Aus LinuxUser 07/2009

Grafische Firewall

© Christa Eder, Fotolia.de

Mauern mit Ubuntu

Für die Standard-Firewall Ufw von Ubuntu gibt es nun auch eine grafische Oberfläche. Damit kontrollieren Sie recht einfach den Datenverkehr.

Das Internet birgt Gefahren, denen die meisten Windows-Anwender mit einer Firewall begegnen. Die kontrolliert, welche Anwendungen von außen auf den Rechner zugreifen dürfen und welche Ports der Anwender geschlossen hält. Der Sinn einer Firewall liegt unter Linux nicht unbedingt auf der Hand: Spielen Sie unter Ubuntu stets zeitnah Sicherheitsupdates ein und bieten keine Dienste im Internet an, dann brauchen Sie keine Firewall. Zudem steckt heute schon in jedem DSL-Router eine Firewall, die ungewollte Verbindungen aus dem Internet auf den Rechner blockieren.

Wer allerdings keine Router-Firewall benutzt, oft unterwegs ist oder sich „mit“ einfach sicherer fühlt, kann durchaus eine Firewall benutzen. Seit Version 8.04 liefert Ubuntu mit der Ufw („Uncomplicated Firewall“) einen Paketfilter für die Kommandozeile aus. er kontrolliert und protokolliert auf Basis von Regeln den ein- und ausgehenden Datenverkehr. Ufw stützt sich wiederum auf das im Linux-Kernel steckende Netfilter-Framework, das mit Hilfe der Iptables-Kommandos Pakete filtert, NAT betreibt und Pakete manipuliert (mehr dazu im Kasten „Netfilter/Iptables“).

Netfilter/Iptables

Im Netzwerkstack des Kernels stecken die als Netfilter bekannten Hooks, auf die andere Programme zugreifen dürfen. Kernel-Module benutzen diese Hooks, um die von ihnen bearbeiteten Pakete zu untersuchen. Auch die Iptables-Befehle nutzen die Hooks, um Pakete im oben genannten Sinn zu manipulieren und zu filtern.

Diese Iptables-Kommandos empfanden die Ubuntu-Entwickler als zu kompliziert und vereinfachten sie mithilfe von Ufw. Deren kurze Befehle prägen sich wesentlich besser ein, Sie müssen sie allerdings über die Kommandozeile aufrufen. Über sudo ufw enable aktivieren Sie die Firewall, über sudo ufw disable schalten Sie sie wieder ab. Der Befehl sudo ufw status zeigt den aktuellen Betriebszustand an.

Zum Steuern der Firewall gibt es mit Gufw aber mittlerweile auch eine grafische GTK-Oberfläche, die sich nahtlos in den Gnome-Desktop von Ubuntu einfügt. Die neueste Version 0.20.7 finden Sie im Paketmanager von Ubuntu. Alternativ laden Sie aktuelle Versionen von Gufw von der Webseite des Projekts herunter [1]. Die Software nistet sich bei der Installation unter System | Systemverwaltung | Firewall configuration ein.

Tapeten aussuchen

Nach dem Start der Firewall ist diese zunächst inaktiv (Abbildung 1). Setzen Sie ein Häkchen bei Firewall aktiviert, ruft Gufw im Hintergrund Ufw auf und stoppt in der Standardeinstellung über die Funktion Blockiere eingehenden Traffic erst einmal sämtlichen ankommenden Datenverkehr. Nun schaffen Sie Ausnahmen: Entweder lassen Sie sämtlichen Verkehr passieren (über Erlaube eingehenden Traffic) oder setzen etwas feinere Regeln auf, die Sie über die drei Reiter Einfach, Vorkonfiguriert und Erweitert einrichten.

Abbildung 1: Nach dem Start zeigt Ubuntus Firewall, das sie inaktiv ist. Ein Häkchen am rechten Fleck bringt sie auf Trab.
Abbildung 1: Nach dem Start zeigt Ubuntus Firewall, das sie inaktiv ist. Ein Häkchen am rechten Fleck bringt sie auf Trab.

Im ersten Reiter geben Sie dabei lediglich den Namen eines Dienstes oder eine Portnummer in das leere Feld ein. Im Dropdownmenü links daneben wählen Sie Zulassen; rechts daneben bestimmen Sie, ob Gufw nur TCP– respektive UDP-Pakete blockieren soll oder beide.

