Heutzutage ist der Schutz des Netzwerks durch eine vernünftige Firewall unbedingt notwendig. Solche Lösungen kosten nicht selten viel Geld. Das muss jedoch für mittelständische Betriebe, kleine Büros oder Heimanwender nicht gelten.
Im Linux-Sektor gibt es einige gute Lösungen, die Sie kostenlos downloaden und installieren können. „The bad packets stop here“ - das ist der Wahlspruch der Linux-Distribution IPCop. Dabei ist dieses Betriebssystem nicht nur eine simple Firewall, sondern beherrscht unter anderem auch Intrusion Detection, DHCP- und Proxy-Server-Dienste, VPN und NTP.
In diesem tecCHANNEL-Beitrag zeigen wir Ihnen, wie Sie die Distribution aufsetzen und administrieren. Neben dem Webfrontend bringen wir Ihnen die Funktionen des Systems näher, erklären die grundlegenden Squid-Einstellungen, wie Sie Ihren Traffic optimieren oder wie Sie mittels Snort Einbruchsversuche in Ihr System erkennen.
Eine umfangreiche Dokumentation, FAQ und Links zu Foren finden Sie unter http://www.ipcop.org. Auf der Homepage gibt es auch einen Link zum Downloaden des etwa 42 MByte großen ISO-Images.
Installation
Die Installation ist auf einem aktuellen Rechner in weniger als zehn Minuten getätigt. Allerdings sollten Sie die Warnung des ersten Bootscreens ernst nehmen. IPCop schnappt sich tatsächlich die komplette Festplatte und partitioniert sie neu. Das heißt im Klartext, dass alle früheren Daten auf dieser Partition verloren sind. Testen Sie deshalb die Distribution zunächst ausführlich auf einem separaten Rechner, um sich daran zu gewöhnen. Sollten Sie Schwierigkeiten bei der Installation haben, beachten Sie bitte die Bootoptionen.
Nach der Sprachauswahl können Sie das Installationsmedium wählen. Besitzt der Computer kein CD-Laufwerk, können Sie IPCop ebenso via http oder FTP installieren. Für die weiteren Installationsschritte folgen Sie einfach den Anweisungen.
Statt einer kompletten Neuinstallation können Sie auch ein Backup einspielen. Denkbar ist dies, falls Sie IPCop auf einen anderen Rechner umziehen wollen oder bei einem Komplettausfall der Festplatte. Wie Sie die notwendige Wiederherstellungsdiskette erstellen, erfahren Sie in einem späteren Kapitel. Bei einer Erstinstallation überspringen Sie diese Option logischerweise.
Netzwerkkarten-Erkennung
Als nächster Installationsschritt folgt die Netzwerkkarten-Erkennung und - Konfiguration. Solange keine exotische Ethernet-Hardware verbaut wurde, erkennt IPCop die Karten automatisch. An dieser Stelle macht es Sinn, genauer auf die Schnittstellenbezeichnungen von IPCop einzugehen.
Schnittstellenbezeichnungen und -bedeutung
IPCop stellt Ihnen vier Schnittstellen zur Verfügung: RED, GREEN, ORANGE und BLUE. RED regelt dabei die Verbindung nach außen. Dies kann ein Internet-Zugang per ISDN, DSL oder Modem sein oder eine Ethernet-Verbindung in ein anderes Netzwerk. Die nachfolgende Grafik erleichtert das Verständnis für die verschiedenen Interfaces.
Hinter GREEN hängt das zu schützende Netz, diese Schnittstelle ist für die Installation zwingend erforderlich. Haben Sie Server oder Rechner, die eine direkte Verbindung zum Internet benötigen, so hängen Sie diese an das DMZ-Interface ORANGE. Computer an ORANGE haben keinen Zugang zu den Schnittstellen GREEN oder BLUE, außer Sie konfigurieren ein so genanntes „DMZ Pinhole“.
Die Schnittstelle BLUE haben die Entwickler für zusätzliche Access Points vorgesehen.
Netzwerkkarten-Konfiguration
Sind die Netzwerkkarten erkannt, müssen Sie zuerst das Interface GREEN konfigurieren, also eine IP-Adresse und eine Subnetzmaske zuweisen.
