GridTalk.de
Firewall: ufw vs. iptables ? - Druckversion

+- GridTalk.de (https://www.gridtalk.de)
+-- Forum: Werkstatt (https://www.gridtalk.de/forumdisplay.php?fid=4)
+--- Forum: Technik (https://www.gridtalk.de/forumdisplay.php?fid=25)
+---- Forum: Linux (https://www.gridtalk.de/forumdisplay.php?fid=26)
+---- Thema: Firewall: ufw vs. iptables ? (/showthread.php?tid=1896)

Seiten: 1 2 3


Firewall: ufw vs. iptables ? - Angus Vapor - 28.11.2015

Huhu, Ihr Lieben

wie viele ja bereits wissen bin ich gerade dabei mich etwas in die Linux Welt (Server) einzuarbeiten. Momentan in das Thema Server Sicherheit, mir ist natürlich klar das es eine 100% Sicherheit nie geben wird, wenn jemand in ein System will wird er immer einen Weg finden denk ich.

Das Thema Server Sicherheit ist ja auch gewaltig Umfangreich so, dass ich als Privater "Hobby" Admin, denk auch nur einen Bruchteil abdecke was es an Möglichkeiten gibt. Aber zum Thema ich nutze aktuell Debian als OS und für die Firewall ufw statt iptables, wobei laut meinen Recherchen ufw eine Art Template für iptables ist liege ich da richtig ?

Was mich halt interessieren würde da ufw ja weitaus leichter zu konfigurieren ist als iptables ob es da irgendwelche Sicherheitstechnischen Abstriche gibt im Vergleich zum ich sag mal großen Bruder iptables ? Bzw. ob es Leute mit Erfahrungswerten diesbezüglich hier im Forum gibt ?

lg. Angus


RE: Firewall: ufw vs. iptables ? - Mareta Dagostino - 28.11.2015

Ich hatte mich bewusst entschieden, direkt iptables zu verwenden, weil dann nur Sachen passieren, die ich verstehe. Dabei nutze ich natürlich nicht alle denkbaren Möglichkeiten, sondern gezielt ein möglichst einfaches Schema, also eine Port-Firewall (Protokoll, Port, Richtung => fertig.)

ufw ist ein Hilfstool, was letztenendes auch "nur" iptables mit Regeln füllt. Das Ergebnis sind Regelketten, die mir zu kompliziert sind. Insbesondere die in Firewall-Tools verbreiteten "Applikationsfilter" sind mir ein Dorn im Auge. Damit gibt man sozusagen einen Dienst wie SSH oder Email frei, und das Tool weiß dann, welche Ports und Protokolle dafür geöffnet werden sollen. Blöd nur, wenn ich es nicht weiß, dann macht mir das Tool "irgendwas" auf. Genau deshalb benutzte ich zum Beispiel unter OpenSUSE die äußerst komfortable dialogbasierte SuseFirewall nicht: Die vom Tool erzeugten Regelwerke in iptables konnte ich selber nicht mehr sicher verstehen.

Unter der Annahme, du arbeitest dich hinreichend in iptables ein, um die durch ufw erzeugten Regeln zu verstehen, sehe ich keine Sicherheitsbedenken. Bequemer ist es eventuell ein paar Kommandos abzusetzen statt eine Textdatei zu editieren. Wobei in meiner Firewall alle benötigten Varianten eh vorkommen, so dass ich bei einem zusätzlichen Port einfach mit copy-paste eine Beispielzeile kopiere und in der Kopie die Portnummer ändere.

EDIT: ufw wurde entwickelt, um Usern, die iptables nicht verstehen,eine Firewall zu ermöglichen. Besser eine nicht verstandene Firewall, als keine Firewall (oder eine wegen Fehlkonfiguration wirkungslose).


RE: Firewall: ufw vs. iptables ? - Angus Vapor - 28.11.2015

Ja eine Firewall ist sehr wichtig auf einen Server mein aktuelles Setup ist ja eigentlich eher als Basis zu betrachten ich versuch es so gut es geht dicht zu machen, denk aber sobald ich etwas tiefer in die Materie einsteige werd ich mich auch mehr mit iptables befassen, momentan such ich eher noch nach einem guten Tutorial weil viele Tutorials geben dir Code vor den man einfach abtippen soll ohne eine Erklärung dazu so ein wirklich cooles iptables für Anfänger Tutorial hab ich leider noch nicht finden können.

