Kann das eine firewall?

Hallo Zusammen,

da hätte ich wieder 'mal 'ne Frage.
Ich mache mir Gedanken darüber auch für mein Linux-System eine Firewall einzusetzen soll und frage wie sinnvoll solch ein vorhaben ist.
Da ich mit 2 Rechnern (Debian ca. 80% und XP ca. 20%) via DHCP hinter einem Router sitze und selbst das Anpingen bei dessen Einstellung nicht erlaube glaube ich in meiner Naivität, dass ich ziemlich sicher bin gegen Angriffe von außen. Außerdem surfe ich nie als root.
Ein Porttest von extern sah für mich super aus - nicht so bei einem LeakTest nach außen. Daher mein Anliegen.
Ist es mit iptables bzw. dessen Frontends GuardDoc und MiniFire möglich diese Lücke zu stopfen? Bei dem massenhaften Angebot von möglichen Ports usw. bin ich einfach erschlagen. Ist ein Mascerading zuzulassen oder nicht (erledigt doch eigentlich mein Router) und so weiter und so fort.
Welchen Ansatz kann ich verfolgen und wo gibt es bitte Erklärungen in deutsch, verständlich auch für einen fast 'Laien'.
Im Prinzip sollte nur das surfen, behandeln von Mails via pop und smtp sowie das down- und uploaden von Software ohne 'Einschränkungen' möglich sein. Auch der Transfer zwischen den beiden Rechnern sollte nicht beeinträchtigt, aber sicher sein.

Wie immer, vielen Dank für Eure Mühe im voraus,

Doofchen

PS.: durch mein diszipliniertes surfen und der überaus vorsichtigen Behandlung meiner Mails (werden schon auf dem IP-Server auf verdächtigen Spam untersucht) hatte ich mir noch keinen digitalen 'Krankheitserreger' an Land gezogen. Aber die Zukunft scheint auch bei Linux düster zu werden, wenn man ersten diesbezüglich Meldungen glauben darf.

 

Wenn du hinter einem Router sitzt und kein port-forwarding eingestellt hast, ist eine firewall schlicht sinnlos.
und es gilt immer noch folgendes: was nicht rein kann, kann auch nicht raus! Welchen sinn würde es machen, deinen eigenen traffic (nach außen geht ja nur das, was du willst) zu filtern?

Gruß, Csaba

 

@bitumen

nicht meinen Traffic nach außen, sondern unerwünschten von möglichen Troianern und Konsorten welche sich im System doch irgendwie eingenistet haben.

trotzdem, Danke Csaba

Schöne Grüße auch

 

Also wenn sich was eingenistet hat, dann ist es sowieso schon zu spät. Dann solltest du nach rootkits sichen, diese entfernen und ggf neu aufsetzen.
Aber rausgehender Traffic ist ja nicht wirklich gefährlich...
Das ist jedem selbst überlassen, ich persönlich würde nie meinen rausgehenden traffic filtern.

Csaba

 

Kommt darauf an, was "dein" Trojaner rausschickt.

@ Doofchen
Du müßtest dir eine Liste mit allen bekannten Ports von Trojanern und ähnlichen Schädlingen im Internet besorgen (frag mich aber bitte nicht nach der Adresse).
Diese ist ganz schön lang ..... Und was ist, wenn eine deiner Anwendungen zufällig einen solchen Port wählt - du hättest keinen Internetzugang damit. Das wäre sicherlich nicht in deinem Sinne. Richtig wäre dann eher eine Application-Firewall, also eine Proxy oder so was ähnliches, da Iptables nur auf Paketebene filtert. Das dürfte aber für einen Heimanwender wie das Schießen mit Kanonen auf Spatzen sein.
Wenn du keine Standleitung mit offenen Ports von außen und auch keine feste IP hast, ist die Installation von Rootkits oder ähnlichem auf Linux ein kompliziertes Unterfangen und dürfte auch für einen Cracker nicht besonders interessant sein, denn was gibt es auf einem Privat-PC oder Home-Netz schon an Daten zu holen, die sich gewinnbringend verkaufen lassen?

Andere sehen das vielleicht nicht so, aber in den Firewall-Logs, die ich bis jetzt so untersucht habe und auch auf meinem Port 80 habe ich bis jetzt nur Angriffe auf Windowsmaschinen gefunden - schätze mal automatische Abfragen.

 

@bitumen
@gnagfloh

meine Intension war: ich möchte meine Rechner nicht unbemerkt als Spam-Schleuder benutzen lassen (um dann möglicherweise dafür geradestehen zu müssen).
Auch möchte ich nicht, dass sich meine Hardware an DoS-Atacken auf irgendwen beteiligt. Noch weniger möchte ich, dass beim HomeBanking meine PIN un TAN umgeleitet werden.

Möglicherweise habe ich aber auch zu viele Fachzeitschriften-Beiträge gelesen.

Danke für Eure Beiträge und schöne Grüße

Helmut

PS.: habe durch Euren Hinweis zum erstenmal von 'rootkits' gehört, mich im Internet darüber informiert und die fast-Unmöglichkeit eines Nachweises dieser Eindringlinge erkannt. Bleibt als einziger Ausweg - in regelmäßigen Zeitabständen ein noch sicherses System-Image-Backup einzuspielen.

Merci nochmals.

 

Woher weißt du, was noch sicher ist? Die einzige Möglichkeit ist, root-kit suchprogramme laufen zu lassen, logdateien zu lesen und einen trafficfilter einzusetzen.

Nehmen wir an, irgendwer möchte den webserver von unserer lieblingsfirma ms.com attackieren. Wenn du Ports sperrst, damit keine Attacke auf einen Webserver erfolgen kann, kannst du auch nicht mehr surfen...

 

@bitumen

Zu 1.
Ich erstelle mir mein System von einer LiveCD von z.B. Kanotix noch ohne Zugriff auf das Internet, mit allen Programmen welche ich benötige. Dann wird das später benötigte Image gebrannt. Danach kommt von Zeit zu Zeit nur noch ein Update direkt von Debian-Paketen dazu. Experimentieren kann ich zwischendurch und dann das Image wieder einspielen.
Ich denke dieses System dürfte relativ sicher sein.

Welche Root-Kit-Suchprogramme und Trafik-Filter sind empfehlenswert?
Welche Logdateien kann bzw. sollte man im Auge behalten?

Da mir das nötige Grundwissen fehlt frage ich natürlich Euch Gurus hier im Forum damit ich diesbezüglich mein Horizont erweitern kann bzw. Anstöße dazu bekomme - das Thema ist ja so... vielfältig zumindest für einen Laien.

Zu 2. Einzusehen!

Danke für den Einwand.

Schöne Grüße Helmut.