Maskenball

Eine Besonderheit der Firewall finden Sie unter dem Punkt Masquerading. Besitzt Ihr Rechner mehrere Netzwerkgeräte (zum Beispiel WLAN und Ethernet, oder zwei Ethernet-Karten), könnte er als Router arbeiten. Er stellt dann die Internetverbindung für die übrigen Rechner bereit und versteckt zugleich die internen Rechner vor dem Internet. Sämtlicher Netzwerkverkehr findet in diesem Fall über die IP-Adresse der externen Schnittstelle statt, egal von welchem Rechner des internen Netzes die Anfrage kommt.

Dazu benötigen Sie ein Netzwerkgerät als Externe Zone (direkt mit dem Internet verbunden) sowie ein anderes, das an der internen Zone (internes Netz) hängt. Per Mausklick auf die Checkbox vor Masquerading für Netzwerke schalten Sie dann die IP-Umleitung ein.

Möchten Sie einen bestimmten Rechner oder einen Dienst trotzdem auf einem der maskierten Rechner erreichen, legen Sie dazu unter Anfragen an Masqueraded IP umleiten Regeln fest. Klicken Sie dazu auf Hinzufügen und legen Sie unter Umleitung die IP-Adresse und den Port des Clients fest. Beachten Sie, dass gewisse Dienste TCP- und UDP-Regeln benötigen. Diese Vorgehensweise heißt Portforwarding. Die meisten Router und Switches stellen sowohl Portforwarding als auch Masquerading bereit.

Die Einstellungen unter Broadcast richten sich an fortgeschrittene Nutzer. Sie legen fest, welche Pakete Ihr Rechner verschickt, um an Informationen über andere Rechner und Dienste zu gelangen. Über Hinzufügen ändern Sie die Grundeinstellung, was aber in der Regel nur bei Rechnern Sinn ergibt, die über die externe Schnittstelle Serverdienste anbieten.

Die OpenSuse-Firewall hält in den Logdateien fest, welche nicht erlaubten Broadcast-Pakete aus dem internen Netz und welche aus der demilitarisierten Zone stammen. Broadcast-Pakete der externen Zone protokolliert das System nicht, da hier mit sehr vielen Log-Einträgen zu rechnen wäre. Haben Sie bereits Erfahrung mit Filterregeln, haben Sie hier die Möglichkeit, die Protokollieroptionen zu ändern. Andernfalls belassen Sie die Broadcast-Einstellungen wie sie sind.

Protokolle

Unter Protokollierungs-Level legen Sie fest, wie umfangreich OpenSuse über Verstöße gegen die Firewall-Regeln Buch führt. In der Grundeinstellung hält die OpenSuse-Firewall nur kritische Meldungen fest, über die Dropdown-Liste ändern Sie dieses Verhalten. Die Firewall schreibt sämtliche Meldungen in die Datei /var/log/messages. Beachten Sie, dass bei der Auswahl von Alles Protokollieren sehr viele Log-Einträge entstehen. Über Individuelle Regeln erlaubt YaST auch das Hinzufügen eigener Iptables-Regeln.

YaST speichert sämtliche Einstellungen in der Konfigurationsdatei /etc/sysconfig/SuSEfirewall2 und für die einzelnen Dienste unter /etc/sysconfig/SuSEfirewall2.d/services/. Über die Konfigurationsdatei definieren Sie bei Bedarf weitere Zonen. Nach einem Klick auf Weiter zeigt Ihnen YaST nochmals eine Übersicht über die vorgenommenen Änderungen an (Abbildung 6). Per Klick auf Beenden wendet das Tool diese an und startet die Firewall neu.

Abbildung 6: Bevor YaST die Einstellungen speichert, erhalten Sie eine ausführliche Liste der Änderungen.

Beachten Sie, dass eine Firewall nicht vor Sicherheitslücken in Programmen schützt (zum Beispiel im Browser). Sie sollten deshalb Ihr OpenSuse-System über die Online-Updates stets auf dem neuesten Stand halten, um möglichst gut gegen Angriffe geschützt zu sein.

LinuxCommunity kaufen

Einzelne Ausgabe
 

Related content

Kommentare

Infos zur Publikation

LinuxUser-Spezial erscheint zwei bis vier mal jährlich und kostet 8,90 EUR pro Ausgabe. Weitere Informationen zum LinuxUser-Spezial finden Sie im Shop der Linux New Media AG.

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...