PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Gibt es Alternativen zur yast2-Firewall?



wladimir-blumen
20.05.2007, 19:12
Hallo,

ich suche schon seit Längerem eine Firewall für openSuse 10.2, die einfach zu bedienen ist. Gibt es vielleicht etwas Vergleichbares zu ZoneAlarm auch für Linux?
Hätte gerne eine Firewall, die einfach zu bedienen ist und eine grafische Oberfläche hat. Außerdem sollte ich mit der Firewall bestimmten Programmen, den Zugriff zum Internet verweigern können.

Vielen Dank

Hannes

Mike1
20.05.2007, 19:15
für was überhaupt eine Firewall?...also ich finde sowas für einen normalen User ziehmlich unnötig...

Eigentlich gibt es nur IPtables mit diversen grafischen Oberflächen, wie dem Punkt im YAST um die Bedienung zu vereinfachen...

bitmuncher
20.05.2007, 20:05
Mir ist auch keine Desktop-Firewall o.ä. für Linux bekannt. Die iptables sind ja nun mehr als gut und einmal konfiguriert, hast du damit keine Probleme. Du kannst z.B. auch einfach das folgende Skript als Firewall nutzen:



#!/bin/bash

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/usr/sbin/iptables

case "$1" in
start)
# alle alten Regeln entfernen
echo "Loesche alte Regeln"
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F

### ERSTELLE NEUE KETTEN ###
# Chain to log and reject a port by ICMP port unreachable
$IPTABLES -N LOGREJECT
$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
--log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable

### PROC MANIPULATION ###
# auf Broadcast-Pings nicht antworten
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# halt die Klappe bei komischen ICMP Nachrichten
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Kicke den ganzen IP Spoofing Shit
# (Source-Validierung anschalten)
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
echo 61 > /proc/sys/net/ipv4/ip_default_ttl
# sende RST-Pakete wenn der Buffer voll ist
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
# warte max. 30 secs auf ein FIN/ACK
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

### MAIN PART ###
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# im Loopback koennen wir jedem trauen
$IPTABLES -A INPUT -i lo -j ACCEPT

# erlaube Pings
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Alle TCP Packete, die bis hier hin kommen, werden
# geloggt und rejected
# Der Rest wird eh per Default Policy gedroppt...
$IPTABLES -A INPUT -p tcp -j LOGREJECT
$IPTABLES -A FORWARD -p tcp -j LOGREJECT
;;
*)
echo "Usage: `basename $0` {start}" >&2
exit 64
;;
esac

exit 0


Damit ist dann alles dicht. Du kannst von deinem Rechner jede beliebige Verbindung aufbauen, aber von außen kommt niemand mehr an einen Service, der auf deinem Rechner läuft. Wenn du einen einzelnen Port freigeben willst, kannst du das mit '$IPTABLES -A INPUT -p tcp --dport <hier-port-einsetzen> -j ACCEPT' tun.

Mike1
20.05.2007, 20:08
Mir ist auch keine Desktop-Firewall o.ä. für Linux bekannt. Die iptables sind ja nun mehr als gut und einmal konfiguriert, hast du damit keine Probleme. Du kannst z.B. auch einfach das folgende Skript als Firewall nutzen:



#!/bin/bash

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/usr/sbin/iptables

case "$1" in
start)
# alle alten Regeln entfernen
echo "Loesche alte Regeln"
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F

### ERSTELLE NEUE KETTEN ###
# Chain to log and reject a port by ICMP port unreachable
$IPTABLES -N LOGREJECT
$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
--log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options
$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable

### PROC MANIPULATION ###
# auf Broadcast-Pings nicht antworten
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# halt die Klappe bei komischen ICMP Nachrichten
echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
# Kicke den ganzen IP Spoofing Shit
# (Source-Validierung anschalten)
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
echo 61 > /proc/sys/net/ipv4/ip_default_ttl
# sende RST-Pakete wenn der Buffer voll ist
echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
# warte max. 30 secs auf ein FIN/ACK
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
# Default ist 6
echo 3 > /proc/sys/net/ipv4/tcp_synack_retries

