Eine Firewall schützt nicht nur vor ungebetenen Netzwerkzugriffen auf den eigenen Rechner, im Gateway-Einsatz sichert sie das ganze LAN ab.

Fedora nutzt Firewalld [1] als Standard-Firewall-Lösung (Abbildung 1). Seit Version Leap 15.0 vom Mai 2018 ersetzt das Programm auch die in die Jahre gekommene OpenSuse-Firewall. Die Software lässt sich dank vordefiniert mitgelieferten Zonen und Dienstfreigaben per Kontrollkästchen simpel bedienen und unterstützt sowohl IPv4 als auch IPv6.

Abbildung 1: Firewalld gibt per Klick die richtigen Ports für bekannte Netzdienste frei. Für differenziertere Regeln existiert eine Konfigurationssprache namens Umfassende Regeln. Zusätzlich verwaltet die Software Regeln in Iptables-Syntax (Direkte Konfiguration).

Allerdings bringt auch die Anfang Juli erschienene OpenSuse 15.2 noch die veraltete Version 0.5.5 von Firewalld mit. Erst ein experimentelles Paket im Build-Service rüstet die aktuelle Version 0.7.4 nach, auf die sich dieser Artikel bezieht. Um die nachfolgende Beschreibung fehlerfrei nachzuvollziehen, benötigen Sie eine Version ab 0.6, wie Sie auch das Ubuntu- und das Debian-“Stable”-Repository bereitstellen.

Sicherheitszonen

Das Programm enthält neun vordefinierte, Zonen genannte Profile [2], die Sie Netzwerkkarten, Verbindungsprofilen im NetworkManager oder Quell-IP- und -MAC-Adressen zuordnen. Je nach gewähltem Profil, etwa Home, Trusted oder Public, filtert die Firewall die Zugriffe auf das System.

Durch das explizite Freigeben einzelner Dienste lassen sich differenziertere umfassende Regeln erstellen. Damit und durch direkt an das Low-Level–Tool Iptables [3] weitergereichte Regeln lassen sich die mitgelieferten Zone-Definitionen genauer justieren.

Firewalld unterscheidet zwischen zwei Konfigurationen, nämlich Permanent und Runtime. Letztere bleibt nur bis zum Neustart von Firewalld erhalten, dann lädt die Software erneut die permanente Konfiguration. Normalerweise nehmen Sie Änderungen an der Firewall-Konfiguration zunächst in Runtime vor. Erst nach einem erfolgreichen Test verewigen Sie sie mithilfe des Menüpunkts Optionen | Runtime auf dauerhaft. Eine direkte Veränderung der dauerhaften Konfiguration greift erst nach einem Neustart des Firewall-Daemons, den Sie über Optionen | Firewalld neu starten anstoßen.

Das linke Unterfenster Aktive Zuordnungen zeigt, welche Zone mit einer Verbindung verknüpft ist – zumindest dann, wenn Sie den NetworkManager zur Konfiguration der Netzwerkverbindung nutzen. Andernfalls wählen Sie im zweiten Unterfenster von links eine Zone aus und scrollen im rechten Teilfenster bis zum Reiter Schnittstellen. Dort geben Sie nach einem Klick auf Hinzufügen den Namen des Netzwerkgeräts ein, zum Beispiel eth0 oder wlan0. Anschließend erscheint im linken Unterfenster unter Schnittstellen die Zuordnung zur Standardzone: public.

Um einen Rechner komplett abzuschotten, übernehmen Sie die mitgelieferten Zonen block und drop (ignorieren der Anfragen ohne Rückmeldung) unverändert. Um bestimmte Dienste freizugeben genügt es, das Kontrollkästchen vor dem Dienst im Unterfenster Dienste zu aktivieren.

Maßgeschneidert

Eigene Profile lassen sich nach Auswahl von Permanent über das Ausklappmenü Konfiguration anlegen. Sie erscheinen erst nach einem Neustart in der GUI. Das Plus-Icon links unten im Reiter Zonen öffnet dazu den Dialog Grundlegende Zone-Einstellungen.

