aufgestaut.jpg

© Christa Eder, Fotolia.de

Grafische Firewall

Mauern mit Ubuntu

Für die Standard-Firewall Ufw von Ubuntu gibt es nun auch eine grafische Oberfläche. Damit kontrollieren Sie recht einfach den Datenverkehr.

Das Internet birgt Gefahren, denen die meisten Windows-Anwender mit einer Firewall begegnen. Die kontrolliert, welche Anwendungen von außen auf den Rechner zugreifen dürfen und welche Ports der Anwender geschlossen hält. Der Sinn einer Firewall liegt unter Linux nicht unbedingt auf der Hand: Spielen Sie unter Ubuntu stets zeitnah Sicherheitsupdates ein und bieten keine Dienste im Internet an, dann brauchen Sie keine Firewall. Zudem steckt heute schon in jedem DSL-Router eine Firewall, die ungewollte Verbindungen aus dem Internet auf den Rechner blockieren.

Wer allerdings keine Router-Firewall benutzt, oft unterwegs ist oder sich "mit" einfach sicherer fühlt, kann durchaus eine Firewall benutzen. Seit Version 8.04 liefert Ubuntu mit der Ufw ("Uncomplicated Firewall") einen Paketfilter für die Kommandozeile aus. er kontrolliert und protokolliert auf Basis von Regeln den ein- und ausgehenden Datenverkehr. Ufw stützt sich wiederum auf das im Linux-Kernel steckende Netfilter-Framework, das mit Hilfe der Iptables-Kommandos Pakete filtert, NAT betreibt und Pakete manipuliert (mehr dazu im Kasten "Netfilter/Iptables").

Netfilter/Iptables

Im Netzwerkstack des Kernels stecken die als Netfilter bekannten Hooks, auf die andere Programme zugreifen dürfen. Kernel-Module benutzen diese Hooks, um die von ihnen bearbeiteten Pakete zu untersuchen. Auch die Iptables-Befehle nutzen die Hooks, um Pakete im oben genannten Sinn zu manipulieren und zu filtern.

Diese Iptables-Kommandos empfanden die Ubuntu-Entwickler als zu kompliziert und vereinfachten sie mithilfe von Ufw. Deren kurze Befehle prägen sich wesentlich besser ein, Sie müssen sie allerdings über die Kommandozeile aufrufen. Über sudo ufw enable aktivieren Sie die Firewall, über sudo ufw disable schalten Sie sie wieder ab. Der Befehl sudo ufw status zeigt den aktuellen Betriebszustand an.

Zum Steuern der Firewall gibt es mit Gufw aber mittlerweile auch eine grafische GTK-Oberfläche, die sich nahtlos in den Gnome-Desktop von Ubuntu einfügt. Die neueste Version 0.20.7 finden Sie im Paketmanager von Ubuntu. Alternativ laden Sie aktuelle Versionen von Gufw von der Webseite des Projekts herunter [1]. Die Software nistet sich bei der Installation unter System | Systemverwaltung | Firewall configuration ein.

Tapeten aussuchen

Nach dem Start der Firewall ist diese zunächst inaktiv (Abbildung 1). Setzen Sie ein Häkchen bei Firewall aktiviert, ruft Gufw im Hintergrund Ufw auf und stoppt in der Standardeinstellung über die Funktion Blockiere eingehenden Traffic erst einmal sämtlichen ankommenden Datenverkehr. Nun schaffen Sie Ausnahmen: Entweder lassen Sie sämtlichen Verkehr passieren (über Erlaube eingehenden Traffic) oder setzen etwas feinere Regeln auf, die Sie über die drei Reiter Einfach, Vorkonfiguriert und Erweitert einrichten.

Abbildung 1: Nach dem Start zeigt Ubuntus Firewall, das sie inaktiv ist. Ein Häkchen am rechten Fleck bringt sie auf Trab.

Im ersten Reiter geben Sie dabei lediglich den Namen eines Dienstes oder eine Portnummer in das leere Feld ein. Im Dropdownmenü links daneben wählen Sie Zulassen; rechts daneben bestimmen Sie, ob Gufw nur TCP- respektive UDP-Pakete blockieren soll oder beide.

Während Sie hier explizit wissen müssen, welchen Dienst Sie konfigurieren wollen, schlägt Gufw im Register Vorkonfiguriert einige Dienste und Anwendungen vor, die Sie erlauben können. Im zweiten Ausklappmenü entscheiden Sie sich zwischen Dienst oder Anwendung, im dritten wählen Sie einen konkreten Dienst aus, etwa ipp (für Drucksysteme), nfs (für den Dateientausch in unixoiden Netzwerken) oder imap (für das E-Mail-Protokoll).

