiert und nicht separat aktualisierbar. Um eine optimale Trefferquote zu erzielen, verwenden Sie den Layer-7- und Ipp2p-Filter gemeinsam. Im Verbund verhindern sie Filesharing auch dann zuverlässig, wenn unübliche Ports verwendet werden.

Advanced Proxy

Dieses Addon (DiensteADVANCED PROXY) erlaubt gegenüber der Standardversion von IPCop eine erweiterte Konfiguration für den Squid Proxy. Sie können damit für den Proxy eine lokale Benutzer-Authentifizierung – auch Gruppenweise – aufsetzen, die Authentifzierung über LDAP, ADS oder Radius vornehmen, ein erweitertes Cache-Management betreiben und den Zugang via IP- oder und MAC-Adresse kontrollieren.

Zeitbasierte Zugriffsbeschränkungen, ein MIME-Type-Filter, die host-basierte Bandbreitenbegrenzung sowie eine automatische Client-Konfiguration mittels PAC und WPAD ergänzen das Angebot. Eine ausführliche Dokumentation für den Advanced Proxy inklusive Admin-Guide finden Sie auf der Projektseite des Advanced Proxys [9].

URL-Filter

Ergänzend zum Advanced Proxy verfügt die Distribution über einen URL-Filter [10], den Sie im Webfrontend unter dem Menüpunkt Dienste | URL-FILTER erreichen. Über diesen filtern Sie unerwünschte Urls, Domains und Dateitypen die über den Squid Proxy aufgerufen werden. Sowohl die Kurzanleitung als auch den ausführlichen Admin-Guide finden Sie unter [11].

Damit Sie den Überblick über die Aktivitäten in Ihrem Netz nicht verlieren, stellt diese Version zwei zusätzliche Tools zur Analyse der Logfiles bereit: Sarg und Fwlogs. Sie ereichen sie über das Web-Interface unter der Rubrik LogsFW-Log Graphs BY <IPPORT> und LogsSARG.

Update

Da regelmässig Updates [3] für die Erweiterungen erscheinen, verfügen einige Addons über eine Benachrichtigungsfunktion im Webfrontend. Speziell bei regulären Updates von IPCop gewährleistet nur ein Aktualisieren der Addons das einwandfreie Funktionieren.

Die sogenannten Third Party Addons pflegen Sie dabei am besten von Hand ein. Laden Sie dazu das entsprechende Update via SCP auf den Rechner mit IPCop, entpacken Sie es und starten Sie das Installations-Skript mit dem Aufruf ./install.

Fazit

Der interessanteste Aspekt dieser Version von IPCop ist zweifellos die Verknüpfung des Bandbreitenmanagements mit dem Layer-7-Filter. Diese eröffnet Ihnen eine Fülle von Möglichkeiten, um regulierend auf den Verkehr in das externe Netz einzuwirken. Bei Problemen und Fragen hilft die deutsche IPCop-Community [12].