Grafische Firewall-Administration mit FWBuilder 2.0

Maurermeister

Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.

Im Zug, im Büro oder im Wohnzimmer: Das Internet ist überall – und damit sein Nutzen, aber auch seine Gefahren. In der Firma schotten Fachkräfte mit Hilfe von Firewalls die Arbeitscomputer vor Attacken aus dem globalen Netz ab. Am Rechner daheim mutiert jeder User zum Admin, der für die Sicherheit des Systems verantwortlich zeichnet. Linux bringt die dafür nötige Firewall-Technologie bereits auf Kernel-Ebene mit: den Paketfilter IPtables.

Der direkte Umgang mit dem Paketfilter und seinen Kommandozeilenwerkzeugen bleibt jedoch eher Profis vorbehalten, die hauptamtlich Firewalls administrieren (Kasten 1). Der Rest der Linux-Welt greift lieber auf eingängigere Konfigurationshilfen zurück. Eine hervorragende Wahl stellt hier der Firewall Builder von Vadim Kurland dar.

Kasten 1: Manuell geregelt

Alle Daten, die über ein Netzwerk von Computer A zu Computer B gelangen sollen, teilt A in Pakete auf, verschnürt sie und schickt sie einzeln auf die Reise. Jedes Paket muss mindestens seine Absenderadresse, eine Angabe über den Pakettyp und die Empfängeradresse plus einige administrative Details vorweisen, damit es ans Ziel gelangt. Diese Daten finden sich als so genannter Header am Anfang des Pakets [4]. Die tatsächlichen zu übermittelnden Nutzdaten liegen im "Body".

Ein Paketfilter entscheidet anhand des Headers, was mit dem Paket auf seinem Weg zum Ziel geschehen soll. Dabei stehen ihm drei Möglichkeiten zur Auswahl: Accept, Deny und Reject. Während Deny ("verweigern") das Paket kommentarlos entsorgt, verhält sich Reject ("zurückweisen") höflich und teilt dem Absender mit, dass das Paket nicht zugestellt wurde. Bei Accept ("annehmen") leitet der Paketfilter das Paket an die Zieladresse weiter.

Der Linux-Paketfilter IPtables verwendet Filterregel-Listen für ein- und ausgehende sowie weiterzuleitende Pakete. Sie tragen den Namen INPUT-, OUTPUT- und FORWARD-Kette. Das Programm iptables nimmt, vereinfacht dargestellt, entsprechende Regelanweisungen des Benutzers root entgegen und reicht sie an die zugehörigen Ketten (Chains) der Filtertabellen des Kernel weiter. Ein Beispiel:

iptables -A INPUT -s 192.168.1.1 ↩
-p icmp -j DROP

Diese Zeile fügt eine Regel an (Option -A), die alle eingehenden Pakete (INPUT-Kette) des Absenders mit der IP-Adresse 192.168.1.1 (-s Quelladresse) kommentarlos verwirft (-j DROP) – vorausgesetzt, es handelt sich um ICMP-Pakete (Option -p icmp). Dazu zählen beispielsweise Ping-Pakete.

Auf diese Weise erstellt der Firewall-Administrator für jede Steuerungsanweisung je eine spezifische Regel [5]. Um das nicht nach jedem Reboot neu zu erledigen zu müssen und um sich Tipparbeit zu sparen, schreibt er ein Shell-Skript, das er in den Boot-Prozess einbindet. Beim Systemstart fügt das Skript dann alle Regeln in den Kernel ein.

Das Gespann aus IPtables und Firewall Builder benötigt als Grundlage mindestens Kernel 2.3.15, übersetzt mit der Option CONFIG_NETFILTER. Alle gängigen Distributionen weisen diese Voraussetzungen seit längerem bereits auf. Suse-Benutzer müssen aber aufpassen: Die Nürnberger konfigurieren standardmäßig eine eigene Personal Firewall vor, die ebenfalls IPtables verwendet. Um Konfigurationskonflikte zu vermeiden, empfiehlt es sich, vor jeglichen Gehversuchen mit FWBuilder die Suse-Firewall abzuschalten. Dazu starten Sie YaST, öffnen Sicherheit | Firewall und wählen Firewall stoppen und aus dem Bootprozess entfernen aus. Aber auch auf anderen Distributionen gilt analog: Erst eine vorhandene Firewall deaktivieren, bevor FWBuilder neue Regeln scharf schaltet.

Die Basis

Ob der Kernel IPtables tatsächlich unterstützt, lässt sich recht leicht nachprüfen. Dazu sind aber Root-Rechte nötig – tippen Sie also su und danach das Root-Passwort ein. Das folgende Kommando iptables -L listet die vorhandene Regelketten.

Bei einer inaktiven Firewall ohne Regelsatz sollten lediglich die drei Standardketten sowie die Überschriften der zukünftigen Regeln (target, prot, opt, source, destination) zum Vorschein kommen. Erscheinen diese nicht, scheitert die Ausgabe entweder an der Kernel-Version, oder das Userspace-Werkzeug iptables fehlt bzw. liegt nicht im Pfad.

