Firewall

IPFire basiert auf dem Kernel-Modul Netfilter und dem Regelwerk Iptables. Dadurch bietet die Distribution eine ausgereifte Stateful-Packet-Inspection und beherrscht Routing- sowie Masquerading-Funktionen. Die Firewall passen Sie mithilfe eigener Regeln Ihren individuellen Bedürfnissen an. Sie erreichen die Konfigurationsoptionen über den Reiter firewall oben rechts im Browserfenster.

Im sich nun öffnenden Kontextmenü am rechten Bildschirmrand rufen Sie unterschiedliche Gruppenmenüs auf. Links im Hauptbereich finden Sie zunächst Optionen, um neue Regeln hinzuzufügen, darunter sehen Sie eine leere Tabelle. Um eigene Firewall-Regeln zu entwerfen, sollten Sie sich zunächst mit der Syntax und Funktionsweise von Iptables vertraut gemacht haben [3], da fehlerhafte Regeln schnell zu unerwünschten Ergebnissen führen.

Die im Hauptfenster neu zu definierenden Regeln betreffen lediglich den eingehenden Datenverkehr. In der Voreinstellung verbietet IPFire jeglichen Zugriff von außen auf die im internen Netz befindlichen Rechner und verwirft solche externen Anfragen mithilfe der Drop-Regel. Daher sichert die Firewall bereits ab Werk das Intranet bei eingehenden Verbindungen komplett ab. Wichtiger sind deshalb ausgehende Firewall-Regeln.

Um diese zu bearbeiten, klicken Sie im Reiter ipfire rechts auf den Eintrag Ausgehende Firewall. Sie finden nun drei verschiedene voreingestellte Modi, von denen der erste – Modus 0 – aktiviert ist. Er erlaubt jegliche Form von Kommunikation nach außen, inklusive von Peer-to-Peer-Diensten. Daher können sich bei dieser Einstellung viele Sicherheitsprobleme ergeben, insbesondere dann, wenn hinter der Firewall im Intranet Windows-Rechner laufen. Sie sollten daher den Modus wechseln und können anschließend sehr detailliert nicht nur die Peer-to-Peer-Optionen konfigurieren, sondern finden auch eine stattliche Liste mit bereits vordefinierten Regeln, die Sie per Mausklick dem System hinzufügen.

Um das Regelwerk zu modifizieren, wechseln Sie zunächst durch einen Klick auf das entsprechende Auswahlfeld in den Modus 1 oder Modus 2. Durch einen weiteren Klick auf die Schaltfläche Speichern aktivieren Sie den neuen Modus. Der Modus 1 bietet hier die höchste Sicherheitsstufe, indem er lediglich die explizit im Regelwerk definierten Paketwege und Protokolle freigibt und alle anderen verwirft.

Deshalb können Sie auch ohne eine entsprechende Freigabe sofort nach Aktivierung des Modus 1 nicht mehr auf das Internet zugreifen: IPfire sperrt nun die Ports 80 und 443, welche das HTTP- und HTTPS-Protokoll nutzen. Auch den Port 444 sollten Sie auf der Firewall freischalten, da Sie sonst vom Intranet aus nicht mehr den IPFire-Rechner konfigurieren können. Sie fügen die entsprechenden Freigaben hinzu, indem Sie auf die Schaltfläche Regel hinzufügen oben im Konfigurationsfenster klicken.

Anschließend finden Sie oben in der Anzeige einen Bereich zur manuellen Eingabe einer Regel sowie darunter in der Rubrik quick add die bereits vorgefertigten Regeln. Die jeweilige Regel können Sie in Ihre Tabelle übernehmen, indem Sie rechts in der Liste auf das Bleistift-Symbol klicken (Abbildung 2).

Abbildung 2: Neue Regeln für die Firewall aktivieren Sie per Mausklick.

Die einzelnen Freigaben passen Sie dann Ihren Wünschen gemäß an. So ist es möglich, einzelne Ports nur zu bestimmten Zeiten an definierten Wochentagen freizuschalten, wobei Sie hier bei Bedarf die Freigabe sogar auf einzelne Rechner im Intranet (identifiziert via IP-Adresse) oder Subnetze beschränken. Im direkt unter der Regeltabelle befindlichen p2p-block können Sie zudem durch einen Mausklick auf das jeweilige Häkchen in der Spalte Status den gewünschten Dienst blockieren. IPFire zeigt diese Modifikation durch ein rotes Kreissymbol mit weißem Kreuz darin an.

