Hauptseite
Rezensionen
Autoren
Themen
Reportagen
Meldungen
Links
Kontakt
Newsletter

 

IPcop homepage

IPcop - Linux Router für Profis

und private Nutzer

von Bruno Hopp, Köln (im Nov./Dez. 2004)

Erste persönliche Erfahrungen - Einleitung

  IPcop - sein Name ist schon Programm. "IPcop" steht als Abkürzung für "TCP/IP", also die technischen Grundlagen des weltumspannenden Internet. Der "cop" ist im amerikanischen Englisch umgangssprachlich ein Polizist, der anderen Leuten sagt, was sie dürfen und sich um die Sicherheit der Allgemeinheit kümmert.
  Ein "Router" ist für Computer genau das: Auskunft wohin man sich zu wenden hat, wenn man diese oder jene Webseite, Email usw. haben möchte. Router verbinden ganze Netzwerke miteinander. Technisch eng verbunden ist damit die Aufgabe, dass Router den Durchgangsverkehr darauf prüfen, ob die Datenpakete "auf der Durchreise" berechtigterweise passieren dürfen.Das wird landläufig als "Filtern" bzw. als Paketfilter bezeichnet, käufliche Produkte mit dieser Eigenschaft werden als "Firewall" bezeichnet. IPcop sorgt als Firewall dafür, dass die bösen Jungs mit ihren Attacken auf anderer Leute Rechner bitteschön draussen bleiben. Das gefällt mir. IPcop basiert auf Linux und dessen  integrierter Netfilter-Architektur. Er ist eine hervorragende Gelegenheit, einen Router für professionellen Ansprüche aufzubauen: die IPcop-Software ist wie das ganze Linux frei im Internet zu bekommen weil Open Source. Das überzeugt mich vollständig! Wenn ich will, schaue ich in die Sourcen (ich will...) und kann selbst nachvollziehen, wie die Dinge programmiert wurden. Jüngere Semester nennen das 'cool', ich finde es schlicht beruhigend. Für jemanden, der an einem Universitätsinstitut beschäftigt ist und tagtäglich im Internet irgendetwas suchen, ausdrucken oder auch verschicken muss, stellt eine funktionierende Netzanbindung fast eine Notwendigkeit dar. Natürlich benötige ich zu Hause (noch) keine teure DSL-Anbindung, ein 56k-Modem an der analogen Telefonleitung tut es durchaus. Aber "dank" der zahlreichen MS Windows-Nutzer im Kollegenkreis und ihren Erlebnissen mit täglichen Rechnerabstürzen, Virenemails, verschwundenen Dokumente oder Bemerkungen: "mein Rechner reagiert seit heute so komisch..." weiss ich, dass es heute 60 bis 180 Sekunden dauert bis ein frisch installiertes modernes Microsoft Windows aus dem Internet das erste Mal durch Viren, Trojaner oder schlicht Scanner attackiert wird. Statt knappes Geld für lausige Pseudo-Sicherheit genannt Virenscanner oder käufliche Firewalls auszugeben will ich Linux - das ist klar! Seit mehr als sechs Jahren bin ich mit wachsender Begeisterung Linuxanwender und inzwischen im kleinen Rahmen manchmal Hobbyprogrammierer. Wer auf der Buchkritik meine Rezensionen mitverfolgt, weiss wieviele Bücher zu Linux hinter so einem Router stehen mögen smiley "Grins"

