Firewall

IPFire basiert auf dem Kernel-Modul Netfilter und dem Regelwerk Iptables. Dadurch bietet die Distribution eine ausgereifte Stateful-Packet-Inspection und beherrscht Routing- sowie Masquerading-Funktionen. Die Firewall passen Sie mithilfe eigener Regeln Ihren individuellen Bedürfnissen an. Sie erreichen die Konfigurationsoptionen über den Reiter firewall oben rechts im Browserfenster.

Im sich nun öffnenden Kontextmenü am rechten Bildschirmrand rufen Sie unterschiedliche Gruppenmenüs auf. Links im Hauptbereich finden Sie zunächst Optionen, um neue Regeln hinzuzufügen, darunter sehen Sie eine leere Tabelle. Um eigene Firewall-Regeln zu entwerfen, sollten Sie sich zunächst mit der Syntax und Funktionsweise von Iptables vertraut gemacht haben [3], da fehlerhafte Regeln schnell zu unerwünschten Ergebnissen führen.

Die im Hauptfenster neu zu definierenden Regeln betreffen lediglich den eingehenden Datenverkehr. In der Voreinstellung verbietet IPFire jeglichen Zugriff von außen auf die im internen Netz befindlichen Rechner und verwirft solche externen Anfragen mithilfe der Drop-Regel. Daher sichert die Firewall bereits ab Werk das Intranet bei eingehenden Verbindungen komplett ab. Wichtiger sind deshalb ausgehende Firewall-Regeln.

Um diese zu bearbeiten, klicken Sie im Reiter ipfire rechts auf den Eintrag Ausgehende Firewall. Sie finden nun drei verschiedene voreingestellte Modi, von denen der erste – Modus 0 – aktiviert ist. Er erlaubt jegliche Form von Kommunikation nach außen, inklusive von Peer-to-Peer-Diensten. Daher können sich bei dieser Einstellung viele Sicherheitsprobleme ergeben, insbesondere dann, wenn hinter der Firewall im Intranet Windows-Rechner laufen. Sie sollten daher den Modus wechseln und können anschließend sehr detailliert nicht nur die Peer-to-Peer-Optionen konfigurieren, sondern finden auch eine stattliche Liste mit bereits vordefinierten Regeln, die Sie per Mausklick dem System hinzufügen.

Um das Regelwerk zu modifizieren, wechseln Sie zunächst durch einen Klick auf das entsprechende Auswahlfeld in den Modus 1 oder Modus 2. Durch einen weiteren Klick auf die Schaltfläche Speichern aktivieren Sie den neuen Modus. Der Modus 1 bietet hier die höchste Sicherheitsstufe, indem er lediglich die explizit im Regelwerk definierten Paketwege und Protokolle freigibt und alle anderen verwirft.

Deshalb können Sie auch ohne eine entsprechende Freigabe sofort nach Aktivierung des Modus 1 nicht mehr auf das Internet zugreifen: IPfire sperrt nun die Ports 80 und 443, welche das HTTP- und HTTPS-Protokoll nutzen. Auch den Port 444 sollten Sie auf der Firewall freischalten, da Sie sonst vom Intranet aus nicht mehr den IPFire-Rechner konfigurieren können. Sie fügen die entsprechenden Freigaben hinzu, indem Sie auf die Schaltfläche Regel hinzufügen oben im Konfigurationsfenster klicken.

Anschließend finden Sie oben in der Anzeige einen Bereich zur manuellen Eingabe einer Regel sowie darunter in der Rubrik quick add die bereits vorgefertigten Regeln. Die jeweilige Regel können Sie in Ihre Tabelle übernehmen, indem Sie rechts in der Liste auf das Bleistift-Symbol klicken (Abbildung 2).

Abbildung 2: Neue Regeln für die Firewall aktivieren Sie per Mausklick.

Die einzelnen Freigaben passen Sie dann Ihren Wünschen gemäß an. So ist es möglich, einzelne Ports nur zu bestimmten Zeiten an definierten Wochentagen freizuschalten, wobei Sie hier bei Bedarf die Freigabe sogar auf einzelne Rechner im Intranet (identifiziert via IP-Adresse) oder Subnetze beschränken. Im direkt unter der Regeltabelle befindlichen p2p-block können Sie zudem durch einen Mausklick auf das jeweilige Häkchen in der Spalte Status den gewünschten Dienst blockieren. IPFire zeigt diese Modifikation durch ein rotes Kreissymbol mit weißem Kreuz darin an.

Versehentlich in die Regelliste aufgenommene Anweisungen löschen Sie durch einen Klick auf das Papierkorb-Symbol rechts in der Spalte Aktion wieder. Insbesondere dann, wenn Sie in DMZ oder Intranet Windows-Rechner einsetzen, müssen Sie mehrere Regeln für Microsoft-spezifische Protokolle aktivieren. Anderenfalls bleiben die zu diesen Protokollen gehörigen Ports geschlossen und die Windows-PCs funktionieren unter Umständen nicht mehr richtig.