Mit dem Studium entsprechender Dokumentation – etwa Webseiten, Man-Pages und Howtos – sowie einer gehörigen Portion Ausdauer schaffen es auch Firewall-Novizen, ihren Schutzwall Regel für Regel selbst aufzusetzen. Einen einzelnen Heim-PC ausreichend abzuschotten, erfordert allerdings bereits ein paar Dutzend kryptischer iptables-Kommandos. Ein kleines Heimnetz mit wenigen Clients macht bereits Regelskripte mit über hundert Einträgen notwendig, bei komplexeren Setups steigt der Aufwand weiter. Außerdem fallen lange Regelskripte unübersichtlich und damit fehleranfällig und potenziell unsicher aus.

Gebt mir ein GUI

Für mehr Übersicht im Regelwald sorgt der Firewall Builder. Das GPL-lizenzierte Programm arbeitet als Managementapplikation, die Filterregeln für eine Firewall erstellt. Beim FWBuilder arbeitet der Benutzer mit grafischen Objektbeziehungen. Als Ziel-Firewall kommen neben Linux auch BSD-Paketfilter oder kommerzielle Firewalls in Frage.

Managementkonsole und Firewall werden in professionellen Umgebungen üblicherweise getrennt installiert, auch FWBuilder macht das problemlos möglich. Das Programm läuft auf Linux, auf BSD-Systemen, Mac OS X sowie Windows 2000 und XP. Im Fall von Linux und BSD ist es auch möglich, Firewall und Firewall Builder für kleine Heimnetze oder Notebooks auf derselben Maschine zu betreiben.

Die Linux-Installation des Firewall Builder 2.0.6 verläuft dank fertiger RPMs für Suse, Fedora und Mandrake recht einfach. Auf Sourceforge liegen die Pakete zum Download [2], zusätzlich befinden sie sich auf der Heft-CD. Die FWBuilder-Pakete für Suse 9.1 funktionieren auch unter Suse Linux 9.2. Achtung: Vadim Kurland hat seine Software in mehrere Einzelkomponenten zerlegt, die er auch als Einzel-RPM anbietet. Mindestens drei davon müssen installiert sein, damit FWBuilder funktioniert: Zuerst die Bibliothek libfwbuilder-2.0.6-1.Distribution.rpm., danach FWBuilder selbst (fwbuilder-2.0.6-1.Distribution.rpm) sowie der so genannte Policy-Compiler für die IPtables-Regeln (fwbuilder-ipt-2.0.6-1.Distribution.rpm).

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Firewalls in der GUI konfigurieren mit FWBuilder
    Wer Rechner und Netzwerk richtig abschotten möchte, der greift zur Firewall. FWBuilder beherrscht nicht nur die Syntax verschiedenster Zielplattformen, sondern sorgt durch Zusatzfunktionen für ein übersichtliches Regelwerk.
  • Nachgeladen
    Dem Linux-Paketfilter Iptables fehlt eine einfache Möglichkeit, die Filterregeln nach einem Systemneustart automatisch zu laden. Die lässt sich aber durchaus nachrüsten – sogar auf mehreren Wegen.
  • Iptables-Grundlagen für Desktop-Nutzer
    Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.
  • Firewall auf Live-CD: Devil-Linux 1.2.5
    Devil-Linux bootet von CD und ist ganz auf Sicherheit getrimmt. Mit dieser kompakten Distribution ergänzt der Heim-Admin in wenigen Schritten sein Netz um eine Firewall oder einen Webserver.
  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
Kommentare

Infos zur Publikation

LU 05/2017: Linux unterwegs

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Knoppix-Live-CD (8.0 LU-Edition) im Uefiboot?
Thomas Weiss, 26.04.2017 20:38, 0 Antworten
Hallo, Da mein Rechner unter Windows 8.1/64Bit ein Soundproblem hat und ich abklären wollte, o...
Grub2 reparieren
Brain Stuff, 26.04.2017 02:04, 5 Antworten
Ein Windows Update hat mir Grub zerschossen ... der Computer startet nicht mehr mit Grub, sondern...
Linux open suse 2,8
Wolfgang Gerhard Zeidler, 18.04.2017 09:17, 2 Antworten
Hallo.bitte um Hilfe bei. Code fuer den Rescue-login open suse2.8 Mfg Yvo
grep und sed , gleicher Regulärer Ausdruck , sed mit falschem Ergebnis.
Josef Federl, 15.04.2017 00:23, 1 Antworten
Daten: dlfkjgkldgjldfgl55.55klsdjfl jfjfjfj8.22fdgddfg {"id":"1","name":"Phase L1","unit":"A",...
IP Cams aufzeichnen?
Bibliothek der Technischen Hochschule Mittelhessen / Giessen, 07.04.2017 09:25, 7 Antworten
Hallo, da nun des öfteren bei uns in der Nachbarschaft eingebrochen wird, würde ich gern mein...