Nach diesem Schritt fordert Sie die Installationsroutine auf, Disketten und CDs aus dem Rechner zu entfernen. Mit einer Bestätigung ruft IPCop nun das Setup-Programm auf, um zusätzliche Netzwerkschnittstellen zu konfigurieren. Vorher stellen Sie allerdings noch Tastaturbelegung, Zeitzone, Host-Name und Domain-Name ein. Als Nächstes haben Sie die Möglichkeit, ISDN zu aktivieren oder zu deaktivieren.
Die Beispielkonfiguration verzichtet auf ISDN, dementsprechend wurde die Option deaktiviert. Danach gilt es festzulegen, welche Schnittstellen das Betriebssystem wie belegen soll. Folgendes Beispielszenario soll eine mögliche Konfiguration verdeutlichen. Der Rechner enthält zwei Netzwerkkarten. Eine davon muss Schnittstelle GREEN zugeordnet sein und erhält die IP-Adresse 192.168.200.1. Bei der Schnittstelle RED handelt es sich ebenfalls um eine Ethernet-Karte, diese erhält IP-Adresse, DNS-Server und Gateway-Einstellungen von einem externen DHCP-Server.
Das heißt, die Auswahl bei Typ der Netzwerkkonfiguration fällt auf GREEN + RED. Nun müssen Sie im Menüpunkt Treiber- und Karten-Zuordnung die verbliebene Netzwerkkarte der Schnittstelle RED zuordnen. In den Adress-Einstellungen konfigurieren Sie nun, auf welche Weise RED eine IP-Adresse beziehen soll. DNS- und Gateway-Einstellungen verwendet IPCop nur dann, wenn Interface RED keinen DHCP-Server benutzt. In unserem Beispielszenario ist dieser Menüpunkt also unbedeutend.
DHCP-Server der Schnittstelle GREEN
Soll IPCop für das geschützte Netzwerk gleichzeitig den DHCP-Server bereitstellen, konfigurieren Sie diesen in der nächsten Maske. Um Spielräume für feste IP-Adressen zu lassen, können Sie eine Start- und eine Endadresse für die dynamischen IP-Adressen festlegen. Allerdings lässt sich damit lediglich ein Adressbereich definieren.
Auch eine maximale Haltezeit oder Lease Time der dynamischen Adressen lässt sich hinterlegen. Diese Zeit legt fest, wie lange die IP-Adresse nach einer Verbindungstrennung für die Netzwerkkarte eines Clients reserviert bleiben soll.
Beim Domain-Namen-Suffix stellen Sie ein, mit welchem Suffix-Namen die Rechner im Netzwerk erscheinen sollen. Hier können Sie mehr oder weniger Ihre Fantasie spielen lassen.
Festlegen der Administrations-Passwörter
Nun gilt es, Passwörter für die Benutzer root und admin festzulegen. Den Benutzer root brauchen Sie, um sich auf die Kommandozeile von IPCop einzuloggen. User admin ist der Administrator für das Webinterface, mit dem Sie die Firewall ebenfalls komplett administrieren und Änderungen in der Konfiguration vornehmen können. Modifikationen lassen sich auch direkt am IPCop-Rechner durchführen. Loggen Sie sich als root ein und tippen setup, gefolgt von einem Druck auf die Enter-Taste.
Vorsicht bei der Passwortvergabe: Drücken Sie die Enter-Taste und nicht die Tabulator-Taste, um auf das nächste Feld zu gelangen!
Im Test traten seltsame Effekte mit der Passwortvergabe und der Tabulator-Taste auf. Anscheinend interpretiert die Eingabemaske den Tabulator als Teil des Passworts. Somit gelang es nicht mehr, sich als root oder admin einzuloggen.
Nach diesem Punkt ist die Grundinstallation und -konfiguration beendet und IPCop fordert Sie zu einem Neustart des Systems auf.
Das Webfrontend
Das Webinterface, mit dem Sie IPCop komfortabel per Maus administrieren, rufen Sie über Port 81 auf. Dazu können Sie jeden beliebigen Webbrowser verwenden, indem Sie
http://<IP-Adresse des IPCop-Rechners>:81
eintippen. Danach müssen Sie ein selbst signiertes Zertifikat akzeptieren, denn das Betriebssystem erlaubt administrative Tätigkeiten nur verschlüsselt. Während der Installation haben Sie ein Passwort für den Benutzer-Account admin eingegeben. Diese Daten brauchen Sie nun, wenn Sie im Webfrontend etwas ändern oder konfigurieren möchten.