"Use the source, Luke": download des IPcop

  Also IPcop! Natürlich hat er einen aktuellen Linuxkernel (2.4.27). Zusammen mit dem Proxy SQUID kann IPtables schon einiges filtern.
  Also los und im Web bei IPcop und seinem deutschsprachigen Gegenstück nachgesehen, Dokumentation und die eigentliche Distribution herunterladen: die Download-Sektion ist extra ausgewiesen. Es gibt Lesestoff auf Englisch, auf Deutsch, sogar auf Portugiesisch (lerne ich gerade): zuerst eine Installationsanleitung geholt und ausgedruckt. Mit meinen Englischkenntnissen komme ich schnell voran, wenige Minuten später sind runde 42 MB von sourceforge.net auf meinem Rechner gelandet. Jetzt habe ich die "Version 1.4 final" in Form einer "iso-Datei". Eine iso-Datei ist ein direktes Abbild vom Inhalt einer CDROM. Ich brenne die iso-Datei in wenigen Minuten auf CD, diese noch "finalisiert" damit nichts weiteres mehr drauf geht - natürlich mit Xcdroast unter Linux (es ginge wohl auch unter Windows). Bis hierhin ist alles ausgesprochen einfach. Jetzt heisst es CD rausnehmen und endlich, endlich in den vorbereiteten späteren Router (-rechner) einlegen. Anschliessend wird der Rechner von dieser CD neu gebootet - und schwupps geht eine schöne Setup-Routine los! Sehr simpel - ich merke schnell dass IPcop von RedHat-Linux abstammt. Diese Menüs mit "OK" und "Abbrechen" Knöpfen in Rot und weisser Schrift hatte RedHat schon lange. Damit bin ich beim nächsten Kapitel angekommen: der eigentliche Rechner, der bald als Router dienen wird.

Ein ausgemusterter PC als Router ...

Komplettrechner-Innen1.jpg  Mit Glück und Beziehungen komme ich vor Monaten an einen abgelegten PC. Ein "Minitower" von rund 50 cm Höhe in diesem unaussprechlichen Computergrau bis hellbeige. Der Zahn der Zeit hat seine Spuren, sprich Kratzer hinterlassen, das Innere starrt vor Staub und Dreck. Das Motherboard entpuppt sich als Asus P5HX-B mit Pentium 200 Mhz von Intel. Arbeitsspeicher mit 64 MB in Form von 72-poligen SIMMs mittelprächtig ausgestattet, keine Extras. Eine klitzekleine Festplatte, Grafikkarte eine uralte Elsa Winner mit 2 MB - für Textmodus allemal genug. Typisch PC: ein Floppylaufwerk mit 3½ Zoll ist eingebaut.
  Das wird als erstes ersatzlos entfernt - ich will einen anständigen Router, keine Spielekiste. Das Motherboard enthält PCI-Slots, dazu vier alte ISA-Slots, 2x seriell und 1x parallel onboard. Nachdem ich groben Schmutz mit Staubsauger, feinen Staub mit Pinsel und Lappen entfernt habe, ist das Malheur klar: der ganze Schmutz hat natürlich die Lüfter festgebacken. Also erst das Netzteil ausbauen, säubern und neuen Lüfter einsetzen.
  Spätestens jetzt scheiden sich die Geister: wer in Elektrik und Elektronik keine Ausbildung besitzt, sollte diesen Schritt  niemals  selbst erledigen! Netzteile können auch nach dem Ausschalten noch eine gehörige Spannung (in den Kondensatoren) enthalten, die bei unsachgemässer Behandlung zu ernsten Unfällen führt! Bei mir geht es weiter: der Kühlkörper des Prozessors bekommt einen neuen Quirl aufgesetzt. Die Grafikkarte darf vorläufig noch bleiben. Einmal überlegen: ein Router muss (mindestens) zwei Schnittstellen haben. Also nach innen sprich für mein Heimnetz (localnet) soll es eine zuverlässige 3Com 905B für Ethernet sein. Zweite Schnittstelle ist natürlich das Modem, das verbindet mich mit der weiten Welt des Internet. Natürlich würde manche alte NE2000-kompatible Karte mit 10 Mbit/sec für "Grün" ebenso funktionieren, weil das Modem immer noch wesentlich langsamer als diese Netzkarte arbeitet.. Statt einem Modem ist bei IPcop selbstverständlich auch eine ISDN oder eine DSL-Schnittstelle für die Kommunikation nach außen möglich - aber sowas besitze ich nicht.  Eine erste Testinstallation des IPcop verläuft problemlos: die Setup-Routine informiert mich, dass sie die gesamte erste physikalische Festplatte für den IPcop beanspruchen will (unter Linux: /dev/hda). Geht in Ordnung: "OK" und weiter. Ich wähle, dass ich ein "Rotes" (Modem) und ein "Grünes" Interface (Netzwerkkarte zu meinem Heimnetz) benutzen will. Rot steht für Anbindung ans fremde Netz/das Internet, Grün für die Schnittstelle zum "guten" heimischen Netz. Ich könnte gleichzeitig eine DMZ (Orange) einrichten, falls ich ausgewählte Server vom Internet aus erreichbar machen wollte. Ebenso könnte ich einen WLAN-Access Point zum Anschluss als viertes "Blaues" Interface konfigurieren!
  Hm, bei mir ist wegen Sparbeschluss nur Rot und Grün vorhanden. Die IP fürs grüne Interface entnehme ich dem IP-Bereich, den ich auch sonst nutze (192.168.x.y) und der Router erhält ganz in guter Linuxtradition noch einen aussagekräftigen Namen: nightcity (ich finde "Neuromancer" von William Gibson echt gute Science Fiction!). Die IPcop-Software ist in knapp einer Viertelstunde fertig installiert und konfiguriert, alles weitere - soweit überhaupt nötig - wird über ein Webinterface verschlüsselt von einem zweiten Rechner aus erledigt - übersichtlich und bequem. Es wird Zeit, Tastatur, Maus und Monitor abzuklemmen. Das Gehäuse wird in eine Ecke gestellt, es führen ein Stromkabel, ein Netzwerkkabel und ein Telefonkabel zum Rechner bzw. dem Modem. Der Anblick nervt: warum sind Computer immer grau bis hellbeige? Ich beschliesse, dass mein Router ein besseres Outfit bekommen muss! Ich erinnere mich, dass ich per Zufall routerdesign.com entdeckt hatte. Eine sehr individuelle Lösung mit Aha-Effekt aus eigener Werkstatt: das soll es werden! 

