Linux-Firewall mit Firestarter einrichten

Auch die erweiterte Konfiguration beginnt mit der Auswahl des Netzwerkgeräts und der Behandlung von ICMP- und Service-Anfragen. Im Gegensatz zum einfachen Setup kann man hier auch die Verwendung von Type of Service (ToS) auswählen. Damit kann man iptables konfigurieren, um bestimmten Traffic-Typen durch die Veränderung des Datenpaket-Headers Priorität zu verleihen.

Bei Firestarter kann man aus drei Traffic-Typen wählen: Client Applications, Server Applications und das X Windows System. Nach der Auswahl des zu verändernden Traffics, wählt man die Methode für die Vergabe der Prioritäten: Throughput, Reliability oder Delay. Die meisten Administratoren werden diese Optionen nicht verändern müssen, bekommt man aber Probleme mit der Service Availability, können ToS sehr hilfreich sein.

Im nächsten Schritt der erweiterten Option wird das Masquerading (Maskierung) konfiguriert, welches hauptsächlich eine Art der Network Address Translation (NAT) ist. Damit kann man sein System dazu bekommen, für andere Computer als Gateway zur Verfügung zu stehen. Mit Masquerading kann der Server den Traffic von lokalen, nicht routbaren IP-Adressen nach außerhalb des Netzes und wieder zurück routen. Dazu muss man die interne Schnittstelle, häufig eth0, und den internen Netzwerkbereich auswählen, wie in Abbildung C gezeigt. In der Standardeinstellung erkennt Firestarter das interne Netzwerk automatisch.

In dieser Dialogbox gibt es auch die Möglichkeit Port-Forwarding einzustellen. Hosted man Services auf internen Systemen, die an die externe, öffentliche IP-Adresse der Firewall weitergeleitet werden müssen, kann man auch dies von hier aus einstellen. Dazu klickt man auf die Schaltfläche Port Forwarding und wählt dann Add Entry. Weiterhin muss man die Angaben für Firewall Port, LAN Port und LAN Adresse ausfüllen und dann festlegen, ob das System auf TCP oder UDP basiert.

Nach der Beendigung des Wizards startet die neue Firewall automatisch. Sehen wir uns nun die Benutzeroberfläche von Firestarter an. Von hier aus lässt sich die Firewall starten und anhalten, man kann dynamische Regeln festlegen und den Firestarter Firewall Wizard erneut ausführen. Eine der interessantesten Funktionen von Firestarter ist seine Fähigkeit, im Fenster Firewall Hits zuzuschauen, wie Hacker das eigene System austesten (Abbildung D).

Durch Klick auf Hit List > Reload Entire Firewall Hit List lässt sich eine komplette Liste aller Hits der letzten Zeit anzeigen. Beobachtet man, dass eine bestimmte IP-Adresse das System ständig auf verschiedenen Ports angreift, kann man einfach die Registerkarte Dynamic Rules anklicken, mit der rechten Maustaste in das Fenster Deny All Connections From klicken und hier Add New Rule auswählen. Dann gibt man die IP-Adresse des mutmaßlichen Hackers ein und sämtlicher Traffic von dieser IP-Adresse wird fortan abgeblockt.

Zusammenfassung
Mit seiner Unterstützung für ipchains und iptables bietet Firestarter eine hervorragende Möglichkeit, mit minimalem Aufwand unter den Linux Kerneln 2.2 und 2.4 eine Firewall einzurichten. Aufgrund seiner übersichtlichen Oberfläche und des hervorragenden Wizards ist Firestarter sowohl für Neulinge als auch für erfahrenere Administratoren geeignet. Egal ob man Regeln für einen Einzelplatz-Rechner oder für einen komplexen Gateway erstellt, man muss sich nicht mehr durch die manuelle Erstellung von Regeln kämpfen. Lehnen Sie sich zurück, entspannen Sie sich und lassen Sie Firestarter die Arbeit erledigen.