Gleich auf der Startseite sehen Sie die Buttons Verbinden, Trennen und Aktualisieren. Diese Aktionen dürfte auch der Benutzer dial verwenden, sobald Sie unter System - Passwörter ein Passwort für diesen Account vergeben.
Die Funktionen unter „System“
Hinter diesem Reiter verbergen sich diverse Systemfunktionen, beispielsweise das Update-Menü, die Passwörter, die Einstellungen für den SSH-Zugriff oder Details zu Benutzeroberfläche und Datensicherung. Die nächsten Seiten beschreiben die wichtigsten Unterkategorien im Detail.
Updates
Die Verfügbarkeit von Updates für IPCop zeigt das Betriebssystem direkt auf der Startseite an. Genauere Informationen erhalten Sie dann in der Kategorie Updates. Hier ist auch eine detaillierte Beschreibung der Fixes und Änderungen zu finden. Netterweise müssen Sie IPCop nicht komplett neu installieren. Bei bestehenden Installationen genügt es in der Regel, eine kleine Datei herunterzuladen. Am einfachsten finden Sie den Patch, indem Sie auf den Info-Link am rechten Rand klicken.
Ist das Update erfolgreich eingespielt, zeigt Ihnen das System dies unter Installierte Updates an. Es kann vorkommen, dass eine Aktualisierung der Update-Liste nicht funktioniert. Ein entsprechender Button löscht in diesem Fall den Cache des Squid-Proxy-Servers.
Passwörter
Diese Rubrik erklärt sich selbst. Hier können Sie das Passwort für die Benutzer admin und dial ändern. Dazu geben Sie wie bei anderen Systemen das neue Passwort zweifach ein und klicken auf den Speichern-Knopf.
SSH-Zugriff
Möchten Sie IPCop auch auf Konsolen-Ebene über das SSH-Protokoll fernwarten, so müssen Sie zunächst den SSH-Server aktivieren. Das Firewall-Betriebssystem würde sogar SSH in der Version 1 unterstützen, das Sie aber nur für ältere Clients benötigen. Zusätzlich können Sie einstellen, ob IPCop eine TCP-Weiterleitung zulassen soll.
Als Methoden zur Anmeldung über einen SSH-Client stehen Ihnen Passwortbasierte Authentifizierung und Authentifizierung auf Basis öffentlicher Schlüssel zur Verfügung. Sie können entweder eine der Methoden oder auch beide gleichzeitig zulassen. Im unteren Abschnitt des Browser-Fensters finden Sie die so genannten Fingerprints von IPCop. Diese benötigen Sie für die Authentifizierung auf Basis öffentlicher Schlüssel.
Datensicherung
Das Firewall-Betriebssystem verfügt über eine eingebaute Datensicherung, die Ihnen mühsame Handarbeit auf der Shell-Ebene erspart. Möchten Sie ein Backup erstellen, klicken Sie einfach auf den Erzeuge-Button. Danach erzeugt das System eine Sicherung mit allen derzeitigen Einstellungen. Klicken Sie Hardware-Enstellungen wiederherstellen mit an, so sichert das System auch die Konfiguration der Hardware.
Im Fenster Datensicherungssätze können Sie bei Bedarf auswählen, welchen Stand des Systems Sie wiederherstellen möchten. Unter diesem Fenster haben Sie die Möglichkeit, den derzeit ausgewählten Sicherungssatz über den Export-Link als verschlüsselte oder nicht verschlüsselte Datei zu speichern. Mit dem Import .dat-Knopf könnten Sie Konfigurationen importieren. Das Backup lässt sich auch direkt auf eine Diskette speichern und so auf ein komplett frisches System übertragen. Bei der Installation haben Sie wie schon erwähnt die Möglichkeit, solche Diskettensicherungen einzusetzen. Damit ersparen Sie sich eine komplette Neukonfiguration des Betriebssystems.
Wer die Backup-Dateien lieber über die Kommandozeile automatisiert sichern möchte, findet die Datensätze unter:
/var/ipcop/backup/sets
Das Karteikästchen „Status“
Hier verbergen sich verschiedene Informationen über den derzeitigen Zustand des Systems. Zum Beispiel zeigt Ihnen das Webfrontend an, welche Services überhaupt gestartet sind. Weiterhin können Sie die Einträge der Routing- und ARP-Tabelle einsehen. Netzwerk-, Speicher- und CPU-Auslastung stellt das System auch in übersichtlichen Diagrammen dar.
