Iptables ausprobieren

Beschränkt man sich auf die Basis-Funktion einer Firewall, könnte eine Minimalversion einer Desktop-Firewall in Iptable-Syntax also etwa so aussehen wie in Listing 1. Das Beispiel erlaubt ausschließlich ausgehende Kommunikation über das HTTP-Protokoll auf den Zielport 80. Mit dieser Konfiguration können Sie daher nicht auf SSL-geschützten Webseiten surfen. Die letzten beiden ESTABLISHED-Regeln sind für eine SPI-Firewall sehr wichtig und erlauben das Durchlassen sämtlicher Pakete bereits bestehender Verbindungen.

Listing 1

# F für 'flush' löscht alle möglicherweise bestehenden Regeln.
  iptables -F
# P steht für 'Policy'.
# Alle Pakete verwerfen, die via INPUT eingehen oder
# via OUTPUT oder FORWARD hinaus wollen
  iptables -P INPUT DROP
  iptables -P OUTPUT DROP
  iptables -P FORWARD DROP
# erlaubt (A='Accept') alle eingehenden (INPUT) und ausgehenden (OUTPUT)
# Pakete auf dem Interface (-i) lo (Localhost)
  iptables -A INPUT -i lo -j ACCEPT
  iptables -A OUTPUT -o lo -j ACCEPT
# bis hier ist alles verboten, außer Verbindungen von und zu Localhost
# erlaubt auf den Quell-Ports 1024 bis 65535 (-j ACCEPT) ausgehende (OUTPUT)
# HTTP-Verbindungen (port 80) für das TCP-Protokoll (-p tcp)
  iptables -A OUTPUT -o eth0 -p tcp --dport 80 --sport 1024:65535 -j ACCEPT
# erlaubt für bereits etablierte Verbindungen ein- und ausgehende Pakete
  iptables -A INPUT -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
  iptables -A OUTPUT -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT

Iptables-Frontends

Mit diesen Grundlagen kommen Sie mit jedem grafischen Iptables-Frontend zurechtkommen und können sich ihre Regeln nach Bedarf "zurechtklicken": Diese Werkzeuge tun nichts anderes, als die von Ihnen in der GUI zusammengestellten Regeln in eine Iptables-Konfigurationsdatei zu schreiben, die Sie mit jedem Editor überprüfen können.

Im folgenden Beispiel verwenden wir Fedora und dessen grafisches Iptables-Frontend System-config-firewall. Starten Sie das Werkzeug – es benötigt wie jedes Iptables-Werkzeug Root-Rechte – dürfte es für Sie jetzt kein kein Problem mehr sein, die Firewall mit den Schaltflächen Aktivieren beziehungsweise Deaktivieren in der Symbolleiste ein- oder auszuschalten sowie im Bereich Trusted Dienste durch einfaches Setzen von Häkchen die benötigen Ports und Dienste freizugeben (Abbildung 1).

Abbildung 1: So sperren Sie sukzessive per Mausklick Dienste auf einem Fedora-Rechner aus.

Um die oben genannten Informationen zu überprüfen, entfernen Sie exemplarisch sämtliche Regeln mit Ausnahme der letzten (WWW(HTTP) 80/tcp) und klicken dann auf Anwenden. Das Tool weist Sie noch einmal darauf hin, dass für das Funktionieren der Firewall das Paket Iptables installiert sein muss (Abbildung 2).

Abbildung 2: Fedoras System-config-firewall setzt das Installieren von Iptables voraus.

Nun werfen Sie zur Überprüfung mit einem beliebigen Editor einen Blick in die Datei /etc/sysconfig/iptables (Abbildung 3). Das Ergebnis entspricht in seiner Einfachheit in etwa der Konfiguration, die wir oben manuell erarbeitet haben. Stoppen Sie die Firewall über das GUI oder mittels systemctl stop iptables.service, leert sich die Datei sofort.

Abbildung 3: Das GUI-Tool erzeugt die gleiche Konfiguration wie unser manuell erstellten Iptables-Regelwerk.

Die hier genannten Namen und Pfade gelten für Fedora und das Tool System-config-firewall. Andere Firewall-Frontends und andere Distributionen verwenden andere Dateien, das ändert aber nichts am Prinzip. Exemplarisch konfigurieren wir das gleiche Minimal-Beispiel unter Ubuntu mit Firestarter. Der verlangt erst das Abarbeiten eines Assistenten, indem Sie unter anderem das zu überwachende Interface wählen (Abbildung 4). Diesen Assistenten können Sie über das Menü Firewall jederzeit wieder aufrufen.