Versehentlich in die Regelliste aufgenommene Anweisungen löschen Sie durch einen Klick auf das Papierkorb-Symbol rechts in der Spalte Aktion wieder. Insbesondere dann, wenn Sie in DMZ oder Intranet Windows-Rechner einsetzen, müssen Sie mehrere Regeln für Microsoft-spezifische Protokolle aktivieren. Anderenfalls bleiben die zu diesen Protokollen gehörigen Ports geschlossen und die Windows-PCs funktionieren unter Umständen nicht mehr richtig.

URL-Filter

Ein weiteres nützliches Feature stellt der URL-Filter von IPFire dar. Sie erreichen ihn über den Reiter netzwerk und den dortigen Sidemenu-Eintrag URL-Filter. Dabei entpuppt sich der Mechanismus nicht nur als reiner URL-Filter, sondern schon als ausgewachsener Content-Filter: Sie können also nicht nur mithilfe einer weißen und schwarzen Liste Domänen und URLs freigeben oder sperren, sondern obendrein auch Ausdrücke und Dateierweiterungen berücksichtigen (Abbildung 3). Somit lassen sich per Mausklick beispielsweise multimediale Dateien oder Datei-Archive von der Verwendung im Intranet ausschließen.

Abbildung 3: Der URL-Filter beinhaltet auf Wunsch auch eine Filterung von Inhalten.

Für heterogen aufgebaute Netze mit Windows-Clients erscheint zudem die Option nützlich, ausführbare Dateien zu sperren, um Schadsoftware fernzuhalten. Auch IP-Adressen und Zeitkontingente lassen sich hier verwalten, sodass bestimmte Rechner nur zu definierten Zeiten Zugang zum Internet erhalten. Schließlich können Sie bei den URL-Filter-Einstellungen auch noch Sperrseiten anlegen und wahlfrei gestalten, die beim Aufruf einer gesperrten URL am Bildschirm erscheinen.

Diesen Artikel als PDF kaufen

Express-Kauf als PDF

Umfang: 5 Heftseiten

Preis € 0,99
(inkl. 19% MwSt.)

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Firewall-Distribution IPFire
    Die Firewall-Distribution IPFire sichert nicht nur Ihr Netz gegen Angriffe von außen ab, sondern ermöglicht auch das anonyme Surfen via Tor-Netzwerk.
  • IPFire 2.17 Core Update 94
    Die auf den Betrieb als Firewall optimierte Distribution IPFire liegt in einer neuen Version vor. Sie behebt vor allem Fehler und erhöht die Sicherheit. So flog etwa die Unterstützung für DSA-Verschlüsselung von Bord.
  • IPFire 2.19 Core Update 100 veröffentlicht
    Die zum Betrieb als Firewall ausgelegte Distribution IPFire liegt in einer neuen Version vor. Pünktlich zum 100. Update aktualisiert sie nicht nur die mitgelieferte Software, sondern steht erstmals auch in einer 64-Bit-Fassung bereit.
  • Firewall-Distribution IPFire
    Als markanteste Änderung an Version 2.11 von IPFire integrierten die Entwickler eine stark erweiterte VPN-Funktionalität in die Firewall-Distribution. Der Artikel zeigt, wie Sie diese nutzen.
  • Freie Firewall IPfire 2.11

    Die Firewall-/Router-Distribution IPfire bietet ihre Software in Version 2.11 auch für ARM-Prozessoren an.
Kommentare

Infos zur Publikation

LU 10/2016: Kryptographie

Digitale Ausgabe: Preis € 0,00
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Aktuelle Fragen

Soundkarte wird erkannt, aber kein Ton
H A, 25.09.2016 01:37, 6 Antworten
Hallo, Ich weiß, dass es zu diesem Thema sehr oft Fragen gestellt wurden. Aber da ich ein Linu...
Scannen nur schwarz-weiß möglich
Werner Hahn, 20.09.2016 13:21, 2 Antworten
Canon Pixma MG5450S, Dell Latitude E6510, Betriebssyteme Ubuntu 16.04 und Windows 7. Der Canon-D...
Meteorit NB-7 startet nicht
Thomas Helbig, 13.09.2016 02:03, 3 Antworten
Verehrte Community Ich habe vor Kurzem einen Netbook-Oldie geschenkt bekommen. Beim Start ersch...
windows bootloader bei instalation gelöscht
markus Schneider, 12.09.2016 23:03, 1 Antworten
Hallo alle zusammen, ich habe neben meinem Windows 10 ein SL 7.2 Linux installiert und musste...
Ubuntu 16 LTE installiert, neustart friert ein
Matthias Nagel, 10.09.2016 01:16, 3 Antworten
hallo und guten Abend, hab mich heute mal darangewagt, Ubuntu 16 LTE parallel zu installieren....