| Firewall |
|
|
|
|
Die Aufgabe eines Internetrouters ist einmal,
verschiedenen Clients gemeinsamen Zugriff auf das Internet zu
ermöglichen. Wer allerdings heutzutage einen Router ohne Firewall
betreibt handelt grob fahrlässig und muss sich nicht wundern wenn seine
Clients unerlaubte Zugriffe aus dem Internet erfahren und dann die
Clients als dos Clients oder Spam Mail Clients benutzt werden.
SuSE bietet eine Firewall an (SuSEfirewall2), die, sofern richtig
konfiguriert, Neueinsteigern sofort garantieren, dass ihre Clients
geschützt werden. Alle Definitionen werden in der Datei
/etc/sysconfig/SuSEfirewall gespeichert. Entweder ändert man die
Einstellungen dort direkt mit einem Editor oder benutzt YAST zur
Konfiguration.
Achtung: In
letzter Zeit habe ich vermehrt SuSEFirewalls gesehen, die sehr schlecht
konfiguriert waren und deshalb nicht alle Ports sicherten. Deshalb
sollte immer nach Änderungen an den Firewallkonfigurationen von extern
sichderheitshalber geprüft werden, ob noch alle Ports zu sind. Dazu ist
nmap sehr nützlich. Allerdings muss das von extern aufgerufen werden!
Die Alternative ist z.B. shieldsup zu benutzen.
Die SuSEfirewall2 bietet die Möglichkeit viele Dinge zu konfigurieren. Aber es ist immer wieder die 80/20 Regel: 20 % der Funktionalität kann nicht abgedeckt werden. Deshalb kann eine Datei /etc/sysconfig/scripts/SuSEfirewall2-custom mit direkten netfilter Befehlen konfiguriert werden und damit die SuSEfirewall2 erweitert werden. Dieses erfordert allerdings intimere Kenntnisse von netfilter. Meine SuSEfirewall-custom Für spezielle Portöffnungen (z.B. fuer Spiele) habe ich Scripts erstellt, die das Öffnen und Schliessen der Ports ermöglichen. Das Beispielscript stelle ich hier ohne Gewähr zur Verfuegung.
Bei unsachgemässer Änderung des Scripts kann die gesamte Firewall deaktiviert werden! Also ACHTUNG!
Fundierte Kenntnisse von netfilter und Firewallkonzepten sind unabdingbar. Sofern keine speziellen Programme in lokalen Netz Internetzzugriff brauchen (z.B. Spiele) sollte ein proxy oder socks eingerichtet werden und den Clients kein direkter Zugriff auf das Internet gegeben werden. |
|
| Last Updated ( Dienstag, 02 Januar 2007 ) |
| < Prev | Next > |
|---|