Neues Mäuerchen

Fedoras frische Firewall

20.08.2012
Im stillen Kämmerlein werkeln die Fedora-Entwickler seit einer ganzen Weile an Firewalld. Der Daemon soll die Konfiguration der Firewall drastisch vereinfachen und kommt ab Fedora 18 standardmäßig zum Einsatz.

Zum Lieferumfang eines jeden Linux-Kernels gehört auch eine recht mächtige Firewall. Ihre Einrichtung über die üblichen Kommandozeilenwerkzeuge wie iptables gestaltet sich jedoch recht kompliziert und fehleranfällig. Darüber hinaus kann sie nicht gezielt einzelne Programme in ihre Schranken verweisen und vergisst nach einem Systemneustart alle im laufenden Betrieb hinzugefügten Filterregeln.

Wer schließlich noch ihren Funktionsumfang der Firewall über spezielle Kernelmodule aufbohren möchte, den zwingt sie mitunter zu einem Neustart und kappt dabei alle aktuellen Verbindungen – was nur selten erwünscht sein dürfte. Aus diesen Gründen setzen viele Distributionen mittlerweile eigene Firewalls ein. Ubuntu-Nutzer dürfen sich beispielsweise an der "Uncomplicated Firewall" Ufw samt grafischem Frontend Gufw erfreuen [1].

Fedora bot bislang nur eine grafische Benutzeroberfläche für Iptables. Das soll sich jedoch schon im November mit Fedora 18 ändern: Es bekommt mit dem Firewall-Daemon oder kurz Firewalld ebenfalls eine eigene Firewall spendiert. Wie deren Name schon andeutet, läuft sie ständig als Dienst im Hintergrund. Filterregeln dürfen Sie jederzeit hinzufügen und entfernen, ohne die Firewall neu starten zu müssen. Das ist besonders nützlich, wenn andere Dienste während des Betriebs dynamisch Regeln ergänzen (müssen). Zu solchen Gesellen zählt beispielsweise Libvirtd, der virtuelle Maschinen verwaltet [2].

Darüber hinaus möchte Firewalld die Einrichtung vereinfachen. Dank der sogenannten Services müssen Sie in der Regel nur noch den Namen des Dienstes nennen, um die passenden Ports zu öffnen oder zu schließen. Darüber hinaus kann Firewalld zwischen verschiedenen Aufenthaltsorten unterscheiden und beispielsweise am Flughafen die Schotten dichtmachen, im Heimnetz jedoch den Zugriff auf den Dateiserver gewähren.

Firewall im Kernel

Die im Kernel enthaltene Firewall besteht aus mehreren Teilen. Die Basis bildet ein Netfilter genanntes Modul. Es bietet Funktionen an, über die andere Kernel-(Helfer-)Module die ein- und ausgehenden Netzwerkpakete untersuchen und filtern können. Dazu zählt beispielsweise das Modul Iptables, das wiederum vom gleichnamigen Kommandozeilenprogramm die Filter-Regeln erhält. Auch Firewalld nutzt das Netfilter-Angebot und ersetzt mit seinen eigenen Funktionen auf einen Schlag die vier Module Iptables, Ip6tables, Arptables sowie Ebtables (Abbildung 1). Firewalld selbst ist übrigens komplett in Python geschrieben – für eine Firewall recht ungewöhnlich.

Abbildung 1: Firewall-cmd steuert den Firewall-Daemon, der wiederum die Funktionen von Netfilter nutzt.

Feuer-Dämon

Firewalld tauchte erstmals in den Repositories von Fedora 15 auf. Auch im aktuellen F17 müssen Sie Firewalld noch explizit nachinstallieren, erst ab Fedora 18 soll der Dienst dann standardmäßig zum Einsatz kommen. Den Quellcode aller bislang veröffentlichten Firewalld-Versionen finden Sie bei Fedorahosted.org [3]. Er sollte sich auch auf anderen Distributionen installieren lassen – vorausgesetzt, dort kollidiert Firewalld nicht mit einer bereits laufenden Firewall.

Aber auch unter Fedora müssen Sie sich entscheiden: Wer Iptables und Co. nutzt, schiebt die Regeln an Firewalld vorbei. Das ergibt im Extremfall einen inkonsistenten Regel-Mischmasch. Tabu bleibt somit auch die grafische Benutzeroberfläche System-config-firewall, die auf dem Desktop schlicht als Firewall firmiert (unter Gnome 3 steckt sie unter Anwendungen | Sonstige, Abbildung 2). Derzeit lassen sich Firewalld und die Iptables-Werkzeuge noch gleichzeitig installieren. Zukünftig soll sich der Benutzer bei der Installation, dem ersten Systemstart oder der ersten Benutzung des Netzwerks für eine der beiden Varianten entscheiden können beziehungsweise müssen.