### MAIN PART ###
$IPTABLES -P INPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -P OUTPUT ACCEPT
$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
# im Loopback koennen wir jedem trauen
$IPTABLES -A INPUT -i lo -j ACCEPT

# erlaube Pings
$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# Alle TCP Packete, die bis hier hin kommen, werden
# geloggt und rejected
# Der Rest wird eh per Default Policy gedroppt...
$IPTABLES -A INPUT -p tcp -j LOGREJECT
$IPTABLES -A FORWARD -p tcp -j LOGREJECT
;;
*)
echo "Usage: `basename $0` {start}" >&2
exit 64
;;
esac

exit 0


Damit ist dann alles dicht. Du kannst von deinem Rechner jede beliebige Verbindung aufbauen, aber von außen kommt niemand mehr an einen Service, der auf deinem Rechner läuft. Wenn du einen einzelnen Port freigeben willst, kannst du das mit '$IPTABLES -A INPUT -p tcp --dport <hier-port-einsetzen> -j ACCEPT' tun.
das Script+Befehle zum Ports Accepten müsste man dann halt noch Autostarten...

Ich denke das ein Frontend kaum Sinn macht, schlieslich kann man ja IPTables auch einmal "mühsam" per Hand konfigurieren, danach wird man eh kaum mehr Änderungen vornehmen müssen

Mitzekotze
20.05.2007, 20:08
In einer Ausgabe der Linuxuser gab es mal einen Artikel über Frontends für IPtables. Dort wurden unter anderem Firestarter für Gnome und KMyfirewall für KDE vorgestellt. Wüsste jetzt keinen Link dazu aber ich denke mit ein wenig googlen findest du da sicher was.

bitmuncher
20.05.2007, 20:42
@Mike1: Das Skript kann problemlos in /etc/init.d/ abgelegt und mit einem Runlevel-Editor aktiviert werden. Es ist ja nicht umsonst als init-Skript aufgebaut.

wladimir-blumen
20.05.2007, 21:48
Danke für die schnellen Antworten!

Ich habe mir jetzt erst mal die KMyfirewall installiert. Werde mir mal in den nächsten Tagen schauen, was die so kann.

Ansonsten werde ich wohl auf die Skripte zurückkommen müssen, wobei ich mich damit kaum auskenne.

Mike1
20.05.2007, 22:17
@Mike1: Das Skript kann problemlos in /etc/init.d/ abgelegt und mit einem Runlevel-Editor aktiviert werden. Es ist ja nicht umsonst als init-Skript aufgebaut.

jo, meinte es ja nur so als Hinweis das man genau das noch tun muss... ;)

stoerfang
23.05.2007, 12:46
hallo, ich finde für Einsteiger und gerade für den Desktop-Bereich ist Guarddog sehr zu empfehlen

Gruss stoerfang

fred_45
23.06.2008, 15:57
Soweirt ich mich errinern kann, ist "Guarddog" nur eine GUI , für IPCHAIN.

Aber eine andere Frage: Worin liegt der Unterschied zwischen ipchain und iptables, oder wem von beiden ist der Vorzug zu geben? Wen ich das so lese, liegt der schluß nahe, das die beiden zusammengehöhren oder bin ich auf´n Holzweg?

Mike1
23.06.2008, 16:01
Soweirt ich mich errinern kann, ist "Guarddog" nur eine GUI , für IPCHAIN.

Aber eine andere Frage: Worin liegt der Unterschied zwischen ipchain und iptables, oder wem von beiden ist der Vorzug zu geben? Wen ich das so lese, liegt der schluß nahe, das die beiden zusammengehöhren oder bin ich auf´n Holzweg?
ipchain ist der Vorgänger bzw. ehemaliger Name von iptables

crying-bird
30.06.2008, 10:09
Hallo zusammen,

bei mir läuft derzeit vuurmuur aufm Server. Was haltet ihr davon?

Grüße
Crying

Mike1
30.06.2008, 10:25
bei mir läuft derzeit vuurmuur aufm Server. Was haltet ihr davon?

vermutlich wird es da auch stark darauf ankommen wie du es konfiguriert hast...