Gibt es Alternativen zur yast2-Firewall?

  • Ersteller wladimir-blumen
  • Erstellt am
W

wladimir-blumen

Mitglied
Hallo,

ich suche schon seit Längerem eine Firewall für openSuse 10.2, die einfach zu bedienen ist. Gibt es vielleicht etwas Vergleichbares zu ZoneAlarm auch für Linux?
Hätte gerne eine Firewall, die einfach zu bedienen ist und eine grafische Oberfläche hat. Außerdem sollte ich mit der Firewall bestimmten Programmen, den Zugriff zum Internet verweigern können.

Vielen Dank

Hannes
 
für was überhaupt eine Firewall?...also ich finde sowas für einen normalen User ziehmlich unnötig...

Eigentlich gibt es nur IPtables mit diversen grafischen Oberflächen, wie dem Punkt im YAST um die Bedienung zu vereinfachen...
 
Mir ist auch keine Desktop-Firewall o.ä. für Linux bekannt. Die iptables sind ja nun mehr als gut und einmal konfiguriert, hast du damit keine Probleme. Du kannst z.B. auch einfach das folgende Skript als Firewall nutzen:

Code:
#!/bin/bash

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/usr/sbin/iptables

case "$1" in
start)
	# alle alten Regeln entfernen
	echo "Loesche alte Regeln"
	$IPTABLES -F
	$IPTABLES -X
	$IPTABLES -t nat -F

	### ERSTELLE NEUE KETTEN ###
	# Chain to log and reject a port by ICMP port unreachable 
	$IPTABLES -N LOGREJECT 
	$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
          --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 
	$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
	
	### PROC MANIPULATION ###
	# auf Broadcast-Pings nicht antworten
	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
	# halt die Klappe bei komischen ICMP Nachrichten
	echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
	# Kicke den ganzen IP Spoofing Shit
	# (Source-Validierung anschalten)
	echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
	# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
	echo 61 > /proc/sys/net/ipv4/ip_default_ttl
	# sende RST-Pakete wenn der Buffer voll ist
	echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
	# warte max. 30 secs auf ein FIN/ACK
	echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
	# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
	# Default ist 6
	echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
	# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
	# Default ist 6
	echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
	
	### MAIN PART ###
	$IPTABLES -P INPUT DROP
	$IPTABLES -P FORWARD DROP
	$IPTABLES -P OUTPUT ACCEPT
	$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	# im Loopback koennen wir jedem trauen 
	$IPTABLES -A INPUT -i lo -j ACCEPT

	# erlaube Pings
	$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

	# Alle TCP Packete, die bis hier hin kommen, werden 
        # geloggt und rejected 
        # Der Rest wird eh per Default Policy gedroppt... 
	$IPTABLES -A INPUT -p tcp -j LOGREJECT 
	$IPTABLES -A FORWARD -p tcp -j LOGREJECT
	;;
*)
	echo "Usage: `basename $0` {start}" >&2
	exit 64
	;;
esac

exit 0

Damit ist dann alles dicht. Du kannst von deinem Rechner jede beliebige Verbindung aufbauen, aber von außen kommt niemand mehr an einen Service, der auf deinem Rechner läuft. Wenn du einen einzelnen Port freigeben willst, kannst du das mit '$IPTABLES -A INPUT -p tcp --dport <hier-port-einsetzen> -j ACCEPT' tun.
 
Mir ist auch keine Desktop-Firewall o.ä. für Linux bekannt. Die iptables sind ja nun mehr als gut und einmal konfiguriert, hast du damit keine Probleme. Du kannst z.B. auch einfach das folgende Skript als Firewall nutzen:

Code:
#!/bin/bash

echo "Starting firewall"

LOGLIMIT=20
IPTABLES=/usr/sbin/iptables

case "$1" in
start)
	# alle alten Regeln entfernen
	echo "Loesche alte Regeln"
	$IPTABLES -F
	$IPTABLES -X
	$IPTABLES -t nat -F

	### ERSTELLE NEUE KETTEN ###
	# Chain to log and reject a port by ICMP port unreachable 
	$IPTABLES -N LOGREJECT 
	$IPTABLES -A LOGREJECT -m limit --limit $LOGLIMIT/minute -j LOG \
          --log-prefix "FIREWALL REJECT " --log-level notice --log-ip-options --log-tcp-options 
	$IPTABLES -A LOGREJECT -j REJECT --reject-with icmp-port-unreachable 
	
