[linux-l] Firewall ja oder nein?

[Wilhelm Dolle]

Hallo zusammen,

Benjamin Schieder schrieb:

> Dann ist da noch die Sache der ausgehenden Firewall. Also welche Dienste
> im Netz angesprochen werden koennen und welche Programme darauf zugreifen
> duerfen. Gibts sowas ueberhaupt fuer Linux? Dass ich jedes Programm, das
> aufs Netzwerk zugreifen will erstmal whitelisten muss? Sinnvoll zum
> Beispiel fuer nach Hause telefonierende Programme (Acrobat 7).

Aber klar geht das mit der ausgehenden Firewall unter Linux. Technisch 
gesehen zumindest ;) Wenn es Dir reicht den Dienst den ein Programm auf 
einem entfernten Rechner erreichen moechtest anhand seiner Portnummer zu 
identifizieren ist iptables Dein Freund.

Grob gesagt nutzt Du dann einfach den Owner-Match in der OUTPUT-Kette:

  $IPTABLES -A OUTPUT -m owner --uid-owner 501 -p tcp --dport 22 ...

Kann man auch noch auf bestimmte Gruppen (--gid-owner), Prozesse 
(--pid-owner), Sitzungen (--sid-owner) und Kommandos eingrenzen 
(--cmd-owner ssh) und natuerlich mit weiteren Bedingungen kombinieren. 
Einige der Funktionen sind auf Mehrprozessorsystemen noch nicht stabil.

<Schleichwerbung>

Wer sich fuer Firewalling unter Linux und dort natuerlich insbesondere 
fuer iptables interessiert, dem sei das neue Buch von Ralf Spenneberg zu 
diesem Thema sehr ans Herz gelegt, das in den naechsten Tagen im 
Addison-Wesley Verlag erscheinen wird ("Linux-Firewalls mit iptables & 
Co.").

</Schleichwerbung>

Man koennte jetzt darueber sinnieren ob eine Firewall auf dem gleichen 
Rechner wie ein potentielles "Schadprogramm" ueberhaupt Sinn macht oder 
ob man entfernte Dienste an Ports erkennt ... :)

Btw. iptables kann ja auch in den payload von Paketen reinsehen wenn man 
mag :)

Herzliche Gruesse,

Willi
-- 
Wilhelm Dolle  -  http://www.dolle.net