ob man eine firewall benötigt, muss jeder selbst entscheiden. mit dem verwendeten betriebssystem hat das aber rein gar nichts zu tun.
ein beispiel von spyware unter linux
wer nichts dagegen hat, ausspioniert zu werden, braucht keine desktop-firewall.

Unsinn!
Eine Firewall ist bei geschlossenen Ports unsinnig.
Unter Ubuntu mit Standardkonfiguration ist keine Firewall notwendig.
Punkt und Schluss.

SuSE, Mandriva und Fedora halten relevante Ports nach Grundinstallation bereits geöffnet und hier ist eine Firewall durchaus angebracht.
Nur - offen gesagt - warum nicht gleich Ubuntu nehmen und gänzlich drauf verzichten?!

Es muss allerdings beachtet werden:
Bietest Du Serverdienste an, beschäftige Dich eingehend mit dem Thema. Firestarter eignet sich für Anfänger am besten.

hallo randolf. entweder du hast versehentlich in den falschen thread gepostet, oder die bisherigen postings nicht gelesen. kann passieren.

Beantworte mir folgende Frage:
Was soll er mit einer Firewall, wenn er Ubuntu nutzt?
Man kann einen Safe in einen weiteren stellen, na klar -> Paranoia inklusive.

---

Die Anfrage wurde längst beantwortet. Jede Distribution kann den Firestarter nachinstallieren. Es geht hier um Linux!

Schönes Wochenende allen!

ich weiss zwar nicht, was deine antworten mit meiner frage zu tun haben, aber trotzdem danke für deine mühe.

also:

mir ist soweit keine distribution mit deiner anforderung bekannt - mit ausnahme von netBSD. das ist aber kein linux..

unter jeder distri kannst du aber iptables/netfilter, ipcop oder andere firewalls nachinstallieren, wie du lustig bist:

die fritz.box nutzt z.b. intern iptables. die konfiguration ist allerdings ohne zusätzliches frontend mehr als komplex für einen normalo user.

Man sollte - wenn überhaupt notwendig - eh immer möglichst eine Hardwarefirewall einsetzen. Alles andere ist eigentlich nicht wirklich zeitgemäß.

@_Randolf

möglicherweise sind dedizierte firewalls im 19" format für etliche 1000€ wirklich halbwegs "hardwarefirewall". alles andere ist - wie ich mit dem beispiel fritz!box schon anzeigen wollte - im grunde auch software firewalls, die nur auf dedizierter hardware läuft.

in den allermeisten fällen genau besagtes iptables paket..

dieses oder auch andere (leichter zu konfigurierende) pakete als desktop firewall zu nutzen halte ich allerdings nicht für dumm - auch nicht unter linux, obwohl ich da auch keine laufen habe..

es mag gründe geben, sich eine anzulegen - sei es mangelndes vertrauen in die software auf dem eigenen pc oder auch der "hardware" firewall des routers..
möglicherweise möchte mann auch seinen traffic filtern, wozu netfilter (steht im zusammenhang mit iptables) bestens geeignet ist - kinderschutz etc. mögen dafür gründe sein.

@ thilo:

die Antworten haben erstmal nichts mit deinem Post zu tun, ABER:
Wenn du verhindern willst, dass Programme "nach Hause telefonieren", dann ist die einzige effektive Möglichkeit sie nicht zu installieren.

Wenn du alle Ports schließt, dann kommt weder was rein noch was raus -> nicht Sinn der Sache. Nur bestimmte Ports offen lassen? Schelchte Idee, wenn du ne Webseite im Browser öffenst, dann wird mit dem Webserver ein anderer Port als 80 für die weitere Kommunikation ausgehandelt - blöd, wenn man den gerade gesperrt hat. Außerdem kann das Programm auch einfach auf offene Ports prüfen und kommt dann so raus.

Wenn man sowas Anwendungsbezogen macht, dann klappt das auch nicht.
Du verbietest dem Reader halt den Zugriff aufs Internet - und? Dann erzeugt der sich eben nen wget/curl/w3m/lynx/whatever-Prozess, der das erledigt. Das Programm ist auch geblockt? Dann wird eben im Hintergrund gewartet, bis der User nen Browser startet und dem die Erlaubnis gibt, aufs Internet zuzugreifen - und dann kann fleißig gesendet werden.

Kurz:
Desktop-Firewalls sind purer Unsinn (u.a.) wenn man den Datenverkehr von bestimmten Programmen unterbinden will. Sowohl unter Linux als auch unter Windows.
Oder, um einen CCC-Menschen mal zu zitieren: "Warum blockt ihr den Datenverkehr von Windows? Weil ihr Microsoft nicht vertraut? Dann verwendet eben kein Windows - Problem gelöst." Das gilt analog für alle anderen Softwareprodukte.
Schau dir das Video vom CCC einfach mal an. Es ist hier unter "Vorträge" zu finden, auch das für (nicht nur-)Windows-Security.

Abgesehen davon gibt es VIELE PDF-Reader - warum gerade den von Adobe benutzen?

mfg

ich hätte jetzt schon enige punkte bei denen ich bored widersprechen würde - obleich er sicher in einigen punkten auch recht hat.

nur wäre an dieser stelle wirklich interessant, welchen verwendungszweck - oder besser welchen nutzen er sich von einer desktop firewall erhofft.

erst dann könnten wir wirklich sagen, ob das nun sinn hat oder nicht.

