PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Schützt SuSE Firewall Anfragen von Anwendungen aufs Internet?



Erri
14.05.04, 09:07
Salut,

ich habe mir ein Internetgateway installiert.
(SuSE 9.1 Minimalinstallation mit SuSE-Firewall)

Soweit wie ich es bisher erkannt habe, schützt die SuSE-Firewall alle eingehenden Anfragen, weil sie die Ports schließt.

Schützt die Firewall auch Anfragen aufs Internet von Anwendungen aus dem internen Netz, z.B. eines Netzwerkclients?
Mich würde interessieren, wie ich dies realisieren kann. Vielleicht mit Iptables? (Alle Anfragen aufs Netz verbieten, außer bestimmten Browser zulassen oder ähnlich?)

Zurzeit nutze ich noch die Norton Internet Security (auf Windowsbasis) und diese verbietet Anfragen aufs Internet von Anwendungen (sofern Zugriff verboten). Diese fragt jedesmal, wenn eine neue Anwendnung aufs Internet zugreifen möchte, ob man den Zugriff für diese Anwendung (z.B. Office) zulassen möchte oder nicht.

Mich würde freuen, wenn mir jemand helfen könnte bzw. Hinweise gibt.
Vielen Dank
Erri

drunkenPenguin
14.05.04, 09:14
Das geht schon. Aber ich weiß nicht, ob das mit der Suse-Firewall (graphisch unterstützt) funktioniert. Soweit ich mich erinnere, hat Suse nichts dergleichen eingebaut.
Ich kann Dir nur sagen, dass es z.B. mit Firestarter recht einfach ist, bestimmten Anwendungen den Zugriff zu verbieten, schön mit GUI und so.
Leider bin ich eine Null hinsichtlich selbst erstellter Firewallskripte. Kann Dir also in diesem Punkt nicht weiter helfen.

Erri
14.05.04, 09:20
Hi,

Ich kann Dir nur sagen, dass es z.B. mit Firestarter recht einfach ist, bestimmten Anwendungen den Zugriff zu verbieten, schön mit GUI und so.
Ich habe aber aufgrund der Hardware meines Gateways eine Minimalinstallation (SuSE 9.1) installiert. Ist Firestarter ein Programm im Graphischen Modus oder kann ich es auch über die Kommandozeie bedienen?

Danke Erri

schuelsche
14.05.04, 10:02
Soweit ich weiss, ist der Firestartet grafisch (lässt sich so auch aus den Screenshots auf der Homepage entnehmen).

Diese hier ist auf Kommandozeilenebene:
http://firewall-jay.sourceforge.net/screenshots.php

hth,
schuelsche

Erri
14.05.04, 10:22
Diese hier ist auf Kommandozeilenebene:
http://firewall-jay.sourceforge.net/screenshots.php
Und diese schützt auch Zugriffe von Anwendungen der Clients aufs Internet, wie ich es oben geschrieben habe?

Merci
Erri

schuelsche
14.05.04, 10:32
hallo,

das nehme ich an. Es handelt sich halt um einen IP-Tables-Konfigurator. Schau's Dir einfach an und überprüfe, ob das Programm das kann, was Du möchtest.



Alle Anfragen aufs Netz verbieten, außer bestimmten Browser zulassen oder ähnlich?)


Hier verstehe ich nicht ganz, was Du willst. Wenn Du bestimmte Programme sperren willst, dann muss man glaube ich mit SQUID hantieren oder einem anderen Proxy.
Die Firewall und auch die iptables-Konfiguratoren blockieren nur ausgehende und eingehende IP-basierte Anfragen auf best. Ports oder best. Adressen, verhindern aber nicht den Zugriff eines bestimmten Programms.

afaik,
schuelsche

Erri
14.05.04, 10:41
Die Firewall und auch die iptables-Konfiguratoren blockieren nur ausgehende und eingehende IP-basierte Anfragen auf best. Ports oder best. Adressen, verhindern aber nicht den Zugriff eines bestimmten Programms.


Genau das wollte ich wissen. Also bin ich besser mit nem Proxy (Squid) bedient?
Das möchte ich erreichen:
Ich habe ja den Gateway (Linux).
Wenn eine Anwendung (bspw. Word) des (Windoofs)-Client ins I-Net (über den Gateway) will, muss ihr das verboten werden.

Danke
Erri

schuelsche
14.05.04, 11:21
Das kann ich Dir leider so nicht sagen, weil ich mich noch nicht intensiver mit Squid beschäftigt habe, aber viell. hilft Dir das hier weiter:

http://www.squid-handbuch.de/

HTH,
schuelsche

Doh!
14.05.04, 14:43
Du kannst der SuSE-FW sagen, dass sie auch vor dem Internen Netzwerk schützen soll. Allerdings musst Du dann die Ports freigeben, die Du von innen nach außen nutzen willst.

Willst Du eine etwas genauere Konfiguration (z.B. auch UDP-Ports), so kannst Du in /etc/sysconfig/SuSEFirewall (oder so ähnlich) die Konfigdatei anpassen. Aber auch das ist relativ eingeschränkt.

SuSE-FW ist nichts anderes als ein mini-Frontend zu IP-Tables, allerdings sehr eingeschränkt. Willst Du alle funktionen von iptables nutzen, so musst Du entweder selbst ein script schreiben, oder aber Du benutzt webmin dafür.

Doh!
14.05.04, 14:51
Zu den Programmen, die einzelne Anwendungen sperren: das ganze ist mehr oder minder ein Marketinggag ohne wirklichen Nutzen (im Gegenteil, es ist sogar gefährlich!): Diese ganzen Persönlichen Firewalls, die einzelnen Anwendungen erlauben oder verbieten, ins Netz zu gehen, sind nicht wirklich sinnvoll.

Man kann leicht einen Trojaner bauen, der sich als Inernet Explorer oder Firefox oder was auch immer tarnt, und der FW vorgaukelt, er dürfe raustelefonieren. Außerdem ist es immer besser portbasierte Regeln zu nutzen. Wenn ich z.B. im Zonealarm einstelle, dass der IE raustelefonieren darf, dann darf er das über alle Ports, nicht nur über 80. In Verbindung mit einem getarnten Programm ist das ein Paradis für einen Hacker. Und der Anwender fühlt sich sicher.

Ein Proxy wiederrum ist ebensowenig dazu da, einzelen Programme abzufangen, sondern um Protokolle aus der Ausführungsschicht (also HTTP, FTP, SMTP, POP3 usw.) zu filtern/weiterzuleiten.

In Deinem Fall würde ich Dir empfehlen, erst mal die SuSE FW normal zu installieren, und dich mal über Firewalls und Proxys schlau zu machen (und ich meine jetzt nicht diesen ZoneAlarm-Kram). Wenn schon Personal-FW, dann Outcast oder sowas, auf jeden Fall Portbasiert mit Proxyfunktionen.