Hallo Michael! Am Sonntag 27 Juni 2010 schrieb Michael Schuerig: > Ich verwende im Augenblick firehol für die Konfiguration der Firewall > auf meinem Notebook. Das sieht denkbar einfach aus > > # /etc/firehol/firehol.conf > interface any world > client all accept > > Wenn es nötig wird, kann ich auch sehr einfach Dienste nach außen > freigeben. So weit alles prima. > > Mich stört aber, dass ich firehol anscheinend nicht abgewöhnen kann, > iptables-Regeln für das Logging zu erzeugen. Die Logeinträge sind für > mich völlig uninteressant. > > Es wäre möglich, in firehol den Loglevel auf Debug zu setzen und diesen > von Syslog ignorieren zu lassen. Das möchte ich aber nicht, weil ich > nicht weiß, was dann noch alles nicht gelogt wird. > > Ich suche daher nach einem Hilfsmittel, mit dem ich die Firewall auf > einem ähnlich hohen Niveau beschreiben und außerdem das Logging > deaktivieren kann. > > Brauche ich überhaupt eine Firewall? Wenn ich mich nur in meinem > eigenen Netz und damit hinter der Firewall meines Routers befinde, > dann wohl nicht. Da ich mit dem Notebook aber auch anderswo ins Netz > gehe, möchte ich festlegen können, welche Dienste nach außen sichtbar > sind. Mal langsam. Eine Firewall ist ein Konzept, um den sicheren Übergang zwischen zwei oder mehreren Netzen zu gestalten. Eine übliche Konstellation ist ein "sicheres" Netz wie Dein lokales Heim-Netz und einem "unsicheren" Netz, dem Internet. Genau das hast Du auf Deinem Notebook so aber nicht, es sei denn Du betrachtest, die auf Deinem Laptop gebundenen IP-Adresse als solches Netz. IPTables ist hingegen keine Firewall, sondern die Implementation eines IP- Filters. Eine sogenannte Personal Firewall macht hingegen nix anderes, als Ports zu sperren, die ohnehin nicht offen wären, wenn da keine Dienste lauschen. Und Ports von Diensten, die erreichbar sein soll, kann eine Personal Firewall ebenfalls nicht absichern. Eine solche Personal Firewall macht also nur Sinn, wenn Du Dir oder dem von Dir verwendeten Linux nicht zutraust, *immer* nur die von Dir gewünschten Dienste auf von außen zugängliche IP-Adressen lauschen zu lassen. Debian GNU/Linux traue ich das durchaus zu. Ob Du selbst aber immer achtsam bin? Ich hab schon ein paar Mal entdeckt, dass ich bei einer Paket-Installation nicht ganz genau hingeschaut hab und dann doch mal etwas lief. Ich ziehe vor, lieber bewußt Dienste zu deaktivieren oder nur auf der Loopback-Schnittstelle laufen zu lassen, anstatt ein IPTables-Skript einzusetzen. netstat -tulpen | egrep -v "(127\.|::1)" zeigte mir gerade nur SSH - ausschließlich mit Public Key-Authentifizierung und ohne Root-Login - CUPS UDP, das Web-Interface lauscht auf 127.0.0.1 sowie Portmap, den ich beendete und nun auch standardmäßig nicht starten lasse. Alles andere läuft wie Listen-Direktiven und Ähnlichen nur auf der Loopback- Schnittstelle. Gängige Fallen sind Paket-Installation und Upgrades, insbesondere, wenn man Init-Skripte durch Entfernen aller Symlinks deaktiviert. Dann erstellt das Installationsskript beim Paket-Update oft neue Links. Derzeit mache ich das unter insserv so: shambhala:~> insserv portmap,stop=0,1,2,3,4,5,6,S shambhala:~> ls -l /etc/rc?.d/???portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc0.d/K07portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc1.d/K07portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc2.d/K07portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc3.d/K07portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc4.d/K07portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc5.d/K07portmap -> ../init.d/portmap lrwxrwxrwx 1 root root 17 28. Jun 23:02 /etc/rc6.d/K07portmap -> ../init.d/portmap (Allerdings entfernte ich diesmal noch ein paar Links von Hand, für die sich insserv nicht zuständig fühlte.) Alles andere regele ich über die Firewall auf meinem ASUS WL-500g Premium Router mit Debian Lanny und einem einem einfachen IP-Tables-Shell-Skript. Ich hab auch für mein Notebook so ein einfaches Personal Firewall-Skript, das ich aber bislang nicht nutze. Ich finde IPTables gar nicht mal so kompliziert, der Connection Tracker nimmt einem doch Vieles ab. Infos zum Absichern von Diensten findest Du in und zumindest das Personal- Firewall-Skript findest Du in: http://www.linux-community.de/Internal/Artikel/Print- Artikel/LinuxUser/2008/01/Sicher-und-zuverlaessig/(printView)/true Das Skript kann ich Dir aber auch so mal zuschicken. Ciao, -- Martin 'Helios' Steigerwald - http://www.Lichtvoll.de GPG: 03B0 0D6C 0040 0710 4AFA B82F 991B EAAC A599 84C7
Attachment:
signature.asc
Description: This is a digitally signed message part.