Also kann man sagen ich arbeite momentan an einem Basis Setup um den Server zum Laufen zu bringen und beginne dann mich Tiefer in die Materie einzuarbeiten. Jeder hat ja mal klein Angefangen, aber ich mach mir halt auch Gedanken um die Sicherheit also kann ich ufw für den Anfang gut nehmen ?


RE: Firewall: ufw vs. iptables ? - Mareta Dagostino - 28.11.2015

Klar, für den Anfang kannst du ufw nehmen, besser als keine oder eine wirkungslos konfigurierte FW ist es allemal. Lies aber die Warnungen gut durch, auch mit ufw kannst du dich aus dem Rechner aussperren!

https://wiki.ubuntuusers.de/ufw

( https://wiki.ubuntuusers.de/iptables2 )
(Bei Ubuntuusers verlinkt, die beste deutschsprachige iptables Anleitung, die ich kenne: http://www.pro-linux.de/artikel/2/761/iptables-die-firewall-des-kernels-24.html )

Viele Grüße,
Mareta


RE: Firewall: ufw vs. iptables ? - Angus Vapor - 28.11.2015

Smile ja wobei ich teste aktuelle auf ner VM das war ein Tipp von einem der sich mit Servern schon bissl besser auskennt nie auf einem Live System testen immer auf ner VM oder einer Testumgebung und wenn es da läuft erst auf den Live Server Smile


RE: Firewall: ufw vs. iptables ? - Mareta Dagostino - 28.11.2015

Hihi, daran wurde ich gerade vor einer guten Woche auf die harte Art erinnert: Mein Server ist ja normalerweise das Testsystem, ich habe kein "Live System" im eigentlichen Sinne. Nur jetzt mit der öffentlich bekannt gemachten Region "Weihnachtsmarkt" wurde es durch die Hintertür temporär doch Live. Und wie es kommen musste:
-> Versuch unter dem rollenen Rad von Ubuntu 14.04 auf 15.10 hochzurüsten
-> System platt, kein Login mehr möglich
-> Zwei Stunden Downtime, bis ich das Backup wieder aufgespielt, OpenSim (nicht im Backup enthalten) neu installiert und die Datenbanken wieder befüllt hatte.


RE: Firewall: ufw vs. iptables ? - Angus Vapor - 28.11.2015

hihihi ja du ich hab meinen Test Server sicher auch schon 10 mal mindestens abgeschossen bei Virutal Box hab ich halt den Vorteil das ich Sicherheitspunkte machen kann und immer darauf schnell zurück springen ohne ein Backup oder sonst was einladen zu müssen. Das Thema Backup wird dann auch nochmal wichtig wenn alles auf dem Server läuft.
Ich versuch ja so viel wie möglich über die Konsole zu machen Smile als Newbie ist ma da Anfangs bissl überfordert, aber nun läufts langsam muss halt immer noch viel Suchen weil ich noch nicht alles mir gemerkt hab xD


RE: Firewall: ufw vs. iptables ? - Uwe Furse - 28.11.2015

Ich würde erstmal so anfangen ...

1. Welche Dienste brauche ich für OpenSim? / Unnötige Dienste rauskeulen
2. Standarts-Ports ändern, SSH, FTP usw ...
3. apt-get install iptraf [Bild: smile.gif]

Cheers


RE: Firewall: ufw vs. iptables ? - Uwe Furse - 28.11.2015

Ist schon klar, Freaky

Es geht ja erstmal darum, allgemeinen Traffic auf die Ports von außen zu reduzieren.

Cheers


RE: Firewall: ufw vs. iptables ? - Uwe Furse - 29.11.2015

ja ne, ist klar Freaky ...

aber der Topic-Ersteller, hat nach Linux-Sicherheit gefragt ....


Cheers