https://wiki.ixheim.de/index.php?action=history&feed=atom&title=Linux_Sicherheit_-_Firewall_und_Netzwerkschutz
Linux Sicherheit - Firewall und Netzwerkschutz - Versionsgeschichte
2026-05-16T20:34:48Z
Versionsgeschichte dieser Seite in Xinux Wiki
MediaWiki 1.35.1
https://wiki.ixheim.de/index.php?title=Linux_Sicherheit_-_Firewall_und_Netzwerkschutz&diff=65498&oldid=prev
Thomas.will: Die Seite wurde neu angelegt: „= Linux Sicherheit - Firewall und Netzwerkschutz = *Der Netzwerkschutz ist ein zentrales Element jeder Linux-Sicherheitsstrategie. Firewalls kontrollieren, wel…“
2025-11-12T08:53:22Z
<p>Die Seite wurde neu angelegt: „= Linux Sicherheit - Firewall und Netzwerkschutz = *Der Netzwerkschutz ist ein zentrales Element jeder Linux-Sicherheitsstrategie. Firewalls kontrollieren, wel…“</p>
<p><b>Neue Seite</b></p><div>= Linux Sicherheit - Firewall und Netzwerkschutz =<br />
*Der Netzwerkschutz ist ein zentrales Element jeder Linux-Sicherheitsstrategie. Firewalls kontrollieren, welche Verbindungen erlaubt oder blockiert werden, und bilden die erste Verteidigungslinie gegen Angriffe aus dem Netzwerk. Ein gehärtetes System erlaubt nur den ausdrücklich benötigten Verkehr — alles andere wird verworfen.*<br />
<br />
= Grundlagen =<br />
:*Firewalls dienen der Filterung von Netzwerkverkehr auf Basis von IP, Port, Protokoll und Verbindungsstatus.<br />
:*Linux bietet mit nftables, firewalld und ufw mehrere etablierte Frameworks.<br />
:*Ziel: Prinzip „default deny“ – alles blockieren, nur explizit erlauben.<br />
:*Firewalls können sowohl zentral (Server, Gateway) als auch lokal (Personal Firewall) eingesetzt werden.<br />
<br />
= Überblick über Firewall-Frameworks =<br />
:*nftables – moderne, performante Standardlösung ab Debian 10/RHEL 8.<br />
:*firewalld – Abstraktionsschicht über nftables, zonenbasiert, komfortabel via CLI oder GUI.<br />
:*ufw – vereinfachte Firewall für Desktop- oder Einzelplatzsysteme, ideal als Personal Firewall.<br />
:*iptables – ältere Technik, wird zunehmend durch nftables ersetzt.<br />
<br />
= Systemzustand prüfen =<br />
*systemctl status nftables<br />
*systemctl status firewalld<br />
*ufw status verbose<br />
:*Nur eine Firewall gleichzeitig aktivieren, um Konflikte zu vermeiden.<br />
:*Regeln mit `ss -ltnup` oder `netstat -tulpen` prüfen, um offene Ports zu sehen.<br />
<br />
= nftables - moderne Standardlösung =<br />
*apt install nftables -y<br />
*systemctl enable --now nftables<br />
*vi /etc/nftables.conf<br />
<pre><br />
table inet filter {<br />
chain input {<br />
type filter hook input priority 0;<br />
policy drop;<br />
<br />
# Lokale Kommunikation<br />
iif lo accept<br />
<br />
# Bereits bestehende Verbindungen erlauben<br />
ct state established,related accept<br />
<br />
# SSH- und HTTPS-Zugriff<br />
tcp dport {22,443} accept<br />
<br />
# Ping erlauben<br />
ip protocol icmp accept<br />
ip6 nexthdr icmpv6 accept<br />
}<br />
}<br />
</pre><br />
*systemctl reload nftables<br />
*nft list ruleset<br />
:*Standardpolicy ist „drop“, Ausnahmen werden gezielt erlaubt.<br />
:*Regeln regelmäßig dokumentieren und versionieren (z. B. via Git).<br />
<br />
= firewalld - zonenbasierte Firewall =<br />
*apt install firewalld -y<br />
*systemctl enable --now firewalld<br />
*firewall-cmd --state<br />
*firewall-cmd --get-zones<br />
*firewall-cmd --get-active-zones<br />
:*Firewalld arbeitet mit vordefinierten Zonen (public, internal, trusted, drop, etc.).<br />
:*Jeder Netzwerkadapter wird einer Zone zugeordnet.<br />
<br />
= Beispielkonfiguration für firewalld =<br />
*firewall-cmd --set-default-zone=public<br />
