Workshop SLOS (Teil 8): Security und Firewall
SuSEfirewall im Detail
Auf den folgenden Seiten haben wir die wichtigsten Optionen der SuSEfirewall und ihre Beschreibung für Sie zusammengestellt.
Option | Firewall, Masquerading | Beschreibung |
|---|---|---|
| ||
FW_DEV_WORLD | Firewall, Masquerading | Diese Einstellung legt das Netzwerk-Interface fest, über das die Verbindung ins Internet aufgebaut wird. |
FW_DEV_INT | Firewall, Masquerading | Hier tragen Sie das Interface ein, über das der Server mit dem lokalen Netz verbunden ist. |
FW_ROUTE | Firewall, Masquerading | Wenn Sie Masquerading einsetzen, müssen Sie bei dieser Option yes eintragen. Bei einer Firewall ohne Masquerading gilt dies nur dann, wenn man Zugang zum lokalen Netzwerk haben möchte. Das funktioniert jedoch nur dann, wenn die internen Rechner offiziell zugewiesene IP-Adressen besitzen. Wenn Sie yes wegen Masquerading eintragen, bleiben Ihre Clients dennoch von außen unsichtbar, da Sie ja private Netzwerkadressen wie 192.168.x.x haben und diese im Internet nicht geroutet werden können. |
FW_MASQUERADE | Masquerading | Soll die Firewall ein Masquerading vornehmen, dann tragen Sie hier yes ein. |
FW_MASQ_NETS | Masquerading | Geben Sie hier die Rechner an, für die Masquerading möglich sein soll. Einzelne Einträge trennen Sie dabei durch ein Leerzeichen, wie zum Beispiel FW_MASQ_NETS=192.168.0.0/24 193.168.0.118. |
FW_PROTECT_FROM_INTERNAL | Firewall | Soll der Rechner auch vor Angriffen aus dem lokalen Netzwerk geschützt werden, tragen Sie bei dieser Option yes ein. In diesem Fall müssen Sie jedoch die Services, die für das interne Netzwerk verfügbar sind, explizit freigeben. Beachten Sie hierzu auch die Optionen FW_SERVICES_INTERNAL_TCP und FW_SERVICES_INTERNAL_UDP. |
FW_SERVICES_EXTERNAL_TCP | Firewall | Geben Sie hier die Services an, auf welche zugegriffen werden soll, wie beispielsweise www smtp ftp. |
FW_SERVICES_EXTERNAL_UDP | Firewall | Wenn Sie keinen Nameserver betreiben, auf den von außen zugegriffen werden soll, lassen Sie diese Option leer. Anderenfalls geben Sie die benötigten Ports an. |
FW_SERVICES_INTERNAL_TCP | Firewall | Mit dieser Option legen Sie die für das lokale Netzwerk zur Verfügung stehenden Dienste fest. Die Angaben sind analog zu denen unter FW_SERVICES_EXTERNAL_TCP, nur eben für das interne Netzwerk. |
FW_SERVICES_INTERNAL_UDP | Firewall | Siehe FW_SERVICES_INTERNAL_TCP. |
FW_TRUSTED_NETS | Firewall | Geben Sie hier die Rechner an, denen Sie wirklich vertrauen, den "Trusted Hosts". In der Regel sollten Sie diese Option der Sicherheit halber leer lassen. Die Angabe 172.20.0.0/16 172.30.4.2 hat zur Folge, dass alle Rechner, deren IP-Adresse mit 172.20.x.x beginnt, sowie der Rechner mit der IP-Adresse 172.30.4.2 durch die Firewall hindurch können. |
FW_SERVICES_TRUSTED_TCP" | Firewall | Mit dieser Option können Sie TCP-Ports und damit die Dienste festlegen, die von den "Trusted Hosts" benutzt werden dürfen. Die Angabe 1:65535 lässt alle Hosts zu. In der Regel dürfte hier der Service ssh ausreichend sein. |
FW_SERVICES_TRUSTED_UDP | Firewall | sinngemäß wie FW_SERVICES_TRUSTED_TCP, jedoch auf UDP bezogen. |
FW_ALLOW_INCOMING_HIGHPORTS_TCP | Firewall | Falls Sie aktives FTP zulassen wollen, tragen Sie an dieser Stelle ftp-data ein. |
FW_ALLOW_INCOMING_HIGHPORTS_UDP | Firewall | Geben Sie hier dns ein, damit sie den in /etc/resolv.conf eingetragenen Nameserver verwenden können. Die Angabe yes gibt alle hohen Ports frei. |
FW_SERVICE_DNS | Firewall | Falls Sie einen eigenen Nameserver betreiben, auf den auch von außen zugegriffen werden soll, müssen Sie hier yes eintragen. |
FW_LOG_* | - | Legen Sie hier fest, was Sie alles im Log protokollieren wollen. In der Regel reicht ein yes bei FW_LOGDENY_CRIT. |
FW_STOP_KEEP_ROUTING_STATE | Firewall | Falls Sie sich automatisch über Dial-on-Demand ins Internet einwählen möchten, geben Sie hier yes an. |
FW_AUTOPROTECT_GLOBAL_SERVICES | Firewall | Diese Option belassen Sie stets auf yes. |
Detaillierte Informationen über TCP- und UDP-Ports zum Konfigurieren einer Firewall bietet Ihnen der Artikel Ports im Überblick. Weitere Details zu Aufbau und Funktionsweise der Internet-Protokolle TCP und UDP finden Sie im Beitrag So funktionieren TCP/IP und IPv6.