aufgestaut.jpg

© Christa Eder, Fotolia.de

Mauern mit Ubuntu

Grafische Firewall

18.06.2009
Für die Standard-Firewall Ufw von Ubuntu gibt es nun auch eine grafische Oberfläche. Damit kontrollieren Sie recht einfach den Datenverkehr.

Das Internet birgt Gefahren, denen die meisten Windows-Anwender mit einer Firewall begegnen. Die kontrolliert, welche Anwendungen von außen auf den Rechner zugreifen dürfen und welche Ports der Anwender geschlossen hält. Der Sinn einer Firewall liegt unter Linux nicht unbedingt auf der Hand: Spielen Sie unter Ubuntu stets zeitnah Sicherheitsupdates ein und bieten keine Dienste im Internet an, dann brauchen Sie keine Firewall. Zudem steckt heute schon in jedem DSL-Router eine Firewall, die ungewollte Verbindungen aus dem Internet auf den Rechner blockieren.

Wer allerdings keine Router-Firewall benutzt, oft unterwegs ist oder sich "mit" einfach sicherer fühlt, kann durchaus eine Firewall benutzen. Seit Version 8.04 liefert Ubuntu mit der Ufw ("Uncomplicated Firewall") einen Paketfilter für die Kommandozeile aus. er kontrolliert und protokolliert auf Basis von Regeln den ein- und ausgehenden Datenverkehr. Ufw stützt sich wiederum auf das im Linux-Kernel steckende Netfilter-Framework, das mit Hilfe der Iptables-Kommandos Pakete filtert, NAT betreibt und Pakete manipuliert (mehr dazu im Kasten "Netfilter/Iptables").

Netfilter/Iptables

Im Netzwerkstack des Kernels stecken die als Netfilter bekannten Hooks, auf die andere Programme zugreifen dürfen. Kernel-Module benutzen diese Hooks, um die von ihnen bearbeiteten Pakete zu untersuchen. Auch die Iptables-Befehle nutzen die Hooks, um Pakete im oben genannten Sinn zu manipulieren und zu filtern.

Diese Iptables-Kommandos empfanden die Ubuntu-Entwickler als zu kompliziert und vereinfachten sie mithilfe von Ufw. Deren kurze Befehle prägen sich wesentlich besser ein, Sie müssen sie allerdings über die Kommandozeile aufrufen. Über sudo ufw enable aktivieren Sie die Firewall, über sudo ufw disable schalten Sie sie wieder ab. Der Befehl sudo ufw status zeigt den aktuellen Betriebszustand an.

Zum Steuern der Firewall gibt es mit Gufw aber mittlerweile auch eine grafische GTK-Oberfläche, die sich nahtlos in den Gnome-Desktop von Ubuntu einfügt. Die neueste Version 0.20.7 finden Sie im Paketmanager von Ubuntu. Alternativ laden Sie aktuelle Versionen von Gufw von der Webseite des Projekts herunter [1]. Die Software nistet sich bei der Installation unter System | Systemverwaltung | Firewall configuration ein.

Tapeten aussuchen

Nach dem Start der Firewall ist diese zunächst inaktiv (Abbildung 1). Setzen Sie ein Häkchen bei Firewall aktiviert, ruft Gufw im Hintergrund Ufw auf und stoppt in der Standardeinstellung über die Funktion Blockiere eingehenden Traffic erst einmal sämtlichen ankommenden Datenverkehr. Nun schaffen Sie Ausnahmen: Entweder lassen Sie sämtlichen Verkehr passieren (über Erlaube eingehenden Traffic) oder setzen etwas feinere Regeln auf, die Sie über die drei Reiter Einfach, Vorkonfiguriert und Erweitert einrichten.

Abbildung 1: Nach dem Start zeigt Ubuntus Firewall, das sie inaktiv ist. Ein Häkchen am rechten Fleck bringt sie auf Trab.

Im ersten Reiter geben Sie dabei lediglich den Namen eines Dienstes oder eine Portnummer in das leere Feld ein. Im Dropdownmenü links daneben wählen Sie Zulassen; rechts daneben bestimmen Sie, ob Gufw nur TCP- respektive UDP-Pakete blockieren soll oder beide.

Während Sie hier explizit wissen müssen, welchen Dienst Sie konfigurieren wollen, schlägt Gufw im Register Vorkonfiguriert einige Dienste und Anwendungen vor, die Sie erlauben können. Im zweiten Ausklappmenü entscheiden Sie sich zwischen Dienst oder Anwendung, im dritten wählen Sie einen konkreten Dienst aus, etwa ipp (für Drucksysteme), nfs (für den Dateientausch in unixoiden Netzwerken) oder imap (für das E-Mail-Protokoll).