URL-Filter

Ein weiteres nützliches Feature stellt der URL-Filter von IPFire dar. Sie erreichen ihn über den Reiter netzwerk und den dortigen Sidemenu-Eintrag URL-Filter. Dabei entpuppt sich der Mechanismus nicht nur als reiner URL-Filter, sondern schon als ausgewachsener Content-Filter: Sie können also nicht nur mithilfe einer weißen und schwarzen Liste Domänen und URLs freigeben oder sperren, sondern obendrein auch Ausdrücke und Dateierweiterungen berücksichtigen (Abbildung 3). Somit lassen sich per Mausklick beispielsweise multimediale Dateien oder Datei-Archive von der Verwendung im Intranet ausschließen.

Abbildung 3: Der URL-Filter beinhaltet auf Wunsch auch eine Filterung von Inhalten.

Für heterogen aufgebaute Netze mit Windows-Clients erscheint zudem die Option nützlich, ausführbare Dateien zu sperren, um Schadsoftware fernzuhalten. Auch IP-Adressen und Zeitkontingente lassen sich hier verwalten, sodass bestimmte Rechner nur zu definierten Zeiten Zugang zum Internet erhalten. Schließlich können Sie bei den URL-Filter-Einstellungen auch noch Sperrseiten anlegen und wahlfrei gestalten, die beim Aufruf einer gesperrten URL am Bildschirm erscheinen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 

Ähnliche Artikel

  • Firewall-Distribution IPFire
    Die Firewall-Distribution IPFire sichert nicht nur Ihr Netz gegen Angriffe von außen ab, sondern ermöglicht auch das anonyme Surfen via Tor-Netzwerk.
  • Firewall-Distribution IPFire
    Als markanteste Änderung an Version 2.11 von IPFire integrierten die Entwickler eine stark erweiterte VPN-Funktionalität in die Firewall-Distribution. Der Artikel zeigt, wie Sie diese nutzen.
  • Freie Firewall IPfire 2.11

    Die Firewall-/Router-Distribution IPfire bietet ihre Software in Version 2.11 auch für ARM-Prozessoren an.
  • Firewall-Projekt startet Crowd-Funding-Portal

    Das beliebte Open-Source-Firewall-Projekt Ipfire hat eine Crowdfunding-Plattform ins Leben gerufen, auf der freiwillige Spenden für eine Wunschliste an Erweiterungen abgegeben werden können.
  • IPfire bekommt Security-Fix

    Die Entwickler der Firewall-Distribution IPfire haben mit 2.11 Core Update 56 eine Sicherheitsaktualisierung veröffentlicht.
Kommentare

Infos zur Publikation

LU 12/2014: ANONYM & SICHER

Digitale Ausgabe: Preis € 4,95
(inkl. 19% MwSt.)

Mit der Zeitschrift LinuxUser sind Sie als Power-User, Shell-Guru oder Administrator im kleinen Unternehmen monatlich auf dem aktuelle Stand in Sachen Linux und Open Source.

Sie sind sich nicht sicher, ob die Themen Ihnen liegen? Im Probeabo erhalten Sie drei Ausgaben zum reduzierten Preis. Einzelhefte, Abonnements sowie digitale Ausgaben erwerben Sie ganz einfach in unserem Online-Shop.

NEU: DIGITALE AUSGABEN FÜR TABLET & SMARTPHONE

HINWEIS ZU PAYPAL: Die Zahlung ist auch ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!       

Tipp der Woche

Ubuntu 14.10 und VirtualBox
Ubuntu 14.10 und VirtualBox
Tim Schürmann, 08.11.2014 18:45, 0 Kommentare

Wer Ubuntu 14.10 in einer virtuellen Maschine unter VirtualBox startet, der landet unter Umständen in einem Fenster mit Grafikmüll. Zu einem korrekt ...

Aktuelle Fragen

Nach Ubdates alles weg ...
Maria Hänel, 15.11.2014 17:23, 4 Antworten
Ich brauche dringen eure Hilfe . Ich habe am wochenende ein paar Ubdates durch mein Notebook von...
Brother Drucker MFC-7420
helmut berger, 11.11.2014 12:40, 1 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu 14.04-Nutzer...
Treiber für Drucker brother MFC-7420
helmut berger, 10.11.2014 16:05, 2 Antworten
Hallo, ich habe einen Drucker, brother MFC-7420. Bin erst seit einigen Tagen ubuntu12.14-Nutzer u...
Can't find X includes.
Roland Welcker, 05.11.2014 14:39, 1 Antworten
Diese Meldung erhalte ich beim Versuch, kdar zu installieren. OpenSuse 12.3. Gruß an alle Linuxf...
DVDs über einen geeigneten DLNA-Server schauen
GoaSkin , 03.11.2014 17:19, 0 Antworten
Mein DVD-Player wird fast nie genutzt. Darum möchte ich ihn eigentlich gerne abbauen. Dennoch wür...