Wie kann ich eine Linux-Box als eigenständige Firewall / Gateway einrichten?

690
El Zorko

Wie kann ich die Linux-Firewall / Gateway-Box trennen, um jetzt mit Microsoft-Windows-Computern gesprochene Computer vom Internet zu trennen? Zulassen nur genehmigter, vom Benutzer initiierter Verbindungen von Windows-Boxen. Dieses gegebene Beispiel von Windows 10 befolgt beim Telefonieren zu Hause nicht die meisten Ansätze auf dem gleichen Computer. Ich möchte ein interaktives Setup, um Verbindungen zuzulassen oder abzulehnen, wie sie von anderen Computern stammen.

Es geht mir nur um ausgehende TCP / IP-Verbindungen und UDP, da die Router-Firewall eingehenden Datenverkehr ausreichend blockiert.

enter image description here

Ich vermute, ich könnte etwas fälschen, das halb mit Backen und iptables gebacken ist, aber das gibt mir keine einfache Benutzererfahrung, und das wäre nach der Tatsache der Fall (also könnte ich die Protokolle verweigern, dann zurückgehen und die Regeln ändern Fall). Ich möchte, dass die Verbindung hängen bleibt (trotz Timeout), bis ich sie erlaube / ablehne.

Ist das, wonach ich suche, sogar möglich, ohne etwas wie iptables selbst zu hacken? Auf welche Fallstricke sollte ich achten?

Ist es sinnvoll und möglich, diese Boxen als Gateway- und DHCP-Server für Windows-Boxen einzurichten? Anscheinend sollte ich die Windows-Boxen selbst davon abhalten, mit dem Router zu sprechen, und sie daher zwingen, durch die Gateway- / Firewall-Box zu gehen.

(Bearbeiten: umformuliert.)


1

1 Antwort auf die Frage

1
NoelC

In den letzten Monaten habe ich eine Firewall-Strategie entwickelt, die "standardmäßig verweigert" ist und auf der Sphinx-Software "Windows 10 Firewall Control" basiert. Ich habe die High-End-Edition "Network / Cloud".

Dieses Produkt nutzt die integrierte Windows-Windows-Filterplattform (WFP), überlappt jedoch nicht die Steuerung, die von den standardmäßigen Windows Advanced Firewall-Konfigurationsprozessen ausgeübt wird. Das ist ein bisschen seltsam, bis man völlig weiß, wie alles zusammenpasst. Ich habe die Standard-Firewall vollständig dekonfiguriert, sodass alles über die Sphinx-Benutzeroberfläche gesteuert wird.

Es ist effektiv - Ich stoppe praktisch alle Online-Probleme von meinen Win 7-, Win 8.1- und Win 10-Systemen, die durch die Konfiguration NICHT vollständig angehalten werden können - und ich kann trotzdem Windows Update-Vorgänge abschließen.

Im Interesse der vollständigen Offenlegung erfüllt meine Lösung mit dem oben genannten Produkt jedoch möglicherweise nicht alle Ihre Anforderungen aus verschiedenen Gründen ...

  1. Es verwendet die Windows-Software zur Filterung. Bislang habe ich keine Hinweise darauf gefunden, dass Microsoft (oder jemand anderes) einen Umweg darauf hinlegt, aber die Performance der Vergangenheit ist natürlich keine Garantie für zukünftige Ergebnisse. Ich denke, es wäre äußerst peinlich für Microsoft, wenn sie sich um ihre eigene Firewall herumarbeiten würden. Ich schätze, sie werden das nicht so bald tun.

  2. Es gibt keine Option zum Zulassen oder Ablehnen, aber der erste Versuch schlägt immer fehl. DANN wird ein Dialogfeld angezeigt, in dem Sie gefragt werden, was Sie in Zukunft für dieselbe Anwendung tun möchten. Das klingt unbedeutend, gibt aber nicht das gewünschte Maß an Kontrolle und kann zu Problemen führen (zB wenn die Software den Vorgang nicht wiederholt). Dieses eine Problem macht es wirklich komplizierter, diesen Ansatz zu verwenden, und wie Sie möchte ich lieber die von Ihnen beschriebene Funktion haben.

  3. Die neuesten Versionen von Sphinx sind in der Tat ziemlich neu und entsprechen anscheinend zeitlich der Veröffentlichung von Windows 10. Daher werden anscheinend immer noch einige Fehler behoben (ihr technischer Support ist jedoch sehr reaktionsschnell). Bei einem komplexen Prozess wie dem Firewall-Setup-Management kann ein kleiner Fehler (z. B. ein Fehler beim Aktualisieren der Firewall-Konfiguration gemäß dem, was Sie gerade ohne Fehlermeldung geändert haben) dazu führen, dass Sie sich wirklich den Kopf zerkratzen und Zeit verschwenden.

Ich bin hier, um Ihnen zu sagen, nachdem Sie mit diesem Setup nun einige Monate gearbeitet und verfeinert haben, dass das, was Sie wollen, möglich ist und sinnvoll ist. Was beängstigend ist, wird sich bewusst, wie viel Kommunikation tatsächlich stattfindet (oder versucht wird). Die Kontrolle über das, was Ihr Computer online macht, ist vernünftig - wenn Sie sich jedoch bewusst sind, dass dies auf Dauer einen zusätzlichen Aufwand bedeutet. Es ist ganz sicher KEIN "Set it and forget it" -Prozess.

Anekdotisch hat Windows 10 mit all der Aufmerksamkeit in letzter Zeit "Privacy Intrusion" bekommen. Aufgrund von speziellen Tools wurde festgestellt, dass es tatsächlich etwas effektiver ist, Windows 10 neu zu konfigurieren, um Windows 10 zu beruhigen. Und um nicht ausgelassen zu werden, versucht Windows 7, aufgrund einiger neuer Windows-Updates inkrementell immer gesprächiger zu werden. Es ist eine interessante Zeit, und es ist richtig, wenn man sich Sorgen macht, was wohin geschickt wird.

-Noel