Mein Rechner soll schöner werden...

  Grundproblem: Rechnergehäuse besteht aus Metall (meistens), Frontteile aber aus Kunststoff. Einheitlich lackieren möchte ich schon, aber wie und womit? Aus dem Autofachhandel eine Sprühdose: das ginge. Nur kostet die zwischen zehn bis zwanzig Euronen das Stück, wenn die enthaltene Druckluft nach den ersten drei Minuten nachlässt, spritzen nur noch unregelmäßige dicke Lacktropfen durch die Gegend. Die scheinbar billige Amateurlösung habe ich kennengelernt, das ist was für Anfänger! Braucht mensch mehrere Sprühdosen (Metall grundieren, dann Filler, Vorlackieren, Schlusslackierung, evtl. eine Schicht Klarlack zum Versiegeln) - dann wird es extrem teuer! Nun bin ich als Fahrradfreak durchaus gewohnt, mich mit Farbe und Lack auf Metall und Plastik zu beschäftigen. Das Metallgehäuse liesse sich bestimmt noch mit Einbrenn-Emaille verzieren. Die Kunststoffteile könnte ich anschliessend als Asche aus dem Ofen kratzen! Also neue Idee: Airbrush! Per Druckluft einen superdünnen Farbauftrag erzeugen, so dünn wie ihn kein Pinsel erreichen kann. Was brauche ich zum Airbrushen: eine Druckluftquelle, also einen Kompressor. Daran angeschlossen ein Stück druckfester Schlauch (2 bis 3 Meter) plus Airbrush-Pistole. Hiermit wird Farbe bzw. der Lack zum superfeinen Sprühnebel vermischt. Der Auftrag kann von millimeterdünnen Linien bis zu grossen Flächen dosiert werden. Ich lerne durch Wikipedia, was eine Single-action und eine (teurere) 'Double-Action' Sprühpistole an Besonderheiten aufweisen.
  Es dauert schon mehrere Tage, bis ich mit Ausdauer und Nerven auf passenden Gelegenheiten Kompressor, Pistole und Zubehör ergattere. Das spricht sich auch im Freundeskreis herum, dass ich dankbarer Abnehmer bin von halbleeren Gebinden Acryllacken, bevorzugt matt-schwarz und "Marsrot" (VW-Fahrer wissen was ich meine...)

