Iptables ausprobieren

Beschränkt man sich auf die Basis-Funktion einer Firewall, könnte eine Minimalversion einer Desktop-Firewall in Iptable-Syntax also etwa so aussehen wie in Listing 1. Das Beispiel erlaubt ausschließlich ausgehende Kommunikation über das HTTP-Protokoll auf den Zielport 80. Mit dieser Konfiguration können Sie daher nicht auf SSL-geschützten Webseiten surfen. Die letzten beiden ESTABLISHED-Regeln sind für eine SPI-Firewall sehr wichtig und erlauben das Durchlassen sämtlicher Pakete bereits bestehender Verbindungen.

Listing 1

# F für 'flush' löscht alle möglicherweise bestehenden Regeln.
  iptables -F
# P steht für 'Policy'.
# Alle Pakete verwerfen, die via INPUT eingehen oder
# via OUTPUT oder FORWARD hinaus wollen
  iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD DROP
# erlaubt (A='Accept') alle eingehenden (INPUT) und ausgehenden (OUTPUT)
# Pakete auf dem Interface (-i) lo (Localhost)
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A OUTPUT -o lo -j ACCEPT
# bis hier ist alles verboten, außer Verbindungen von und zu Localhost
# erlaubt auf den Quell-Ports 1024 bis 65535 (-j ACCEPT) ausgehende (OUTPUT)
# HTTP-Verbindungen (port 80) für das TCP-Protokoll (-p tcp)
  iptables -A OUTPUT -o eth0 -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
# erlaubt für bereits etablierte Verbindungen ein- und ausgehende Pakete
  iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  iptables -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Iptables-Frontends

Mit diesen Grundlagen kommen Sie mit jedem grafischen Iptables-Frontend zurechtkommen und können sich ihre Regeln nach Bedarf "zurechtklicken": Diese Werkzeuge tun nichts anderes, als die von Ihnen in der GUI zusammengestellten Regeln in eine Iptables-Konfigurationsdatei zu schreiben, die Sie mit jedem Editor überprüfen können.

Im folgenden Beispiel verwenden wir Fedora und dessen grafisches Iptables-Frontend System-config-firewall. Starten Sie das Werkzeug – es benötigt wie jedes Iptables-Werkzeug Root-Rechte – dürfte es für Sie jetzt kein kein Problem mehr sein, die Firewall mit den Schaltflächen Aktivieren beziehungsweise Deaktivieren in der Symbolleiste ein- oder auszuschalten sowie im Bereich Trusted Dienste durch einfaches Setzen von Häkchen die benötigen Ports und Dienste freizugeben (Abbildung 1).

Abbildung 1: So sperren Sie sukzessive per Mausklick Dienste auf einem Fedora-Rechner aus.

Um die oben genannten Informationen zu überprüfen, entfernen Sie exemplarisch sämtliche Regeln mit Ausnahme der letzten (WWW(HTTP) 80/tcp) und klicken dann auf Anwenden. Das Tool weist Sie noch einmal darauf hin, dass für das Funktionieren der Firewall das Paket Iptables installiert sein muss (Abbildung 2).

Abbildung 2: Fedoras System-config-firewall setzt das Installieren von Iptables voraus.

Nun werfen Sie zur Überprüfung mit einem beliebigen Editor einen Blick in die Datei /etc/sysconfig/iptables (Abbildung 3). Das Ergebnis entspricht in seiner Einfachheit in etwa der Konfiguration, die wir oben manuell erarbeitet haben. Stoppen Sie die Firewall über das GUI oder mittels systemctl stop iptables.service, leert sich die Datei sofort.

Abbildung 3: Das GUI-Tool erzeugt die gleiche Konfiguration wie unser manuell erstellten Iptables-Regelwerk.

Die hier genannten Namen und Pfade gelten für Fedora und das Tool System-config-firewall. Andere Firewall-Frontends und andere Distributionen verwenden andere Dateien, das ändert aber nichts am Prinzip. Exemplarisch konfigurieren wir das gleiche Minimal-Beispiel unter Ubuntu mit Firestarter. Der verlangt erst das Abarbeiten eines Assistenten, indem Sie unter anderem das zu überwachende Interface wählen (Abbildung 4). Diesen Assistenten können Sie über das Menü Firewall jederzeit wieder aufrufen.

