Hallo,
Ich frage mich wenn Linux anscheinend kein Virenscanner braucht wozu braucht
man den dann eine Firewall wie zb. diese hier:
zum download
Oder besser gefragt wer hat unter Linux eine Firewall bzw. Virenscanner installiert ?
Ist es den Programierern nicht gelungen eine Firewall auf die Ubuntu-CD zu verbannen ?
Gruß von einem Ubuntu-Linux Neuling.
c-fuzzy
REPI 
computerfuzzy „Firewall für Linux (un)interessant oder nicht ?“
Eine Firewall sollte auch vor einem Linux-Rechner hängen. Also man aktiviere die Firewall im Router. Ein Virenscanner ist eigentlich nur dann nötig, wenn man Windowsrechner im Netz hat und die Linuxkiste als Server für diese dient. Schaden tut sie aber auch nicht, wenn man generell eine benutzt.
Hat man keine externe Firewall, dann sollte man iptables aktivieren oder z.B. bei openSuSE z.B. die SuSEFirewall, welche bereits integriert ist, benutzen.
KarstenW computerfuzzy „Firewall für Linux (un)interessant oder nicht ?“
Bei Ubuntu werden keine Serveranwendungen automatisch installiert. Dadurch werden auch nicht automatisch irgendwelche Ports geöffnet.
Nimm einfach einen DSL Router , die Fritz Box zum Beispiel, und schließe alle Ports.
http://www.wehavemorefun.de/fritzbox/Main_Page
Es gibt bei Linux Application Level Gateway Firewalls, aber die sind für den Einsatz auf Internetserver entwickelt worden und nicht für Desktoprechner.
Da gibt es Zorp als Beispiel:
http://www.ostc.de/zorp.html
Wenn du selbst eine Router mit Firewall aufbauen willst, dann kannst du das Steuerungsprogramm iptables nutzen. iptables kann mit Hilfe des Linuxkernels Datenpakete blockieren und auf diese Weise Ports schließen
http://de.wikipedia.org/wiki/Iptables
gelöscht_189916 computerfuzzy „Firewall für Linux (un)interessant oder nicht ?“
Eine Firewallösung für Ubuntu ist firestarter, einfach mal in Synaptic aufrufen.
KarstenW gelöscht_189916 „Eine Firewallösung für Ubuntu ist firestarter, einfach mal in Synaptic aufrufen.“
Hast du dieses Programm mal verwendet ?
Normalerweise muß man Filterscripte für iptables schreiben. Bei Debian finde ich nur diese Beschreibung:
firestarter
gtk program for managing and observing your firewall
Firestarter is a complete firewall tool for Linux machines. It
features an easy to use firewall wizard to quickly create a
firewall. Using the program you can then open and close ports
with a few clicks, or stealth your machine giving access only
to a select few. The real-time hit monitor shows attackers
probing your machine.
gelöscht_189916 KarstenW „Hast du dieses Programm mal verwendet ? Normalerweise muß man Filterscripte...“
Hallo Karsten
firestarter ist eigentlich nur ein grafisches Tool zur Überwachung der Netzwerk-, Internetschnittstellen, aber um mal mit Michael Nickles zu reden, es frißt nicht viel Brot, ist einfach einzustellen und ich denke, es macht das, was es soll, nämlich grundsätzlich den Internetverkehr in beiden Richtungen zu überwachen, evtl. Ports zu dichten, wenn das gewünscht ist und Angriffe von außen im Großen und Ganzen zu blocken.
Beim Einrichten gibst Du lediglich an, welche Schnittstellen überwacht werden und ob mehrere Rechner per NAT über einen vorgeschalteten Server aufs Netz zugreifen.
Die Regeln für den ein- und ausgehenden Verkehr kannst Du dann im Einstellungsfenster erstellen, wenn firestarter läuft, zu erkennen an einem kleinen Symbol in der Systemleiste.
Analog zu jüki muß natürlich auch gesagt werden, das eine Firewall nicht vor dem User schützt und hinter einem Router eigentlich mehr mentale Beruhigung ist, also eher bei Modem und ISDN Sinn hat.
Ein Privatrechner ist ja auch schließlich kein Firmennetzwerk.
jueki computerfuzzy „Firewall für Linux (un)interessant oder nicht ?“
computerfuzzy jueki „http://www.nickles.de/thread_cache/538329972.html _pc Jürgen“
@all,
Vielen dank für die zahlreichen Antworten - ich werde mich mit dem Thema Linux und Sicherheit im Internet und Netzwerk auseinandersetzen.
Die Routerfirewall ist mal aktiviert.
thx!
cu c-fuzzy
the_mic computerfuzzy „Firewall für Linux (un)interessant oder nicht ?“
Data Junkey the_mic „STOP IPCop ist keine Firewall für Linux. Das ist bei Chip falsch beschrieben....“
Hi Mic,
hast du dieses iptables schonmal eingesetzt?
the_mic Data Junkey „Hi Mic, hast du dieses iptables schonmal eingesetzt?“
Ja, auf so ziemlich jedem meiner Server :-)
Die minimale Regel für meinen Router daheim lautet z.B.
