Gibt es Alternativen zur yast2-Firewall?

Dieses Thema im Forum "Firewalls" wurde erstellt von wladimir-blumen, 20.05.2007.

  1. #1 wladimir-blumen, 20.05.2007
    wladimir-blumen

    wladimir-blumen Mitglied

    Dabei seit:
    05.12.2006
    Beiträge:
    38
    Zustimmungen:
    0
    Hallo,

    ich suche schon seit Längerem eine Firewall für openSuse 10.2, die einfach zu bedienen ist. Gibt es vielleicht etwas Vergleichbares zu ZoneAlarm auch für Linux?
    Hätte gerne eine Firewall, die einfach zu bedienen ist und eine grafische Oberfläche hat. Außerdem sollte ich mit der Firewall bestimmten Programmen, den Zugriff zum Internet verweigern können.

    Vielen Dank

    Hannes
     
  2. Anzeige

    Schau dir mal diesen Ratgeber an. Viele Antworten inkl. passender Shell-Befehle!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    für was überhaupt eine Firewall?...also ich finde sowas für einen normalen User ziehmlich unnötig...

    Eigentlich gibt es nur IPtables mit diversen grafischen Oberflächen, wie dem Punkt im YAST um die Bedienung zu vereinfachen...
     
  4. #3 bitmuncher, 20.05.2007
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.167
    Zustimmungen:
    0
    Mir ist auch keine Desktop-Firewall o.ä. für Linux bekannt. Die iptables sind ja nun mehr als gut und einmal konfiguriert, hast du damit keine Probleme. Du kannst z.B. auch einfach das folgende Skript als Firewall nutzen:

    Code:
    #!/bin/bash
    
    echo "Starting firewall"
    
    LOGLIMIT=20
    IPTABLES=/usr/sbin/iptables
    
    case "$1" in
    start)
    	# alle alten Regeln entfernen
    	echo "Loesche alte Regeln"
    	$IPTABLES -F
    	$IPTABLES -X
    	$IPTABLES -t nat -F
    
    	### ERSTELLE NEUE KETTEN ###
    	# Chain to log and reject a port by ICMP port unreachable 
    	$IPTABLES -N LOGREJECT 
    	$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
              --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 
    	$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
    	
    	### PROC MANIPULATION ###
    	# auf Broadcast-Pings nicht antworten
    	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
    	# halt die Klappe bei komischen ICMP Nachrichten
    	echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
    	# Kicke den ganzen IP Spoofing Shit
    	# (Source-Validierung anschalten)
    	echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
    	# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
    	echo 61 > /proc/sys/net/ipv4/ip_default_ttl
    	# sende RST-Pakete wenn der Buffer voll ist
    	echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
    	# warte max. 30 secs auf ein FIN/ACK
    	echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
    	# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
    	# Default ist 6
    	echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
    	# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
    	# Default ist 6
    	echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
    	
    	### MAIN PART ###
    	$IPTABLES -P INPUT DROP
    	$IPTABLES -P FORWARD DROP
    	$IPTABLES -P OUTPUT ACCEPT
    	$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    	$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
    	# im Loopback koennen wir jedem trauen 
    	$IPTABLES -A INPUT -i lo -j ACCEPT
    
    	# erlaube Pings
    	$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
    
    	# Alle TCP Packete, die bis hier hin kommen, werden 
            # geloggt und rejected 
            # Der Rest wird eh per Default Policy gedroppt... 
    	$IPTABLES -A INPUT -p tcp -j LOGREJECT 
    	$IPTABLES -A FORWARD -p tcp -j LOGREJECT
    	;;
    *)
    	echo "Usage: `basename $0` {start}" >&2
    	exit 64
    	;;
    esac
    
    exit 0
    
    Damit ist dann alles dicht. Du kannst von deinem Rechner jede beliebige Verbindung aufbauen, aber von außen kommt niemand mehr an einen Service, der auf deinem Rechner läuft. Wenn du einen einzelnen Port freigeben willst, kannst du das mit '$IPTABLES -A INPUT -p tcp --dport <hier-port-einsetzen> -j ACCEPT' tun.
     
  5. #4 Mike1, 20.05.2007
    Zuletzt bearbeitet: 20.05.2007
    Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    das Script+Befehle zum Ports Accepten müsste man dann halt noch Autostarten...