Die Namens- und Beschreibungsfelder beeinflussen die Funktion nicht. Technisch bedeutsam ist dagegen die Auswahl von Ziel: Damit legen Sie das Grundverhalten der Zone fest. Ein aktiviertes Kontrollkästchen Standard-Ziel entspricht der Auswahl REJECT. Deaktivieren Sie es, wählen Sie zwischen ACCEPT, DROP und REJECT.

Target legt den Umgang mit allen nicht von einer expliziten Regel erfassten Paketen fest, REJECT weist die Verbindung ab. An der Fehlermeldung (Abbildung 2) erkennen Sie die grundsätzliche Erreichbarkeit des Rechners dennoch, Pings liefern die gewohnte Antwort. DROP ignoriert Anfragen dagegen ohne Rückmeldung, ACCEPT lässt zunächst alle Anfragen passieren.

Abbildung 2: Mit dem Profil Trusted meldet Tracepath den Rechner suse1 als “normal erreichbar”, mit dem Profil Block sendet die Firewall ein “nicht erreichbar” zurück.

Zonen mit dem Target ACCEPT (was der mitgelieferten Zone Trusted entspricht) lassen sich nicht mehr durch Freigeben von Diensten im gleichnamigen Reiter verändern, denn sie filtern ohnehin keine Anfragen aus. Über Umfassende Regeln können Sie dagegen sowohl beschränkte Ports freigeben als auch vorher offene schließen (Blacklisting und Whitelisting).

Umfassende Regeln legen Sie im gleichnamigen Reiter durch einen Klick auf Hinzufügen an. Im sich öffnenden Dialog stellen Sie Regeln mithilfe von Kontrollkästchen und Ausklappfeldern zusammen (Abbildung 3). Die den Regeln zugrundeliegende Rich Language [4] müssen Sie beim Einsatz der GUI nicht beherrschen.

Abbildung 3: Sogenannte umfassende Regeln lassen sich entweder per GUI zusammenklicken oder in einer vom Leistungsumfang her analogen Befehlssprache zusammenstellen. Sie filtern bei Bedarf nach MAC-Adressen und lassen sich für White- oder Blacklisting einsetzen.

Zum Öffnen oder Schließen eines Ports dienen die Aktionen namens akzeptieren, ablehnen und abwählen (Letzteres ist eine fehlerhafte Übersetzung von “drop”). Insbesondere lassen sich die Regeln auf eine bestimmte IP- oder MAC-Adresse begrenzen, also auf einen bestimmten Rechner. Bedenken Sie aber, dass sich IP- und MAC-Adressen einer Netzwerkkarte verändern lassen. Effektive Sicherheit bietet also der MAC- oder IP-Filter in einer Firewall nur bedingt.

Rechnerspezifisch filtern gelingt in Firewalld auch mit der Definition von sogenannten Quellen (Abbildung 4): Jeder via MAC- oder IP-Adresse definierten Quelle dürfen Sie eine Zone zuweisen, um herkunftsspezifizierende Zugriffsregeln zu gestalten. Doch oft erweist sich hier das Zonen-Konzept als sperrig: Um den Zugriff für jede Quelle individuell zu steuern, wie dies über umfassende Regeln mühelos von der Hand geht, müssten Sie jeder Quelle eine eigene Zone zuweisen.

Abbildung 4: MAC- oder IP-basierten Quellendefinitionen lassen sich in Firewalld eigene Zonen zuweisen, sodass die Firewall bestimmte Rechner gesondert behandelt.

Familiäre Atmosphäre

Den Zugang zum Rechner auf das lokale Netz zu beschränken, gelingt jedoch am einfachsten mit einer Quellen-Zonen-Zuordnung. Richten Sie in der Zone Trusted über Quelle | Hinzufügen eine quellenbezogene Freigabe ein, und geben Sie dann die IP-/Subnetzmaskenkombination 192.168.0.0/16 ein. Diese Quellenangabe trifft dann auf alle IP-Adressen im Heimnetz zu, deren ersten zwei Stellen (=16 Bit) mit ihr übereinstimmen.

Weisen Sie der Quelle das Profil Trusted zu, der Netzwerkverbindung insgesamt hingegen Drop oder Block. Diese Kombination gestattet alle Zugriffe im lokalen IPv4-Netz, blockt Anfragen aus dem Internet jedoch ab. Wer möchte, gibt zusätzlich die lokalen IPv6-Präfixe fe80:: und fd00::frei.

