Home / LinuxUser / 2009 / 07 / Mauern mit Ubuntu

Newsletter abonnieren

Lies uns auf...

Folge LinuxCommunity auf Twitter

Top-Beiträge

Debian leicht gemacht
(161 Punkte bei 4 Stimmen)

Heftarchiv

LinuxUser Heftarchiv

EasyLinux Heftarchiv

Ubuntu User Heftarchiv

Ubuntu User Heftarchiv

Partner-Links:

Das B2B Portal www.Linx.de informiert über Produkte und Dienstleistungen.

aufgestaut.jpg

© Christa Eder, Fotolia.de

Mauern mit Ubuntu

Grafische Firewall

18.06.2009 Für die Standard-Firewall Ufw von Ubuntu gibt es nun auch eine grafische Oberfläche. Damit kontrollieren Sie recht einfach den Datenverkehr.

Das Internet birgt Gefahren, denen die meisten Windows-Anwender mit einer Firewall begegnen. Die kontrolliert, welche Anwendungen von außen auf den Rechner zugreifen dürfen und welche Ports der Anwender geschlossen hält. Der Sinn einer Firewall liegt unter Linux nicht unbedingt auf der Hand: Spielen Sie unter Ubuntu stets zeitnah Sicherheitsupdates ein und bieten keine Dienste im Internet an, dann brauchen Sie keine Firewall. Zudem steckt heute schon in jedem DSL-Router eine Firewall, die ungewollte Verbindungen aus dem Internet auf den Rechner blockieren.

Wer allerdings keine Router-Firewall benutzt, oft unterwegs ist oder sich "mit" einfach sicherer fühlt, kann durchaus eine Firewall benutzen. Seit Version 8.04 liefert Ubuntu mit der Ufw ("Uncomplicated Firewall") einen Paketfilter für die Kommandozeile aus. er kontrolliert und protokolliert auf Basis von Regeln den ein- und ausgehenden Datenverkehr. Ufw stützt sich wiederum auf das im Linux-Kernel steckende Netfilter-Framework, das mit Hilfe der Iptables-Kommandos Pakete filtert, NAT betreibt und Pakete manipuliert (mehr dazu im Kasten "Netfilter/Iptables").

Netfilter/Iptables

Im Netzwerkstack des Kernels stecken die als Netfilter bekannten Hooks, auf die andere Programme zugreifen dürfen. Kernel-Module benutzen diese Hooks, um die von ihnen bearbeiteten Pakete zu untersuchen. Auch die Iptables-Befehle nutzen die Hooks, um Pakete im oben genannten Sinn zu manipulieren und zu filtern.

Diese Iptables-Kommandos empfanden die Ubuntu-Entwickler als zu kompliziert und vereinfachten sie mithilfe von Ufw. Deren kurze Befehle prägen sich wesentlich besser ein, Sie müssen sie allerdings über die Kommandozeile aufrufen. Über sudo ufw enable aktivieren Sie die Firewall, über sudo ufw disable schalten Sie sie wieder ab. Der Befehl sudo ufw status zeigt den aktuellen Betriebszustand an.

Zum Steuern der Firewall gibt es mit Gufw aber mittlerweile auch eine grafische GTK-Oberfläche, die sich nahtlos in den Gnome-Desktop von Ubuntu einfügt. Die neueste Version 0.20.7 finden Sie im Paketmanager von Ubuntu. Alternativ laden Sie aktuelle Versionen von Gufw von der Webseite des Projekts herunter [1]. Die Software nistet sich bei der Installation unter System | Systemverwaltung | Firewall configuration ein.

Tapeten aussuchen

Nach dem Start der Firewall ist diese zunächst inaktiv (Abbildung 1). Setzen Sie ein Häkchen bei Firewall aktiviert, ruft Gufw im Hintergrund Ufw auf und stoppt in der Standardeinstellung über die Funktion Blockiere eingehenden Traffic erst einmal sämtlichen ankommenden Datenverkehr. Nun schaffen Sie Ausnahmen: Entweder lassen Sie sämtlichen Verkehr passieren (über Erlaube eingehenden Traffic) oder setzen etwas feinere Regeln auf, die Sie über die drei Reiter Einfach, Vorkonfiguriert und Erweitert einrichten.

