GUFW - Einfache Firewall

GUFW

Will man seine Firewall unter Linux professionell einrichten, also jedes Detail anpassen nutzt man normalerweise die Iptables auf dem Terminal, hierzu gilt es jedoch einiges an Wissen zu sammeln und ja - auch keine Fehler zu machen.

Der Einsteiger wird wohl eher mit einer grafischen Oberfläche arbeiten wollen die dies viel einfacher macht, man braucht wenig Wissen und trotzdem funktioniert alles wie gehabt. GUFW ist eine grafische Oberfläche für das Terminal-Werkzeug UFW - dieses wiederum konfiguriert wiederum die Iptables auf einfache Weise. Wir werden uns nun beides näher ansehen.

GUFW installieren

Unter auf Debian basierenden Systemen wie Ubuntu, Kubuntu, Linux Mint und so weiter installieren Sie GUFW ganz einfach über die Paket-Verwaltung durch das Paket "gufw". Dadurch wird automatisch auch das Paket "ufw" installiert - die Software mit der man die Firewall auf dem Terminal anpasst.

GUFW nutzen

Nach der Installation finden Sie die Software im Anwendungsmenü im Bereich System, alternativ nutzen Sie den Schnellstarter (Alt + F2) oder das Terminal mit dem Befehl:

gufw
GUFW - Die Linux-Firewall einfach anpassen

GUFW - Die Linux-Firewall einfach anpassen

Alles was Sie tun müssen um das System abzusichern ist es den Status-Schalter zu aktivieren, damit läuft die Firewall - ab sofort kommt nichts mehr ungewollt von außen in das System egal welche Dienste Sie auf dem System laufen haben.

Haben Sie nun doch Dienste laufen auf die man von außen - etwa vom lokalen Netzwerk aus oder auch aus dem Internet zugreifen darf klickt man auf den Schalter "Regeln", und hier wieder auf das Plus:

GUFW - Die Linux-Firewall einfach anpassen

GUFW - Die Linux-Firewall einfach anpassen

Unter "Anwendungen" können Sie nun die jeweilige Software auswählen, etwa einen Webserver, oder eine Datenbank - in meinem Beispiel wähle ich Kdeconnect mit dem sich von Linux auf Android und umgekehrt über WLAN zugreifen lässt. Man klickt auf den Eintrag worauf sich das Menü schließt, ein Klick auf "Hinzufügen" und die Regeln werden angezeigt und sind sofort aktiv:

GUFW - Die Linux-Firewall einfach anpassen

GUFW - Die Linux-Firewall einfach anpassen

Findet sich die Anwendung oder der Dienst nicht im Auswahl-Menü klickt man auf den Reiter "Einfach" oder "Erweitert" wo sich die Regeln manuell anpassen lassen, man benötigt nur die Ports die man wissen muss:

GUFW - Die Linux-Firewall einfach anpassen

GUFW - Die Linux-Firewall einfach anpassen

Für die meisten Dienste finden Sie in der Datei "/etc/services" alle nötigen Ports. Im Hauptfenster haben Sie zusätzlich Zugriff auf die Berichte die zeigen welche Dienste auf den Rechner zugreifen und welche abgewiesen wurden.

GUFW - Die Linux-Firewall einfach anpassen

GUFW - Die Linux-Firewall einfach anpassen

Rot sind Dienste die auf das System zugreifen und schwarz Dienste die vom System auf das Netzwerk oder Internet zu greifen.

UFW nutzen

GUFW ist wie schon beschrieben nur eine grafische Oberfläche für UFW, UFW wiederum übersetzt einfache Befehle in die komplizierten Iptables-Befehle. Grob gesagt - mit UFW lassen sich die Iptables mit kurzen und einfachen Befehlen nutzen. Für alle Befehle benötigen Sie natürlich root-Rechte da man tief in das System eingreift. Mit:

ufw status

ermitteln Sie ob die Firewall aktiv ist, was natürlich nach der Installation nicht der Fall ist, wäre sie aktiv würde man die Ausgabe "active" und wenn erstellt die aktivierten Regeln sehen wie etwa hier:

Status: active

To Action From

-- ------ ----

1714:1764/tcp ALLOW Anywhere

1714:1764/udp ALLOW Anywhere

1714:1764/tcp (v6) ALLOW Anywhere (v6)

1714:1764/udp (v6) ALLOW Anywhere (v6)

Mit dem Befehl:

ufw enable

lässt sich die Firewall nun aktivieren, mit:

ufw enable

Mit:

ufw disable

deaktivieren. Ist die Firewall aktiv würde Sie selbst ohne Regeln nur ausgehenden Netzwerk-Verkehr erlauben, eingehender Verkehr würde ohne Umstände geblockt. Als Beispiel möchte ich nun einfach den Dienst SSH erlauben, man kann dazu entweder den entsprechenden Port oder auch einfach den Dienst angeben:

ufw allow ssh
ufw allow 22

Umgekehrt - also erlaubte Dienste wieder zu verbieten würde über die Option "deny" gelingen:

ufw deny ssh
ufw deny 22

Neben dem eigentlichen Dienst kann man auch das Protokoll - also "tcp / udp" angeben:

ufw allow 443/tcp

Hier wurde einfach der sichere Zugriff auf den Webserver frei gegeben (SSL). Um das Loggen - also Zugriffe und gesperrte Zugriffe zu sehen genügt der Befehl:

ufw logging on

Auch auf dem Terminal kann man wenn gewünscht nicht einschließlich Ports und Protokolle angeben um Regeln zu erstellen sondern auch hier einfach nur die gewünschte Anwendung oder den Dienst angeben, welche Dienste für diese automatischen Regeln verfügbar sind zeigt der Befehl:

ufw app list
UFW - Die Linux-Firewall auf dem Terminal anpassen

UFW - Die Linux-Firewall auf dem Terminal anpassen

Um Dienste nur von bestimmten IP-Adressen den Zugriff zu erlauben, also etwa von der IP "123.456.7.8" gibt man diese entsprechend an:

ufw allow proto from 123.456.7.8 to port 22

Noch mehr Informationen zu UFW gibt natürlich die Manpage mit dem Befehl:

man ufw

aus.