Abbildung 4: Der Firestarter bringt einen Konfigurationsassistenten mit.

Sie können jedes Iptables-Regelwerk im Whitelist- (restriktiv) oder Blacklist-Verfahren (liberal) konfigurieren. Unser Beispiel folgt der gängigen Methode, zunächst jegliche Kommunikation zu verbieten, alle Pakete zu verwerfen und danach sukzessive die tatsächlich benötigten Dienste nebst Ports zu öffnen.

In Firestarter wechseln Sie dazu zum Reiter Richtlinie und wählen zunächst im Auswahlfeld Bearbeiten der den Eintrag Richtlinie für ausgehenden Verkehr. Danach aktivieren Sie per Radio-Button die Option Einschränkende Voreinstellung, Whitelist-Verkehr, womit der Bereich direkt darunter seine Bezeichnung zu Verbindungen zulassen zu Rechner wechselt.

Hier wählen Sie per Kontextmenü (rechte Maustaste) den Eintrag Regel hinzufügen und füllen nach Bedarf das Eingabefeld Verbindungen zulassen zu aus, indem Sie die gewünschte IP-, Rechner- oder Netzwerkadresse eingeben. Danach fügen Sie im dritten Bereich Erlaube Dienst ganz unten ebenfalls per Kontextmenü eine weitere neue Regel ein. Den Dienstnamen (HTTP) wählen Sie aus der Listenauswahl, was den Standardport (80) automatisch setzt (Abbildung 5). Mit einem Klick auf Hinzufügen haben Sie dann nominell das Gleiche erreicht wie beim Fedora-Tool.

Abbildung 5: Das manuelle Erstellen einer neuen Firestarter-Regel.

Mit den bisherigen Erkenntnissen sollte es für Sie kein Problem sein, Firestarter, System-config-firewall, Firewall Builder oder andere entsprechende GUI-Tools sukzessive weiter mit eigenen Regeln zu bestücken.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
  • Brandmelder
    Mit dem grafischen Iptables-Frontend Firestarter konfigurieren Sie mit wenigen Mausklicks eine funktionierende Desktop-Firewall.
Kommentare

Infos zur Publikation

title_2014_08

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Schnell Multi-Boot-Medien mit MultiCD erstellen
Schnell Multi-Boot-Medien mit MultiCD erstellen
Tim Schürmann, 24.06.2014 12:40, 0 Kommentare

Wer mehrere nützliche Live-Systeme auf eine DVD brennen möchte, kommt mit den Startmedienerstellern der Distributionen nicht besonders weit: Diese ...

Aktuelle Fragen

Server antwortet mit falschem Namen
oin notna, 21.07.2014 19:13, 0 Antworten
Hallo liebe Community, Ich habe mit Apache einen Server aufgesetzt. Soweit, so gut. Im Heimnet...
o2 surfstick software für ubuntu?
daniel soltek, 15.07.2014 18:27, 1 Antworten
hallo zusammen, habe mir einen o2 surfstick huawei bestellt und gerade festgestellt, das der nic...
Öhm - wozu Benutzername, wenn man dann hier mit Klarnamen angezeigt wird?
Thomas Kallay, 03.07.2014 20:30, 1 Antworten
Hallo Team von Linux-Community, kleine Zwischenfrage: warum muß man beim Registrieren einen Us...
openSUSE 13.1 - Login-Problem wg. Fehler im Intel-Grafiktreiber?
Thomas Kallay, 03.07.2014 20:26, 8 Antworten
Hallo Linux-Community, habe hier ein sogenanntes Hybrid-Notebook laufen, mit einer Intel-HD460...
Fernwartung für Linux?
Alfred Böllmann, 20.06.2014 15:30, 7 Antworten
Hi liebe Linux-Freunde, bin beim klassischen Probleme googeln auf www.expertiger.de gestoßen, ei...