Im Dialog zum Anlegen umfassender Regeln ist in der Voreinstellung für Familie: die Variante ipv4 und ipv6 vorausgewählt (Abbildung 3, Ausklappmenü oben). Die Auswahl der Quelle (Mitte) funktioniert dann nur auf Basis der MAC-Adresse. IP-basierte Regeln müssen Sie gesondert für die Netzwerkprotokoll-Familien IPv4 und IPv6 erstellen.

Im Zeitalter von IPv6 lassen sich aber praktisch nur noch MAC-basierte Filter einsetzen, denn Netzwerkgeräte besitzen grundsätzlich etliche IPv6-Adressen, die bei eingeschaltetem Privacy Extension regelmäßig wechseln. Zudem garantieren nur Business-Internet-Tarife die Konstanz der ersten 64 Bit der öffentlichen IPv6-Adressen. Ansonsten wechseln diese, und damit die im Internet gültigen Adressen, regelmäßig – zumindest jedoch bei einer längeren Inaktivität der Internet-Verbindung oder einer Neueinwahl.

Sofern Sie IPv6 auf dem Rechner aktiviert haben, dürfen Sie auf keinen Fall die entsprechende Firewall-Konfiguration vergessen [5]. Es nützt wenig, den IPv4-Zugang zu beschränken, wenn der IPv6-Zugang offensteht, zumal die Dienste, sofern verfügbar, meist IPv6 bevorzugen. Auch wenn der Internet-Anschluss nicht IPv6-fähig ist, weisen sich die Rechner selbst eine für das Heimnetz gültige IPv6-Adresse zu.

Existieren für einen Dienst oder Port gleichzeitig umfassende Regeln, die den Zugriff erlauben, und solche, die ihn verbieten, entscheidet das Feld Priorität. Es müsste eigentlich Reihenfolge heißen: Regeln mit niedriger Priorität testet die Firewall zuerst, beim ersten Treffer endet die Prüfung.

So ermöglichen an MAC-Adressen gebundene ACCEPT-Regeln zusammen mit einer REJECT-Regel der Priorität (Reihenfolge) 99 ein Whitelisting: Trifft keine der vorher getesteten ACCEPT-Regeln, greift schließlich REJECT. Blacklisting mit der Reihenfolge REJECT – ACCEPT funktioniert ebenfalls.

Ein Szenario, in dem die Kombination aus White- und Blacklisting Sinn ergibt, wäre zum Beispiel ein Fileserver mit Zugriff für alle Computer außer einem bestimmten, wobei lediglich ein Administrationsrechner per SSH darauf zugreifen darf. Umfassende Regeln gestatten es außerdem, die Häufigkeit des Zugriffs pro Intervall über Begrenzung: xx/ Sekunde/Minute/Stunde/Tag zu regulieren, um die Last auf den Server zu reduzieren.

Mit der GUI erstellte Regeln erscheinen als nachvollziehbare <rule>-Tags in der XML-Datei der Zonendefinition, die Sie unter dem Namen der Zone im Verzeichnis /etc/firewalld/zones/ finden. Listing 1 zeigt eine “Rich Rule”, die per MAC-Filter einem Rechner den SSH-Zugriff verweigert.

<?xml version="1.0" encoding="utf-8"?>
<zone target="ACCEPT">
 <short>MyTrusted</short>
 <description>All connections except ssh connections are accepted.</description>
 <rule>
  <source mac="53:52:00:B1:2B:4A"/>
  <service name="ssh"/>
  <reject/>
 </rule>
</zone>

Wer die Systemadministration auf der Kommandozeile dem Klicken in einer GUI vorzieht, verwendet statt des vorgestellten grafischen Programms Firewall-config die Konsolenschnittstelle Firewall-cmd. Deren Befehle [6] lassen sich leicht den Mausaktionen in der GUI zuordnen: So entspricht dem Aktivieren der Freigabe des Diensts ftp für die Zone external im Unterfenster Dienste der Befehl firewall-cmd --add-service=ftp --zone=external.

