Basic Firewall
Aus DebianforumWiki
GNU/Linux benutzt seit der Kernel Version 2.4 iptables, um Firewall-Funktionalität zur Verfügung zu stellen. Eine komplette Firewall mit NAT bzw. Masquerading, Routing, etc. einzurichten gehört schon zu den höheren Weihen der GNU/Linux Konfiguration. Jedoch läßt sich eine einfache und zuverlässige Firewall für den Heimbenutzer schnell einrichten.
Die hier beschriebene Konfiguration bietet folgendes: Völlige Abdichtung gegen jeden externen Versuch mit dem Host zu kommunizieren. Nur Antworten auf interne Anfragen werden erlaubt. Das bedeutet, daß Websurfen und E-Mail ohne Probleme funktionieren, P2P-Software oder aktives FTP jedoch nicht. Dies erfordert zusätzliche Konfigurationen, die hier nicht geboten werden.
Rules
iptables arbeitet mit sog. Regeln, um seine Funktionalität zu erreichen. Um diese Regeln zu beeinflussen, muß das Tool 
iptables installiert sein. Unsere "Basic Firewall" benötigt nur eine Regel:
root@debian: iptables -A INPUT -p tcp --syn -i $IFACE -j DROP
Wobei $IFACE für das betroffenen Interface steht. Wird die Verbindung über ppp0 aufgebaut, wie z. B. im Falle einer Modemverbindung, so steht dort -i ppp0. Um alle ppp-Verbindungen zu sperren, ersetzt man 0 mit +, so daß dort steht -i ppp+.
Hängt der Rechner an einem Router, so wird die Verbindung üblicherweise über das Ethernet-Interface hergestellt, für uns heißt das z. B. -i eth0.
|
Hinweis: Das Ausschließen des Ethernet-Interfaces kann zum völligen Kommunikationsverlust für externe Anfrager führen, d. h. alle Samba-Shares, Netzwerkdrucker usw. des mit dieser Firewall-Regel abgesicherten Rechners sind im Netz nicht erreichbar. Diese müssen mit weiteren Regeln zugänglich gemacht werden. |
Weitere Lektüre
|
Migration abgeschlossen: Dieser Artikel wurde vollständig aus dem alten Wiki migriert. |
