Für alle Debian-Serverneulinge stellt Aptitude eine einfache Installations- und Konfigurationsmöglichkeit für eine “Desktop-Firewall” zur Verfügung. Das Script lässt sich einfach konfigurieren und ist sowohl für Neulinge als auch für Profis eine einfache Möglichkeit, die Konfiguration von IPTables vorzunehmen.

Das entsprechende Paket heißt arno-iptables-firewall. Die Projektseiten hierfür sind bei Freshmeat oder auf der Autorenseite zu finden.

Notwendiges Wissen für die Installation

Vorausgesetzt wird grundlegendes Wissen in Netzwerk-Technik (IP-Adressen, Ports, internes und externes Netz) sowie Basisinformationen von der Installation auf Debian mit Hilfe von Aptitude. Darüber hinaus sollte bekannt sein, welche Netzwerkschnittstellen auf dem System genutzt werden und ob diese intern oder extern genutzt werden.

Installationsschritte

Alle angegebenen Befehle sind für Debian Lenny beispielhaft hinterlegt. Für ältere Systeme kann jedoch mit kleinen Anpassungen analog verfahren werden.

1. Update der Paketlisten und eventuell Update des Systems

aptitude update
aptitude safe-upgrade

2. Installation der Firewall

Die Installtion mittels aptitude führt die entsprechenden Paketinstallationen durch.

aptitude install arno-iptables-firewall

Direkt im Anschluss erfolgt die Abfrage nach der Einrichtung der Firewall. Für die erste Konfiguration wird die Einrichtung mittels Debconf empfohlen. Diese Option kann später noch verändert werden, jedoch ist dies erst einmal ein nahezu sicherer Weg zu einer möglichen funktionalen Konfiguration.

Danach erfolgt die Angabe der externen Netzwerkschnittstellen, also all jene Schnittstellen, welche mit dem Internet kommunizieren. Üblicherweise ist dies eth0 oder eeth1. Virtuelle Schnittstellen sind hier jedoch nicht anzugeben!

Es erfolgt die Abfrage, ob der Rechner seine IP-Adresse auf der  externen Netzwerkschnittstelle per DHCP erhält.

Danach erfolgt eine wichtigsten Abfragen, die Abfrage der zu öffnenden Ports. Diese sollten entsprechend der Nutzung des Servers eingetragen werden.

Dieser Schritt erfolgt sowohl für TCP- als auch für UDP-Ports.

Anschließend erfolgt die Angabe der internen Netzwerkschnittstellen. Auf diesen Netzwerk-Interfaces wird die Firewall keine Einschränkung installieren. Sofern es interne Netzwerkschnittstellen gibt, müssen diese hier eingetragen werden, anderenfalls bleibt das Feld leer.

Nach diesem Schritt ist die Basis-Konfiguration von IP-Tables durchgeführt und die Einstellungen können geladen werden. Sofern sicher ist, dass die Eingaben korrekt sind, kann der Neustart der Firewall durchgeführt werden. sofern -Profis hier der Automatisierung nicht trauen, kann dieser Schritt mit “nein” beendet werden. In diesem Fall wird die Firewall erst beim nächsten Server-Neustart geladen.

Nun sollte die Firewall aktiv sein. Am einfachsten lässt sich dies testen, wenn man einen Ping auf das System durchführt. Da die Firewall Pings auf der externen Schnittstelle zunächst blockiert, sollten diese nun ins Leere führen.

3. Reaktiveren der Pings (optional)

Für einige Systeme ist es notwendig, dass Pings eine Antwort senden. Daher sollte man in diesem Fall ICMP-Requests zulassen, so dass das System auch wieder antwortet. Hierfür muss die Datei /etc/arno-iptables-firewall/debconf.cfg editiert werden

nano /etc/arno-iptables-firewall/

in dieser Datei muss die Variable DC_OPEN_ICMP auf 1 gesetzt werden. Sollte es diese Option nicht geben, kann sie manuell hinzugefügt werden. Ob diese dann berücksichtigt wird, ist jedoch abhängig von der Version des installierten Scripts.

DC_OPEN_ICMP=1

4.  Rekonfigurieren der Firewall / Übernahme von Änderungen in der Datei debconf.cfg (optional)

dpkg-reconfigure arno-iptables-firewall

Dies führt dazu, dass die bei der Installation durchgeführten Schritte erneut abgefragt werden. Vorher konfigurierte Variablen werden übernommen und vorgeschlagen.

Genutzte Paket-Versionen

arno-iptables-firewall 1.8.8.0-2

iptables 1.4.2-6

nano 2.0.7.5