	### PROC MANIPULATION ###
	# auf Broadcast-Pings nicht antworten
	echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
	# halt die Klappe bei komischen ICMP Nachrichten
	echo 0 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
	# Kicke den ganzen IP Spoofing Shit
	# (Source-Validierung anschalten)
	echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
	# Setze Default-TTL auf 61 (Default fuer Linux ist 64)
	echo 61 > /proc/sys/net/ipv4/ip_default_ttl
	# sende RST-Pakete wenn der Buffer voll ist
	echo 1 > /proc/sys/net/ipv4/tcp_abort_on_overflow
	# warte max. 30 secs auf ein FIN/ACK
	echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
	# unterbreche Verbindungsaufbau nach 3 SYN-Paketen
	# Default ist 6
	echo 3 > /proc/sys/net/ipv4/tcp_syn_retries
	# unterbreche Verbindungsaufbau nach 3 SYN/ACK-Paketen
	# Default ist 6
	echo 3 > /proc/sys/net/ipv4/tcp_synack_retries
	
	### MAIN PART ###
	$IPTABLES -P INPUT DROP
	$IPTABLES -P FORWARD DROP
	$IPTABLES -P OUTPUT ACCEPT
	$IPTABLES -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
	$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
	# im Loopback koennen wir jedem trauen 
	$IPTABLES -A INPUT -i lo -j ACCEPT

	# erlaube Pings
	$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

	# Alle TCP Packete, die bis hier hin kommen, werden 
        # geloggt und rejected 
        # Der Rest wird eh per Default Policy gedroppt... 
	$IPTABLES -A INPUT -p tcp -j LOGREJECT 
	$IPTABLES -A FORWARD -p tcp -j LOGREJECT
	;;
*)
	echo "Usage: `basename $0` {start}" >&2
	exit 64
	;;
esac

exit 0

Damit ist dann alles dicht. Du kannst von deinem Rechner jede beliebige Verbindung aufbauen, aber von außen kommt niemand mehr an einen Service, der auf deinem Rechner läuft. Wenn du einen einzelnen Port freigeben willst, kannst du das mit '$IPTABLES -A INPUT -p tcp --dport <hier-port-einsetzen> -j ACCEPT' tun.
das Script+Befehle zum Ports Accepten müsste man dann halt noch Autostarten...

Ich denke das ein Frontend kaum Sinn macht, schlieslich kann man ja IPTables auch einmal "mühsam" per Hand konfigurieren, danach wird man eh kaum mehr Änderungen vornehmen müssen
 
Zuletzt bearbeitet:
In einer Ausgabe der Linuxuser gab es mal einen Artikel über Frontends für IPtables. Dort wurden unter anderem Firestarter für Gnome und KMyfirewall für KDE vorgestellt. Wüsste jetzt keinen Link dazu aber ich denke mit ein wenig googlen findest du da sicher was.
 
@Mike1: Das Skript kann problemlos in /etc/init.d/ abgelegt und mit einem Runlevel-Editor aktiviert werden. Es ist ja nicht umsonst als init-Skript aufgebaut.
 
Danke für die schnellen Antworten!

Ich habe mir jetzt erst mal die KMyfirewall installiert. Werde mir mal in den nächsten Tagen schauen, was die so kann.

Ansonsten werde ich wohl auf die Skripte zurückkommen müssen, wobei ich mich damit kaum auskenne.
 
hallo, ich finde für Einsteiger und gerade für den Desktop-Bereich ist Guarddog sehr zu empfehlen

Gruss stoerfang
 
Soweirt ich mich errinern kann, ist "Guarddog" nur eine GUI , für IPCHAIN.

Aber eine andere Frage: Worin liegt der Unterschied zwischen ipchain und iptables, oder wem von beiden ist der Vorzug zu geben? Wen ich das so lese, liegt der schluß nahe, das die beiden zusammengehöhren oder bin ich auf´n Holzweg?
 
Soweirt ich mich errinern kann, ist "Guarddog" nur eine GUI , für IPCHAIN.

Aber eine andere Frage: Worin liegt der Unterschied zwischen ipchain und iptables, oder wem von beiden ist der Vorzug zu geben? Wen ich das so lese, liegt der schluß nahe, das die beiden zusammengehöhren oder bin ich auf´n Holzweg?
ipchain ist der Vorgänger bzw. ehemaliger Name von iptables
 
Hallo zusammen,

bei mir läuft derzeit vuurmuur aufm Server. Was haltet ihr davon?

Grüße
Crying
 

Ähnliche Themen

Warum gibt es keine Moderne Email Client auf Linux?

Keine grafische Oberfläche (Debian Installation)

Evtl. Distro Wechsel auf Fedora

Alternative zu Ubuntu gesucht + Mängelliste

3 letzte Zeile löschen oder ab Zeile 55 Muster suchen und löschen

Zurück
Oben