Der Umgang mit iptables leicht gemacht

Persönliche Firewalls sind nicht mehr wegzudenken, aber für viele Anwender stellt das korrekte Konfigurieren einer Firewall immer noch eine große Hürde dar. Moderne Kernel bieten netfilter als Firewall-Modul und iptables für die Konfiguration. Für mehr Komfort wurden eine ganze Reihe grafischer Oberflächen für iptables geschaffen.

Die Oberflächen erlauben das einfache Erstellen von Regeln für die Firewall und starten sie bei Bedarf. Einige Programme greifen auch eher unerfahrenen Anwendern unter die Arme, indem mit Wizards die gewünschten Eigenschaften der Firewall abgefragt und dann entsprechende Regeln erstellt werden.

In diesem Artikel beleuchten wir vier Werkzeuge, die sich vor allem durch die grafischen Oberflächen unterscheiden. Knetfilter ist für KDE geschrieben, Firestarter dagegen eine GNOME-Applikation, während Jay’s Iptables Firewall textbasierte Menüs anbietet und der Easy Firewall Generator for IPTables eine Web-basierte Anwendung ist.

Knetfilter

Knetfilter [1] ist ein sehr umfangreiches Werkzeug, das neben der Firewall-Konfiguration auch noch Komponenten zur Traffic-Analyse bietet. Knetfilter dient neben dem Erstellen und Verändern von iptables-Regeln auch als bequemes Frontend zu nmap und tcpdump.

Abbildung 1: Knetfilters Interface für das Anlegen neuer Regeln

Die Benutzung von Knetfilter ist recht einfach gehalten, setzt aber das Verständnis von iptables voraus. Im Hauptmenü kann man leicht Regeln einfügen, nur sollte man hier wissen, was man tut. Nach der Eingabe der Filterregeln kann man über ein Menü bestimmen, wie die Regel in die bestehende Regelsammlung eingefügt werden soll und für welche Protokolle sie gelten soll. Diese Vorgehensweise erlaubt es, schnell und einfach Regeln zu erzeugen, die dann für alle Protokolle gelten können. Knetfilter ist sehr umfangreich und bietet auch die Möglichkeit, das so genannte TrafficShaping zu konfigurieren, also verschiedenen Rechnern oder Anwendungen mehr oder weniger Bandbreite zukommen zu lassen.

Abbildung 2: Masquerading-Einstellungen bei Knetfilter

Vorbildlich gelöst ist das Menü für NAT (Network Address Translation), das eingesetzt wird, sobald die Firewall nicht nur den eigenen Rechner, sondern auch ein dahinter liegendes Netzwerk schützen soll. Wer kompliziertere Regeln beim NAT benötigt, kann zusätzlich auch Port-Weiterleitungen definieren, so dass beispielsweise auf einen hinter der Firewall liegenden Rechner per SSH zugegriffen werden kann. Nach dem Erstellen der Regeln empfiehlt es sich, mit dem Frontend zu tcpdump den ankommenden Traffic zu analysieren und mit dem Portscanners nmap die Erreichbarkeit von Diensten bzw. die offenen Ports abzuscannen.

Abbildung 3: Port-Weiterleitungen mit Knetfilter

Ein Vorteil von Knetfilter ist neben der Integration in KDE vor allem der große Umfang an Features, die dieses Tool bietet. Um “mal eben” eine einfache Firewall einzurichten, bietet Knetfilter zu wenig Hilfestellungen, da hier zwar die Funktionialität von iptables komplett abgebildet wurde, auf Hilfestellungen beim Erstellen der Firewall-Regeln aber verzichtet wurde.

Firestarter

Firestarter [2] ist in zwei Versionen erhältlich, je eine für GNOME 1.x und GNOME 2.x. Beim Start des Programmes erscheint zunächst der Firestarter-Druide, der beim Einrichten der Firewall hilft und sinnvolle Fragen über den Verwendungszweck stellt. Je nachdem, was man an Features benötigt, wird der Druide detaillierter und fragt beispielsweise Dienste für die Port-Weiterleitung ab. Nach Speichern der Konfiguration und Beenden des Wizards lässt sich die neue Firewall sofort verwenden.

Abbildung 4: Auswahl der offenen Ports im Firestarter-Druiden

Neben dem hervorragenden Druiden glänzt Firestarter vor allem durch seine Monitoring-Funktion. Man kann Firestarter auch benutzen um zu prüfen, welche Art von Traffic über den eigenen Rechner läuft, und dann gegebenenfalls die Konfiguration dementsprechend verändern. Gerade für unerfahrene Anwender ist dieses Feature sehr brauchbar, denn man muss sich nicht vorher stundenlang Gedanken darüber machen, was alles passieren könnte, sondern richtet schnell mit dem Druiden die Firewall ein und guckt dann, welche Pakete weiter durchkommen. Dann kann man die Firewall noch anpassen, so dass man relativ einfach zu einer auf die eigenen Bedürfnisse zugeschnittenen Firewall-Lösung kommt.