Abbildung 1

Abbildung 1: Nach dem Start zeigt Ubuntus Firewall, das sie inaktiv ist. Ein Häkchen am rechten Fleck bringt sie auf Trab.

Im ersten Reiter geben Sie dabei lediglich den Namen eines Dienstes oder eine Portnummer in das leere Feld ein. Im Dropdownmenü links daneben wählen Sie Zulassen; rechts daneben bestimmen Sie, ob Gufw nur TCP- respektive UDP-Pakete blockieren soll oder beide.

Während Sie hier explizit wissen müssen, welchen Dienst Sie konfigurieren wollen, schlägt Gufw im Register Vorkonfiguriert einige Dienste und Anwendungen vor, die Sie erlauben können. Im zweiten Ausklappmenü entscheiden Sie sich zwischen Dienst oder Anwendung, im dritten wählen Sie einen konkreten Dienst aus, etwa ipp (für Drucksysteme), nfs (für den Dateientausch in unixoiden Netzwerken) oder imap (für das E-Mail-Protokoll).

Im dritten Reiter Erweitert lassen sich ganze Port-Bereiche sperren oder erlauben. Die Notation für IP-Adressbereiche folgt der CIDR-Notation. Alternativ sorgen Sie dafür, dass nur ein bestimmter Rechner auf einen bestimmten Dienste zugreifen darf. Dazu wählen Sie Zulassen sowie beides und geben dann in die Zeile Von die IP-Adresse des Quellrechners ein. In die Zeile Bis gehört die IP-Adresse des Rechners, auf dem die Firewall läuft, in das Feld rechts daneben die Portnummer des zu erlaubenden Dienstes. Im Beispiel wäre das die 22 für SSH (Abbildung 2). Klicken Sie auf Hinzufügen, um die Konfiguration festzuklopfen. Nun können Sie per SSH von einem über die IP-Adresse definierten Rechner auf den Rechner mit der Firewall zugreifen. FTP- oder Telnet-Zugriffe funktionieren hingegen nicht: Dazu ergänzen Sie die eben erwähnten Daten und machen aus der 22 eine 21 beziehungsweise 23.

Abbildung 2

Abbildung 2: Sie legen über den Reiter Erweitert gezielt fest, welche Rechner auf welche Dienste zugreifen dürfen. Jeder Dienst erfordert einen eigenen Eintrag.

Eine Übersicht über die Dienste und ihre gewöhnlich verwendeten Portnummern bietet übrigens die Datei /etc/services an. Das Kommando in Listing 1 durchforstet die Datei beispielsweise nach dem Dienst ssh und gibt unter anderem die zugehörige Portnummer aus.

Listing 1
$ cat /etc/services | grep ssh
ssh   22/tcp # SSH Remote Login Protocol
ssh   22/udp

Natürlich können Sie auch umgekehrt vorgehen: Wählen Sie im Hauptfenster die Option Erlaube eingehenden Traffic, konfigurieren Sie in den drei Reitern lediglich die Dienste und IP-Adressen, die nicht auf den Rechner zugreifen dürfen.

Ferner liefen

Damit erschöpft sich die momentane Funktionalität der Firewall fast schon. Sie warnt nicht, sobald eine bestimmte Anwendung eine Verbindung ins Internet aufbauen will, und gibt auch keinen Laut, wenn ein externer Anwender versucht, sich bei einem blockierten Dienst auf dem System anzumelden. Sie führt allerdings unter /var/log/gufw_log.txt eine eigene Log-Datei, die Änderungen an der Konfiguration protokolliert. Via Datei | Protokoll für den Firewall werfen Sie einen Blick auf diese Daten. Über Datei | Blockierte IP Adressen importieren Sie eine Liste mit IP-Adressen, die den Rechner von außen nicht kontaktieren dürfen. Sie können die Liste natürlich auch selbst anlegen.