Werkzeugkunde: Lack, Farbe und jede Menge Druck

Grundausstattung               Druckluft aus dem KompressorAirbrushpistole Double-action               Handschuh_Pipette


  Was braucht mensch so alles? Auf der ersten Abbildung in der hinteren Reihe (v.l.n.r.): zwei Dosen flüssige Acrylfarbe, Universalverdünnung, zwei Sprühdosen Grundierung bzw. Filler, eine Sprühdose Acryllack (marsrot). Vorn liegen von links nach rechts: ein Arbeitshandschuh (zum Festhalten einzelner Teile während des Sprühen), die Airbrushpistole mit Druckluftschlauch, eine Rolle Kreppband, rechts aussen der blaue Druckluftkompressor von Revell.
  Auf der zweiten Abbildung kann man den blauen Kompressor "Record" von Revell betrachten, oben links ist der Anschluss mit Gewinde für Druckluftschlauch. Auf der dritten Abbildung befindet sich die Airbrush-Pistole mit double-action. Erkennbar ist ein Vorratstank für Farbe der ca. 10 bis 15 ml fasst hinter dem Sprühkopf, dahinter befindet sich der Regler für die "double-action". Durch Herunterdrücken des Hebels wird Druckluft freigegeben, während ein leichtes Ziehen nach hinten (auf der Abbildung also nach rechts) für das Öffnen der Düse und Austritt von feinem Farbnebel sorgt. Auf der dritten Abbildung ist ein Arbeitshandschuh zu erkennen, mit einem recht wichtigen Teil: einer Pipette. Pipetten werden genutzt, um zuerst in einem kleinen Mixbecher Farbe mit Verdünnung so zu vermischen, dass die Konsistenz (der von Farbe bzw. Lack) korrekt eingestellt wird. Jetzt muss die Farbe ohne Klecksen in den Vorratsbecher der Sprühpistole hinein befördert werden - wieder per Pipette. Nichts für nervöse Zappelnaturen!
 
  Während die Aktion "Airbrush Zubehör besorgen" noch dauert, mache ich mich daran, die Rechnerhülle auseinanderzunehmen. Das Lösen der vier Schrauben auf der Rückseite ist simpel, jetzt kann ich das Verkleidungsblech abnehmen. Danach halten vier kleinere Schrauben die Kunststopffblende von innen fest. Nachdem ich die Front von den üblichen Laufwerksblenden 3½ Zoll und 5¼ Zoll befreit habe, liegen die Einzelteile lose. Der Einschaltknopf  wird aus der grossen Frontblende vorsichtig herausgelöst, während die innen liegende Feder lustig durch das Wohnzimmer hüpft. Sämtliche Einzelteile werden ausführlich mit Isopropanol (70-prozentiger vergällter Alkohol) gereinigt - bei offenem Fenster bitte gut lüften!!. Das beige Metallblech wird mit feinster Stahlwolle aufgerauht. Anschliessend heisst es überall dort, wo kein Farbauftrag hingehört, mit Klebeband ("Malerband", behelfsweise Tesa) für Schutz zu sorgen. Die Frontblende hat unterhalb der 3½ Zoll Floppyschächte ein halbmondförmiges Teil aus durchsichtigem Kunststoff, in dem zwei LEDs und der Resetknopf eingebettet und mit Heisskleber befestigt sind. Vorsichtig alles mit einem scharfen Teppichmesser herauslösen und abdecken! Der verbliebene Rechner sieht momentan etwas unfertig aus:

