Linux-Firewall mit Firestarter einrichten

Zum Starten von Firestarter führt man zunächst KDE oder GNOME aus, öffnet ein Terminal-Fenster und führt den Befehl /usr/bin/firestarter aus. (Befindet sich die ausführbare Firestarter-Datei nicht an diesem Ort, kann man mit locate firestarter nach ihr suchen.) Im GNOME-Menüsystem befindet sich möglicherweise auch ein Icon für Firestarter, aber der Speicherort unterscheidet sich von Distribution zu Distribution. In KDE kann man eine Verknüpfung auf dem Desktop erstellen, indem man auf dem Desktop rechtsklickt, Link to Application auswählt und den Pfad zu der ausführbaren Datei eingibt (z.B. /usr/bin/firestarter).

Führt man nicht X Windows als Root-User aus (was wahrscheinlich ist), wird man beim Start von Firestarter nach dem Root-Passwort gefragt. Beim ersten Start erhält man mit dem Firestarter Firewall Wizard die Möglichkeit, entweder eine einfache (Simple) oder eine erweiterte (Advanced) Firewall einzurichten. Für den Schutz eines einzelnen Systems ist Simple die richtige Wahl. Setzt man das Linux-System aber als Gateway ein, kann man mit der Option Advanced NAT und andere wichtige Einstellungen konfigurieren. Schauen wir uns jede Konfiguration näher an.

Einfache Konfiguration
Beim Zugriff auf die Dialogbox der einfachen Konfiguration muss man zunächst das Netzwerkgerät auswählen. Dies ist die externe (Internet-) Schnittstelle, gewöhnlich eth0. Für mit DHCP zugewiesene IP-Adressen und für den Start der Firewall beim Aufbau einer Dial-up-Verbindung per Modem gibt es spezielle Optionen.

Im nächsten Schritt entscheidet man, ob ICMP-Packets deaktiviert werden sollen (Abbildung A). Es gibt acht Arten von Packets, darunter die üblichen ECHO, TRACEROUTE, REDIRECTION und UNREACHABLE. Es gibt viele beliebte Webseiten, bei denen ICMP vollständig deaktiviert ist. Im Kampf gegen ICMP-spezifische Denial-of-Service-Attacken ist dies sehr hilfreich.

Alternativ lassen sich auch Limitregeln festlegen, wodurch pro Sekunde nur eine bestimmte Anzahl von Anfragen akzeptiert wird. Setzt man Überwachungssoftware ein, die es erfordert, dass das System Pings akzeptiert, kann man die Konfiguration so einstellen, nur ICMP-Anfragen von einer bestimmten IP-Adresse oder einem bestimmten Adressbereich zu akzeptieren.

Der nächste Schritt in der einfachen Konfiguration ist die Auswahl der Dienste, denen man den Durchgang durch die Firewall gestatten möchte, aus einer langen Liste (Abbildung B). Betreibt an zum Beispiel einen Webserver, muss man sicherstellen, dass die WWW-Box markiert ist. Dies gilt auch für andere Dienste wie Telnet, SSH und SMTP. Sind die entsprechenden Dienste in dieser Dialogbox nicht markiert, kommen die zugehörigen, für dieses System bestimmten Datenpakete nicht an.