Über Bearbeiten | Einstellungen gelangen Sie zu den Voreinstellungen. Dort aktivieren Sie nicht nur die Protokollfunktionen, sondern sorgen mit zwei Häkchen auch dafür, dass beim Start von Gufw ein Symbol in der Systemleiste erscheint und dort auch bleibt, wenn Sie das Programmfenster schließen. Um Gufw komplett zu beenden, klicken Sie mit der rechten Maustaste auf das Icon und wählen Beenden.

Soll die Firewall bei jedem Start automatisch hochfahren, geben Sie das unter System | Einstellungen | Startprogramme | Hinzufügen an. Als Befehl tragen Sie gufw ein. Allerdings müssen Sie zurzeit noch bei jedem Start der grafischen Oberfläche Ihr Passwort eingeben.

Glossar

NAT

steht für Network Address Translation. Fordert ein Rechner mit lokaler IP-Adresse eine Webseite an, ersetzt NAT die private durch eine öffentliche IP-Adresse und leitet die Anfrage weiter. Kehrt die Antwort zurück, dreht NAT den Prozess wieder um und leitet sie an den lokalen Rechner weiter.

CIDR-Notation

Die CIDR-Notation legt in einem relativ komplizierten Verfahren IP-Adressbereiche fest, indem Sie eine IP-Adresse auf Bitbasis mit einer Subnetzmaske verknüpfen. Interessierte Leser finden unter [2] mehr Informationen zum Thema inklusive des Rechenweges.

Tip a friend    Druckansicht Bookmark and Share
Kommentare
useless use of cat
Lutz (unangemeldet), Sonntag, 28. Juni 2009 16:10:49
Ein/Ausklappen

zu Listing 1
<erbsenzaehl>
"grep ssh /etc/services"
</erbsenzaehl>
cat ist nett und praktisch, aber in den meisten Fällen
unnötig, wie auch hier.

Schönen Gruß,
Lutz



Bewertung: 122 Punkte bei 13 Stimmen.
Den Beitrag bewerten: Gut / Schlecht

4557 Hits
Wertung: 153 Punkte (12 Stimmen)

Schlecht Gut

Infos zur Publikation

Infos zur Publikation

LinuxUser 05/2014

Aktuelle Ausgabe kaufen:

Heft als PDF kaufen

LinuxUser erscheint monatlich und kostet in der Nomedia-Ausgabe EUR 5,95 und mit DVD EUR 8,50. Weitere Informationen zum Heft finden Sie auf der LinuxUser-Homepage.

Im LinuxUser-Probeabo erhalten Sie drei Ausgaben für 3 Euro. Das Jahresabo (ab EUR 60,60) können Sie im Medialinx-Shop bestellen.

Tipp der Woche

Bilder vergleichen mit diffimg
Bilder vergleichen mit diffimg
Tim Schürmann, 01.04.2014 12:40, 1 Kommentare

Das kleine Werkzeug diffimg kann zwei (scheinbar) identische Bilder miteinander vergleichen und die Unterschiede optisch hervorheben. Damit lassen sich nicht nur Rätsel a la „Orignial und Fäls...

Aktuelle Fragen

Owncloud mit Linuxmint 15 32 Bit
Santana Muggel, 24.04.2014 16:45, 0 Antworten
Hallo, ich habe nach dem Artikel in Heft 05.2014 versucht, owncloud einzurichten. Bei der Inst...
programm suche
Hans-Joachim Köpke, 13.04.2014 10:43, 8 Antworten
suche noch programme die zu windows gibt, die auch unter linux laufen bzw sich ähneln sozusagen a...
Funknetz (Web-Stick)
Hans-Joachim Köpke, 04.04.2014 07:31, 2 Antworten
Bei Windows7 brauche ich den Stick nur ins USB-Fach schieben dann erkennt Windows7 Automatisch, a...
Ubuntu 13.10 überschreibt immer Windows 8 Bootmanager
Thomas Weiss, 15.03.2014 19:20, 8 Antworten
Hallo Leute, ich hoffe das ich richtig bin. Ich habe einen Dell Insipron 660 Ich möchte gerne Ub...
USB-PTP-Class Kamera wird nicht erkannt (Windows-only)
Wimpy *, 14.03.2014 13:04, 15 Antworten
ich habe meiner Frau eine Digitalkamera, AGFA Optima 103, gekauft und wir sind sehr zufrieden dam...