@bored
das ist das alte thema. es gibt keine 100%ige sicherheit. das wissen wir alle. viele antworten darauf, indem sie dann sagen, dass man deswegen mit 0% sicherheit leben muss. das sollen die von mir aus so handhaben, aber ich denke da anders. ich versuche mich so gut wie möglich zu schützen.

mir ist bewusst, dass eine desktop-firewall auf verschiedenste arten getunnelt werden kann. aber die meisten "normalen" spyprogramme werden nicht mit solchen fähigkeiten ausgestattet. also bin ich vor vielen potentiellen angriffen geschützt. der rest ist dann halt dumm gelaufen. schlechter als ohne firewall stehe ich aber auch dann nicht da.

ich kenne linux nicht. vielleicht sprichst du vom konquerer? (wäre schlimm). ich benutze den firefox. meines wissens kann man diesen nur über die commandline zum senden bringen, und dabei öffnet sich zumindest ein verräterisches fenster. um das zu erschweren, habe ich ihn natürlich nicht im standardinstallationspfad installiert und die exe umbenannt (und in der registry hab ich die installationspfadangabe des browsers für firefoxplugins auch gefakt). beim ie ist das ganz anders, den muss man deswegen, meines erachtens, auch unbedingt komplett, wegen tunnelgefahr, sperren.


du setzt voraus, dass man bei einem programm vor der installation weiss, ob es telefoniert oder nicht. das halte ich für unrealistisch.
deswegen meine antwort: keiner darf online gehen, ausser es ist unbedingt notwendig. und die wenigen, die dürfen, dürfen auch nur ganz wenige bestimmte ips aufrufen (ausnahme ist da natürlich der webbrowser, sonst könnte man ja kaum mehr surfen).


ich denke ich kenne das video. ich fand es sehr schade. ich habe hohen respekt vor solchen c.r.a.c.k.s und diesem club. aber dieses video ist eine reine farce (wenn wir vom gleichen reden, wovon ich einfach mal ausgehe, weil kann deines im moment leider nicht checken). man merkt, dass es eine reine propagandaveranstaltung ist. propaganda gegen die andere propaganda. so macht man sich unglaubwürdig. das lustige ist, wie dem einen, kurz vor schluss(?) des eigentlichen vortrags, während er sich, glaub ich, über irgendwas rüberbückt(?), aus versehen herausrutscht, dass desktop-firewalls eigentlich nur dazu zu gebrauchen wären, um das nach hause zu telefonieren von programmen zu bemerken/kontrollieren(?) (es ist lange her, ich zitiere aus dem gedächtnis) und damit die ganzen zwei stunden(?) vortrag, mit dem tenor "personal firewalls sind komplett sinnlos", null und nichtig macht.

@jaja
ich habe eine firewall im router. es geht mir nur darum, das nach hause telefonieren von programmen zu versuchen zu verhindern.
ich bin blutiger linuxanfänger. deswegen wollte ich wissen, ob es eine distri gibt, mit der ich linux mit firewall kennenlernen kann, bis ich selbst in der lage bin eine zu installieren und zu konfigurieren.
danke für die infos aus antwort 8!

Ich behaupte mal, dass es solche Programme mit einer Ausnahme unter Linux nicht gibt, in so fern also das ganze Thema hinfällig.

Welche Ausnahme das ist? -> Skype!

ok. jetz kennen wir also zusammen schon drei programme, die unter linux nach hause telefonieren: acrobat reader, skype und burp proxy.
aber mehr gibt es ganz sicher nicht. ganz sicher! ;-)

Acrobat?? Wer sagt das?

Im Falle Skype wird Dir eine Desktop-Firewall gar nichts nützen, da Du ja telefonieren und chatten möchtest und die relevanten Daten wie /etc/passwd usw. über die bereits verschlüsselte Verbindung gehen.

Möglicherweise haben die Autoren das Ganze aber längst wieder rausgenommen....das ist ja das Problem...man weiß es nicht!

-> link aus antw. 2.



1. ist die /etc/passwd durch shadow geschützt
2. bräuchte skype zumindest root rechte, um die datei (immernoch verschlüsselt) überhaupt auszulesen



sehe ich auch so: da hilft nur konsequent open source nutzen, statt proprietäre binaries.

generell würde ich zunächst per netstat prüfen: "netstat -pc" listet dir alle offenen sockets und bestehende verbindungen alle paar sekunden auf..durch die option -p werden den sockets auch die ursächlichen programme zugeordnet..
anders als "bored" angibt:


kannst du dort sehen, welcher "parent" prozess einen solchen childprozess geöffnet hat, um daten zu übertragen: es würde dir also nicht entgehen.

naja wie auch immer - das nur zur veranschaulichung.

mein hinweis für den fragesteller: netfilter KANN meines wissens auch application layer filtering (app layer gateway) nur ist das ein wenig mehr konfigurationsaufwand! das funktioniert dann ähnlich wie die abfrage von netstat...

...günstiger macht sich noch "netstat -epocA inet" - dafür aber das konsolenfenster sehr breit ziehen, damit alle infos nebeneinander passen und nicht per zeilenumbruch alles durcheinander kommt...