Es gibt sicherheitsorientierte Linux Distributionen wie RHEL oder QubesOS, die standard­mäßig eine Firewall und ein GUI zur Konfiguration installieren, welche erstmal alle Verbindungs­versuche von außen blockiert. Viele Mainstream Distributionen wie Ubuntu(s), Linux Mint, ARCH Linux oder Manjaro/KDE verzichten bei der Standard­installation auf eine Firewall oder aktivieren sie nicht automatisch nach der Installation.

Uncomplicated Firewall (UFW)

UFW ist eine einfach zu konfigurierende Firewall für Debian, Ubuntu(s), Linux Mint, ARCH Linux oder Manjaro, die man schnell installieren und in Betrieb nehmen kann. Linux Mint und Manjaro installieren die Firewall standardmäßig aber aktivieren sie nicht automatisch. In Debian und den Ubuntu(s) erledigt man die Installation mit einem Kommando: > sudo apt install ufw Nachdem UFW installiert wurde, muss man die Firewall noch aktivieren: > sudo ufw enable

Das Ergebnis ist eine Firewall, die alle Verbindungs­versuche von außen blockiert aber für lokale Programme ist die Kommunikation nach außen ermöglicht. Für viele Anwender ist das wahr­scheinlich schon ausreichend. Anpassungen sind möglich.

Man kann einzelne Dienste freischalten, die von außen erreichbar sein sollen:

> sudo ufw allow ssh Das Löschen der Freigabe erfolgt, indem man ein "delete" einfügt: > sudo ufw delete allow ssh Die Liste der vordefinierten Dienste kann man sich mit folgendem Kommando anschauen: > sudo ufw app list Wenn keine passenden vordefinierten Dienste vorhanden sind, kann man auch Ports angeben. Für den I2P Router kann man beispw. den Port 8888 freischalten: > sudo ufw allow port 8888 Man kann einzelne Dienst wie CUPS (Port: 631) nur für das lokale Netzwerk freigeben: > sudo ufw allow proto tcp port 631 from 192.168.1.0/24 Man kann ausgehende Protokolle sperren, die man nicht nutzen möchte: > sudo ufw reject out telnet comment "Telnet ist unverschlüsselt" Oder man könnte auch sehr restriktiv vorgehen, standardmäßig alle ausgehenden Dienste sperren und dann nur für einzelne Protokolle die Kommunikation nach außen erlauben: > sudo ufw default reject outgoing
> sudo ufw allow out http
> sudo ufw allow out https
...
> sudo ufw allow out from any to X.X.X.X port 53
> sudo ufw allow out from any to Y.Y.Y.Y port 53

Den DNS Traffic sollte man nicht vergessen. Es können mehrere DNS Server angegeben werden.

Hinweis: Wenn man auch den HTTP Traffic blockiert und nur HTTPS erlauben möchte, dann sollte man im Browser den HTTPS-only-Mode aktivieren und die Validierung von TLS-Zertifikaten via OCSP-Server deaktivieren.

Den Status der Firewall kann man mit folgendem Kommando prüfen: > sudo ufw status verbose Und wenn man noch einmal ganz von vorn anfangen will: > sudo ufw reset
Es gibt ein grafisches Frontend GUFW, dass man mit dem bevorzugten Paket­manager installiert, wenn es noch nicht vorhanden ist, unter Debian/Ubuntu mit: > sudo apt install gufw GUFW kann mehrere Profile verwalten, wenn man auf dem Laptop zuhause andere Einstellungen verwenden möchte als unterwegs. Das Hinzufügen von Regeln ist einfach möglich, auch wenn die Regeln ein bisschen komplizierter sind.

RHEL/Fedora Firewall

Bei RHEL und Fedora wird standardmäßig der "firewalld" installiert und kann als Systemdienst wie üblich gestartet, gestoppt, aktiviert und deaktiviert werden: > sudo systemctl start|stop|enable|disable firewalld

"firewalld" unterscheidet zwischen verschiedenen Zonen. Den Zonen werden Netzwerkschnittstellen zugeordnet (ein Thema für IP-Profis). Standardmäßig gehören alle Netzwerkinterfaces zur Zone "public" und alle Kommandos ohne Angaben einer Zone werden auf "public" angewendet.