Abbildung 4: Der Firestarter bringt einen Konfigurationsassistenten mit.

Sie können jedes Iptables-Regelwerk im Whitelist- (restriktiv) oder Blacklist-Verfahren (liberal) konfigurieren. Unser Beispiel folgt der gängigen Methode, zunächst jegliche Kommunikation zu verbieten, alle Pakete zu verwerfen und danach sukzessive die tatsächlich benötigten Dienste nebst Ports zu öffnen.

In Firestarter wechseln Sie dazu zum Reiter Richtlinie und wählen zunächst im Auswahlfeld Bearbeiten der den Eintrag Richtlinie für ausgehenden Verkehr. Danach aktivieren Sie per Radio-Button die Option Einschränkende Voreinstellung, Whitelist-Verkehr, womit der Bereich direkt darunter seine Bezeichnung zu Verbindungen zulassen zu Rechner wechselt.

Hier wählen Sie per Kontextmenü (rechte Maustaste) den Eintrag Regel hinzufügen und füllen nach Bedarf das Eingabefeld Verbindungen zulassen zu aus, indem Sie die gewünschte IP-, Rechner- oder Netzwerkadresse eingeben. Danach fügen Sie im dritten Bereich Erlaube Dienst ganz unten ebenfalls per Kontextmenü eine weitere neue Regel ein. Den Dienstnamen (HTTP) wählen Sie aus der Listenauswahl, was den Standardport (80) automatisch setzt (Abbildung 5). Mit einem Klick auf Hinzufügen haben Sie dann nominell das Gleiche erreicht wie beim Fedora-Tool.

Abbildung 5: Das manuelle Erstellen einer neuen Firestarter-Regel.

Mit den bisherigen Erkenntnissen sollte es für Sie kein Problem sein, Firestarter, System-config-firewall, Firewall Builder oder andere entsprechende GUI-Tools sukzessive weiter mit eigenen Regeln zu bestücken.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Iptables-GUIs im Vergleich
    Mit dem richtigen Werkzeug ist das Einrichten einer Desktop-Firewall keine Kunst. Wo die distributionseigenen Tools schwächeln, helfen clevere Alternativen weiter.
  • Kein Durchgang
    Unter KDE bietet KMyFirewall ein komfortables grafische Frontend zur Konfiguration des Iptables-Paketfilters.
  • Frontends für Iptables
    Der Umgang mit iptables leicht gemacht
  • Grafische Firewall-Administration mit FWBuilder 2.0
    Linux bringt eine leistungsfähige Firewall mit. Sie manuell zu konfigurieren, bringt jedoch selbst Profis ins Schwitzen. Mit dem grafischen Firewall Builder dagegen behalten Sie sogar komplexe Regelwerke bequem im Griff.
  • Paketfilter-Firewall
    Eine Firewall sollte heutzutage zum unverzichtbaren Sicherheitsrepertoire jedes vernetzten Computers gehören. Aktuelle Linux-Distributionen liefern die Software dazu mit – man muss sie nur benutzen können.
Kommentare

Infos zur Publikation

LU 09/2016: Ciao, Windows!

Digitale Ausgabe: Preis € 5,99
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Scannen nicht möglich
Werner Hahn, 19.08.2016 22:33, 3 Antworten
Laptop DELL Latitude E6510 mit Ubuntu 16,04, Canon Pixma MG5450. Das Drucken funktioniert, Scann...
Wie kann man das berichtigen
Udo Muelle, 17.07.2016 20:39, 1 Antworten
Fehlschlag beim Holen von http://extra.linuxmint.com/dists/rosa/main/binary-i386/Packages Hash-S...
Installation Genimotion
Horst Müller, 15.07.2016 17:00, 1 Antworten
Hallo, ich kann Genimotion nicht installieren. Folgende Fehlermeldung habe ich beim Aufruf erh...
Probleme beim Hochfahren der Terastaion 5400 mit Unix-Distrib
Sheldon Cooper, 10.07.2016 09:32, 0 Antworten
Hallo ihr lieben, habe seit zwei Tagen das Problem, das das NAS (Raid5) nicht mehr sauber hoch...
Mit Firewire Videos improtieren?
Werner Hahn, 09.06.2016 11:06, 5 Antworten
Ich besitze den Camcorder Panasonic NV-GS330, bei dem die Videos in guter Qualität nur über den 4...