openSUSE Firewall

Hallo, zusammen,

ich habe openSUSE 11.3 auf meinem Rechner installiert und bin über einen Router ans Internet angeschlossen. Ich habe die Firewall per YaST aktiviert. Reicht das oder fehlt noch etwas?

vielen Dank im Voraus für Antworten!!

LG, Reinhard

Nö, da ist eher etwas zu viel, hinter einem “normalen” NAT-Router brauchst Du keinen Paketfilter auf dem Client.

Die bessere Herangehensweise wäre sein System so zu konfigurieren, daß man keinen Paketfilter braucht (gilt übrigens für jedes OS).

  • Nicht benötigte Dienste abschalten

  • Benötigte Dienste sicher konfigurieren, dann braucht es keine “Firewall” (die eigentlich nur ein Paketfilter ist).

Du kannst auch mal “von aussen” mit nmap nachprüfen, ob überhaupt ports offen erscheinen, und wenn ja, welche.

Jo, aber auch hier gilt, bevor ich das mache, würde ich zuerst nachsehen, was überhaupt erreichbar sein kann und das abschalten, was nicht erreichbar sein sollte.

su -c "netstat -tulpen"

Das mit dem “von aussen” kann übrigens (aber ich denke das ist Dir bekannt) etwas komplizierter werden, da gäbe es noch einen der vielen “Online-Portscanner”, die dann auch 100%ig “von aussen” kommen.

Es gibt aber auch Router, die da seltsame (false?) positives erzeugen, also ohne Vergleich mit dem, was da lokal vorhanden ist, hilft ein externer Scan wenig.

su -c "netstat -tulpen"
Passwort: 
Aktive Internetverbindungen (Nur Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State       Benutzer   Inode      PID/Program name   
tcp        0      0 0.0.0.0:22              0.0.0.0:*               LISTEN      0          10161      2635/sshd           
tcp        0      0 127.0.0.1:8080          0.0.0.0:*               LISTEN      0          12034      3412/stunnel        
tcp        0      0 127.0.0.1:7634          0.0.0.0:*               LISTEN      0          12379      3465/hddtemp        
tcp        0      0 127.0.0.1:53            0.0.0.0:*               LISTEN      0          10570      2857/pdns_recursor  
tcp        0      0 127.0.0.1:8888          0.0.0.0:*               LISTEN      0          12037      3412/stunnel        
tcp        0      0 127.0.0.1:25            0.0.0.0:*               LISTEN      0          11899      3370/master         
udp        0      0 127.0.0.1:53            0.0.0.0:*                           0          10569      2857/pdns_recursor  

Ich brauche hier z.B. keine Firewall, der einzige Port, der von aussen erreichbar ist (sshd auf 22), soll es auch sein.

Hallo zusammen,

zum Thema Firewall empfehle ich immer wieder gerne Lutz Donnerhacke, Firewall FAQ. Einfach danach googlen und das ganze FAQ lesen. Danach schalten die meisten die Firewall auf dem zu schützenden Rechner ab. :wink:

Liebe Grüße

Erik

Ich gehe immer auf GRC.COM, wenn ich mein System “auswärts” testen möchte.

Zitat von der Startseite “More than 87,658,267 shields tested!”

Und das nehme ich denen sofort ab, die gibts es seit einer halben Ewigkeit. Ich schätze mal so etwa 10 Jahre.

Suche dort nach “ShieldsUp” und lese dich durch die Seiten.

Hin und wieder kommen interessante Ergebnisse raus.

Grüße

Stefan

Hallo miteinander.

Seit ca einem Monat versuche ich mich in Linux. OpenSuse, zuerst LXDE, nun KDE.
Meine Fragestellung entspricht der des Threaderstellers.

Obschon zwar mit der Konsole mittlerweile etwas vertraut, nutze ich für Admin-Aufgaben gerne die Yast.

Die Runlevel-Konfiguration bereite mir ebenso hinsichtlich Firewall Kopfzerbrechen.
Am meisten verwunderlich für mich, wieso mein System (die Yast) die integrierte Firewall quasi als Unsicherheitsfaktor definiert und man sie gemäss dem Grundsatz “Alle unbenötigten Dienste deaktivieren” eben doch besser deaktivieren soll.
Scheint mir paradox.

