[linux-l] Firewall ja oder nein?
Wilhelm Dolle
wilhelm.dolle at dolle.net
Mi Jan 11 17:33:34 CET 2006
Hallo zusammen,
Benjamin Schieder schrieb:
> Dann ist da noch die Sache der ausgehenden Firewall. Also welche Dienste
> im Netz angesprochen werden koennen und welche Programme darauf zugreifen
> duerfen. Gibts sowas ueberhaupt fuer Linux? Dass ich jedes Programm, das
> aufs Netzwerk zugreifen will erstmal whitelisten muss? Sinnvoll zum
> Beispiel fuer nach Hause telefonierende Programme (Acrobat 7).
Aber klar geht das mit der ausgehenden Firewall unter Linux. Technisch
gesehen zumindest ;) Wenn es Dir reicht den Dienst den ein Programm auf
einem entfernten Rechner erreichen moechtest anhand seiner Portnummer zu
identifizieren ist iptables Dein Freund.
Grob gesagt nutzt Du dann einfach den Owner-Match in der OUTPUT-Kette:
$IPTABLES -A OUTPUT -m owner --uid-owner 501 -p tcp --dport 22 ...
Kann man auch noch auf bestimmte Gruppen (--gid-owner), Prozesse
(--pid-owner), Sitzungen (--sid-owner) und Kommandos eingrenzen
(--cmd-owner ssh) und natuerlich mit weiteren Bedingungen kombinieren.
Einige der Funktionen sind auf Mehrprozessorsystemen noch nicht stabil.
<Schleichwerbung>
Wer sich fuer Firewalling unter Linux und dort natuerlich insbesondere
fuer iptables interessiert, dem sei das neue Buch von Ralf Spenneberg zu
diesem Thema sehr ans Herz gelegt, das in den naechsten Tagen im
Addison-Wesley Verlag erscheinen wird ("Linux-Firewalls mit iptables &
Co.").
</Schleichwerbung>
Man koennte jetzt darueber sinnieren ob eine Firewall auf dem gleichen
Rechner wie ein potentielles "Schadprogramm" ueberhaupt Sinn macht oder
ob man entfernte Dienste an Ports erkennt ... :)
Btw. iptables kann ja auch in den payload von Paketen reinsehen wenn man
mag :)
Herzliche Gruesse,
Willi
--
Wilhelm Dolle - http://www.dolle.net
Mehr Informationen über die Mailingliste linux-l