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
Das aktiviert einfach ein ganz gewöhnliches NAT. Für die dicken Server im Internet hab ich ein etwas komplexeres Regelwerk mit Regeln zum Abschwächen von DOS-Attacken, Blocken von "malformed packets" und Absichern von Diensten.
Data Junkey the_mic „Ja, auf so ziemlich jedem meiner Server :- Die minimale Regel für meinen Router...“
Hi Mic,
..danke erstmal. Dieses Thema ist für mich natürlich völlig unbekanntes Terrain. Es wird wohl noch ein Weilchen dauern, biss ich mich da einigermaßen adäquat eingearbeitet habe; habe gerade dieses Wochenende wieder 3 neue PC-Support-Aufträge erhalten, womit wir dann schon bei insgesamt 5 wären. .. (..die Zeit...) :-)
Diese minimale Regel, hackst du die direkt auf der Console ein, oder schreibst du die in eine Datei? Bleibt das "resistent" über den Neustart? Kann man das auch wieder rückgängig machen, für den Fall, dass man nichtmehr ins Netz kommt?
Ich hänge hinter einem Speedport W 701 V von der Telekom. Das NAT ist im Router eingeschaltet, jedoch habe ich keine Regeln im Router eingegeben, --> Standardkonfigutation. .. Muss ich die Befürchtung haben, dass sich das NAT im Router mit dem vom Linux irgendwie "beist"?
Wenn ich das richtig sehe, müssten bei mir im Moment ALLE Ports in allen Richtungen vollkommen offen sein. Ist das überhaupt zu verantworten?
Ich frage hier lieber vorher nach, bevor ich mir alles verdrehe, von Dingen wo ich Null Ahnung habe. Es würde mir sehr übel reingehen, wenn ich mein derzeitiges Mint Daryna killen würde; es läuft gerade so gut. ... :-)
..ich danke dir schonmal, für deine "DAU-Hilfe" :-), Gruß, Thomas
the_mic Data Junkey „Hi Mic, ..danke erstmal. Dieses Thema ist für mich natürlich völlig...“
Die NAT-Regel brauchst du natürlich NUR auf einem Rechner, der als Router agiert. Wenn du so ein kleines Böxchen hast, das als Router fungiert, musst du bei dir natürlich NICHTS machen! Werden einfach irgendwelche Regeln auf irgendwelchen Rechnern reingehackt, wirst du dich entweder aussperren oder potentielle Sicherheitslöcher reinreissen. Iptables ist eine Wissenschaft für sich.
Du kannst diese Regeln wahlweise direkt oder per Skript eingeben, allerdings macht ein Skript wesentlich mehr Sinn, da die Regeln natürlich nicht persistent sind.
Wenn ich das richtig sehe, müssten bei mir im Moment ALLE Ports in allen Richtungen vollkommen offen sein. Ist das überhaupt zu verantworten?
Nein, sind sie sicher nicht :-) Standardmässig ist ein Port immer geschlossen. Erst wenn ein Dienst an einem Port lauscht, wird er geöffnet. Ergo: Offener Port = Port an dem auch ein Dienst angeboten wird. Du hast 2^16 (ca 65'000) TCP und UDP Ports auf deinem Rechner, ich glaube nicht, dass da an jeden ein Dienst gebunden ist.Aktuell an Ports gebundene Dienste listet der Befehl netstat -antup auf.
Es dürfte für das Verständnis der Materie hilfreich sein, sich in die Grundlagen von TCP, UDP und IP einzulesen (Wikipedia kann helfen). Wenn du alles zu diesem Thema wissen willst, kann ich dir ein Buch von KarstenW's Lieblingsautoren empfehlen: "Computer Networks" von Andrew S. Tanenbaum. Ist allerdings teuer, ersetzt aber auch ein paar Vorlesungen im Informatikstudium ;-)
Data Junkey the_mic „Die NAT-Regel brauchst du natürlich NUR auf einem Rechner, der als Router...“
Ok Mic,
das war nicht nur sehr schnell, sondern auch sehr Aufschlussreich. .. :-)
Iptables ist eine Wissenschaft für sich.
..sehr beruhigend, dass selbst du dass auch so siehst; war auch mein Eindruck, nach den Wikis, welche ich mir staunender Weise schonmal reingezogen habe. ... Hufff....
Wenn du so ein kleines Böxchen hast, das als Router fungiert, musst du bei dir natürlich NICHTS machen!
Na das ist mir im Moment am aller liebsten. :-) (Wikipedia kann helfen). ...genau deswegen... :-) Wobei die Betonung schon auf kann liegt, wenn es begriffen wird. .. *g*
netstat -antup
thomas@mint40:~$ sudo netstat -antup
[sudo] password for thomas:
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:32768 0.0.0.0:* 5200/avahi-daemon:
udp 0 0 0.0.0.0:68 0.0.0.0:* 5443/dhclient
udp 0 0 0.0.0.0:5353 0.0.0.0:* 5200/avahi-daemon:
..na ich denke mal, dass sieht doch überschaubar aus. Diesen Befehl habe ich bis jetzt allerdings noch nirgends gelesen..
..klar, dass der gleich mal in den Notizen vermerkt wird. .. :-)
So Mic, ich danke dir, *jetztbesserschlafenkann*, .. Thomas *g*