    Ich denke das ein Frontend kaum Sinn macht, schlieslich kann man ja IPTables auch einmal "mühsam" per Hand konfigurieren, danach wird man eh kaum mehr Änderungen vornehmen müssen
     
  6. #5 Mitzekotze, 20.05.2007
    Mitzekotze

    Mitzekotze little man

    Dabei seit:
    01.12.2006
    Beiträge:
    750
    Zustimmungen:
    0
    In einer Ausgabe der Linuxuser gab es mal einen Artikel über Frontends für IPtables. Dort wurden unter anderem Firestarter für Gnome und KMyfirewall für KDE vorgestellt. Wüsste jetzt keinen Link dazu aber ich denke mit ein wenig googlen findest du da sicher was.
     
  7. #6 bitmuncher, 20.05.2007
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.167
    Zustimmungen:
    0
    @Mike1: Das Skript kann problemlos in /etc/init.d/ abgelegt und mit einem Runlevel-Editor aktiviert werden. Es ist ja nicht umsonst als init-Skript aufgebaut.
     
  8. #7 wladimir-blumen, 20.05.2007
    wladimir-blumen

    wladimir-blumen Mitglied

    Dabei seit:
    05.12.2006
    Beiträge:
    38
    Zustimmungen:
    0
    Danke für die schnellen Antworten!

    Ich habe mir jetzt erst mal die KMyfirewall installiert. Werde mir mal in den nächsten Tagen schauen, was die so kann.

    Ansonsten werde ich wohl auf die Skripte zurückkommen müssen, wobei ich mich damit kaum auskenne.
     
  9. Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    jo, meinte es ja nur so als Hinweis das man genau das noch tun muss... ;)
     
  10. #9 stoerfang, 23.05.2007
    stoerfang

    stoerfang Doppel-As

    Dabei seit:
    11.10.2005
    Beiträge:
    125
    Zustimmungen:
    0
    Ort:
    Detmold
    hallo, ich finde für Einsteiger und gerade für den Desktop-Bereich ist Guarddog sehr zu empfehlen

    Gruss stoerfang
     
  11. #10 fred_45, 23.06.2008
    fred_45

    fred_45 Jungspund

    Dabei seit:
    25.06.2007
    Beiträge:
    23
    Zustimmungen:
    0
    Soweirt ich mich errinern kann, ist "Guarddog" nur eine GUI , für IPCHAIN.

    Aber eine andere Frage: Worin liegt der Unterschied zwischen ipchain und iptables, oder wem von beiden ist der Vorzug zu geben? Wen ich das so lese, liegt der schluß nahe, das die beiden zusammengehöhren oder bin ich auf´n Holzweg?
     
  12. Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    ipchain ist der Vorgänger bzw. ehemaliger Name von iptables
     
  13. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  14. #12 crying-bird, 30.06.2008
    crying-bird

    crying-bird Grünschnabel

    Dabei seit:
    23.06.2008
    Beiträge:
    6
    Zustimmungen:
    0
    Hallo zusammen,

    bei mir läuft derzeit vuurmuur aufm Server. Was haltet ihr davon?

    Grüße
    Crying
     
  15. Mike1

    Mike1 Niederösterreicher

    Dabei seit:
    21.12.2006
    Beiträge:
    1.376
    Zustimmungen:
    0
    Ort:
    Österreich
    vermutlich wird es da auch stark darauf ankommen wie du es konfiguriert hast...
     
Thema:

Gibt es Alternativen zur yast2-Firewall?

Die Seite wird geladen...

Gibt es Alternativen zur yast2-Firewall? - Ähnliche Themen

  1. Programm "party" oder gibts Alternativen?

    Programm "party" oder gibts Alternativen?: Nabend, also ich finde die Möglichkeit, consolenbasierend zu chatten eigentlich nicht schlecht (in manchen Fällen). Nun gibts dafür ja...
  2. AMD gibt CodeXL 2.0 im Quellcode frei

    AMD gibt CodeXL 2.0 im Quellcode frei: AMD hat sein Debugging- und Profiling-Tool, CodeXL, in der Version 2.0 veröffentlicht. Zugleich hat das Unternehmen die Verfügbarkeit des...
  3. awk: warum gibt close -1 zurück ?

    awk: warum gibt close -1 zurück ?: Hallo, bei diesem Gawk-Skript liefert close() ein -1 zurück. Warum ? Das File sortiert.txt wurde erfolgreich von sort angelegt ... Ist ein close...
  4. Microsoft gibt Visual Studio Productivity Power Tools frei

    Microsoft gibt Visual Studio Productivity Power Tools frei: Microsoft gibt erneut Werkzeuge für Entwickler auf GitHub frei. Diesmal handelt es sich um die Productivity Power Tools für Visual Studio....
  5. Croteam gibt Quellen der Serious Engine 1 frei

    Croteam gibt Quellen der Serious Engine 1 frei: Der hinter Spieletiteln wie »Serious Sam« und »The Talos Principle« stehende Entwickler »Croteam« hat die Quellen seiner »Serious Engine 1«...