IPFire – von der Installation bis zur ersten Firewall-Regel

IPFire ist eine quelloffene, härtbare Linux-Firewall-Distribution. Ihr Sicherheitskonzept basiert auf strikt getrennten, farbcodierten Netzwerkzonen. Diese Trennung ist das zentrale Designprinzip und entscheidet maßgeblich über die Sicherheit der Anlage. Diese Seite führt von der Installation über das Netzwerk-Setup bis zum Anlegen der ersten einfachen Firewall-Regel.

Das Zonenkonzept

IPFire unterteilt das Netz in bis zu vier Zonen. Jede Zone wird einer eigenen physischen Netzwerkkarte (NIC) oder einem VLAN zugewiesen und besitzt ein eigenes Vertrauensniveau:

• ROT (RED) – das unsichere, dem Internet zugewandte Interface (WAN/ISP). Gilt als nicht vertrauenswürdig; eingehender Verkehr wird standardmäßig komplett blockiert.
• GRÜN (GREEN) – das interne, kabelgebundene LAN, das geschützt werden soll. Gilt als voll vertrauenswürdig.
• BLAU (BLUE) – optionale Zone für WLAN/drahtlose Clients. Wird als teilweise unsicher behandelt und vom GRÜNEN LAN getrennt.
• ORANGE (ORANGE) – optionale DMZ für öffentlich erreichbare Server. Diese sind aus dem Internet erreichbar, dürfen aber nicht ungehindert ins interne Netz zugreifen.

Sinn der Trennung: Ein kompromittierter Dienst in einer weniger vertrauenswürdigen Zone (z. B. ein gehackter Webserver in ORANGE oder ein fremdes Gerät in BLAU) kann nicht ohne ausdrückliche Regel auf das schützenswerte GRÜNE Netz übergreifen. Die Zonen bilden gestaffelte Sicherheitsschichten. Typische Ausbaustufen sind GREEN+RED (Minimal), GREEN+RED+BLUE (mit WLAN), GREEN+RED+ORANGE (mit DMZ) oder alle vier kombiniert.

Installation

Voraussetzungen: dedizierte Hardware oder VM mit mindestens zwei Netzwerkkarten (eine je benötigter Zone – mindestens GRÜN und ROT), 64-bit-CPU und einige GB Datenträger.

• ISO-Image von ipfire.org herunterladen und auf einen USB-Stick schreiben bzw. als VM-Boot-Medium einbinden.
• Vom Medium booten – der grafische Installer startet.
• Sprache und Tastaturlayout wählen, Lizenz bestätigen.
• Zieldatenträger auswählen. Achtung: Der Datenträger wird vollständig gelöscht und neu partitioniert.
• Nach dem Kopiervorgang folgt ein Neustart und die Erstkonfiguration (Setup).

Erstkonfiguration und Netzwerk-Setup

Im textbasierten Setup nach der Installation werden festgelegt:

• Hostname und Domainname.
• Passwörter für den Benutzer admin (Weboberfläche) und root (Konsole/SSH).
• Netzwerk-Schema (Zonen), z. B. GREEN+RED, GREEN+RED+BLUE oder GREEN+RED+ORANGE.
• Zuweisung der physischen NICs zu den Zonen. Jede gewählte Zone braucht genau eine NIC; falsche Zuordnungen lassen sich später korrigieren.
• IP-Adressen: GRÜN feste private IP (üblich das .1 des Netzes, z. B. 192.168.10.1/24) als Gateway der Clients; ROT meist DHCP vom Provider, alternativ statisch oder PPPoE.
• Optional DHCP-Server für GRÜN aktivieren (Bereich z. B. 192.168.10.100–192.168.10.200, DNS meist die GRÜNE IP).

Nach Abschluss ist die Weboberfläche erreichbar unter:

https://<GRÜNE-IP>:444
https://ipfire.localdomain:444

Login mit dem Benutzer admin. Die Erstanmeldung führt nochmals durch Hostname/Domain, Admin-Passwort und Zonenzuweisung.

