Workshop: Desktop-Firewall mit Linux 2.4

Regeln für FTP und HTTP

Über einen Rechtsklick auf das Nummernfeld der untersten Filterregel fügen wir darüber eine neue Zeile ein. Die einzelnen Felder dieser neuen Regel füllen wir aus den Objektdefinitionen per Copy and Paste. Als Source geben wir die Firewall an, als Destination Any. In die Service-Spalte tragen wir unsere Dienstegruppe svcHTTP-FTP ein. Die Action lautet Accept, auf ein Log der Pakete können wir verzichten. Als Time lassen wir Any zu. Per Rechtsklick editieren wir die Optionen und markieren, wie später auch bei fast allen anderen Regeln, den Punkt "Turn off stateful inspection for this rule". Unter Comment können wir einen beliebigen Erläuterungstext angeben.

In svcHTTP_FTP haben wir die Pakettypen http , https und ftp zusammengefasst. Dies erlaubt Browsern, Pages von Webservern abzurufen sowie Kontakt zu FTP -Servern aufzunehmen. Letzteres gilt ebenso für FTP-Clients. Weder Browser noch FTP-Programm können mit dieser Regel aber FTP-Daten empfangen. Dazu muss der eingehende Port 20 (ftp-data) geöffnet werden. Dabei handelt es sich jedoch um einen klassischen Angriffspunkt von Crackern. Daher definieren wir hier eine eigene Regel, die wir unter der ersten einfügen.

Source ist hier Any, Destination unsere Firewall. Als Dienst kommt wie erwähnt TCP/ftp_data zum Zuge. Als Action geben wir Deny an, lassen dafür jedoch bei Options die Stateful Inspection aktiviert. Dies hat zur Folge, dass nur solche Pakete abgelehnt werden, die unverlangt bei uns eintreffen. Daten von Verbindungen, die wir selbst per svcHTTP_FTP initiiert haben, lässt die Firewall dagegen durch. Sicherheitshalber schalten wir hier die Protokollierung dennoch ein.