Es lohnt sich, diese Diagramme ab und an einzusehen. Wenn das System chronisch überlastet ist, kann der Administrator das erkennen und entsprechende Schritte einleiten. Haben Sie den WEB-Proxy-Server im Einsatz, stellt Ihnen IPCop auch hierfür umfangreiche Details und Grafiken zur Verfügung.
Unterkategorie Netzwerk
Mit diesem Bereich müssen sich diejenigen beschäftigen, die sich mit der IPCop-Box via Modem, ISDN oder DSL ins Internet einwählen möchten. Für manche DSL-Modems müssen Sie allerdings erst Treiber herunterladen und einspielen. Das Betriebssystem macht es Ihnen aber wieder sehr einfach. Die Beschreibung, um zum Beispiel die Fritz!DSL-Treiber einzuspielen, finden Sie unter Hochladen. Nachdem Sie den Treiber heruntergeladen haben, ist dieser mit wenigen Mausklicks ins System eingebunden.
Einwahl
IPCop erlaubt Ihnen bis zu fünf verschiedene Einwahlprofile. Die weiteren Einstellungen wie zum Beispiel Leerlauf-Wartezeit, Wiederverbindung, Authentifizierung und DNS-Einträge sind selbsterklärend. Das Beste daran: Scheitert eine Einwahl, kann die automatische Profilwahl selbstständig ein anderes Profil als Backup ausführen.
Als Beispielszenario wäre denkbar, dass die DSL-Einwahl von Profil 1 ausfällt. Nach fünf gescheiterten Einwahlversuchen springt die ISDN-Backup-Leitung ein, die Sie zum Beispiel auf Profil 2 konfiguriert haben.
Zusätzliche Dienste
IPCop stellt, wie bereits erwähnt, verschiedene zusätzliche Dienste zur Verfügung. Dazu zählen ein Webproxy, ein DHCP-Server, Dynamische DNS-Dienste, ein NTP-Zeit-Server, Traffic-Shaping und Intrusion Detection. Dieses Kapitel befasst sich mit den verschiedenen Services im Einzelnen.
Der eingebaute Proxy-Server Squid
Um den Proxy „scharf“ zu schalten, genügt es, einen Haken bei der Aktivierung zu setzen. Es steht Ihnen frei, den Proxy transparent zu halten oder nicht. Ein transparenter Proxy hat den Vorteil, dass Sie die Webbrowser nicht umkonfigurieren müssen. Firefox und Co. werden mit aktivierter Transparenz automatisch vom Proxy beliefert.
In den meisten Fällen sollte diese Einstellung die zu empfehlende sein. Weiterhin können Sie in dieser Maske einen vorgelagerten Proxy-Server eintragen. Zum Beispiel könnte es sein, dass IPCop noch durch einen weiteren Proxy-Server muss, der sogar eine Authentifizierung verlangt. Cache-Verwaltung und Transferbeschränkungen sind selbsterklärend. Eine Transferbeschränkung von „0“ bedeutet einfach ein unbeschränktes Traffic-Volumen.
DHCP-Server
Für den Fall, dass der DHCP-Server nicht schon bei der Installation eingerichtet wurde, können Sie das hier nachholen. Ebenso sind Änderungen am Setup in diesem Unterpunkt möglich. Zum Beispiel können Sie die IP-Range erweitern oder verkleinern, Lease-Zeiten verändern, Einträge für primären und sekundären DNS-Server und feste Zuordnungen vornehmen.
Feste IP-Adressen, die der DHCP-Server ausliefern soll, werden anhand der MAC-Adresse identifiziert. Diese MAC-Adresse muss zwingend das Format
aa:bb:cc:dd:ee:ff
aufweisen, also mit Doppelpunkten getrennt sein. Am unteren Rand zeigt Ihnen das Webinterface die momentanen dynamischen Zuordnungen.
Es sollte erwähnt sein, dass IPCop Ihnen weiterhin noch eine ganze Reihe an Zusatz-Optionen für die DHCP-Server-Konfiguration bietet. Diese sind vor allem für den erfahrenen Netzwerkadministrator von Bedeutung.