vonvorne              


  Vorne hängen die rote LED (für Festplattenaktivität) und die grüne (für Power on) sowie in der Mitte der rote Taster vom Resetknopf herum. Auf der Rückseite ist zu sehen, dass unten der Anschluß der Grafikkarte (noch) residiert, weiter oben die RJ45-Buchse für Ethernet, noch weiter oben rechts lp0, ttyS1 und ttyS0 (in Sub-D). Alle Gehäuseteile erhalten eine hauchdünne erste Grundierung in Hellgrau, die gleichzeitig kleine Unebenheiten und Kratzer zudeckt. Nach dem Trocknen werden zurückgebliebene Unebenheiten noch mit Stahlwolle weiter eingeebnet und wiederholt mit feinstem Grundierungsnebel beglückt. Immer hübsch dünn! Falls der Auftrag anfängt speckig zu glänzen, hat mensch todsicher zuviel gesprüht und darf anschliessend bei der Entwicklung von "Lacknasen" zusehen :-(( Ist alles grundiert, kommt die erste Lage vom Lack. Ich wähle Acryllack, weil lösemittelfrei (d.h. auf Wasserbasis). Technisch wäre Kunstharzlack auch erlaubt, Umweltschweinchen und ihre Nachbarn werden aber mit der vollen Dosis Lösemittel in der Atemluft versorgt, nein danke. Am mattschwarzen Lack lässt sich auf hellem Grund sehr schön verfolgen, wie gross die Sprühtropfen werden:  früher aus der Dose konnte ich einzelne Tropfen mit blossem Auge als Kleckse ausmachen. Beim richtigen Airbrushen ist es ein feiner Farbverlauf: die einzelnen Tröpfchen sind mikroskopisch klein. Also wird mit der Pistole nach dem ersten Sprühgang erstmal Pause gemacht. Lack muss antrocknen, danach die nächste Lage dünn auftragen. Typischer Anfängerfehler: gleich beim ersten Auftrag eine deckende Farbschicht erzielen wollen. Das führt unweigerlich dazu, dass zuviel Farbe flüssig aufgetragen wird und anfängt in Tropfen und Nasen am Objekt herunterzulaufen. Nachdem Metallgehäuse und die Einzelteile der Front langsam sich dem Mattschwarz annähern, bekommt der Einschaltknopf sein Finish in Feuerrot. Eine alte Fahrradspeiche dient als Halterung für Kleinteile. Falls sich jemand daran erinnert: die ersten IBM PCs hatten hinten rechts auch einen gewaltig grossen Einschalter in Kunststoff: in feuerrot! Ich werde noch nostalgisch... Mehrere Farbaufträge später:  schaut nett aus. Selbst die 5¼ Zoll Blenden sind mattschwarz.
Gehäuseteile-Schwarz
Jetzt noch das zugehörige Modem (ein geschenktes Elsa Microlink 33.6 TS) ebenfalls auseinandernehmen, lackieren und wieder zusammenschrauben. Inzwischen habe ich am 'nackten' Rechner noch etwas experimentiert: IPcop hat standardmässig eine sog. Swapdatei zum Auslagern angelegt. Da ich seit Jahren meine Linuxrechner selbst administriere, war es mir eine Freude, eine alte Festplatte (mit 1,7 GigaB Kapazität) umzuformatieren und eine Swappartition einzurichten. Nun, im Handbetrieb ist das wirklich nix für Einsteiger! Fällt eher unter "Feintuning": derartige Eingriffe sollte man nur dann vornehmen, wenn man exakt weiss was da tut :-) Fehler werden mindestens mit einer Neuinstallation bestraft!




Aus der Nähe betrachtet: neben Motherboard ist das Rechnergehäuse fast leer! Grafik- und Netzkarte benötigen nur wenig Platz, eine zweite und dritte Festplatte aus Performancegründen (Swappartition) nur wenig mehr. Also herrscht im Minitower eigentlich Platzverschwendung!

Mein Traum, ein klitzekleines flaches 19-Zoll Gehäuse (1 HE), muss aus Kostengründen trotzdem noch länger warten.   Zwei LEDs und der Reset-Taster fürs Bedienpanel werden mit Heissklebepistole ordnungsgemäss wieder befestigt, Abdeckfolie vorsichtig abgezogen. Der Rechner wird mit Modem verkabelt, ab in die Ecke. Dann der Smoke test: ein herzhafter Druck auf den feuerroten Einschaltknopf,
es beginnt zu summen und zu brummen!   "Houston, alles roddscha"!

    Zeit für eine Bilanz

  Mein Router besteht einzig aus wiederverwendeten Komponenten, die Farbe ist aus Altbeständen von Freunden und Verwandten. Linux sorgt dafür, dass beim Browsen im Web die Sicherheit und schneller Aufbau der Webseiten mit Mozilla, FireFox und Dillo als Browser zum Erlebnis werden! Neben Web geht aber auch jede Email, jede News und vieles mehr ausschliesslich durch den IPcop-Rechner. Dank Linux interessieren Emails mit virenverseuchten Anhängen mich schon eine Weile nicht mehr - jedes Betriebssystem das derartige Lücken zulässt ist sein Geld nicht wert!
Gross Administriert wird der Router per SSH, wenn es der Bequemlichkeit entgegenkommt auch per https aus einem Browserfenster, aber immer von einem anderen Rechner. 
Links ist der fertig zusammengeschraubte neue 'ge-brushte' Minitower zu sehen.
 