Abbildung 2: Das Firewall-Einrichtungsprogramm ist für Firewalld nicht nur nutzlos, sondern sogar kontraproduktiv.

Brandstifter

Wenn Sie Firewalld ausprobieren möchten, installieren Sie unter Fedora 17 die Pakete firewalld und firewall-applet samt Abhängigkeiten. Das Firewall-Applet zeigt später wie in Abbildung 3 den Status der Firewall an. Nach der Installation der Pakete bietet Fedora an, das Applet zu starten, was Sie per Ausführen annehmen.

Abbildung 3: Das Firewalld-Applet liefert Statusinformationen über die Firewall (hier unter dem XFCE-Spin von F17).

Da Firewalld noch nicht läuft, blinkt das Applet nur einmal kurz auf und verschwindet umgehend wieder. Daher schließen Sie den Paketmanager, öffnen ein Terminalfenster, melden sich dort als Benutzer root an und starten schließlich über den Aufruf systemctl start firewalld.service den Dienst Firewalld (Abbildung 4). Jetzt sollte auch das Applet wieder auftauchen und eine zu Firewalld aufgebaute Verbindung melden.

Abbildung 4: Firewalld lässt sich direkt nach der Installation bequem über systemctl starten, danach fährt der Dienst automatisch beim Systemstart mit hoch.

Um Ports für den Netzwerkverkehr zu öffnen, gilt es irgendwie mit dem laufenden Firewalld Verbindung aufzunehmen. Dem Willen der Entwickler zufolge soll das primär über das Kommunikationssystem D-Bus geschehen. Über dieses lässt sich Firewalld steuern und nach dem aktuellen Befinden der Firewall befragen. Die Kommunikation über den D-Bus hat den Vorteil, dass auf diese Weise der Berechtigungsdienst PolicyKit [4] den Zugriff auf die Firewall reglementieren kann. Zur D-Bus-Schnittstelle und ihrer Verwendung gibt es allerdings derzeit keine weiteren Informationen. Die entsprechende Manpage existierte zu Redaktionsschluss schlichtweg noch nicht, und auch die Firewalld-Seiten im Fedora-Wiki [5] schweigen sich hierüber aus.

Glücklicherweise liegt Firewalld noch das Kommandozeilenwerkzeug firewall-cmd bei, mit dem sich alle administrativen Aufgaben vornehmen lassen. Um mit ihm bequem Löcher in die Firewall bohren zu können, müssen allerdings erst noch ein paar passende Firewalld-Services her.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 4 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Fedora 17 im Überblick
    Mit Fedora 17 unterstreicht Red Hats Community-Distribution ihren professionellen Anspruch. Einige kleinere Schwächen leistet sie sich aber doch.
  • Feuerfest
    Steht dem PC das Tor zum Internet offen, sollte man einen Wächter engagieren, der unerwünschte Gäste draußen hält. Iptables ist solch ein qualifizierter Türsteher.
  • Die OpenSuse-Firewall konfigurieren
    OpenSuse richtet bei der Installation automatisch eine Firewall ein und startet diese jedes Mal, wenn Sie den Rechner hochfahren. Dieser Artikel zeigt, was die Firewall genau macht und wie Sie Ihre Einstellungen vornehmen.
  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Heft-DVDs 03/2013
Kommentare

Infos zur Publikation

LU 11/2014: VIDEOS BEARBEITEN

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Artikelsuche
Erwin Ruitenberg, 09.10.2014 07:51, 1 Antworten
Ich habe seit einige Jahre ein Dugisub LinuxUser. Dann weiß ich das irgendwann ein bestimmtes Art...
Windows 8 startet nur mit externer Festplatte
Anne La, 10.09.2014 17:25, 4 Antworten
Hallo Leute, also, ich bin auf folgendes Problem gestoßen: Ich habe Ubuntu 14.04 auf meiner...
Videoüberwachung mit Zoneminder
Heinz Becker, 10.08.2014 17:57, 0 Antworten
Hallo, ich habe den ZONEMINDER erfolgreich installiert. Das Bild erscheint jedoch nicht,...
internes Wlan und USB-Wlan-Srick
Gerhard Blobner, 04.08.2014 15:20, 2 Antworten
Hallo Linux-Forum: ich bin ein neuer Linux-User (ca. 25 Jahre Windows) und bin von WIN 8 auf Mint...
Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 1 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...