Brandschutz

Maskenball

Eine Besonderheit der Firewall finden Sie unter dem Punkt Masquerading. Besitzt Ihr Rechner mehrere Netzwerkgeräte (zum Beispiel WLAN und Ethernet, oder zwei Ethernet-Karten), könnte er als Router arbeiten. Er stellt dann die Internetverbindung für die übrigen Rechner bereit und versteckt zugleich die internen Rechner vor dem Internet. Sämtlicher Netzwerkverkehr findet in diesem Fall über die IP-Adresse der externen Schnittstelle statt, egal von welchem Rechner des internen Netzes die Anfrage kommt.

Dazu benötigen Sie ein Netzwerkgerät als Externe Zone (direkt mit dem Internet verbunden) sowie ein anderes, das an der internen Zone (internes Netz) hängt. Per Mausklick auf die Checkbox vor Masquerading für Netzwerke schalten Sie dann die IP-Umleitung ein.

Möchten Sie einen bestimmten Rechner oder einen Dienst trotzdem auf einem der maskierten Rechner erreichen, legen Sie dazu unter Anfragen an Masqueraded IP umleiten Regeln fest. Klicken Sie dazu auf Hinzufügen und legen Sie unter Umleitung die IP-Adresse und den Port des Clients fest. Beachten Sie, dass gewisse Dienste TCP- und UDP-Regeln benötigen. Diese Vorgehensweise heißt Portforwarding. Die meisten Router und Switches stellen sowohl Portforwarding als auch Masquerading bereit.

Die Einstellungen unter Broadcast richten sich an fortgeschrittene Nutzer. Sie legen fest, welche Pakete Ihr Rechner verschickt, um an Informationen über andere Rechner und Dienste zu gelangen. Über Hinzufügen ändern Sie die Grundeinstellung, was aber in der Regel nur bei Rechnern Sinn ergibt, die über die externe Schnittstelle Serverdienste anbieten.

Die OpenSuse-Firewall hält in den Logdateien fest, welche nicht erlaubten Broadcast-Pakete aus dem internen Netz und welche aus der demilitarisierten Zone stammen. Broadcast-Pakete der externen Zone protokolliert das System nicht, da hier mit sehr vielen Log-Einträgen zu rechnen wäre. Haben Sie bereits Erfahrung mit Filterregeln, haben Sie hier die Möglichkeit, die Protokollieroptionen zu ändern. Andernfalls belassen Sie die Broadcast-Einstellungen wie sie sind.

Protokolle

Unter Protokollierungs-Level legen Sie fest, wie umfangreich OpenSuse über Verstöße gegen die Firewall-Regeln Buch führt. In der Grundeinstellung hält die OpenSuse-Firewall nur kritische Meldungen fest, über die Dropdown-Liste ändern Sie dieses Verhalten. Die Firewall schreibt sämtliche Meldungen in die Datei /var/log/messages. Beachten Sie, dass bei der Auswahl von Alles Protokollieren sehr viele Log-Einträge entstehen. Über Individuelle Regeln erlaubt YaST auch das Hinzufügen eigener Iptables-Regeln.

YaST speichert sämtliche Einstellungen in der Konfigurationsdatei /etc/sysconfig/SuSEfirewall2 und für die einzelnen Dienste unter /etc/sysconfig/SuSEfirewall2.d/services/. Über die Konfigurationsdatei definieren Sie bei Bedarf weitere Zonen. Nach einem Klick auf Weiter zeigt Ihnen YaST nochmals eine Übersicht über die vorgenommenen Änderungen an (Abbildung 6). Per Klick auf Beenden wendet das Tool diese an und startet die Firewall neu.

Abbildung 6: Bevor YaST die Einstellungen speichert, erhalten Sie eine ausführliche Liste der Änderungen.

Beachten Sie, dass eine Firewall nicht vor Sicherheitslücken in Programmen schützt (zum Beispiel im Browser). Sie sollten deshalb Ihr OpenSuse-System über die Online-Updates stets auf dem neuesten Stand halten, um möglichst gut gegen Angriffe geschützt zu sein.