Grafische Firewall-Administration mit FWBuilder 2.0

Maurermeister

Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.

Im Zug, im Büro oder im Wohnzimmer: Das Internet ist überall – und damit sein Nutzen, aber auch seine Gefahren. In der Firma schotten Fachkräfte mit Hilfe von Firewalls die Arbeitscomputer vor Attacken aus dem globalen Netz ab. Am Rechner daheim mutiert jeder User zum Admin, der für die Sicherheit des Systems verantwortlich zeichnet. Linux bringt die dafür nötige Firewall-Technologie bereits auf Kernel-Ebene mit: den Paketfilter IPtables.

Der direkte Umgang mit dem Paketfilter und seinen Kommandozeilenwerkzeugen bleibt jedoch eher Profis vorbehalten, die hauptamtlich Firewalls administrieren (Kasten 1). Der Rest der Linux-Welt greift lieber auf eingängigere Konfigurationshilfen zurück. Eine hervorragende Wahl stellt hier der Firewall Builder von Vadim Kurland dar.

Kasten 1: Manuell geregelt

Alle Daten, die über ein Netzwerk von Computer A zu Computer B gelangen sollen, teilt A in Pakete auf, verschnürt sie und schickt sie einzeln auf die Reise. Jedes Paket muss mindestens seine Absenderadresse, eine Angabe über den Pakettyp und die Empfängeradresse plus einige administrative Details vorweisen, damit es ans Ziel gelangt. Diese Daten finden sich als so genannter Header am Anfang des Pakets [4]. Die tatsächlichen zu übermittelnden Nutzdaten liegen im "Body".

Ein Paketfilter entscheidet anhand des Headers, was mit dem Paket auf seinem Weg zum Ziel geschehen soll. Dabei stehen ihm drei Möglichkeiten zur Auswahl: Accept, Deny und Reject. Während Deny ("verweigern") das Paket kommentarlos entsorgt, verhält sich Reject ("zurückweisen") höflich und teilt dem Absender mit, dass das Paket nicht zugestellt wurde. Bei Accept ("annehmen") leitet der Paketfilter das Paket an die Zieladresse weiter.

Der Linux-Paketfilter IPtables verwendet Filterregel-Listen für ein- und ausgehende sowie weiterzuleitende Pakete. Sie tragen den Namen INPUT-, OUTPUT- und FORWARD-Kette. Das Programm iptables nimmt, vereinfacht dargestellt, entsprechende Regelanweisungen des Benutzers root entgegen und reicht sie an die zugehörigen Ketten (Chains) der Filtertabellen des Kernel weiter. Ein Beispiel:

iptables -A INPUT -s 192.168.1.1 ↩
-p icmp -j DROP

Diese Zeile fügt eine Regel an (Option -A), die alle eingehenden Pakete (INPUT-Kette) des Absenders mit der IP-Adresse 192.168.1.1 (-s Quelladresse) kommentarlos verwirft (-j DROP) – vorausgesetzt, es handelt sich um ICMP-Pakete (Option -p icmp). Dazu zählen beispielsweise Ping-Pakete.

Auf diese Weise erstellt der Firewall-Administrator für jede Steuerungsanweisung je eine spezifische Regel [5]. Um das nicht nach jedem Reboot neu zu erledigen zu müssen und um sich Tipparbeit zu sparen, schreibt er ein Shell-Skript, das er in den Boot-Prozess einbindet. Beim Systemstart fügt das Skript dann alle Regeln in den Kernel ein.

Das Gespann aus IPtables und Firewall Builder benötigt als Grundlage mindestens Kernel 2.3.15, übersetzt mit der Option CONFIG_NETFILTER. Alle gängigen Distributionen weisen diese Voraussetzungen seit längerem bereits auf. Suse-Benutzer müssen aber aufpassen: Die Nürnberger konfigurieren standardmäßig eine eigene Personal Firewall vor, die ebenfalls IPtables verwendet. Um Konfigurationskonflikte zu vermeiden, empfiehlt es sich, vor jeglichen Gehversuchen mit FWBuilder die Suse-Firewall abzuschalten. Dazu starten Sie YaST, öffnen Sicherheit | Firewall und wählen Firewall stoppen und aus dem Bootprozess entfernen aus. Aber auch auf anderen Distributionen gilt analog: Erst eine vorhandene Firewall deaktivieren, bevor FWBuilder neue Regeln scharf schaltet.

Die Basis

Ob der Kernel IPtables tatsächlich unterstützt, lässt sich recht leicht nachprüfen. Dazu sind aber Root-Rechte nötig – tippen Sie also su und danach das Root-Passwort ein. Das folgende Kommando iptables -L listet die vorhandene Regelketten.

Bei einer inaktiven Firewall ohne Regelsatz sollten lediglich die drei Standardketten sowie die Überschriften der zukünftigen Regeln (target, prot, opt, source, destination) zum Vorschein kommen. Erscheinen diese nicht, scheitert die Ausgabe entweder an der Kernel-Version, oder das Userspace-Werkzeug iptables fehlt bzw. liegt nicht im Pfad.

Mit dem Studium entsprechender Dokumentation – etwa Webseiten, Man-Pages und Howtos – sowie einer gehörigen Portion Ausdauer schaffen es auch Firewall-Novizen, ihren Schutzwall Regel für Regel selbst aufzusetzen. Einen einzelnen Heim-PC ausreichend abzuschotten, erfordert allerdings bereits ein paar Dutzend kryptischer iptables-Kommandos. Ein kleines Heimnetz mit wenigen Clients macht bereits Regelskripte mit über hundert Einträgen notwendig, bei komplexeren Setups steigt der Aufwand weiter. Außerdem fallen lange Regelskripte unübersichtlich und damit fehleranfällig und potenziell unsicher aus.

Gebt mir ein GUI

Für mehr Übersicht im Regelwald sorgt der Firewall Builder. Das GPL-lizenzierte Programm arbeitet als Managementapplikation, die Filterregeln für eine Firewall erstellt. Beim FWBuilder arbeitet der Benutzer mit grafischen Objektbeziehungen. Als Ziel-Firewall kommen neben Linux auch BSD-Paketfilter oder kommerzielle Firewalls in Frage.

Managementkonsole und Firewall werden in professionellen Umgebungen üblicherweise getrennt installiert, auch FWBuilder macht das problemlos möglich. Das Programm läuft auf Linux, auf BSD-Systemen, Mac OS X sowie Windows 2000 und XP. Im Fall von Linux und BSD ist es auch möglich, Firewall und Firewall Builder für kleine Heimnetze oder Notebooks auf derselben Maschine zu betreiben.

Die Linux-Installation des Firewall Builder 2.0.6 verläuft dank fertiger RPMs für Suse, Fedora und Mandrake recht einfach. Auf Sourceforge liegen die Pakete zum Download [2], zusätzlich befinden sie sich auf der Heft-CD. Die FWBuilder-Pakete für Suse 9.1 funktionieren auch unter Suse Linux 9.2. Achtung: Vadim Kurland hat seine Software in mehrere Einzelkomponenten zerlegt, die er auch als Einzel-RPM anbietet. Mindestens drei davon müssen installiert sein, damit FWBuilder funktioniert: Zuerst die Bibliothek libfwbuilder-2.0.6-1.Distribution.rpm., danach FWBuilder selbst (fwbuilder-2.0.6-1.Distribution.rpm) sowie der so genannte Policy-Compiler für die IPtables-Regeln (fwbuilder-ipt-2.0.6-1.Distribution.rpm).

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

LU 08/2016: Multimedia

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...