Da sieht ja kein Schwein durch. Vorschlag: Man könnte über dieses übersichtliche, dokumentierte und kurze Ruleset diskutieren: https://wiki.archlinux.org/index.php/si ... l_firewall
Ist vielleicht sinnvoller und durch Dogge ebenso leicht realisierbar. Vielleicht findet jemand auch noch eine bessere Grundlage.
(Dogge nutzt ein Frontend und andere sollen sich mit den Ergebnissen rumschlagen. TomL hat diesbezüglich wohl Recht. )
Firewall auf Laptop sinnvoll?
Re: Firewall auf Laptop sinnvoll?
Mal abgesehen von dem Schließen von Ports und und Firewall Regeln. Was will man eigentlich erreichen?
Schadsoftware soll sich nicht auf dem Rechner in Fremden Netzen verbreiten können und der Rechner soll nicht durch offene Port eventuell kompromittiert werden.
Das ist jedenfalls mein Verständnis.
Was spricht also gegen die Verwendung von firejail? Damit kann man für die meisten gebräuchlichen Programme eine - je nach Konfiguration - eine ziemlich perfekte
"Sandbox" einrichten, die ziemlich schwer zu knacken ist.
Ich hänge mal zu Anschauung den vorkonfigurierten Profile- Ordner von Firejail an: 39610
ein "Profile" für Firefox z.B. sieht so aus: 39611 , wobei sich die Restriktionen durch Blacklisten beliebig erweitern lassen.
Man kann praktisch jedes Programm in so einer Sandbox ohne großen Aufwand laufen lassen, was die Gefahren einer schlecht konfigurierten Firewall minimiert.
Hier nochmal zu Erinnerung einen Thread in dem ich und TomL über die Möglichkeiten von firejail etwas gesagt haben:
viewtopic.php?f=29&t=160928&hilit=firej ... 0#p1092710
Erfahrungsbericht:
https://www.thunderbird-mail.de/thread/ ... BCr-linux/
Grundlegendes:
https://firejail.wordpress.com/
Schadsoftware soll sich nicht auf dem Rechner in Fremden Netzen verbreiten können und der Rechner soll nicht durch offene Port eventuell kompromittiert werden.
Das ist jedenfalls mein Verständnis.
Was spricht also gegen die Verwendung von firejail? Damit kann man für die meisten gebräuchlichen Programme eine - je nach Konfiguration - eine ziemlich perfekte
"Sandbox" einrichten, die ziemlich schwer zu knacken ist.
Ich hänge mal zu Anschauung den vorkonfigurierten Profile- Ordner von Firejail an: 39610
ein "Profile" für Firefox z.B. sieht so aus: 39611 , wobei sich die Restriktionen durch Blacklisten beliebig erweitern lassen.
Man kann praktisch jedes Programm in so einer Sandbox ohne großen Aufwand laufen lassen, was die Gefahren einer schlecht konfigurierten Firewall minimiert.
Hier nochmal zu Erinnerung einen Thread in dem ich und TomL über die Möglichkeiten von firejail etwas gesagt haben:
viewtopic.php?f=29&t=160928&hilit=firej ... 0#p1092710
Erfahrungsbericht:
https://www.thunderbird-mail.de/thread/ ... BCr-linux/
Grundlegendes:
https://firejail.wordpress.com/
Re: Firewall auf Laptop sinnvoll?
Ja, mit firejail hatte ich auch schon mal gespielt. Das mal ordentlich einzurichten steht auch auf der ToDo-Liste.
Was ich erreichen will? Eigentlich nur, dass nicht unbewusst über Paketabhängigkeiten ein Serverdienst installiert wird der evtl. in fremden Hotspots im Netz erreichbar ist. Das scheint mit ufw auch gut zu funktionieren. Bei der schwierigen Konfiguration von iptables würde ich wohl eher Murks bauen.
Was ich erreichen will? Eigentlich nur, dass nicht unbewusst über Paketabhängigkeiten ein Serverdienst installiert wird der evtl. in fremden Hotspots im Netz erreichbar ist. Das scheint mit ufw auch gut zu funktionieren. Bei der schwierigen Konfiguration von iptables würde ich wohl eher Murks bauen.
