Brandschutz

Drinnen oder draußen

Unter Schnittstellen zeigt YaST die vorhandenen und konfigurierten Netzwerkgeräte an. Für jedes dieser Geräte legen Sie fest, ob es zur internen oder zur externen Netzwerkzone gehört (Abbildung 4). Die externe Zone verbindet Ihren Rechner mit dem Internet, ein lokales Netzwerk zählt hingegen zur internen Zone.

Abbildung 4: Jedes Netzwerkgerät können Sie der externen oder der internen Zone zuweisen.

Zwischen den zwei Zonen Externe Zone und Interne Zone gibt es noch einen Pufferbereich, die Demilitarisierte Zone heißt. Darin befinden sich normalerweise Rechner, die zwar externe Serverdienste anbieten, aber zusätzlich auch Kontakt zum internen Netz haben. Für einen normalen Heimrechner benötigen Sie jedoch keine demilitarisierte Zone.

Sie können für jedes Netzwerkgerät festlegen, zu welcher Zone es gehört. Da aber YaST dieses Setup in der Regel bereits bei der Installation automatisch vornimmt, brauchen Sie an den Firewall-Einstellungen nichts zu ändern. Ein (WLAN-)Router, über den Sie Ihren Rechner direkt mit dem Internet verbinden, gehört in die externe Zone; eine Netzwerkkarte für das interne Heimnetz hingegen in die interne Zone. Benutzen Sie die Netzwerkkarte aber, um über ein DSL-Modem online zu gehen, dann weisen Sie diese der externen Zone zu.

Ein Grenzfall tritt auf, wenn die Rechner, die über einen Router online gehen, zugleich auch zu einem internen Netz gehören. Möchten Sie das interne Netzwerk aktiv nutzen, setzen Sie die Netzwerkkarte auf die interne Zone, um die Kommunikation unter den einzelnen Rechnern nicht unnötig zu komplizieren.

Kommunizieren die einzelnen Rechner hingegen nicht untereinander, spricht nichts dagegen, die Ethernet-Schnittstelle (eth0) der externen Zone zuzuordnen und so eine doppelte Sicherheit zu haben (Firewall auf dem Router und auf jedem Rechner). Weisen Sie einem Gerät keine Zone zu, dann blockiert die Firewall jeglichen Verkehr über dieses Netzwerkgerät. Der Button Benutzerdefiniert erlaubt es darüber hinaus, weitere Netzwerkschnittstellen einzurichten, zum Beispiel für Hardware, die YaST nicht erkannt hat.

Erlaubt und verboten

Über Erlaubte Dienste (Abbildung 5) legen Sie die Dienste für die einzelnen Zonen fest. OpenSuse bietet dazu die am häufigsten benutzten Dienste in einer Liste zur Auswahl an. So brauchen Sie sich keine Portnummern zu merken. Wählen Sie über die Dropdown-Liste Zu erlaubender Dienst den entsprechenden aus und klicken Sie auf Hinzufügen.

Für SSH zum Beispiel wählen Sie den gleichnamigen Eintrag; um dagegen automatisch eine Liste der im Netzwerk verfügbaren Drucker zu erhalten, wählen Sie IPP-Client. Möchten Sie die Firewall für einen Dienst öffnen, der nicht in der Liste steht, klicken Sie auf Erweitert. Im folgenden Dialog geben Sie die Portnummer unter TCP-Ports und UDP-Ports an. Für das Filesharing-Programm Amule geben Sie hier zum Beispiel den TCP-Port 4662 und den UDP-Port 4672 an.

In der Grundeinstellung blockiert die Firewall keinen Verkehr über die interne Zone. Möchten Sie auch die interne Zone regulieren, markieren Sie die Checkbox Firewall vor interner Zone schützen und fügen Sie wie oben beschrieben einzelne Dienste hinzu.

Abbildung 5: In diesem Dialog geben Sie einzelne Dienste frei und richten Sie die zugehörigen Ports ein.