Dynamischer DNS-Dienst
Diese Option verwenden heutzutage auch die meisten DSL-Router und dürfte dem ein oder anderen bereits ein Begriff sein. Ein dynamischer DNS-Eintrag macht nichts anderes, als die von Ihrem ISP zugewiesene IP-Adresse weiterzuleiten und an einen Namen zu binden, wie zum Beispiel mein-name.dyndns.org. Spricht nun ein Rechner diese Adresse an, so leitet der Betreiber des Dynamischen DNS-Diensts die Anfrage auf die derzeit hinterlegte IP-Adresse weiter.
Entsprechend einfach fällt die Konfiguration aus: Sie holen sich einen Account bei einem Anbieter und tragen lediglich die Details in die Webmaske ein. Als Besonderheit kann IPCop eine externe IP-Adresse schätzen, selbst wenn sich die Firewall hinter einem Router befindet.
Hosts bearbeiten
Mit dieser Maske können Sie bequem die Datei /etc/hosts bearbeiten, etwa Einträge hinzufügen, ändern oder löschen. Die Hosts-Datei lässt sich beispielsweise auch sehr gut verwenden, um lästige Werbe-Einblendungen oder andere Webseiten zu sperren.
Dazu tragen Sie einfach die zu blockierende Adresse mit dem Eintrag 127.0.0.1 in die Datei /etc/hosts ein. Genaueres und Links zu Block-Listen, die gepflegt werden, finden Sie in der IP-Proxy FAQ von IPCop. Allerdings zeigte die Maske keine manuellen Veränderungen der Datei /etc/hosts an.
Sobald Sie einen Host über das Webfrontend hinzufügen, wird die aktuelle Hosts-Datei überschrieben. Deswegen sollte man sich für eine Methode entscheiden und nur diese konsequent nutzen. Das heißt im Klartext: Entweder via Browser oder konsolenbasierte Pflege der Datei /etc/hosts.
Automatische Zeitkorrektur mit dem NTP-Server
Den NTP-Server können Sie auf zwei verschiedene Arten verwenden. Zum einen, um nur die Uhrzeit der Firewall auf dem korrekten Stand zu halten. Zum anderen können Sie so dieselbe Uhrzeit dem gesamten Netzwerk zur Verfügung stellen. Damit könnte jeder Client die Uhrzeit von diesem NTP-Server beziehen und alle Rechner im Netzwerk wären auf eine synchrone Uhrzeit eingestellt.
Die richtige Zeit kann der IPCop-Zeit-Server wiederum von einem externen NTP-Dienst ermitteln, wie zum Beispiel pool.ntp.org. Neben der manuellen Korrektur kann IPCop diese auch automatisch vornehmen.
Netzlast regulieren mit Traffic-Shaping
Traffic-Shaping, oder das Regulieren des Netzwerkflusses, lässt sich im Prinzip auch in zwei Kategorien teilen. Eine Möglichkeit besteht in der generellen Beschränkung von Upload und Download. Das interessantere Feature dürfte allerdings die Priorisierung von Diensten auf Portebene sein. Dies bedeutet, dass Sie Netzverkehr den Status Hoch, Mittel oder Niedrig geben können.
Legen Sie zum Beispiel Wert darauf, dass E-Mails schnellstmöglich den Empfänger erreichen und der Internet-Surfer nur zweitrangig zum Zuge kommen soll, so priorisieren Sie den SMTP-Port 25 als Hoch und Webtraffic auf den Ports 80 und 443 als Mittel oder Niedrig. Wird in dieser Beispielkonfiguration Port 25 nicht verwendet, erhalten die Ports 80 und 443 die volle Bandbreite. Diese Einschränkungen können Sie mit jedem der verfügbaren Ports durchführen.
Einbruchsdetektierung mit Snort
IPCop verfügt auch über Snort, das Quasi-Standardprogramm für Intrusion Detection. Mit dem Webfrontend können Sie bequem auswählen, für welche Netzwerkschnittstellen Sie den Schnüffler einsetzen möchten. Es macht durchaus Sinn, die interne Netzwerkschnittstelle mitzuüberwachen, da Studien ergaben, dass immer mehr Angriffe aus dem internen Netz kommen.