Während Sie hier explizit wissen müssen, welchen Dienst Sie konfigurieren wollen, schlägt Gufw im Register Vorkonfiguriert einige Dienste und Anwendungen vor, die Sie erlauben können. Im zweiten Ausklappmenü entscheiden Sie sich zwischen Dienst oder Anwendung, im dritten wählen Sie einen konkreten Dienst aus, etwa ipp (für Drucksysteme), nfs (für den Dateientausch in unixoiden Netzwerken) oder imap (für das E-Mail-Protokoll).

Im dritten Reiter Erweitert lassen sich ganze Port-Bereiche sperren oder erlauben. Die Notation für IP-Adressbereiche folgt der CIDR-Notation. Alternativ sorgen Sie dafür, dass nur ein bestimmter Rechner auf einen bestimmten Dienste zugreifen darf. Dazu wählen Sie Zulassen sowie beides und geben dann in die Zeile Von die IP-Adresse des Quellrechners ein. In die Zeile Bis gehört die IP-Adresse des Rechners, auf dem die Firewall läuft, in das Feld rechts daneben die Portnummer des zu erlaubenden Dienstes. Im Beispiel wäre das die 22 für SSH (Abbildung 2). Klicken Sie auf Hinzufügen, um die Konfiguration festzuklopfen. Nun können Sie per SSH von einem über die IP-Adresse definierten Rechner auf den Rechner mit der Firewall zugreifen. FTP- oder Telnet-Zugriffe funktionieren hingegen nicht: Dazu ergänzen Sie die eben erwähnten Daten und machen aus der 22 eine 21 beziehungsweise 23.

Abbildung 2: Sie legen über den Reiter <code>Erweitert</code> gezielt fest, welche Rechner auf welche Dienste zugreifen dürfen. Jeder Dienst erfordert einen eigenen Eintrag.
Abbildung 2: Sie legen über den Reiter Erweitert gezielt fest, welche Rechner auf welche Dienste zugreifen dürfen. Jeder Dienst erfordert einen eigenen Eintrag.

Eine Übersicht über die Dienste und ihre gewöhnlich verwendeten Portnummern bietet übrigens die Datei /etc/services an. Das Kommando in Listing 1 durchforstet die Datei beispielsweise nach dem Dienst ssh und gibt unter anderem die zugehörige Portnummer aus.

Listing 1
$ cat /etc/services | grep ssh
ssh   22/tcp # SSH Remote Login Protocol
ssh   22/udp

Natürlich können Sie auch umgekehrt vorgehen: Wählen Sie im Hauptfenster die Option Erlaube eingehenden Traffic, konfigurieren Sie in den drei Reitern lediglich die Dienste und IP-Adressen, die nicht auf den Rechner zugreifen dürfen.

Ferner liefen

Damit erschöpft sich die momentane Funktionalität der Firewall fast schon. Sie warnt nicht, sobald eine bestimmte Anwendung eine Verbindung ins Internet aufbauen will, und gibt auch keinen Laut, wenn ein externer Anwender versucht, sich bei einem blockierten Dienst auf dem System anzumelden. Sie führt allerdings unter /var/log/gufw_log.txt eine eigene Log-Datei, die Änderungen an der Konfiguration protokolliert. Via Datei | Protokoll für den Firewall werfen Sie einen Blick auf diese Daten. Über Datei | Blockierte IP Adressen importieren Sie eine Liste mit IP-Adressen, die den Rechner von außen nicht kontaktieren dürfen. Sie können die Liste natürlich auch selbst anlegen.

LinuxUser 07/2009 KAUFEN
EINZELNE AUSGABE Print-Ausgaben Digitale Ausgaben
ABONNEMENTS Print-Abos Digitales Abo
TABLET & SMARTPHONE APPS
Deutschland

Hinterlasse einen Kommentar

1 Kommentar auf "Grafische Firewall"

  E-Mail Benachrichtigung  
Neuste Älteste Beste Bewertung
Benachrichtige mich zu:

zu Listing 1

„grep ssh /etc/services“

cat ist nett und praktisch, aber in den meisten Fällen
unnötig, wie auch hier.

Schönen Gruß,
Lutz