Ports im Überblick
Einrichten einer Firewall
Im Folgenden erläutern wir Ihnen anhand einer Meta-Sprache wichtige Filterregeln für eine sichere Firewall. Diese lassen sich auf alle üblichen Firewalls anwenden. Grundsätzlich sollte man alle Ports erst einmal sperren und nur die öffnen, die wirklich benötigt werden. Filterregeln ergeben sich aus mehreren Optionen, die in folgender Tabelle aufgeführt werden:
Option | Beschreibung |
---|---|
FORWARD/ACCEPT/REJECT/DROP | Datenpakete weiterleiten/annehmen/blockieren/ignorieren |
-dir IN/OUT | Eingehend/ausgehend |
-prot TCP/UDP/ICMP | Verwendetes Protokoll: TCP, UDP oder ICMP |
-src HOST:PORT | Quellrechner:Port |
-dest HOST:PORT | Zielrechner:Port |
Für die Meta-Sprache verwenden wir folgende Notation:
FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST:PORT -dest HOST:PORT
Über die IP-Adresse des Quellrechners können Sie Dienste für bestimmte Rechner in ihrem lokalen Netz sperren. Zudem sollte man bei der Konfiguration beachten, dass einige Dienste nicht über eine bereits geöffnete Datenverbindung antworten, sondern eine neue Verbindung aufbauen. Aus diesem Grund sollte die Firewall auch fallweise Verbindungen erlauben:
IF FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST:PORT -dest HOST:PORT THEN FORWARD/ACCEPT/REJECT/DROP -dir IN/OUT -prot TCP/UDP -src HOST: PORT -dest HOST:PORT
Mehrere einzelne Regeln nennt man auch Ruleset. Bei jeder Anfrage aus dem lokalen Netz oder aus dem Internet wird das Ruleset von oben bis unten abgearbeitet. Es verarbeitet und filtert jedes Datenpaket.
In unserem Konfigurationsbeispiel sind in einer Firma mehrere Clients über eine Firewall mit dem Internet verbunden. Ein Proxyserver kommt nicht zum Einsatz.