Firewall-Regeln mit Firewalld verwalten

Mit Netz und doppeltem Boden

Für das Filtern von Netzwerkverkehr kommt unter Linux naturgemäß der Paketfilter IPTables zum Einsatz. Doch der gibt sich in Sachen Konfiguration störrisch. Firewalld will Admins das Leben erleichtern.
Die Datenschutz-Grundverordnung nähert sich mit großen Schritten. Und auch in Sachen Hackerangriffen dürfen sich Unternehmen 2018 wieder auf einiges gefasst ... (mehr)

Eigentlich ist der Drops in Sachen Paketfilter unter Linux schon seit Jahren gelutscht: Bereits seit Linux 2.4, das aus heutiger Sicht prähistorischen Charakter hat, gehört IPTables fest zum Lieferumfang des Standardkernels. Es löste seinerzeit "ipchains" ab, das wiederum der Nachfolger von "ipfwadm" war. Besonders viele Freunde hat IPTables allerdings nicht – was auch an der etwas gewöhnungsbedürftigen Art und Weise liegt, wie man seine Regeln für IPTables festlegt. Denn "Table", also "Tabelle", ist in diesem Kontext durchaus wörtlich zu verstehen: Mit dem Kommandozeilenwerkzeug "iptables" legt der Admin direkt im Kernel ein komplexes Regelwerk an, das Pakete anhand einer Zeitlinie abarbeitet. Verschiedene Zeitpunkte sind dabei seitens des Kernels festgelegt, etwa "INPUT" für eingehende und "OUTPUT" für ausgehende Pakete.

Wozu das im schlimmsten Falle führt, zeigt sich beim Aufruf des Befehls »ip-tables-save« auf einer Linux-Firewall: Nicht selten rauschen dann mehrere Tausend Regeln durchs Terminal, die sinnvoll zu überblicken ein Ding der Unmöglichkeit ist. Immer wieder hat es in der Vergangenheit Versuche gegeben, IPTables eine angenehme Benutzerschnittstelle zu verpassen, etwa in Form von Firehol [1]. Wirklich durchgesetzt hat sich aber keiner dieser Ansätze.

Nun steigt Firewalld in den Ring: Wer im Namen eine Analogie zu Systemd zu erkennen glaubt, liegt durchaus richtig. Firewalld kommuniziert per D-Bus mit anderen Komponenten des Systems und wurde wie Systemd maßgeblich von Red Hat entwickelt. Die Idee hinter Firewalld ist simpel: Der Daemon kümmert sich für den Nutzer darum, dass im Kernel die passenden IPTables-Regeln landen. Dieser verwendet mehrere Kommandozeilenprogramme, um Firewalld die gewünschte Konfiguration mit auf den Weg zu geben.

Letztlich ist Firewalld also ein Vermittler zwischen IPTables im Kernel und dem

...

Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Loadtests ohne Server

Für Loadtests der eigenen Server bietet sich die Cloud an, denn kurz getaktet lassen sich dort viele Rechnerinstanzen starten, die das eigene Budget nur wenig belasten. Noch flexibler, günstiger und besser skalierbar sind Tests mit einer Serverless-Infrastruktur wie AWS Lambda. Wir führen vor, wie Sie dort mit Serverless Artillery eigene Loadtests starten. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Wie setzen Sie Container ein?

  • Gar nicht
  • Docker standalone
  • Docker mit Kubernetes
  • Docker mit Swarm
  • Docker mit anderem Management
  • LXC/LXD
  • Rocket
  • CRI-O auf Kubernetes
  • Container auf vSphere
  • Andere (siehe Kommentare auf der Ergebnisseite)

Google+

Ausgabe /2018