Im dritten Reiter Erweitert lassen sich ganze Port-Bereiche sperren oder erlauben. Die Notation für IP-Adressbereiche folgt der CIDR-Notation. Alternativ sorgen Sie dafür, dass nur ein bestimmter Rechner auf einen bestimmten Dienste zugreifen darf. Dazu wählen Sie Zulassen sowie beides und geben dann in die Zeile Von die IP-Adresse des Quellrechners ein. In die Zeile Bis gehört die IP-Adresse des Rechners, auf dem die Firewall läuft, in das Feld rechts daneben die Portnummer des zu erlaubenden Dienstes. Im Beispiel wäre das die 22 für SSH (Abbildung 2). Klicken Sie auf Hinzufügen, um die Konfiguration festzuklopfen. Nun können Sie per SSH von einem über die IP-Adresse definierten Rechner auf den Rechner mit der Firewall zugreifen. FTP- oder Telnet-Zugriffe funktionieren hingegen nicht: Dazu ergänzen Sie die eben erwähnten Daten und machen aus der 22 eine 21 beziehungsweise 23.

Abbildung 2: Sie legen über den Reiter Erweitert gezielt fest, welche Rechner auf welche Dienste zugreifen dürfen. Jeder Dienst erfordert einen eigenen Eintrag.

Eine Übersicht über die Dienste und ihre gewöhnlich verwendeten Portnummern bietet übrigens die Datei /etc/services an. Das Kommando in Listing 1 durchforstet die Datei beispielsweise nach dem Dienst ssh und gibt unter anderem die zugehörige Portnummer aus.

Listing 1
$ cat /etc/services | grep ssh
ssh   22/tcp # SSH Remote Login Protocol
ssh   22/udp

Natürlich können Sie auch umgekehrt vorgehen: Wählen Sie im Hauptfenster die Option Erlaube eingehenden Traffic, konfigurieren Sie in den drei Reitern lediglich die Dienste und IP-Adressen, die nicht auf den Rechner zugreifen dürfen.

Ferner liefen

Damit erschöpft sich die momentane Funktionalität der Firewall fast schon. Sie warnt nicht, sobald eine bestimmte Anwendung eine Verbindung ins Internet aufbauen will, und gibt auch keinen Laut, wenn ein externer Anwender versucht, sich bei einem blockierten Dienst auf dem System anzumelden. Sie führt allerdings unter /var/log/gufw_log.txt eine eigene Log-Datei, die Änderungen an der Konfiguration protokolliert. Via Datei | Protokoll für den Firewall werfen Sie einen Blick auf diese Daten. Über Datei | Blockierte IP Adressen importieren Sie eine Liste mit IP-Adressen, die den Rechner von außen nicht kontaktieren dürfen. Sie können die Liste natürlich auch selbst anlegen.

Über Bearbeiten | Einstellungen gelangen Sie zu den Voreinstellungen. Dort aktivieren Sie nicht nur die Protokollfunktionen, sondern sorgen mit zwei Häkchen auch dafür, dass beim Start von Gufw ein Symbol in der Systemleiste erscheint und dort auch bleibt, wenn Sie das Programmfenster schließen. Um Gufw komplett zu beenden, klicken Sie mit der rechten Maustaste auf das Icon und wählen Beenden.

Soll die Firewall bei jedem Start automatisch hochfahren, geben Sie das unter System | Einstellungen | Startprogramme | Hinzufügen an. Als Befehl tragen Sie gufw ein. Allerdings müssen Sie zurzeit noch bei jedem Start der grafischen Oberfläche Ihr Passwort eingeben.

Glossar

NAT

steht für Network Address Translation. Fordert ein Rechner mit lokaler IP-Adresse eine Webseite an, ersetzt NAT die private durch eine öffentliche IP-Adresse und leitet die Anfrage weiter. Kehrt die Antwort zurück, dreht NAT den Prozess wieder um und leitet sie an den lokalen Rechner weiter.

CIDR-Notation

Die CIDR-Notation legt in einem relativ komplizierten Verfahren IP-Adressbereiche fest, indem Sie eine IP-Adresse auf Bitbasis mit einer Subnetzmaske verknüpfen. Interessierte Leser finden unter [2] mehr Informationen zum Thema inklusive des Rechenweges.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare
useless use of cat
Lutz (unangemeldet), Sonntag, 28. Juni 2009 16:10:49
Ein/Ausklappen

zu Listing 1
<erbsenzaehl>
"grep ssh /etc/services"
</erbsenzaehl>
cat ist nett und praktisch, aber in den meisten Fällen
unnötig, wie auch hier.

Schönen Gruß,
Lutz



Bewertung: 224 Punkte bei 56 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

Infos zur Publikation

LU 08/2016: Multimedia

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...
lidl internetstick für linux mint
rolf meyer, 04.06.2016 14:17, 3 Antworten
hallo zusammen ich benötige eure hilfe habe einen lidl-internetstick möchte ihn auf linux mint i...