Seit einiger Zeit mausert sich mit IPFire eine Linux-Firewall aus deutschen Landen zu einer interessanten Alternative; die aktuelle Fassung schicken die Entwickler jetzt sogar mit Xen-Ingredienzen ins Rennen.
IPFire ist eine als freies Projekt entwickelte Firewall auf Linux-Basis. Sie ist verwandt mit dem bekannten IPCop, hat sich inzwischen aber selbstständig weiterentwickelt. Während die IPCop-Entwickler noch immer daran arbeiten, eine Version auf Basis des Kernels 2.6 zu erstellen, setzt IPFire den schon länger ein. So fällt es den Entwicklern verhältnismäßig leicht, in der aktuellen Fassung 2.5 einen (als experimentell gekennzeichneten) Kernel für den Betrieb als paravirtualisiertes Xen-System (sogenannte DomU) zu liefern.
Dank dieses Kernels kann die Firewall unter Xen als virtuelle Maschine laufen, ohne dass dafür großartige Verrenkungen notwendig wären. Die Installation für den Betrieb unter Xen muss man allerdings zu Fuß erledigen: Dazu richtet man das System zunächst normal ein, etwa in QEMU oder VirtualBox, installiert dort den optionalen Xen-Kernel und überträgt dann die Dateien beziehungsweise ein Image des Dateisystems auf das Zielsystem (der in c’t 17/09 enthaltene c’t Debian Server 4 enthält eine auf diese Weise vorkonfigurierte IPFire-VM für Xen). Aber auch auf realer Hardware ist IPFire eine interessante Alternative zu den Platzhirschen. An der Bedienoberfläche könnten sich die Brüder IPCop und Endian stellenweise eine Scheibe abschneiden: Die Startseite führt etwa auch VPN-Verbindungen auf; man muss sich, um einen aktuellen Verbindungsstatus zu ermitteln, nicht durch diverse Unterseiten im Web-GUI hangeln. An anderen Stellen ist es mit der Übersichtlichkeit allerdings nicht so weit her, etwa in der Detailkonfiguration der Proxy-Dienste.
Viele kleine Beigaben machen das wieder wett: Über den Connection Scheduler kann man nicht nur die hierzulande fast obligatorische Zwangstrennung auf eine Wunschzeit vertagen, sondern die Firewall unter anderem auch dazu bringen, alternative Verbindungsprofile zu aktivieren (derer kennt sie wie der Original-IPCop vier). Im Web-GUI lässt sich eine Liste von Rechnern anlegen, die man mit einem einfachen Klick aufwecken kann (Wake on LAN). In der Detail-Konfiguration von IPSec-VPN-Verbindungen ist es möglich, eine Verzögerungszeit vorzugeben. IPFire wartet dann bei einer Trennung der Internet-Verbindung diese Zeit ab, bis es die IPSec-Verbindung erneut startet. Praktisch, weil Dyndns-Updates oft eine Weile dauern und dadurch die Wiederaufnahme von IPSec-Verbindungen verhindern.
Die Entwicklung der Firewall treiben vor allem einige Deutsche voran. Ein Wiki liefert die Dokumentation und ein Forumssystem dient als Kommunikationsplattform. Dort treffen sich außer den Entwicklern auch die Nutzer. Neben der stabilen Version bieten die Entwickler auch eine Vorabfassung der kommenden Version zum Download an. Über einen eigenen Paketmanager „pakfire“ lässt sich die Firewall aktualisieren und erweitern: Nicht nur den Xen-Kernel fügt man so einer Installation hinzu, sondern auch diverse Extras wie MP3-Streaming und Teamspeak-Server, Asterisk oder VDR. Die Summe der nachrüstbaren Funktionen übertrifft andere Produkte – Risiken und Nebenwirkungen solcher Dienste auf einer Firewall sollte man freilich selbst abwägen können. (ps)