• Die Standardkonfiguration für die Zone "public" ist, dass alles blockiert wird, was von draußen rein will. Freigaben für bestimmte Services und Ports sind aber konfigurierbar.

• Die Standardkonfiguration für die Zone "Fedora Workstation" erlaubt eingehende Verbindungen von außen auf den nicht-priveligierten Ports > 1024. (Muss man selbst korrigieren.)

• Wenn man keine Freigaben konfigurieren will, könnte man die Default Zone auf "drop" setzen: > sudo firewall-cmd --set-default-zone drop

"firewalld" unterscheidet zwischen einer temporären Runtime Konfiguration und einer permanenten Konfiguration. In der Runtime Konfiguration kann man die Firewall konfigurieren und testen.

• HTTPS Port für Incoming Traffic für die Zone "public" öffnen (Runtime Konfiguration): > sudo firewall-cmd --add-service=https Alternativ kann man auch Port und Protokoll angeben, wenn kein Service definiert ist: > sudo firewall-cmd --add-port=80/tcp
• … oder alles wieder schließen: > sudo firewall-cmd --remove-service=https
  > sudo firewall-cmd --remove-port=80/tcp
• Etwas komplizierter wird es, wenn man einen lokalen Dienst (z.B. CUPS) nur für Rechner aus dem lokalen Netzwerk freigeben möchte. Dafür kann man die Rich-Rules nutzen: > sudo firewall-cmd --add-rich-rule 'rule family="IPv4"
  source address="192.168.178.0/24" service name="cups" accept'
• Wenn alles getestet ist und funktioniert, speichert man die Runtime Konfiguration permanent: > sudo firewall-cmd --runtime-to-permanent
• Eine Übersicht über alle aktiven Regeln erhält man mit folgendem Kommando: > sudo firewall-cmd --list-all

Standardmäßig dürfen alle Programme die Firewallregeln ändern, die mit root Rechten laufen. Für Heimanwender ist das Ok. Für hohe Sicherheitsanforderungen kann man den Lockdown Mode aktivieren. Dann dürfen nur Programme aus einer Whitelist die Firewallregeln modifizieren. Wenn die Whitelist leer ist, können keine Veränderungen an der Firewall vorgenommen werden.

• Den Lockdown Mode aktiviert und deaktiviert man mit folgenden Kommandos: > sudo firewall-cmd --lockdown-on
  > sudo firewall-cmd --lockdown-off
• Die Konfiguration der Lockdown Whitelist ist ebenfalls ein Thema für IT-Profis.

Es gibt mit "fireall-config" auch ein GUI für Konfiguration:

QubesOS Firewall

QubesOS enthält standardmäßig eine Firewall, die in einer eigenen VM läuft. In der Default Konfiguration können die Dienste in den Arbeits-VMs nicht erreicht werden aber aus den Arbeits-VMs heraus sind alle Verbindungen möglich.

In den Einstellungen zu jeder einzelnen VM kann man den Datenverkehr komplett blockieren, indem man Networking deaktiviert. Außerdem kann man restriktive Firewall Einstellungen anwenden, indem man nur für bestimmte Protokolle ausgehende Verbindungen zulässt.

Hinweis: Bei der Angabe von DNS Namen in Firewall Regeln werde diese einmalig beim Start der Firewall in IP-Adressen umgewandelt und es werden die IP-Adressen in den aktiven Regeln verwendet. Das funktioniert zwar, ist aber suboptimal. Man könnte die IP-Adressen selbst ermitteln und in den Firewall Regeln eintragen, wenn die Adressen stabil sind.

Einleitung…
Surfen… PW/2FA… E-Mails… Chatten…
Tor… VPN… DNS…
Daten schützen

---

Betriebssyteme

• Windows
  • Privacy Konf.
  • Telemetrie
  • Virenscanner
• Linux Systeme
  • Hardware
  • Bootmedium
  • Firewall
• Risiko USB
  • USBGuard
• WLAN Privacy
  • MAC-A. (Linux)
  • MAC-A. (Win10)
• Hintergrundbilder

---

Smartphones

---