Im dritten Reiter Erweitert lassen sich ganze Port-Bereiche sperren oder erlauben. Die Notation für IP-Adressbereiche folgt der CIDR-Notation. Alternativ sorgen Sie dafür, dass nur ein bestimmter Rechner auf einen bestimmten Dienste zugreifen darf. Dazu wählen Sie Zulassen sowie beides und geben dann in die Zeile Von die IP-Adresse des Quellrechners ein. In die Zeile Bis gehört die IP-Adresse des Rechners, auf dem die Firewall läuft, in das Feld rechts daneben die Portnummer des zu erlaubenden Dienstes. Im Beispiel wäre das die 22 für SSH (Abbildung 2). Klicken Sie auf Hinzufügen, um die Konfiguration festzuklopfen. Nun können Sie per SSH von einem über die IP-Adresse definierten Rechner auf den Rechner mit der Firewall zugreifen. FTP- oder Telnet-Zugriffe funktionieren hingegen nicht: Dazu ergänzen Sie die eben erwähnten Daten und machen aus der 22 eine 21 beziehungsweise 23.

Abbildung 2: Sie legen über den Reiter Erweitert gezielt fest, welche Rechner auf welche Dienste zugreifen dürfen. Jeder Dienst erfordert einen eigenen Eintrag.

Eine Übersicht über die Dienste und ihre gewöhnlich verwendeten Portnummern bietet übrigens die Datei /etc/services an. Das Kommando in Listing 1 durchforstet die Datei beispielsweise nach dem Dienst ssh und gibt unter anderem die zugehörige Portnummer aus.

Listing 1
$ cat /etc/services | grep ssh
ssh   22/tcp # SSH Remote Login Protocol
ssh   22/udp

Natürlich können Sie auch umgekehrt vorgehen: Wählen Sie im Hauptfenster die Option Erlaube eingehenden Traffic, konfigurieren Sie in den drei Reitern lediglich die Dienste und IP-Adressen, die nicht auf den Rechner zugreifen dürfen.

Ferner liefen

Damit erschöpft sich die momentane Funktionalität der Firewall fast schon. Sie warnt nicht, sobald eine bestimmte Anwendung eine Verbindung ins Internet aufbauen will, und gibt auch keinen Laut, wenn ein externer Anwender versucht, sich bei einem blockierten Dienst auf dem System anzumelden. Sie führt allerdings unter /var/log/gufw_log.txt eine eigene Log-Datei, die Änderungen an der Konfiguration protokolliert. Via Datei | Protokoll für den Firewall werfen Sie einen Blick auf diese Daten. Über Datei | Blockierte IP Adressen importieren Sie eine Liste mit IP-Adressen, die den Rechner von außen nicht kontaktieren dürfen. Sie können die Liste natürlich auch selbst anlegen.

Über Bearbeiten | Einstellungen gelangen Sie zu den Voreinstellungen. Dort aktivieren Sie nicht nur die Protokollfunktionen, sondern sorgen mit zwei Häkchen auch dafür, dass beim Start von Gufw ein Symbol in der Systemleiste erscheint und dort auch bleibt, wenn Sie das Programmfenster schließen. Um Gufw komplett zu beenden, klicken Sie mit der rechten Maustaste auf das Icon und wählen Beenden.

Soll die Firewall bei jedem Start automatisch hochfahren, geben Sie das unter System | Einstellungen | Startprogramme | Hinzufügen an. Als Befehl tragen Sie gufw ein. Allerdings müssen Sie zurzeit noch bei jedem Start der grafischen Oberfläche Ihr Passwort eingeben.

Glossar

NAT

steht für Network Address Translation. Fordert ein Rechner mit lokaler IP-Adresse eine Webseite an, ersetzt NAT die private durch eine öffentliche IP-Adresse und leitet die Anfrage weiter. Kehrt die Antwort zurück, dreht NAT den Prozess wieder um und leitet sie an den lokalen Rechner weiter.

CIDR-Notation

Die CIDR-Notation legt in einem relativ komplizierten Verfahren IP-Adressbereiche fest, indem Sie eine IP-Adresse auf Bitbasis mit einer Subnetzmaske verknüpfen. Interessierte Leser finden unter [2] mehr Informationen zum Thema inklusive des Rechenweges.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

Kommentare
useless use of cat
Lutz (unangemeldet), Sonntag, 28. Juni 2009 16:10:49
Ein/Ausklappen

zu Listing 1
<erbsenzaehl>
"grep ssh /etc/services"
</erbsenzaehl>
cat ist nett und praktisch, aber in den meisten Fällen
unnötig, wie auch hier.

Schönen Gruß,
Lutz



Bewertung: 132 Punkte bei 21 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

WLAN-Signalqualität vom Treiber abhängig
GoaSkin , 29.10.2014 14:16, 0 Antworten
Hallo, für einen WLAN-Stick mit Ralink 2870 Chipsatz gibt es einen Treiber von Ralink sowie (m...
Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 6 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...