Auch die als XML-Tags abgelegten rules in den Zonendefinitionen lassen sich leicht in die Kommandozeilensyntax der umfassenden Regeln zurückübersetzen, denn Befehle und Namen der Tags entsprechen sich eins zu eins. Den Konsolenbefehl für das MAC-basierte Zurückweisen einer SSH-Verbindung finden Sie in Listing 2.

# firewall-cmd --add-rich-rule='rule service name="ssh" source mac="53:52:00:B1:2B:4A" reject'

Ausreisekontrolle

Mit Bordmitteln filtert Firewalld ausschließlich den eingehenden Netzwerkverkehr, was dem Konzept einer klassischen Firewall entspricht. Den Leistungsumfang des Netfilter-Frameworks im Linux-Kernel, das die eigentliche Arbeit leistet, deckt das aber nicht ab. Über die erwähnte Direct-Schnittstelle greift Firewalld aber auf die gesamte Kernel-Funktionalität zu.

Dabei kapselt die Software allerdings nicht mehr die Komplexität des Kernel-Userspace-Werkzeugs Iptables, wie es bei den im Vergleich simplen umfassenden Regeln geschieht. Vielmehr kommt direkt die Iptables-Syntax zum Einsatz. Die Leistung von Firewalld besteht nur noch darin, die Firewall-Regeln zu speichern und beim Systemneustart wieder in Kraft zu setzen. Den Reiter Direkte Konfiguration blenden Sie unter Ansicht | Direkte Konfiguration ein.

Eine Vorstrukturierung der Eingabe bietet das Dialogfeld Direkte Regel in Firewall-Config dennoch (Abbildung 5). Auch wenn der entscheidende Teil der Direct-Regel im Textfeld Argumente eine Kenntnis der Iptables-Syntax voraussetzt, senkt das die Einstiegshürden ein wenig. Beachten Sie, dass ab Version 0.6 der Software direkte Regeln stets Vorrang vor allen anderen Regeln genießen.

Abbildung 5: So sieht eine direkte Regel in Firewalld aus, die bis auf Pings sämtlichen das Heimnetz verlassenden IPv4-Netzwerkverkehr ausbremst. Die einfachen Anführungszeichen fügt Firewalld nach dem Speichern hinzu; sie stören die Funktion von Iptables nicht.

Um ausgehenden IPv4- und IPv6-Verkehr zu blocken, bedarf es zweier gesonderter direkter Regeln. Legen Sie im Reiter Direkte Konfiguration mit Hinzufügen eine neue Regel an (Abbildung 5). Für ausgehenden Verkehr zeichnet die Iptables-Kette OUTPUT zuständig. Eine Priorität von 99 gestattet es, später noch Ausnahmeregeln hinzuzufügen, welche die REJECT-Direktive teilweise überstimmen. Der Text für das Feld Argumente, also die eigentliche Iptables-Regel, lautet folgendermaßen:

! -p icmp ! -d 192.168.0.0/16 -j REJECT

Das Anführungszeichen steht für eine Negation; die Regel nimmt also das Protokoll -p icmp (Ping) und das Subnetz 192.168.0.0/16 vom REJECT aus. Der Parameter -d steht für Destination, was dem gesamten lokalen Netz entspricht. Details und weitere verfügbare Filterparameter rufen Sie mit man iptables ab.

Nicht viel anders fällt die IPv6-Regel aus: Hier wählen Sie nach einem Klick auf Hinzufügen die Variante ipv6. Die Argumente lauten '!' -p icmpv6 -j REJECT, was nur die IPv6-Version von ICMP vom REJECT ausschließt. Dies ist nötig, weil sonst das im nächsten Abschnitt vorgestellte Router Advertisement nicht mehr funktionieren würde. Lokale Zugriffe bleiben bei diesem Regelpaar auf IPv4 beschränkt.

Ein mögliches Szenario für blockierten ausgehenden Netzwerkverkehr wäre ein Server, der seine Dienste im Heimnetz ungehindert anbietet, aus Sicherheitsgründen aber nicht auf das Internet zugreifen soll. Hierbei bestimmte Ports freizugeben, fällt auch mit direkten Regeln nicht schwer. Je eine Regel mit geringerer Priorität als 99 der Form -p tcp --dport=80 -j ACCEPT genügt, um Port 80 (dport steht für “destination port”) freizugeben.

