Abbildung 1: Nach wenigen Zeilen Konfiguration bietet die Firewall UFW den ersten Schutz gegen Angriffe.

Früher war alles besser? Von wegen! Charly steigt ins Geronto-Fach und erzählt aus der schlechten Firewall-Zeit. Zugleich weiß er zu begründen, warum es heute besser flutscht – das richtige Tool vorausgesetzt. Volle Deckung, gleich schießt er los.

Achtung, Opa Kühnast erzählt wieder vom Krieg: Ja früher, also wir hatten ja nix. Wenn du Dienst an der Firewall hattest, das war wie Fronteinsatz in Unterwäsche bei minus 20 Grad. Und auch so beliebt. Die FW-Regelwerke bauten wir mit der von BSD erbeuteten IPFW, die zu der Zeit nicht mal Stateful Packet Inspection beherrschte. Dauernd sperrte sich das Bedienpersonal aus dem Gefechtsstand aus oder schoss sich versehentlich selbst in den Fuß.

Das aus IPWF hervorgegangene IPchains war schon ein Segen. Mit Kernel 2.4 trat IPtables seine Nachfolge an, auf dem die meisten heutigen Linux-Firewalls basieren – der designierte Nachfolger NFtables gilt seit einiger Zeit als vermisst.

IPtables bringt sich allerdings kein Mensch in fünf Minuten bei, selbst wenn er nur Standardaufgaben auf der Agenda stehen hat, etwa diese: ausgehend alles erlauben, eingehend alles verbieten – außer Connections über die Ports 22, 80 und 443. Zum Hochmauern solcher Mal-eben-Firewalls eignet sich UFW besser, die Uncomplicated Firewall [1].

Sie wurde für Ubuntu entwickelt, gehört inzwischen aber zum Lieferumfang der meisten auf Debian fußenden Distributionen und von Arch Linux. Wer sein Haus auf einem anderen Baugrund stehen hat, lädt den Tarball von [1] herunter und schwingt die übliche Installationskelle.

Um die Default-Regeln zu setzen, genügen zwei Kommandos:

sudo ufw default deny incoming
sudo ufw default allow outgoing

Den Zugriff von außen auf die Dienste SSH und Web erlaubt:

sudo ufw allow ssh
sudo ufw allow http
sudo ufw allow https

Bei den Dienstnamen handelt es sich um die in der »/etc/services« definierten. Natürlich funktionierte das auch über die Portnummer, statt »ssh« also »22/tcp« .

In der Regel: Dienst ist Dienst

Nach einem »sudo ufw enable« sind die Regeln aktiv. Überprüfen kann ich das mit dem Kommando »sudo ufw status verbose« . Was aber, wenn ich Mosh anstelle von SSH einsetze? Mosh benötigt Zugriff auf die UDP-Ports 60000 bis 61000. Das könnte ich der UFW mit dem Kommando

sudo ufw allow 60000:61000/udp

beibringen, aber es geht sogar noch einfacher: Die UFW hat Abkürzungen für einzelne Dienste an Bord, deren Liste präsentiert mir »ufw app list« , und zu meiner Freude steht auch Mosh drauf. Um die Bahn freizumachen, genügt darum:

sudo ufw allow mosh

Zur Kontrolle gebe ich noch einmal »sudo ufw status verbose« ein, Abbildung 1 zeigt das Ergebnis. Praktischerweise hat die UFW alle Regeln sowohl für IPv4 als auch für IPv6 aktiviert. Dieses Verhalten steuert die Datei »/etc/default/ufw« mit der Zeile »IPV6 = Yes« . Will ich im laufenden Betrieb eine Regel entfernen, gelingt mir das mit dem Schlüsselwort »delete« , etwa so:

sudo ufw delete allow mosh

Von so viel Schützenhilfe konnte Opa Kühnast seinerzeit am rostigen IPFW-Mörser nur träumen.

Abbildung 1: Nach wenigen Zeilen Konfiguration bietet die Firewall UFW den ersten Schutz gegen Angriffe.

Der Autor

Charly Kühnast administriert Unix-Systeme im Rechenzentrum Niederrhein. Zu seinen Aufgaben gehören Sicherheit und Verfügbarkeit der Firewalls und der DMZ.