Der Pilgermaske Blog

Ich hatte es satt, nach jeder Neu- Installation von Ubuntu 14.04 LTS, die Regelsätze der ‘Uncomplicated Firewall’ (UFW) im Internet zu suchen. Also habe ich mir ein einfaches script geschrieben, welches die relevanten Werte setzt. Dieses script ist für meine Umgebung optimiert – solltest Du es nutzen wollen, müssen sicherlich Werte angepasst werden. Das script aktiviert das routing mit NAT und bedient 3 Netzwerkschnittstellen: eth0, eth1 und wlan0. Außerdem setzt es die Port- Freigaben für Samba (in eine Richtung), DHCP (in jede Richtung) und Zeitserver (über UDP). Zusätzlich bietet es eine Option, eine Textdatei mit IP-Adressen einzulesen (blacklist).

Viele werden sagen: Linux ohne Firewall? Einfach nicht aktivieren. Das ist grundlegend richtig. Die Firewall ist bei den gängigen Linux Distributionen sowieso nicht aktiviert. Warum auch? Sind doch die Distributionen so konfiguriert, dass nach einer Standard- Installation keine Dienste offene Ports – also Zugänge zu einem Dienst – anbieten. Überprüfen kann man das z.B. mit nmap.

Eine Firewall kann dem Administrator aber ein besseres Gefühl geben, wenn damit Arbeitsstationen und Server z.B. gegen Sicherheitslücken oder Fehlkonfiguration abgesichert sind. Vielleicht gibt es im geschäftlichen Betrieb sogar Auflagen von Versicherungen, Datenschutzvorgaben oder Gesetzen … Aber klar ist auch, dass eine Firewall immer erst jede Menge Mehrarbeit für den Administrator bedeutet – egal ob im geschäftlichen oder privaten Umfeld.

Und wieder ein Web- Besucher aus der Volksrepublik China, der regelmäßig versucht, einen Zugang auf dem Server zu erlangen. Hunderte Male wird dann Port 25 vom Besucher bearbeitet, obwohl der SASL Zugang vom SMTP hält. Zähneknirschend sitzt man dann vor dem logfile des eigenen Servers…. Wie kann ich diesen Besucher fernhalten? Dazu haben die Shorewall Programmierer die Firewall mit einer relativ einfachen blacklist Funktion ausgestattet.

Ob ein Server eine Firewall braucht, ist umstritten. Einige KollegInnen meinen, der beste Schutz ist eine gewissenhafte Konfiguration der Dienste. Andere Menschen sind da skeptischer und nutzen eine Firewall gegen mögliche Software bugs oder um einen Schaden bei falscher Konfiguration zu minimieren. Wie dem auch sei: Jeder soll seinen Prinzipien frönen. Deswegen beschreibe ich hier die Konfiguration einer Shorewall Firewall Version 4.4.26 auf Ubuntu Server 12.04 LTS.