AA_flammen_sxc48772_2645.jpg

© sxc.hu

Feurige Künste

Iptables-GUIs im Vergleich

01.03.2006
Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.

Mit dem Gespann Netfilter/Iptables [1] bringt der Linux-Kernel bereit out of the box eine mächtige Firewall-Architektur mit. Für das Abfagen und Manipulieren von Netzwerkpaketen zeichnet Netfilter verantwortlich, das Dienstprogramm Iptables erlaubt dessen Konfiguration. Dazu verwendet es allerdings eine recht komplizierte Syntax, zudem erfolgt die Einrichtung der Firewall-Parameter auf der Kommandozeile oder via Skript.

So gilt das direkte Konfigurieren einer Firewall zu Recht als typische Domäne von Netzwerk- und Systemadministratoren: Welcher normale Anwender möchte sich schon gerne in die komplizierte Iptables-Syntax einarbeiten – von dem Erwerb des dazu notwendigen Wissens über Protokolle, Adressen und Ports einmal ganz abgesehen? Diesem Umstand tragen grafische Frontends Rechnung, welche die Arbeit mit Iptables vereinfachen und den Anwender davon entheben, sich profundes Grundlagenwissen zu Paketen und Protokollen anzueignen.

Dieser Artikel klopft ab, inwieweit vier bekannte Distributionen (Suse 10.0, Mandriva 2006, Fedora Core 4 und Ubuntu 5.10) von Haus aus ihre Anwender absichern und welche grafischen Werkzeuge zur Firewall-Konfiguration bereitstellen.

Suse 10.0

Die Suse-Distribution aktiviert die Firewall bei der Installation automatisch, wie Abbildung 1 zeigt. Nach der Einrichtung konfigurieren Sie die Firewall mittels Yast2 unter Sicherheit und BenutzerFirewall. In Abbildung 2 sehen Sie die entsprechende Maske.

Abbildung 1: In diesem Bildschirm entscheiden Sie über die automatische Aktivierung der Suse-Firewall.
Abbildung 2: Die Konfigurationsoberfläche der Suse-Firewall wirkt aufgeräumt und übersichtlich.

Die Oberfläche wirkt aufgeräumt und übersichtlich, einige Besonderheiten sind aber zu beachten. So findet sich unter Schnittstellen das Device any. Es bildet quasi einen Sammeltopf für alle Netzwerkschnittstellen, die nicht einer Zone zugeordnet sind. Daher behandelt die Konfiguration das Device als externe und damit besonders gefährdete Schnittstelle.

Falls der PC nur über eine einzelne Netzwerkschnittstelle verfügt, deaktiviert die Suse Firewall das Masquerading. Das macht Sinn, da das dahinter stehende NAT nur auf einem Router in Frage kommt, der ohnehin zwei Interfaces benötigt.

Die IPsec-Unterstützung ist ebenfalls standardmäßig deaktiviert, was meist keine Probleme bereitet: Sie wird nur für den Betrieb in einem VPN benötigt. Die Einstellungen unter Protokollierungs-Level fallen in der Voreinstellung moderat aus: Die Firewall schneidet nur kritische Pakete mit. Allerdings fließen sonderbarerweise standardmäßig auch nicht akzeptierte Broadcast-Pakete in der internen Zone und der DMZ mit ins Protokoll ein. Gerade in Windows-Umgebungen führt diese Einstellung dazu, dass sich die Log-Files stark aufblähen.

Das Generieren eigener Firewall-Regeln hinterlässt zwiespältige Gefühle. Zwar lassen sich Standard-Dienste bequem über ihren Namen aus einer Drop-Down-Box auswählen und freischalten. Komplizierteres – etwa Freigaben für Bittorrent – erfordern hingegen die explizite Angabe der entsprechenden Portnummer(n).

Da wundert es dann doch, dass Suse seinem Firewall-Frontend keinen Hilfe-Button spendiert hat. Die gesuchte Anleitung findet sich nach einigem Suchen in der SuSE-Hilfe, bedauerlicherweise allerdings nur in englischer Sprache. Wer sich mit Firewall-Begriffen bereits auskennt, hat mit der Dokumentation kein Problem – allen anderen bringt die Hilfe-Funktion nicht wirklich weiter.