Ein Update des Regelsatzes machen Ihnen Snort und IPCop sehr einfach. Zunächst müssen Sie sich kostenlos auf snort.org registrieren. Danach können Sie, wie in der Konfigurationsmaske beschrieben, einen Updatecode beziehen. Diesen kopieren Sie danach in das „Oink Code“-Feld und klicken auf Neuen Regelsatz herunterladen. Das System installiert dann den neuen Regelsatz und nutzt ihn in Zukunft.
Einstellungen und Optionen der Firewall
Die Optionen der Firewall-Einstellungen beschränken sich derzeit auf insgesamt drei Bereiche: Portweiterleitung, Externer Zugang und Firewall-Optionen. Wobei sich bei den Optionen nur konfigurieren lässt, ob und mit welcher Schnittstelle das System auf einen Ping antworten soll.
Mit dem so genannten Port-Forwarding können Sie Anfragen auf einem externen Port an einen anderen internen weiterleiten. Dies macht zum Beispiel Sinn, wenn Sie mehrere interne Rechner via SSH erreichen, aber deren Default-Port für das Protokoll nicht im Betriebssystem ändern möchten. Ein Anwendungsszenario besteht darin, dass der Rechner mit IP-Adresse 192.168.200.20 von außen mit Port 16022 angesprochen werden muss.
Diesen Port leitet IPCop dann auf den internen Port 22 um und ermöglicht den SSH-Zugriff. Sie können den Zugang auch nur von einer bestimmten externen IP-Adresse erlauben. Möchten Sie grundsätzlich einem Port Zugang zum geschützten Netzwerk geben, so konfigurieren Sie das über die Unterkategorie Externer Zugang.
VPN und Log-Dateien
IPCop als VPN-Gateway
IPCop verfügt über einen VPN-Gateway. Dies würde jedoch den Rahmen dieses Artikels sprengen. tecCHANNEL stellt für diese Option demnächst einen eigenständigen Workshop online. Für die Ungeduldigen sei angemerkt, dass es in der Dokumentation und der FAQ von IPCop Hilfe zu diesem Thema gibt. Allerdings sind diese Stützen meist in englischer Sprache gehalten.
Der Karteireiter Logs
Hier findet man genau das vor, was man erwartet. Verschiedene Log-Dateien zu den Diensten Proxy, Firewall, Intrusion Detection und System. Selbstverständlich können Sie konfigurieren, mit welchem Detailgrad IPCop diese Aufzeichnungen führt. Weiterhin stehen Ihnen zum Beispiel Einstellungsmöglichkeiten darüber zur Verfügung, wie lange das System die Log-Dateien aufbewahrt.
Fazit
IPCop eignet sich ausgezeichnet als Mehrzwecksystem, zumal es sich auch von Linux-Laien komfortabel einrichten und administrieren lässt. Die kostenlose Verfügbarkeit fällt dabei ebenfalls positiv auf. Interessant sind auch die Add-ons zu IPCop, separat entwickelte Module, die sich in das Betriebssystem integrieren lassen. Zum Beispiel Copfilter, der Viren und Spam aus E-Mails und dem Web aussortiert. Ein Blick in die Add-on-Liste des Betriebssystems kann auf keinen Fall schaden. Installationsanleitungen gibt es auf den jeweiligen Projektseiten.
Allerdings muss sich ein Administrator, der das System in Produktivumgebungen einsetzen möchte, ein paar Dinge vor Augen halten. Sollte etwas schief gehen, wird er alleine dafür verantwortlich sein und kann die Entwickler von IPCop nicht vor den Kadi ziehen. Weiterhin verzeichnet das System derzeit 37 bekannte und offene Bugs. Ob der eine oder andere Bug relevant für den Einsatz der Software in bestimmten Umgebungen ist, muss der Einzelne selbst entscheiden.
Den Bug-Report lesen Sie auf der Startseite von IPCop.org. Dort finden Sie Dokumentationen und FAQs, welche die meisten Fragen abdecken. Es schadet auch nichts, ab und an einen Blick in die Advisories der Entwickler zu werfen. Support können Sie über Mailing-Listen oder Support-Forums für IPCop bekommen. Scheuen Sie sich nicht, Fragen an die Community zu stellen. Bekanntlich gibt es keine dummen Fragen, nur dumme Antworten. Wird die Frage nicht in den FAQs beantwortet, hilft Ihnen sicher der eine oder andere Linux-Crack aus der Patsche, solange Sie freundlich fragen. (jdo)