• Zielgruppen
  • Suche
 

IPTables unter SUSE-Linux

Konfiguration mit Yast

Die Konfiguration der Firewall unter Novell-SUSE-Linux erfolgt, wie für den größten Teil des Gesamtsystems, über das Konfigurationstool YaST.

Zunächst muss man in YaST die Rubrik "Sicherheit und Benutzer" wählen:

Ansicht YaST-Kontrollzentrum mit ausgewählter Rubrik Sicherheit und Benutzer

Wählt man dann den Unterpunkt "Firewall", gelangt man zu den Einstellungen des Paketfilters:

Ansicht von YaST: Konfiguration der Firewall

Im Punkt "Start" sollte man einstellen, dass die Firewall bei jedem Systemstart aktiviert wird. Außerdem ist dieser Punkt auch für Tests während der Konfiguration interessant: mit dem Button "Einstellungen speichern und Firewall nun neu starten" kann man die vorgenommenen Regelanpassungen übernehmen und aktivieren.

Für reine Arbeitsplatz-Rechner sind keine weiteren Einstellungen nötig. Sollen von außen Dienste verfügbar sein (z.B. ssh oder auf einem Webserver http), so müssen noch Anpassungen im Punkt "Erlaubte Dienste" vorgenommen werden.

Als Benutzer root kann man die mit YaST erstellte Konfiguration kontrollieren, indem man sich nach Aktivierung der Firewall (ggf. hoffentlich automatisch nach Neustart) die Filterregeln mit iptables -L oder auch genauer mit iptables-save anzeigen lässt.

Manuelle Konfiguration ohne Yast

Die Konfiguration mit Yast ist zwar einfacher als die manuelle über Skripts, aber nicht alle Einstellungen, die mit IPTables möglich sind, können über Yast vorgenommen werden (z.T. müsste man Variablen von Sysconfig-Skripten setzen). Man kann auch unter SUSE-Linux eine Konfiguration und ein init.d-Skript erstellen, wie es auf der Seite Paketfilter für Linux beschrieben ist. Dabei sind jedoch bestimmte Dinge zu beachten, damit das init.d-Skript auch aktiviert und die Einstellungen nicht von Yast überschrieben werden:

  • Die Suse2firewall in Yast deaktivieren:
  • Skripte müssen an Suse angepasst werden:  IPTABLES=/usr/sbin/iptables
  • Statt symbolische Links für die Runlevels manuell anzulegen, sollte das init.d-Skript mit dem Befehl chkconfig iptables on eingebunden werden.