Debian Testing + Gnome | Linux-Anfänger seit 04/2003
http://files.mdosch.de/2014-07/0xE13D657D.asc
http://files.mdosch.de/2014-07/0xE13D657D.asc
Re: Firewall auf Laptop sinnvoll?
Damit triffst Du es aber leider nicht so richtig. Dein Ansatz betrifft Deine "Handlungen" an Deinem Laptop nach der etablierten Verbindung.... das heisst, würdest Du in fremder Umgebung aufs Surfen verzichten bzw. sogar gar ganz auf einen WLAN-Zugang bei einem fremden offenen AccesPoint, brauchst Du auch kein Firejail für den Browser.geier22 hat geschrieben:Das ist jedenfalls mein Verständnis.
Das wahre Problem fängt dabei imho viel früher an, vor Firejail, und zwar auf Ebene des Net-Sockets. Denn Dein Laptop wird mit der Gast-IP reguläres Mitglied eines fremden (und möglicherweise dubiosen) Netzwerkes. Wenn dann beim WISP das Häkchen bei "Clienten dürfen untereinander kommunizieren" nicht entfernt wurde, sieht Dich natürlich der Host, aber auch jeder andere Client.... wenn das nicht sowieso immer möglich ist... das weiss ich aber nicht. Und wenn so ein WISP von einem Gastronom mit Hobby-IT-Kenntnissen in seiner Lokalität eingerichtet wurde.... tja....
Re: Firewall auf Laptop sinnvoll?
Und:geier22 hat geschrieben:Man kann praktisch jedes Programm in so einer Sandbox ohne großen Aufwand laufen lassen, was die Gefahren einer schlecht konfigurierten Firewall minimiert.
Da stimmt natürlich.TomL hat geschrieben:Das wahre Problem fängt dabei imho viel früher an, vor Firejail, und zwar auf Ebene des Net-Sockets.
Dann wäre aber nur ein Router wie der von uname vorgeschlagene TP-Link TL-WR802N wirklich sinnvoll, wenn man sich nicht in die "Profi - Abteilung" der iptables durcharbeiten will.
Der TP-Link TL-WR802N ist wirliche eine "Eierlegende Wollmilchsau" , den ich übrigens auch besitze und für WLAN (wo auch immer) mit meinem Lappie einsetze
Router + firejail wären - und sind - dann für mich die Lösung.
Re: Firewall auf Laptop sinnvoll?
Oder die NAT-Regel tut (nahezu) dasselbe?!
Nun stelle doch mal einer der Ahnung hat, Dogge die Regeln zusammen. Ich kann es nicht, könnte nur unreflektiert aus https://wiki.archlinux.org/index.php/si ... l_firewall "abschreiben". Da kommt doch nur Dogges "ssh-Loch" dazu. (Oder Portweiterleitung bei NAT.)
Nun stelle doch mal einer der Ahnung hat, Dogge die Regeln zusammen. Ich kann es nicht, könnte nur unreflektiert aus https://wiki.archlinux.org/index.php/si ... l_firewall "abschreiben". Da kommt doch nur Dogges "ssh-Loch" dazu. (Oder Portweiterleitung bei NAT.)
Re: Firewall auf Laptop sinnvoll?
Dann muss er allerdings IPv6 abschalten (wenn er schon IPv6-Kunde ist), denn unter IPv6 gibts wohl kein NAT mehr. Allerdings bin ich auch noch zu frisch mit IPv6 verbandelt. Ich weiss im Moment nicht, ob man bei offenen WISP mit IPv6 auch nur den ISP-Prefix des AccessPoint-Anbieters via RA geliefert bekommt und der Client generiert sich seine eigene ULA via SLAAC, oder ob es da doch so ne Krücke wie ein NAT6 gibt. Also ich will IPv6 nicht abschalten, und NAT6 will ich am liebsten auch nicht.Jana66 hat geschrieben:Oder die NAT-Regel tut (nahezu) dasselbe?!