|
danibert
Anmeldungsdatum:
14. Mai 2020
Beiträge: Zähle...
|
Hallo Leute, ich versuche gerade, meine Firewall einzurichten und stoße hier auf ein paar Fragen. 1. Wie finde ich heraus, ob iptables aktiv ist? Auf Eingabe von "service iptables status" erhalte ich die Meldung: Unit iptables.service could not be found. Auch funktioniert hier kein start oder stop. Soweit ich gelesen habe, sollte iptables doch standardmäßig vorhanden sein. Muss ich hier zusätzliche Pakete installieren? 2. Wenn ich GUFW auf aktiv setze, ist dies nach dem Neustart wieder deaktiviert. Wie lässt sich das fest übernehmen? 3. Habe ich das generell richtig verstanden, dass UFW bzw. GUFW im Hintergrund lediglich die iptables Regeln konfiguriert, so dass die eigentliche Firewall eben über iptables abgebildet wird?? Danke für Eure Infos
|
|
Doc_Symbiosis
Anmeldungsdatum:
11. Oktober 2006
Beiträge: 4212
|
Zu 2.: Wie hast Du gufw denn auf aktiv gesetzt? Also ich mache immer ein "ufw enable" und dann ist sie auch nach einem Neustart noch aktiv. Zu 3.: Ja, zumindest ufw ist nur ein Frontend für iptables. gufw kenne ich nicht.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
danibert schrieb: 1. Wie finde ich heraus, ob iptables aktiv ist?
Siehe z. B. die Ausgabe von:
sudo iptables -nvx -L
|
|
kB
Supporter, Wikiteam
Anmeldungsdatum:
4. Oktober 2007
Beiträge: 7816
|
danibert schrieb: […] Firewall einzurichten […]
Ein Firewall auf einem Ubuntu-Desktop-System ist in der Regel nicht erforderlich. Sie kann sogar die Sicherheit beeinträchtigen. So etwas sollte man daher nur erwägen, wenn man auf seinem Desktop-System eine Serverfunktionalität installiert hat und diese aus dem Internet erreichbar ist.
1. Wie finde ich heraus, ob iptables aktiv ist? […]
iptables ist niemals aktiv, denn es ist kein Systemdienst, sondern nur ein Konfigurationsprogramm für die Komponente Netfilter im Kernel. Netfilter ist dagegen immer aktiv.
2. […] GUFW […]
Das ist nur ein graphischer Aufsatz für ufw, welche selber nur nach Regeln, die der Benutzer ihm gibt, Regeln für Netfilter erstellt. Es benutzt dafür ein kompliziertes Rahmenwerk, welches die Wirkungsweise schwer durchschaubar macht. Es wird also eine komplizierte Funktionalität, die der ernsthafte Anwender von Netfilter aber beherrschen muss, unter mehreren komplizierten Schichten vergraben. Das ist aus Sicherheitsgesichtspunkten unerträglich. Wirf das alles am besten weg. Wenn Du etwas über Firewalls lernen möchtest, beschäftige Dich besser direkt mit iptables oder seiner modernen Alternative nftables. Für echte Server, bei denen Firewalls Sinn machen, kann man sowieso nicht mit GUI arbeiten.
|
|
danibert
(Themenstarter)
Anmeldungsdatum:
14. Mai 2020
Beiträge: 54
|
Doc_Symbiosis schrieb: Zu 2.: Wie hast Du gufw denn auf aktiv gesetzt? Also ich mache immer ein "ufw enable" und dann ist sie auch nach einem Neustart noch aktiv.
In GUFW gibt es einen Schalter "Status", dieser stellt sich beim Neustart wieder auf inaktiv zurück. Ich habe nun auch UFW auf aktiv gesetzt (ufw enable), aber auch das ist nach dem Neustart wieder inaktiv. Habt Ihr einen Tipp, wie ich das dauerhaft übernommen bekomme?
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
danibert schrieb: Ich habe nun auch UFW auf aktiv gesetzt (ufw enable), aber auch das ist nach dem Neustart wieder inaktiv. Habt Ihr einen Tipp, wie ich das dauerhaft übernommen bekomme?
Gibt es inzwischen keine service-unit für ufw?
Wie ist die Ausgabe von:
systemctl list-units --all | grep -i ufw
?
|
|
danibert
(Themenstarter)
Anmeldungsdatum:
14. Mai 2020
Beiträge: 54
|
kB schrieb: […] Firewall einzurichten […]
Ein Firewall auf einem Ubuntu-Desktop-System ist in der Regel nicht erforderlich. Sie kann sogar die Sicherheit beeinträchtigen. So etwas sollte man daher nur erwägen, wenn man auf seinem Desktop-System eine Serverfunktionalität installiert hat und diese aus dem Internet erreichbar ist.
1. Wie finde ich heraus, ob iptables aktiv ist? […]
iptables ist niemals aktiv, denn es ist kein Systemdienst, sondern nur ein Konfigurationsprogramm für die Komponente Netfilter im Kernel. Netfilter ist dagegen immer aktiv.
2. […] GUFW […]
Das ist nur ein graphischer Aufsatz für ufw, welche selber nur nach Regeln, die der Benutzer ihm gibt, Regeln für Netfilter erstellt. Es benutzt dafür ein kompliziertes Rahmenwerk, welches die Wirkungsweise schwer durchschaubar macht. Es wird also eine komplizierte Funktionalität, die der ernsthafte Anwender von Netfilter aber beherrschen muss, unter mehreren komplizierten Schichten vergraben. Das ist aus Sicherheitsgesichtspunkten unerträglich. Wirf das alles am besten weg. Wenn Du etwas über Firewalls lernen möchtest, beschäftige Dich besser direkt mit iptables oder seiner modernen Alternative nftables. Für echte Server, bei denen Firewalls Sinn machen, kann man sowieso nicht mit GUI arbeiten.
