GNU/Linux >> LINUX-Kenntnisse >  >> Linux

Erste Schritte mit Linux-Firewalls

Eine vernünftige Firewall ist die erste Verteidigungslinie Ihres Computers gegen Netzwerkeindringlinge. Wenn Sie zu Hause sind, befinden Sie sich wahrscheinlich hinter einer Firewall, die in den Router Ihres Internetdienstanbieters integriert ist. Wenn Sie jedoch nicht zu Hause sind, ist die einzige Firewall, die Sie haben, diejenige, die auf Ihrem Computer läuft, daher ist es wichtig, die Firewall auf Ihrem Linux-Computer zu konfigurieren und zu kontrollieren. Wenn Sie einen Linux-Server betreiben, ist es genauso wichtig zu wissen, wie Sie Ihre Firewall verwalten, damit Sie sie sowohl lokal als auch remote vor unerwünschtem Datenverkehr schützen können.

Installieren Sie eine Firewall

Viele Linux-Distributionen werden mit einer bereits installierten Firewall ausgeliefert, und traditionell war das iptables . Es ist äußerst effektiv und anpassbar, kann jedoch komplex zu konfigurieren sein. Glücklicherweise haben Entwickler mehrere Frontends erstellt, um Benutzern zu helfen, ihre Firewall zu kontrollieren, ohne langwierige iptables-Regeln schreiben zu müssen.

Auf Fedora, CentOS, Red Hat und ähnlichen Distributionen ist die standardmäßig installierte Firewall-Software firewalld , die mit dem firewall-cmd konfiguriert und gesteuert wird Befehl. Unter Debian und den meisten anderen Distributionen kann firewalld aus Ihrem Software-Repository installiert werden. Ubuntu wird mit der Uncomplicated Firewall (ufw) ausgeliefert. Um also firewalld zu verwenden, müssen Sie das Universum aktivieren Aufbewahrungsort:

$ sudo add-apt-repository universe

$ sudo apt install firewalld

Sie müssen auch ufw:

deaktivieren 
$ sudo systemctl disable ufw

Es gibt keinen Grund nicht ufw verwenden. Es ist ein ausgezeichnetes Firewall-Frontend. Dieser Artikel konzentriert sich jedoch auf firewalld aufgrund seiner breiten Verfügbarkeit und Integration in systemd, das mit fast jeder Distribution ausgeliefert wird.

Unabhängig von Ihrer Distribution muss eine Firewall aktiv sein und beim Booten geladen werden, damit sie wirksam ist:

$ sudo systemctl enable --now firewalld

Firewallzonen verstehen

Firewalld zielt darauf ab, die Firewall-Konfiguration so einfach wie möglich zu machen. Dies geschieht durch die Einrichtung von Zonen . Eine Zone ist eine Reihe sinnvoller, gemeinsamer Regeln, die den alltäglichen Bedürfnissen der meisten Benutzer entsprechen. Standardmäßig sind es neun:

  • vertrauenswürdig: Alle Netzwerkverbindungen werden akzeptiert. Dies ist die am wenigsten paranoide Firewall-Einstellung und sollte nur in einer vertrauenswürdigen Umgebung verwendet werden, z. B. in einem Testlabor oder in einem Einfamilienhaus, in dem bekannt ist, dass alle im lokalen Netzwerk freundlich sind.
  • Zuhause, Arbeit, Intern: In diesen drei Zonen werden die meisten eingehenden Verbindungen akzeptiert. Sie schließen jeweils Datenverkehr an Ports aus, die normalerweise keine Aktivität erwarten. Jede davon ist eine vernünftige Einstellung für die Verwendung in einer Heimumgebung, in der kein Grund zu der Annahme besteht, dass der Netzwerkverkehr Ports verdeckt, und Sie im Allgemeinen den anderen Benutzern im Netzwerk vertrauen.
  • öffentlich: Für den Einsatz im öffentlichen Bereich. Dies ist eine paranoide Einstellung, die für Zeiten gedacht ist, in denen Sie anderen Computern im Netzwerk nicht vertrauen. Nur ausgewählte gängige und meist sichere eingehende Verbindungen werden akzeptiert.
  • dmz: DMZ steht für demilitarisierte Zone. Diese Zone ist für öffentlich zugängliche Computer gedacht, die sich im externen Netzwerk einer Organisation mit eingeschränktem Zugriff auf das interne Netzwerk befinden. Für PCs ist dies normalerweise keine nützliche Zone, aber für bestimmte Servertypen eine wichtige Option.
  • extern: Zur Verwendung in externen Netzwerken mit aktiviertem Masquerading (d. h. die Adressen Ihres privaten Netzwerks werden einer öffentlichen IP-Adresse zugeordnet und hinter ihr verborgen). Ähnlich wie bei der dmz-Zone werden nur ausgewählte eingehende Verbindungen akzeptiert, einschließlich SSH.
  • blockieren: Nur innerhalb dieses Systems initiierte Netzwerkverbindungen sind möglich, und alle eingehenden Netzwerkverbindungen werden mit einem icmp-host-prohibited abgewiesen Botschaft. Dies ist eine äußerst paranoide Einstellung und eine wichtige Option für bestimmte Arten von Servern oder PCs in einer nicht vertrauenswürdigen oder feindlichen Umgebung.
  • fallen lassen: Alle eingehenden Netzwerkpakete werden ohne Antwort verworfen. Es sind nur ausgehende Netzwerkverbindungen möglich. Die einzige Einstellung, die noch paranoider ist als diese, ist das Ausschalten Ihres WLANs und das Abziehen Ihres Ethernet-Kabels.

