Die Aufgabe eines Internetrouters ist einmal, verschiedenen Clients gemeinsamen Zugriff auf das Internet zu ermöglichen. Wer allerdings heutzutage einen Router ohne Firewall betreibt handelt grob fahrlässig und muss sich nicht wundern wenn seine Clients unerlaubte Zugriffe aus dem Internet erfahren und dann die Clients als dos Clients oder Spam Mail Clients benutzt werden.

 

SuSE bietet eine Firewall an (SuSEfirewall2), die, sofern richtig konfiguriert, Neueinsteigern sofort garantieren, dass ihre Clients geschützt werden. Alle Definitionen werden in der Datei /etc/sysconfig/SuSEfirewall gespeichert. Entweder ändert man die Einstellungen dort direkt mit einem Editor oder benutzt YAST zur Konfiguration.
 
 
Achtung: In letzter Zeit habe ich vermehrt SuSEFirewalls gesehen, die sehr schlecht konfiguriert waren und deshalb nicht alle Ports sicherten. Deshalb sollte immer nach Änderungen an den Firewallkonfigurationen von extern sichderheitshalber geprüft werden, ob noch alle Ports zu sind. Dazu ist nmap sehr nützlich. Allerdings muss das von extern aufgerufen werden! Die Alternative ist z.B. shieldsup zu benutzen.

Die SuSEfirewall2 bietet die Möglichkeit viele Dinge zu konfigurieren. Aber es ist immer wieder die 80/20 Regel: 20 % der Funktionalität kann nicht abgedeckt werden. Deshalb kann eine Datei /etc/sysconfig/scripts/SuSEfirewall2-custom mit direkten netfilter Befehlen konfiguriert werden und damit die SuSEfirewall2 erweitert werden. Dieses erfordert allerdings intimere Kenntnisse von netfilter.

Meine SuSEfirewall-custom

Für spezielle Portöffnungen (z.B. fuer Spiele) habe ich Scripts erstellt, die das Öffnen und Schliessen der Ports ermöglichen. Das Beispielscript stelle ich hier ohne Gewähr zur Verfuegung.
 
 
Bei unsachgemässer Änderung des Scripts kann die gesamte Firewall deaktiviert werden! Also ACHTUNG!

Fundierte Kenntnisse von netfilter und Firewallkonzepten sind unabdingbar.

Sofern keine speziellen Programme in lokalen Netz Internetzzugriff brauchen (z.B. Spiele) sollte ein proxy oder socks eingerichtet werden und den Clients kein direkter Zugriff auf das Internet gegeben werden.
Kommentar schreiben
Hinweis:
Die eMail ist versteckt und nicht öffentlich sichtbar. Sie wird benutzt um über neue Kommentare zu informieren.