Danke für die ausführliche Info. Jetzt verstehe ich das besser. Also mein System ist ein Desktop, ohne Serverfunktionalität (evtl. kommt später noch ein XAMPP dazu, der aber nur lokal genutzt wird). Was ich erreichen möchte ist folgendes: Da ich von Windows umsteige, habe ich nun Linux-Alternativen für die meisten Anwendungen gesucht. Es verbleiben aber ein paar Windows-Programme, die ich für die Zusammenarbeit mit Kunden weiter benutzen muss. Hier habe ich leider keine Möglichkeit, Alternativen zu benutzen. Mit Wine funktioniert das soweit problemlos - habe ich alles schon getestet. Mit der Firewall soll nun verhindert werden, dass diese Programme nach hause telefonieren. Trotzdem muss die Internetkonnektivität für Web, Email, Teamdrive, etc. gegeben sein. An dieser Stelle sei dazu gesagt, dass ich klassischer Anwender bin. Ich programmiere nicht und nenne Systemkonfiguration nicht gerade mein Hobby. Mir fehlt da einfach auch die Zeit, mich wie vorgeschlagen in iptables oder andere komplizierte Zusammenhänge einzuarbeiten. Natürlich beschäftige ich mich grundlegend mit der Installation und Konfiguration (was mich auch die letzten 3 Wochen jede freie Minute gekostet hat), aber dann muss das System arbeiten, und gut. Mehr "unter der Haube" interessiert mich da auch einfach nicht. Vielleicht ist das auch der Grund warum - leider - so wenige Leute von Windows weg gehen. Einerseits wird von einigen Distros versprochen, dass das für Windows-Umsteiger alles ganz easy ist (installieren und fertig), in der Realität sieht es aber dann ganz anders aus.
|
|
danibert
(Themenstarter)
Anmeldungsdatum:
14. Mai 2020
Beiträge: 54
|
lubux schrieb: Gibt es inzwischen keine service-unit für ufw?
Wie ist die Ausgabe von:
systemctl list-units --all | grep -i ufw
?
Ausgabe: ufw.service loaded active exited Uncomplicated Firewall Ausgabe von sudo ufw status: Status: inaktiv
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
danibert schrieb: Ausgabe: ufw.service loaded active exited Uncomplicated Firewall
Wie sind die Ausgaben von:
systemctl is-enabled ufw
systemctl status ufw
?
|
|
danibert
(Themenstarter)
Anmeldungsdatum:
14. Mai 2020
Beiträge: 54
|
Nochmal generell gefragt: wenn im Grunde ufw bzw. gufw im Hintergrund nur die Netfilter Regeln editieren, dann spielt im Grunde es keine Rolle, ob ufw/gufw aktiv sind, da ja die Regeln davon unabhängig gesetzt bleiben. Verstehe ich das richtig?
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
danibert schrieb: Nochmal generell gefragt: wenn im Grunde ufw bzw. gufw im Hintergrund nur die Netfilter Regeln editieren, dann spielt im Grunde es keine Rolle, ob ufw/gufw aktiv sind, da ja die Regeln davon unabhängig gesetzt bleiben. Verstehe ich das richtig?
Wenn Du die Regeln "editierst" dann änderst Du auch diese Regeln. Sollen diese geänderten Regeln jetzt auch aktualisiert (wirksam) werden oder nicht? Was genau meinst Du?
Du kannst vor und nach dem editieren, mit:
sudo iptables -nvx -L
nachschauen bzw. vergleichen.
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
danibert schrieb: Es verbleiben aber ein paar Windows-Programme, .... Mit der Firewall soll nun verhindert werden, dass diese Programme nach hause telefonieren.
Wie willst Du das mit iptables verhindern? Kennst Du das genaue Prozedere dieser Windows-Programme, d. h. das Protokoll, den destination-Port und die destination-IP-Adresse? Sind diese Kennwerte dann auch konstant?
|
|
danibert
(Themenstarter)
Anmeldungsdatum:
14. Mai 2020
Beiträge: 54
|
lubux schrieb: danibert schrieb: Es verbleiben aber ein paar Windows-Programme, .... Mit der Firewall soll nun verhindert werden, dass diese Programme nach hause telefonieren.
Wie willst Du das mit iptables verhindern? Kennst Du das genaue Prozedere dieser Windows-Programme, d. h. das Protokoll, den destination-Port und die destination-IP-Adresse? Sind diese Kennwerte dann auch konstant?
Zumindest kann ich unter Windows nachschauen, welche Ports und Adressen angesprochen werden. Auf Windows lässt sich ja einfach eine Anwendung sperren, und soweit ich sehe, versuchen die betreffenden Programme dann nicht über andere Wege zu kommunizieren. Sicher ist das natürlich nicht.
|
|
danibert
(Themenstarter)
Anmeldungsdatum:
14. Mai 2020
Beiträge: 54
|
lubux schrieb: Du kannst vor und nach dem editieren, mit:
sudo iptables -nvx -L
nachschauen bzw. vergleichen.
Das hat sich bestätigt. gufw setzt die Regeln, diese bleiben auch beim Neustart erhalten, egal ob gufw läuft oder nicht.
Danke für den Tipp
|
|
lubux
Anmeldungsdatum:
21. November 2012
Beiträge: 13293
|
danibert schrieb: ..., diese bleiben auch beim Neustart erhalten, egal ob gufw läuft oder nicht.
BTW: Wie war bzw. wie ist jetzt die Ausgabe von:
systemctl is-enabled ufw
?
|