Vorgelagerter Schutz

Im bislang geschilderten Szenario läuft Firewalld auf dem Rechner, den es schützen soll. Oft erweist es sich aber als praktischer, eine Firewall auf einem Router zu installieren, um alle angeschlossenen Computer zu schützen. Router meint in diesem Kontext nicht einen dedizierten Hardware-Router, sondern einen Linux-Rechner, der allerdings im Netz dieselbe Aufgabe übernimmt.

Ein Raspberry Pi, wegen der Netzwerk-Performance am besten ein Modell 4, eignet sich hierfür. Anders als im Internet oft zu lesen, muss der Router nicht unbedingt zwei Netzwerkkarten mitbringen. Zwei Netzanschlüsse erzwingen allerdings eine physische Trennung der verbundenen Netzsegmente. Eine Karte gewährleistet nur die Konfiguration der angeschlossenen Computer, die böswillige Anwender sogar ohne Root-Rechte im NetworkManager verändern dürfen.

Firewalld kann nur mithilfe von direkten Regeln auf den durch einen Rechner gerouteten Datenverkehr Einfluss nehmen. Weder die simple Freigabe von Ports noch die Rich Language sehen das technisch vor.

Um einen Linux-Rechner zum Router aufzurüsten, schalten Sie das sogenannte IP-Forwarding ein. Es bewirkt, dass der Kernel die Netzwerkpakete über Subnetze leitet. Legen Sie dazu die Datei /etc/sysctl.d/99-local.conf an, und fügen Sie dort die Zeilen aus Listing 3 ein. Der Befehl sysctl --system als Root wendet das IP-Forwarding für IPv4 und IPv6 an.

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1

Um den IPv4-Verkehr durch einen anderen Rechner zu routen, öffnen Sie auf diesem Computer im NetworkManager den Reiter IPv4. Wählen Sie dort statt der Methode Automatisch den Eintrag Manuell. In der Tabelle Adresse | Netzwerkmaske | Gateway fügen Sie, sofern nötig, mit Hinzufügen eine Zeile ein.

Ermitteln Sie mit ip a die aktuelle IPv4-Adresse der Netzwerkkarte eth0 oder enp1s0, und benutzen Sie diese als Adresse. Fügen Sie in der zweiten Spalte die Subnetzmaske 255.255.255.0 und als Gateway die IP-Adresse des Router-Rechners ein. Als DNS-Server verwenden Sie Ihren Internet-Router (Abbildung 6). Dessen IP finden Sie als default via X.X.X.X, wenn Sie bei noch bestehender automatischer Netzeinrichtung ip route eingeben.

Abbildung 6: Ein IPv4-Router braucht zwei IP-Adressen. Als DNS-Server fungiert hier weiter der Internet-Router, im Beispiel eine Fritzbox. In der ersten Zeile steht die bisher per DHCP zugewiesene Konfiguration, in der zweiten eine IP-Adresse aus einem anderen Subnetz.

Stellen Sie dann noch sicher, dass Firewalld auf dem Router-Rechner das Profil Trusted verwendet. Nun sollte ein ping linuxuser.de ankommen. Damit das Forwarding funktioniert, muss die Netzwerkkarte im Profil trusted verbleiben. Jetzt konfigurieren Sie die Firewall zum Filtern der Internet-Verbindung.

Allerdings ist es wegen eines grundlegenden Unterschieds zwischen IPv4 und IPv6 nicht so einfach möglich, für IPv6 IP-Adresse und Gateway manuell festzulegen: Bei IPv4 erhalten die Rechner stets eine lokale Adresse aus dem Bereich 192.168.X.Y. Der Internet-Router “überträgt” die Netzwerkpakete an die davon unabhängige öffentliche Adresse des Routers. Dieses sogenannte Network Address Translation (NAT) entkoppelt lokale und öffentliche IP-Adressen voneinander.

IPv6 mit seiner quasi unerschöpflichen Anzahl von IP-Adressen sieht NAT nicht mehr vor: Jeder Rechner nutzt hier für den Internet-Zugriff seine eigene, potenziell öffentliche IP-Adresse. Der Internet-Provider bestimmt den schon angesprochenen Präfix, also die ersten 48 bis 64 Bit, die sich im Lauf der Zeit ändern. Darum lassen sich dauerhaft gültige Internet-fähige Adressen samt Gateway in der Praxis nicht manuell festlegen.

