Firewall für Anfänger: Unterschied zwischen den Versionen
Malte (Diskussion | Beiträge) Samba hinzugefügt |
Malte (Diskussion | Beiträge) Hinwies Loopback hinzugefügt; Todo erstellt |
||
Zeile 23: | Zeile 23: | ||
== Einzelne Ports öffnen == | == Einzelne Ports öffnen == | ||
In vielen Fällen kann es hilfreich sein, auch auf Desktopmaschinen mit SSH zuzugreifen. Dafür muss der Port 22 geöffnet werden: | In vielen Fällen kann es hilfreich sein, auch auf Desktopmaschinen mit SSH zuzugreifen. Dafür muss der Port 22 über TCP geöffnet werden: | ||
iptables -A INPUT --dport 22 -j ACCEPT | iptables -A INPUT -p tcp --dport 22 -j ACCEPT | ||
Zudem ist es in heterogenen Netzwerken meist erwünscht, Datenverkehr zum Sambaserver zuzulassen: | Zudem ist es in heterogenen Netzwerken meist erwünscht, Datenverkehr zum Sambaserver zuzulassen: | ||
iptables -A INPUT --dport 139 -j ACCEPT | iptables -A INPUT -p tcp --dport 139 -j ACCEPT | ||
iptables -A INPUT --dport 445 -j ACCEPT | iptables -A INPUT -p tcp --dport 445 -j ACCEPT | ||
== Alle Aufgebauten Verbindungen Durchwinken == | == Alle Aufgebauten Verbindungen Durchwinken == | ||
Zeile 36: | Zeile 36: | ||
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT | iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT | ||
== Lokalen Netzwerkverkehr zulassen == | |||
Viele Systemdienste verlassen sich darauf, dass sie über die Loopback–Schnittstelle kommunizieren können: | |||
iptables -A INPUT -i lo -j ACCEPT | |||
== TODO == | |||
* Ausführlichere Erklärungen |
Version vom 19. Dezember 2012, 19:27 Uhr
Dieser Artikel oder Artikelabschnitt ist noch nicht vollständig!
Dieser Artikel richtet sich an Arch–Nutzer, die noch nie eine Firewall unter Linux benutzt haben.
Wer schonmal mit Windows zu tun hatte, kennt sicherlich Personal Firewalls. Ein möglich buntes Programm ermöglicht es einem, einzelnen Programmen den Zugriff auf das Internet zu gewähren bzw. zu verweigern. Unter einem Mehrbenutzersystem wie Linux hingegen filtert eine Firewall in der Regel auf Paketebene. Pakete sind die kleinste Dateneinheit, die beim Netzwerkverkehr auf einmal versendet wird. In der Regel greift man unter Linux auf iptables zurück.
Firewall zurücksetzen
Der Aufbau neuer Regeln sollte immer damit beginnen, alle vorhandenen Regeln zu löschen (flush):
iptables -F
Standardverhalten festlegen
Bei iptables Stellen alle Regeln Ausnahmen vom Standardverhalten ab. Dabei stellt man die Richtlinien OUTPUT, INPUT und FORWARD ein. Wie die Namen suggerieren, steht OUTPUT für alle ausgehenden Pakete, INPUT für alle eingehenden und FORWARD für alle Weitergeleiteten. Solange es sich nicht um eine Firewall handelt, die Pakete über NAT weiterleitet, sollte FORWARD auf das Verhalten DROP gesetzt werden, d.h. alle Pakete werden einfach „fallen gelassen“.
iptables -P FORWARD DROP
Eine einfache Firewall erlaubt allen Ausgehenden Datenverkehr:
iptables -P OUTPUT ACCEPT
Im Gegensatz dazu wird aller Eingehender Verkehr Blockiert, und nur, wenn benötigt, einzelne Ports geöffnet:
iptables -P INPUT DROP
Einzelne Ports öffnen
In vielen Fällen kann es hilfreich sein, auch auf Desktopmaschinen mit SSH zuzugreifen. Dafür muss der Port 22 über TCP geöffnet werden:
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
Zudem ist es in heterogenen Netzwerken meist erwünscht, Datenverkehr zum Sambaserver zuzulassen:
iptables -A INPUT -p tcp --dport 139 -j ACCEPT iptables -A INPUT -p tcp --dport 445 -j ACCEPT
Alle Aufgebauten Verbindungen Durchwinken
Damit nicht eingehender Verkehr, der als Antwort auf Ausgehenden nVerkehr erfolgte, blockiert wird, werden die entsprechenden Pakete anhand ihres Status durchgewinkt:
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
Lokalen Netzwerkverkehr zulassen
Viele Systemdienste verlassen sich darauf, dass sie über die Loopback–Schnittstelle kommunizieren können:
iptables -A INPUT -i lo -j ACCEPT
TODO
- Ausführlichere Erklärungen