Sie können sich über jede Zone und alle anderen von Ihrer Distribution oder Ihrem Systemadministrator definierten Zonen informieren, indem Sie sich die Konfigurationsdateien in /usr/lib/firewalld/zones ansehen . Hier ist zum Beispiel die FedoraWorkstation-Zone, die mit Fedora 31 ausgeliefert wird:

$ cat /usr/lib/firewalld/zones/FedoraWorkstation.xml 

<?xml version="1.0" encoding="utf-8"?>

<zone>

  <short>Fedora Workstation</short>

  <description>Unsolicited incoming network packets are rejected from port 1 to 1024, except for select network services. Incoming packets that are related to outgoing network connections are accepted. Outgoing network connections are allowed.</description>

  <service name="dhcpv6-client"/>

  <service name="ssh"/>

  <service name="samba-client"/>

  <port protocol="udp" port="1025-65535"/>

  <port protocol="tcp" port="1025-65535"/>

</zone>

Ihre aktuelle Zone abrufen

Mit --get-active-zones können Sie jederzeit sehen, in welcher Zone Sie sich befinden Möglichkeit:

$ sudo firewall-cmd --get-active-zones

Als Antwort erhalten Sie den Namen der aktiven Zone zusammen mit der ihr zugewiesenen Netzwerkschnittstelle. Auf einem Laptop bedeutet das normalerweise, dass Sie eine WLAN-Karte in der Standardzone haben:

FedoraWorkstation

  interfaces: wlp61s0

Ändern Sie Ihre aktuelle Zone

Um Ihre Zone zu ändern, weisen Sie Ihre Netzwerkschnittstelle einer anderen Zone zu. Zum Beispiel, um das Beispiel wlp61s0 zu ändern Karte in den öffentlichen Bereich:

$ sudo firewall-cmd --change-interface=wlp61s0 \

--zone=public

Weitere Linux-Ressourcen

  • Spickzettel für Linux-Befehle
  • Spickzettel für fortgeschrittene Linux-Befehle
  • Kostenloser Online-Kurs:RHEL Technical Overview
  • Spickzettel für Linux-Netzwerke
  • SELinux-Spickzettel
  • Spickzettel für allgemeine Linux-Befehle
  • Was sind Linux-Container?
  • Unsere neuesten Linux-Artikel

Sie können die aktive Zone für eine Schnittstelle jederzeit und aus jedem beliebigen Grund ändern – ob Sie in ein Café gehen und das Bedürfnis verspüren, die Sicherheitsrichtlinien Ihres Laptops zu erhöhen, oder Sie zur Arbeit gehen und sich öffnen müssen einige Ports, um ins Intranet zu gelangen, oder aus anderen Gründen. Die Optionen für firewall-cmd automatisch vervollständigen, wenn Sie die Tabulatortaste drücken Solange Sie sich also an die Schlüsselwörter "change" und "zone" erinnern, können Sie durch den Befehl stolpern, bis Sie ihn auswendig gelernt haben.

Weitere Informationen

Es gibt noch viel mehr, was Sie mit Ihrer Firewall tun können, darunter das Anpassen vorhandener Zonen, das Festlegen einer Standardzone und mehr. Je vertrauter Sie mit Firewalls werden, desto sicherer sind Ihre Online-Aktivitäten. Deshalb haben wir einen Spickzettel zum schnellen und einfachen Nachschlagen erstellt.

Laden Sie Ihren Firewall-Spickzettel herunter


Linux

  1. Beginnen Sie mit NetworkManager unter Linux

  2. Erste Schritte mit dem Linux-tac-Befehl

  3. Erste Schritte mit dem Linux-cat-Befehl

  4. Erste Schritte mit PostgreSQL unter Linux

  5. Erste Schritte mit SSH unter Linux

Erste Schritte mit GIT unter Linux

Erste Schritte mit dem Linux-Betriebssystem

Vagrant-Tutorial – Erste Schritte mit Vagrant unter Linux

Erste Schritte mit Docker Compose unter Linux

Erste Schritte mit VirtualBox unter Linux – Teil 1

Erste Schritte mit Flutter auf dem Linux-Desktop