Vorschlag angenommen

Jedoch gibt es dennoch eine simple Lösung, um einen Linux-Rechner als Router zu verwenden. Installieren Sie auf dem Router-Rechner den Router Advertisement Daemon Radvd. Öffnen Sie dessen Konfigurationsdatei /etc/radvd.conf, und fügen Sie die Zeile AdvDefaultPreference high; ein. Steht dort, wie unter OpenSuse, ein AdvDefaultLifetime 0; darin, dann kommentieren Sie diese Zeile aus, da diese Anweisung das Router-Advertisement aushebelt.

Den Wert hinter prefix ersetzen Sie durch ::/64, also eine aus Nullen bestehende IPv6-Adresse. Dann gibt der Radv-Daemon das Präfix weiter, das er auf dem in der Konfigurationsdatei genannten Netzwerkgerät vorfindet.

Sorgen Sie nun auf dem Internet-Router dafür, dass dessen Advertising Präferenz maximal auf medium steht. In der Fritzbox erreichen Sie diese Konfiguration unter Netzwerk | Einstellungen | IPv6-Adressen. Auf dieser Seite finden Sie die Einstellung Präferenz des Router Advertisement in der Rubrik Weitere IPv6-Router im Heimnetz. Einer statischen Route wie unter IPv4 bedarf es nicht.

Das löst das Problem, eine zum wechselnden Präfix passende IPv6-Adresse zuzuweisen, aber dennoch einen alternativen Router zu nutzen – zumindest fast: Unter Fedora 32 steht in radvd.con mit eth0 ein Netzwerkgerät, das gar nicht existiert, es muss stattdessen enp1s0 heißen, die genaue Bezeichnung variiert allerdings von Rechner zu Rechner. ip a gibt Auskunft darüber, wie es bei Ihnen heißt. Die Radvd-Version von OpenSuse Leap 15.2 weist die leere IPv6-Adresse in der Konfiguration fehlerhafterweise zurück. Hier hilft ein Upgrade auf die experimentelle Fassung aus dem Build-Service [7].

Starten Sie als Root den Daemon mit systemctl start radvd. Nun sollte jeder Rechner mit automatischer IPv6-Konfiguration (Abbildung 7) den Firewall-Rechner als Router benutzen und seinen gesamten Internet-Verkehr über ihn leiten; das gilt auch für Windows-Rechner (Abbildung 8). Der Aufruf tracepath linuxuser.de muss als erste Zeile den Hostnamen des Router-Rechners zurückgeben, im Beispiel fedora0.fritz.box. Erst als zweiter Eintrag folgt die Fritzbox selbst.

Abbildung 7: In der Standardeinstellung Automatisch des NetworkManagers akzeptiert der Rechner den Router fedora0 und leitet alle Internet-Anfragen hindurch.

Abbildung 8: Auch ein Windows-10-Rechner übernimmt das Router Advertisement von fedora0.

Um schließlich die Firewall auf dem Router zu konfigurieren, legen Sie mit Hinzufügen für ipv4 dieselbe Regel an, wie sie schon für das Blocken der lokalen ausgehenden Internet-Verbindungen zum Einsatz kam – mit einer Ausnahme: Die Iptables-Kette lautet nun FORWARD, denn es geht jetzt um die durch den Rechner geleiteten Netzpakete, nicht mehr um die von ihm selbst ausgehenden.

Analog legen Sie für ipv6 erneut eine Regel mit dem Argument '!' -p icmpv6 -j REJECT für die Kette FORWARD an. Auch Ausnahmen von der Blockade in dieser Kette funktionieren wie gehabt.

Fazit

Seiner Bestimmung nach filtert Firewalld nur den eingehenden Netzwerkverkehr des Rechners, auf dem er läuft. Doch dank der integrierten Schnittstelle für direkt in Iptables-Syntax geschriebener Regeln hilft der Daemon auch beim Blockieren des ausgehenden Verkehrs und lässt sich sogar als Paketfilter auf einem Router einsetzen. (tle)