Weshalb es besser sei (besser sein kann) die integrierte Firewall zu deaktivieren, leuchtet mir auch soweit ein.
Allerdings wird auf einschlägigen Seiten (zB Wikipedia) auch darauf hingewiesen, das die für private Zwecke angebotenen Routern vorhandenen Firewalls oft mangelhaft seien und demnach nicht dem Ideal externer Firewall entsprechen.

Dies brachte mich zu folgenden Fragen :

  • Weiss das System (Yast) nun wirklich das eine Deaktivierung besser sei (also nach Analyse, Systemspezifisch), oder ist dieser Ratschlag von ihr lediglich allgemein?

  • Ist die Wirksamkeit der openSuse-Firewall alleinig bei “aktiv” vorhanden und eben entsprechend konfiguriert oder muss man sie in jedem Fall selber konfigurieren?

Von Beginn an habe ich mir es angewohnt, das System in Yast auf “paranoid” zu setzen. Damit wenigstens die BenutzerrechteVerwaltung konsequent ist, rsp weil ich mir in der sonstigen Konfiguration ja noch nicht so geübt bin.
Die beiden Linux-Bücher die ich mir von Anbeginn besorgt habe, erläutern umfangreich, doch für mein Laien-Verständnis kann ich mir unter vielen Begriffen oftmals nichts vorstellen.

  • nativkombi wrote, On 01/27/2011 01:06 AM:
    > - Weiss das System (Yast) nun -wirklich- das eine Deaktivierung besser
    > sei (also nach Analyse, Systemspezifisch), oder ist dieser Ratschlag von
    > ihr lediglich allgemein?

Wann und wo empfiehlt Yast Dir denn, die Firewall zu deaktivieren?

> - Ist die Wirksamkeit der openSuse-Firewall alleinig bei “aktiv”
> vorhanden und eben entsprechend konfiguriert oder muss man sie in jedem
> Fall selber konfigurieren?

Default UND angeschaltet blockiert sie die meisten eingehenden Verbindungen und lässt solche zu, die von Deinem Rechner ausgehen.
Abgeschaltet tut sie nix.

Mach Dir mal nicht so’n Kopp um die blöde Firewall. Als Faustregel fährst Du m.E. so ganz gut:

  • hinter einem Router, also im LAN, lass sie aus.
  • in einem öffentlichen Netz lass sie an, und zwar so, wie sie vorkonfiguriert ist.

Alles andere ist bei einem “normalen” PC reine Beschäftigungstherapie oder Paranoiapflege, es sei denn, Firewalls sind Dein Hobby.

Hier nochmal explizit der Link zu Lutz Donnerhackes Firewall-FAQ, die vorher schon empfohlen wurde. Sehr schön zu lesen. Bestimmt suchst Du Dir danach ein anderes Steckenpferd im Rahmen des openSUSE-Projektes :wink:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html

Gruß
Uwe

Hallo Uwe

In Runlevel 3 & 5.
Die zusätzlich aktivierten Dienste werden dort aufgelistet und der Hilfetext empfielt sie quasi zu deaktivieren.

Deine Antwort hat mir nun weitergeholfen.

Ich betreibe unter Linux einen Laptop den ich vowiegend für’s Internet verwende.
Also ausser den Updates praktisch nichts aus dem Intenet installiere. Den habe ich tatsächlich hinter einem LAN. Allerdings ist das Modem/Router nicht mehr der neueste und so kam für mich die Frage auf, inwiefern ich in dieser Kombination eine sichere Verbindung habe.

Die Links zu Lutz Donnerhackes’ Texten hatte ich mir schon beim ersten Besuch hier angesehen, doch ausser den allgemein gehaltenen Empfehlungen versteht man als Laie halt nicht wirklich viel :slight_smile:

  • nativkombi wrote, On 01/28/2011 10:06 PM:
    > In Runlevel 3& 5.
    > Die zusätzlich aktivierten Dienste werden dort aufgelistet und der
    > Hilfetext empfielt sie quasi zu deaktivieren.

Das ist schräg. Runlevel 3 ist “Multiuser mit Netzwerk” und 5 “Multiuser mit Netzwerk und grafischer Benutzeroberfläche”. Also genau die beiden Runlevel, in denen man, wenn überhaupt, eine Firewall nützlich finden kann.

Egal, wenn jetzt alles klar ist :slight_smile:

Gruß
Uwe