 Inzwischen ohne Grafikkarte, wird das verbliebene CD-laufwerk sehr bald noch entfernt.  Um irgendwelche Dateien auf dem Rechner zu transferieren, nehme ich "scp" (Secure Copy) und zur allgemeinen Administration SSH (Open Secure Shell) die natürlich bei meinem Debian GNU/Linux dabei sind. Hätte ich noch ein Windows, könnte ich mittels "Putty" eine SSH-Verbindung öffnen oder mit Firefox/Mozilla übers Webinterface administrieren. Alles kein Problem! Natürlich kommt zum krönenden Schluss noch ein Linux-Pinguin auf die Vertiefung in der Front (ca. 2,5 cm im Quadrat), wo sonst Hersteller gerne ihr eigenes Logo reinkleben, Bezugsquelle hier). Mein IPcop spielt jetzt den Router für ein kleines Wohnzimmernetzwerk aus beinahe zehn Rechnern: unter diversen SuSE- und Debian GNU/Linuxen. Darunter sind grafische workstations, Server für Mail, News, Webserver, Datenbankserver, halt alles was man so braucht im Leben....Insbesondere Mail- und Newsserver gehen automatisiert regelmässig ins Netz. Eigentlich läuft es alles so, wie ich es mir wünsche!

  IPcop - diese Linux Distribution kann ich jedermann und -frau empfehlen, um einen Router mit Hilfe eines älteren PC aufzusetzen. Die erstmalige Installation und laufende Betreuung ist völlig simpel und auch ohne tiefe technische Kenntnisse beherrschbar. Spezielles Linuxwissen ist ebenfalls nicht zwingend, auch wenn es hilfreich sein mag um ausgewählte Funktionen voll auszunutzen (IPsec und VPNs etwa).
IPcop ist ideal für kleine Büros, für Heimanwender die mindestens mit einem Rechner aufs Netz zugreifen möchten. Weil auf Linux aufbauend, ist die Nutzung frei. Meiner Meinung nach hat IPcop absolut das Potential, um in nächster Zukunft den kommerziellen Routerlösungen a la Cisco oder Juniper ein wenig Konkurrenz zu machen - und das soll ja gut sein für alle Verbraucher!

Links und Quellen im Web


Dank an ...

Linus Torvalds, der das alles möglich machte! Tausende seiner Mitstreiter in aller Welt, die wie er an einem stabilen, zuverlässsigen Betriebssystem programmieren und es der ganzen Welt schenken. Den Begeisterten, die hinter Debian GNU/Linux stehen, verdanke ich geduldige Hinweise auf zuverlässige Softwarelösungen. Dank den zahlreichen Freunden und Sponsoren: Werner der mich mit gebrauchter Hardware versorgt, gute Freunde aus dem Linuxworkshop der Universität zu Köln und O'Reilly Deutschland, deren Veröffentlichungen zu allen Aspekten frei verfügbarer Software erst dieses Linux weltweit leicht zugänglich und noch besser verständlich machen.
  Die zahlreichen Freunde, die den IPcop programmieren, ihn verbessern und in ihrer Freizeit  Geld und Mühe auf sich nehmen, um das alles anderen Computeranwendern in aller Welt zur Verfügung zu stellen! Besondere "wintermute" von tom-e.de zeigt mit seinem beständigen Engagement, wie sehr auch in Deutschland die Verbreitung von anspruchsvollen Linuxdistributionen und speziell IPcop durch private Initiative lebt und bereichert wird.  Danke, dass ich deine Logos hier nutzen durfte! 
Natürlich stehe ich in der Schuld von Alfred, der grosszügig seine Webseiten als Bühne für mein Geschreibsel zur Verfügung stellt.

IPcop homepage (deutsch)