Standard-Firewallrichtlinie

Bevor man Regeln anlegt, muss man die Vorgaben kennen – nur dann legt man die richtigen Ausnahmen an:

• GRÜN → ROT/ORANGE/BLAU/Firewall: standardmäßig erlaubt (das vertrauenswürdige LAN darf nach außen).
• ORANGE → ROT: erlaubt (DMZ-Server dürfen ins Internet).
• ROT → alle internen Zonen: standardmäßig blockiert.
• BLAU → alle Zonen außer GRÜN: eingeschränkt; WLAN-Clients müssen i. d. R. erst freigeschaltet werden (Blue Access).
• ORANGE ↔ GRÜN/BLAU und ORANGE → Firewall: blockiert (DMZ darf nicht ins interne Netz).

Der Forward-Verkehr zwischen Zonen steht per Default auf „Allowed"; stellt man ihn auf „Blocked", muss jede Verbindung explizit erlaubt werden (sicherer, aber pflegeintensiver). Verworfene Pakete sind wählbar zwischen DROP (still verwerfen) und REJECT (verwerfen mit ICMP-Fehlermeldung).

Erste einfache Regel anlegen

Menüpfad in der Weboberfläche: Firewall → Firewallregeln → Neue Regel erstellen.

Felder einer Regel

• Quelle: einzelne IP, Netz/Subnetz, MAC-Adresse, eine ganze Zone (GRÜN/BLAU/ORANGE) oder ein VPN-Netz.
• Ziel: Zielhost, Zielnetz, eine Zone (z. B. ROT = Internet) oder die Firewall selbst.
• Protokoll: TCP, UDP, ICMP, Dienst-Voreinstellungen oder „Alle Protokolle"; bei TCP/UDP zusätzlich Port(s).
• NAT (optional): für DNAT (Portweiterleitung) oder SNAT.
• Aktion: ACCEPT, DROP oder REJECT.
• Position: Regeln werden von oben nach unten abgearbeitet – die erste passende greift.
• Logging sowie optional SYN-Flood-Schutz, Verbindungslimits und Zeitbeschränkungen.

Konkretes Anfänger-Beispiel

HTTPS-Zugriff aus dem LAN auf einen bestimmten externen Server erlauben:

• Quelle: GRÜNES Netz (GREEN)
• Ziel: 203.0.113.50
• Protokoll: TCP, Port 443
• Aktion: ACCEPT
• Logging: aktiviert

Nach dem Speichern muss die Regel über „Änderungen anwenden" aktiviert werden. Soll ein Server in der DMZ (ORANGE) gezielt einen Dienst im GRÜNEN Netz erreichen, legt man dafür eine ausdrückliche ACCEPT-Regel ORANGE → bestimmte GRÜNE IP, bestimmter Port an – statt die komplette DMZ ins LAN zu öffnen. So setzt man das Prinzip der minimalen Rechte um.

Praxis-Empfehlungen

• So wenig wie möglich erlauben: nur konkrete Quelle, Ziel, Protokoll und Port freigeben statt ganze Zonen.
• DMZ (ORANGE) niemals pauschal ins GRÜNE LAN lassen – nur eng definierte „DMZ-Pinholes".
• WLAN (BLAU) vom LAN getrennt halten; Zugriffe gezielt per Blue Access freigeben.
• Regeln kommentieren, Reihenfolge bewusst setzen und für sicherheitskritische Regeln Logging aktivieren.
• Für Hochsicherheit Forward/Outgoing auf „Blocked" stellen und nur Notwendiges öffnen (Whitelisting).

Quellen

• IPFire Docs – Step 5: Network Setup
• IPFire Docs – Zone Configuration
• IPFire Docs – Firewall Default Policy
• IPFire Docs – Creating Firewall Rules
• IPFire Docs – Drei Zonen via VLAN/2 NICs
• Freeware-base.de – IPFire installieren
• Zenarmor – IPFire Installation Tutorial