Firewall für Anfänger: Unterschied zwischen den Versionen

Aus wiki.archlinux.de
Malte (Diskussion | Beiträge)
Samba hinzugefügt
Malte (Diskussion | Beiträge)
Hinwies Loopback hinzugefügt; Todo erstellt
Zeile 23: Zeile 23:


== Einzelne Ports öffnen ==
== Einzelne Ports öffnen ==
In vielen Fällen kann es hilfreich sein, auch auf Desktopmaschinen mit SSH zuzugreifen. Dafür muss der Port 22 geöffnet werden:
In vielen Fällen kann es hilfreich sein, auch auf Desktopmaschinen mit SSH zuzugreifen. Dafür muss der Port 22 über TCP geöffnet werden:


  iptables -A INPUT --dport 22 -j ACCEPT
  iptables -A INPUT -p tcp --dport 22 -j ACCEPT


Zudem ist es in heterogenen Netzwerken meist erwünscht, Datenverkehr zum Sambaserver zuzulassen:
Zudem ist es in heterogenen Netzwerken meist erwünscht, Datenverkehr zum Sambaserver zuzulassen:


  iptables -A INPUT --dport 139 -j ACCEPT
  iptables -A INPUT -p tcp --dport 139 -j ACCEPT
  iptables -A INPUT --dport 445 -j ACCEPT
  iptables -A INPUT -p tcp --dport 445 -j ACCEPT


== Alle Aufgebauten Verbindungen Durchwinken ==
== Alle Aufgebauten Verbindungen Durchwinken ==
Zeile 36: Zeile 36:


  iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
  iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
== Lokalen Netzwerkverkehr zulassen ==
Viele Systemdienste verlassen sich darauf, dass sie über die Loopback–Schnittstelle kommunizieren können:
iptables -A INPUT -i lo -j ACCEPT
== TODO ==
* Ausführlichere Erklärungen

Version vom 19. Dezember 2012, 19:27 Uhr

Dieser Artikel oder Artikelabschnitt ist noch nicht vollständig!


Dieser Artikel richtet sich an Arch–Nutzer, die noch nie eine Firewall unter Linux benutzt haben.

Wer schonmal mit Windows zu tun hatte, kennt sicherlich Personal Firewalls. Ein möglich buntes Programm ermöglicht es einem, einzelnen Programmen den Zugriff auf das Internet zu gewähren bzw. zu verweigern. Unter einem Mehrbenutzersystem wie Linux hingegen filtert eine Firewall in der Regel auf Paketebene. Pakete sind die kleinste Dateneinheit, die beim Netzwerkverkehr auf einmal versendet wird. In der Regel greift man unter Linux auf iptables zurück.

Firewall zurücksetzen

Der Aufbau neuer Regeln sollte immer damit beginnen, alle vorhandenen Regeln zu löschen (flush):

iptables -F

Standardverhalten festlegen

Bei iptables Stellen alle Regeln Ausnahmen vom Standardverhalten ab. Dabei stellt man die Richtlinien OUTPUT, INPUT und FORWARD ein. Wie die Namen suggerieren, steht OUTPUT für alle ausgehenden Pakete, INPUT für alle eingehenden und FORWARD für alle Weitergeleiteten. Solange es sich nicht um eine Firewall handelt, die Pakete über NAT weiterleitet, sollte FORWARD auf das Verhalten DROP gesetzt werden, d.h. alle Pakete werden einfach „fallen gelassen“.

iptables -P FORWARD DROP

Eine einfache Firewall erlaubt allen Ausgehenden Datenverkehr:

iptables -P OUTPUT ACCEPT

Im Gegensatz dazu wird aller Eingehender Verkehr Blockiert, und nur, wenn benötigt, einzelne Ports geöffnet:

iptables -P INPUT DROP

Einzelne Ports öffnen

In vielen Fällen kann es hilfreich sein, auch auf Desktopmaschinen mit SSH zuzugreifen. Dafür muss der Port 22 über TCP geöffnet werden:

iptables -A INPUT -p tcp --dport 22 -j ACCEPT

Zudem ist es in heterogenen Netzwerken meist erwünscht, Datenverkehr zum Sambaserver zuzulassen:

iptables -A INPUT -p tcp --dport 139 -j ACCEPT
iptables -A INPUT -p tcp --dport 445 -j ACCEPT

Alle Aufgebauten Verbindungen Durchwinken

Damit nicht eingehender Verkehr, der als Antwort auf Ausgehenden nVerkehr erfolgte, blockiert wird, werden die entsprechenden Pakete anhand ihres Status durchgewinkt:

iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

Lokalen Netzwerkverkehr zulassen

Viele Systemdienste verlassen sich darauf, dass sie über die Loopback–Schnittstelle kommunizieren können:

iptables -A INPUT -i lo -j ACCEPT

TODO

  • Ausführlichere Erklärungen