Basic Firewall
GNU/Linux benutzt seit der Kernel Version 2.4 ipTables, um Firewall-Funktionalität zur Verfügung zu stellen. Eine komplette Firewall mit NAT bzw. Masquerading, Routing, etc. einzurichten gehört zu den höheren Weihen der GNU/Linux Konfiguration. Jedoch läßt sich eine einfache und zuverlässige Firewall für den Heimbenutzer schnell einrichten.
Die beschriebene Konfiguration bietet folgendes:
- Völlige Abdichtung gegen jeden externen Versuch mit dem Host zu kommunizieren.
- Nur Antworten auf interne Requests werden erlaubt.
Das bedeutet, daß Websurfen und E-Mail ohne Probleme funktionieren, P2P Software oder aktives FTP jedoch nicht. Dies erfordert zusätzliche Konfigurationen, die hier nicht geboten werden.
Firewall
ipTables arbeitet mit sogn. Regeln, um seine Funktionalität zu erreichen. Um diese Regeln zu beeinflussen, muß das Tool iptables installiert sein. Unsere "Basic Firewall" benötigt nur eine Regel:
iptables -A INPUT -p tcp --syn -i XXX -j DROP
wobei XXX für das betroffenen Interface steht. Wird die Verbindung über ppp0 aufgebaut, z. B. im Falle einer Modemverbindung, so steht dort -i ppp0. Um alle ppp-Verbindungen zu sperren, ersetzt man 0 mit x, so daß dort steht -i pppx. Hängt der Rechner an einem Router, so wird die Verbindung üblicherweise über das Ethernet-Interface hergestellt, für uns heißt das z. B.: -i eth0
![/!\](/moin_static160/modern/img/alert.png "/!\"){kind=small}
AchtungBR Das Ausschließen des Ethernet-Interfaces kann zum völligen Kommunikationsverlust für externe Anfrager führen, d. h. alle Samba-Shares, Netzwerkdrucker usw. des mit dieser Firewall-Regel abgesicherten Rechners sind im Netz nicht erreichbar. Diese müssen mit weiteren Regeln zugänglich gemacht werden.