Linux Firewall mit ipchains

Auf einem abgesicherten Linux lässt sich mittels ipchains eine wirkungsvolle Firewall realisieren. Schritt für Schritt zeigt Ihnen dieser Beitrag, wie Sie dabei vorgehen sollten.

Auf Basis des abgesicherten Systems aus dem ersten Teil der Artikelreihe können Sie sich nun daran machen, das IPv4-Firewalling per ipchains auzusetzten.

Überprüfen Sie dazu zunächst, ob der aktive Kernel dies überhaupt unterstützt. Die dazugehörigen Einträge im /proc-Dateisystem lauten /proc/net/ip_fwchains (beinhaltet maschinenlesbar alle aktiven Filter) und/proc/net/ip_fwnames (beinhaltet die Namen aller Listen).

Existieren diese Einträge nicht, ist zunächst ein neuer Kernel zu kompilieren. Folgende Optionen müssen hierbei in der Datei/usr/src/linux/.config aktiviert sein:

Einträge in .config

Name

Eintrag

Zusätzliche Information

Packet socket

CONFIG_PACKET=y

Notwendig für tcpdump

Network firewalls

CONFIG_FIREWALL=y

IP: firewalling

CONFIG_IP_FIREWALL=y

IP: transparent proxy support

CONFIG_IP_TRANSPARENT_PROXY=y

Nur bei Masquerading notwendig

IP: masquerading

CONFIG_IP_MASQUERADE=y

Nur bei Masquerading notwendig

IP: ICMP masquerading

CONFIG_IP_MASQUERADE_ICMP=y

Nur bei Masquerading notwendig

Weitere Informationen, wie Sie einen neuen Kernel kompilieren und installieren, finden Sie in den How-tos.