Besonders gelungen ist das Menü Hits, hinter dem sich auswählbare Aktionen verstecken, die man auf bestimmte Vorkommnisse anwenden kann: Hier lässt sich beispielsweise ein Host blocken oder auch nur sein Zugriff auf einen speziellen Dienst erlauben.

Abbildung 5: Hauptfenster von Firestarter

Firestarter ist ein einfach gehaltenes Tool, das gerade Anfängern die Konfiguration einer Firewall leicht macht. Die Echtzeit-Überwachung der Firewall ist ein willkommendes Feature, das den positiven Eindruck noch verstärkt.

Jay’s Iptables Firewall

Bei Jay’s Iptables Firewall [3] handelt es sich um eine textbasierte grafische Oberfläche, über die man auch entfernt stehende Rechner einfach mit einer Firewall versehen kann.

Abbildung 6: Jay’s Firewall im Ncurses-Look

Mit firewall-config.pl –new wird beim Aufruf eine neue Konfigurationsdatei erstellt. Danach wählt man bequem aus den Menüs aus und stellt sich eine Firewall nach eigenem Gusto zusammen. Leider gibt es keinen Wizard, sondern man muss nacheinander alle Menüpunkte durchgehen und nach bestem Wissen mit Inhalten füllen. Nach der Erstellung der Regeln kann man die Konfiguration speichern und dann mit /etc/init.d/fw-jay start die Firewall in Betrieb nehmen; mit /etc/init.d/fw-jay stop wird sie wieder abgestellt.

Abbildung 7: Features von Jay’s Firewall

Jay’s Iptables Firewall ist kein grafisches GUI-Tool, sondern stellt eine Mischung zwischen Kommandozeilen-Tool und einfachem Frontend dar, hat aber den Vorteil, dass sie ohne Probleme auf den meisten Systemen läuft, da keine Abhängigkeiten zu Gtk oder Qt erfüllt werden müssen. Eine einfache Firewall lässt sich sehr schnell konfigurieren, das Einfügen komplexer Regeln ist ebenfalls unkompliziert.

Easy Firewall Generator for IPTables

Der Easy Firewall Generator for IPTables [4] muss im Gegensatz zu den anderen vorgestellten Tools nicht auf dem eigenen Rechner installiert werden. Wer möchte, kann auf der Website des Tools auch direkt die Firewall erzeugen. Wenn man allerdings dem Betreiber der Website nicht trauen mag oder mal sehen will, was hinter den Kulissen abläuft, empfiehlt es sich, das PHP-Skript auf dem eigenen Web-Server zu installieren.

Abbildung 8: Der Easy Firewall Generator wird über ein PHP-Skript gesteuert

Die Benutzung des Easy Firewall Generators könnte nicht einfacher sein: Es müssen lediglich eine Handvoll Fragen beantwortet werden, beispielsweise nach der IP-Adresse, dem Typ der IP-Adresse (statisch/dynamisch) und ob man einen einzelnen Rechner oder gleich ein ganzes Netzwerk schützen will. Für ein Netzwerk müssen die IP-Adressen des Netzwerkes eingegeben werden. Man kann dann noch festlegen, welche Dienste auf dem Rechner erreichbar sein sollen, damit diese in der Firewall-Konfiguration freigeschaltet werden.

Sobald alle Einstellungen vorgenommen sind, wird eine Textdatei erstellt, die ein komplettes Firewall-Skript enthält, das mit start / stop gestartet bzw. gestoppt werden kann, so dass es sich in die Systeminitialisierung in den /etc/rcX.d-Verzeichnissen integrieren lässt. Eventuell ist hier noch der Pfad für iptables anzupassen, damit alles läuft.

Der Vorteil dieser Vorgehensweise liegt auf der Hand: Wenn man es nicht unbedingt will, dann braucht man keine Software zu installieren, hat aber trotzdem eine funktionierende Firewall in wenigen Minuten konfiguriert. Das erstellte Skript lässt sich leicht in den Boot-Prozess des Rechners einbauen, so dass ein permanenter Schutz für den Rechner besteht.

Zusammenfassung

Wer iptables nicht per Hand konfigurieren mag, findet bei den hier vorgestellten Tools bestimmt eines, das ihm gefällt. Je nach Wissensstand bieten sich Knetfilter und Firestarter an; wer ganz auf KDE oder GNOME verzichten will, kann mit Jay’s Iptables Firewall glücklich werden. Geht es nur darum, “mal eben fix” eine Firewall zu generieren, dann kann dies auch über das zuletzt beschriebene Web-Frontend geschehen.

Die erzeugten Regel-Sets sind für die Praxis durchaus brauchbar, haben aber gerade bei der Web-basierten Lösung den Vorteil, dass die Komplexität der Regeln sich in Grenzen hält und die Regeln noch überblickbar sind. Jede noch so leistungsfähige Firewall ist nutzlos, wenn der Anwender sie nicht verstehen und deswegen auch nicht sich ändernden Anforderungen anpassen kann.