Sicherheit zum Nulltarif

Aufbau eines Paketfilters

Um Linux als Paketfilterfirewall einzusetzen, sind die Funktionen innerhalb des Kernels zu installieren. Dazu ist ein neuer Kernel zu konfigurieren. Über make config werden die Parameter CONFIG_IP_FIREWALL sowie CONFIG_IP_ACCT gesetzt. Beim Einsatz als Router ist außerdem CONFIG_IP_FORWARDING zu aktivieren.

Die Unterstützung für "transparent proxy" läßt sich nur dann anwählen, wenn unter dem Label "Code maturity level options" die Option "Prompt for development and/or incomplete code/drivers" eingeschaltet ist. Richtet man die Firewallsoftware unter yast (Suse-Distribution) ein, werden dabei folgende Dateien eingespielt:

- sbin/init.d/masquerade - Aufsetzen des Masquerading,

- /sbin/init.d/firewall - Aufsetzen der Firewall,

- /sbin/fcii - Daemon zur IP-Paket-Umleitung,

- /etc/fw-ssh - Liste von Rechnern mit ssh-Zugriff,

- /etc/fw-friends - Liste befreundeter Rechner,

- /etc/fw-inout - Rechner mit Internet-zugang

"Masquerading" bedeutet, daß lokale IP-Adressen versteckt werden. Nach draußen gilt als Absender-Adresse immer die des Masquerade-Rechners. Damit läßt sich beispielsweise die Struktur eines Netzwerkes verbergen. Auch der Einsatz von "wilden", nicht offiziellen IP-Adressen im lokalen Netz läßt sich damit realisieren, ohne daß diese nach außen bekannt werden. Zu bedenken ist auch ein Nachteil von Proxy-Firewall-gestützten Netzen. Durch die Abschottung der inneren Rechner sind keine direkten Server-, Talk- und Archie-Verbindungen oder E-Mails zu den Computern im geschützten Netz möglich.