Firewall-Regeln mit Firewalld verwalten

Eigentlich ist der Drops in Sachen Paketfilter unter Linux schon seit Jahren gelutscht: Bereits seit Linux 2.4, das aus heutiger Sicht prähistorischen Charakter hat, gehört IPTables fest zum Lieferumfang des Standardkernels. Es löste seinerzeit "ipchains" ab, das wiederum der Nachfolger von "ipfwadm" war. Besonders viele Freunde hat IPTables allerdings nicht – was auch an der etwas gewöhnungsbedürftigen Art und Weise liegt, wie man seine Regeln für IPTables festlegt. Denn "Table", also "Tabelle", ist in diesem Kontext durchaus wörtlich zu verstehen: Mit dem Kommandozeilenwerkzeug "iptables" legt der Admin direkt im Kernel ein komplexes Regelwerk an, das Pakete anhand einer Zeitlinie abarbeitet. Verschiedene Zeitpunkte sind dabei seitens des Kernels festgelegt, etwa "INPUT" für eingehende und "OUTPUT" für ausgehende Pakete.

Wozu das im schlimmsten Falle führt, zeigt sich beim Aufruf des Befehls »ip-tables-save« auf einer Linux-Firewall: Nicht selten rauschen dann mehrere Tausend Regeln durchs Terminal, die sinnvoll zu überblicken ein Ding der Unmöglichkeit ist. Immer wieder hat es in der Vergangenheit Versuche gegeben, IPTables eine angenehme Benutzerschnittstelle zu verpassen, etwa in Form von Firehol [1]. Wirklich durchgesetzt hat sich aber keiner dieser Ansätze.

Nun steigt Firewalld in den Ring: Wer im Namen eine Analogie zu Systemd zu erkennen glaubt, liegt durchaus richtig. Firewalld kommuniziert per D-Bus mit anderen Komponenten des Systems und wurde wie Systemd maßgeblich von Red Hat entwickelt. Die Idee hinter Firewalld ist simpel: Der Daemon kümmert sich für den Nutzer darum, dass im Kernel die passenden IPTables-Regeln landen. Dieser verwendet mehrere Kommandozeilenprogramme, um Firewalld die gewünschte Konfiguration mit auf den Weg zu geben.

Letztlich ist Firewalld also ein Vermittler zwischen IPTables im Kernel und dem

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.