Mandriva 2006

Mandriva bietet bereits bei der Installation gleich zwei Dialoge zur Konfiguration der Firewall an. Zunächst konfigurieren Sie hier die generelle Sicherheitsstufe des Rechners. Als Voreinstellung gibt die Distribution hier Hoch vor (Abbildung 3), was für Privatanwender völlig ausreicht.

Abbildung 3: Mandriva erläutert das Einstellen der generellen Sicherheitsstufe gut nachvollziehbar.

Kurz vor Ende der Installation im Schritt Zusammenfassung haben Sie Gelegenheit, die Firewall vor dem ersten Systemstart genauer einzustellen. Dies tut jedoch nur dann Not, wenn Sie Dienste im Internet anbieten wollen. Anderenfalls genügen die von der Distribution getroffenen Vorgaben völlig.

Auch nach der Installation des Rechners erreichen Sie die Firewall-Settings jederzeit über das K-Menü unter dem Punkt SystemEinstellungenDen Computer konfigurierenSicherheit. Alternativ geben Sie in einer Shell drakfirewall ein, um den entsprechenden Wizard zu starten.

Dieser besticht durch seine Einfachheit und Übersichtlichkeit (Abbildung 4). Sie können Dienste für den Zugriff aus dem Internet freigeben, die Internetschnittstelle definieren und die Interaktive Firewall aktivieren. Letztere warnt Sie, wenn ein Angreifer versucht in Ihren Rechner einzudringen oder die Firewall einen Portscan registriert. Um gezielt einzelne Ports freizugeben, klicken Sie auf der ersten Seite des Wizards auf den Schalter Fortgeschritten.

Abbildung 4: Der Firewall-Wizard von Mandriva lässt sich intuitiv bedienen.

Mandriva hat dem Firewall-Frontend auch eine ausführliche deutschsprachige Hilfe im HTML-Format spendiert, die Sie über die Menüleiste erreichen. Einziger Schwachpunkt des Werkzeugs: Es ist nicht in der Lage, NAT einzurichten – dies müssen Sie bei Bedarf händisch per Kommandozeile oder Skript erledigen.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Iptables-Grundlagen für Desktop-Nutzer
    Nicht jeder Linux-Desktop braucht eine Firewall. Mit grafischen Werkzeugen lässt sie sich aber bei Bedarf im Handumdrehen einrichten.
  • Brandmelder
    Mit dem grafischen Iptables-Frontend Firestarter konfigurieren Sie mit wenigen Mausklicks eine funktionierende Desktop-Firewall.
  • Knoppix und Ubuntu
    Ubuntu und Knoppix basieren auf Debian – wir verraten Tricks und Kniffe, welche die Arbeit auf diesen Distributionen angenehmer machen.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
Kommentare

Infos zur Publikation

LU 01/2015: E-Books im Griff

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

PCLinuxOS Version 2014.08 "FullMonty" Umstellung auf deutsch
Karl-Heinz Welz, 19.12.2014 09:55, 3 Antworten
Hallo, liebe Community, ich bin 63 Jahre alt und möchte jetzt nach Jahrzehnten Windows zu Linux...
ICEauthority
Thomas Mann, 17.12.2014 14:49, 2 Antworten
Fehlermeldung beim Start von Linux Mint: Could not update ICEauthority file / home/user/.ICEauth...
Linux einrichten
Sigrid Bölke, 10.12.2014 10:46, 5 Antworten
Hallo, liebe Community, bin hier ganz neu,also entschuldigt,wenn ich hier falsch bin. Mein Prob...
Externe USB-Festplatte mit Ext4 formatiert, USB-Stick wird nicht mehr eingebunden
Wimpy *, 02.12.2014 16:31, 0 Antworten
Hallo, ich habe die externe USB-FP, die nur für Daten-Backup benutzt wird, mit dem YaST-Partition...
Steuern mit Linux
Siegfried Markner, 01.12.2014 11:56, 2 Antworten
Welches Linux eignet sich am besten für Steuerungen.