*firewall-cmd --zone=public --add-service=ssh --permanent<br />
*firewall-cmd --zone=public --add-service=https --permanent<br />
*firewall-cmd --reload<br />
:*Erlaubt SSH und HTTPS in der Zone „public“.<br />
:*Weitere Dienste können mit „--add-service“ oder „--add-port“ definiert werden.<br />
*firewall-cmd --zone=public --add-port=8443/tcp --permanent<br />
*firewall-cmd --reload<br />
<br />
= firewalld erweiterte Beispiele =<br />
*firewall-cmd --new-zone=management --permanent<br />
*firewall-cmd --zone=management --add-source=10.0.10.0/24 --permanent<br />
*firewall-cmd --zone=management --add-service=ssh --permanent<br />
*firewall-cmd --reload<br />
:*Damit wird ein dedizierter Verwaltungsbereich geschaffen, der nur für bestimmte Netze erreichbar ist.<br />
:*Zonen erlauben granulare Segmentierung: intern, dmz, extern, management.<br />
<br />
= ufw - einfache Personal Firewall =<br />
*apt install ufw -y<br />
*ufw default deny incoming<br />
*ufw default allow outgoing<br />
*ufw allow 22/tcp<br />
*ufw allow 443/tcp<br />
*ufw enable<br />
*ufw status numbered<br />
:*ufw eignet sich besonders für Einzelplatzsysteme und Workstations.<br />
:*Einfache Syntax für lokale Absicherung.<br />
:*Auch IPv6-Unterstützung aktivierbar:<br />
*vi /etc/default/ufw<br />
<pre><br />
IPV6=yes<br />
</pre><br />
*ufw reload<br />
<br />
= Logging und Kontrolle =<br />
*ufw logging on<br />
*firewall-cmd --set-log-denied=all<br />
*journalctl -u firewalld<br />
*journalctl -u nftables<br />
:*Firewall-Logs sollten regelmäßig geprüft werden.<br />
:*Verdächtige Muster (z. B. viele Verbindungsversuche von einer IP) können auf Portscans oder Angriffe hindeuten.<br />
<br />
= Netzwerk-Härtung über sysctl =<br />
*vi /etc/sysctl.d/90-network-security.conf<br />
<pre><br />
net.ipv4.conf.all.accept_redirects = 0<br />
net.ipv4.conf.all.send_redirects = 0<br />
net.ipv4.conf.all.accept_source_route = 0<br />
net.ipv4.conf.all.log_martians = 1<br />
net.ipv4.icmp_echo_ignore_broadcasts = 1<br />
net.ipv4.tcp_syncookies = 1<br />
net.ipv6.conf.all.accept_redirects = 0<br />
net.ipv6.conf.all.accept_source_route = 0<br />
</pre><br />
*sysctl -p /etc/sysctl.d/90-network-security.conf<br />
:*Diese Einstellungen härten den Netzwerkstack und reduzieren Angriffsflächen auf Layer 3/4.<br />
<br />
= Erkennung und Monitoring =<br />
:*Tools wie iptraf, nload oder iftop überwachen den Netzwerkverkehr in Echtzeit.<br />
:*IDS/IPS-Systeme (z. B. Suricata, Snort) ergänzen die Firewall durch Angriffserkennung.<br />
*apt install suricata -y<br />
*systemctl enable --now suricata<br />
:*Suricata kann auf Basis von nftables-Mirror-Interfaces eingesetzt werden.<br />
<br />
= Quick Checklist =<br />
:*Standard-Policy: DROP für eingehend, ALLOW für ausgehend.<br />
:*SSH nur von definierten IPs zulassen.<br />
:*Unnötige Dienste blockieren (z. B. SMB, RPC, mDNS).<br />
:*IPv6-Regeln separat pflegen und nicht vergessen.<br />
:*Logging aktivieren und regelmäßig prüfen.<br />
:*firewalld oder ufw als Personal Firewall auf Workstations einsetzen.<br />
:*nftables für Server- und Zonenfirewalls bevorzugen.<br />
<br />
= Zusammenfassung =<br />
:*Ein sicher konfigurierter Netzwerkschutz ist unverzichtbar. Firewalls bilden die erste Schutzlinie gegen Angriffe.<br />
:*firewalld bietet flexible Zonenverwaltung für Server, ufw eine einfache Handhabung für Clients.<br />
:*Ergänzend sollten Kernelparameter, Logging und Intrusion Detection eingesetzt werden.<br />
:*Ziel: kontrollierter, nachvollziehbarer und dokumentierter Netzwerkverkehr mit minimaler Angriffsfläche.</div>
Thomas.will