Debian - keine Firewall per default

MarroniJohny

MarroniJohny

Member
Hi

Wieso ist eigentlich bei Debian keine Firewall per default aktiv? Nutze einige debian als Server in der DMZ, sowie auch am Desktop unter vmware Workstation zum arbeiten. Ist mir bislang noch gar nicht aufgefallen. Ist natürlich alles hinter einer Hardwarefirewall.

Wie handhabt Ihr das so? Gehört da auf jeden Gast iptables drauf? Habe mir ehrlich gesagt noch nie Gedanken darum gemacht.

Server sind sowas wie Plesk Web Pro (da ist nur 80 und 443 offen), Windows Gameserver unter Lutris, native Gameserver, Teamspeak Server und sowas. Nutze für das meiste Debian mit GUI/KDE.

Gruss und danke
 
Das kommt letztendlich drauf an, was man für sich als Firewall definiert. Viele nutzen eine Firewall nur als reinen Portfilter.
Rein Binär betrachtet (Port auf / Port zu), ist das so ziemlich das sinnloseste wofür man eine Firewall einsetzen kann. Denn wenn ich nicht möchte, dass ein Port von außen erreichbar ist, dann lass ich ihn nicht auf einer von außen erreichbaren IP lauschen. Sondern auf 127.0.0.1 oder schalt ihn ganz ab.

Alles was darüber hinaus geht (bspw. Erreichbarkeit von Ports nur von bestimmten IPs, DPI, Throttling, ...), ist individueller Bedarf und kann mit Standardregeln sowieso nicht erschlagen werden.
Wer sowas braucht, baut individuelle Regelsätze und dann juckts nicht, ob da vorher irgendein Standardregelsatz drauf ist.

Die RedHat Welt hat eine ganze Zeit lang einen Standardregelsatz mit ausgerollt. Keine Ahnung ob das immer noch so ist; hatte lange kein RedHat Ableger in der Hand. Zumindest "damals" war das Teil so strunz dumm, dass du einen Server mit SSH installiert hast und dann nicht per SSH drauf kamst, weil die scheiß Firewallregeln erstmal geblockt haben. Schönen Dank auch. :D
Admins die nicht nur aussschließlich mit RedHat arbeiten, haben regelmäßig darüber geflucht, weil einem dieser Kram immer erst wieder in den Sinn kam, als es zu spät war. ;)

Eine Firewall ist nichts was man hinstellt und sich selbst überlässt. Die möchte für die initiale Config ein bisschen Liebe und auch im Betrieb freut sich eine Firewall, wenn der Admin gelegentlich vorbei kommt und guckt ob sie ihren Job noch korrekt erledigt.
Egal ob Software-Firewall oder Hardware-Appliances.
 
Braucht es den überhaupt eine Firewall bei einem vernünftig konfiguriertem System? Ich denke der Teil der eine Firewall einsetzt, hat da schon seine besonderen Vorstellungen ein weiß was er tut. Für andere könnte es eher hinderlich sein, wenn diese dann was installieren und nicht checken warum es keine Verbindung bekommt.
 
MarroniJohny said:
Hi

Wieso ist eigentlich bei Debian keine Firewall per default aktiv? Nutze einige debian als Server in der DMZ, sowie auch am Desktop unter vmware Workstation zum arbeiten. Ist mir bislang noch gar nicht aufgefallen. Ist natürlich alles hinter einer Hardwarefirewall.

Wie handhabt Ihr das so? Gehört da auf jeden Gast iptables drauf? Habe mir ehrlich gesagt noch nie Gedanken darum gemacht.

Server sind sowas wie Plesk Web Pro (da ist nur 80 und 443 offen), Windows Gameserver unter Lutris, native Gameserver, Teamspeak Server und sowas. Nutze für das meiste Debian mit GUI/KDE.

Gruss und danke Die Entscheidung von Debian, keine Firewall standardmäßig zu aktivieren, ermöglicht eine flexible Systemkonfiguration, erfordert jedoch von den Nutzern ein hohes Maß an Verantwortung. Für Anwendungen wie IBM SPSS Amos https://bueckergmbh.de/Glossar/IBM-SPSS-Amos die auf Datenanalysen angewiesen sind, ist es wichtig, zusätzlich Sicherheitsmaßnahmen zu implementieren, um potenzielle Risiken zu minimieren.
Click to expand...
Hallo! Bei Debian ist standardmäßig keine Firewall aktiv, da es als flexibles System konzipiert ist, das den Benutzern erlaubt, ihre Sicherheitskonfigurationen selbst zu wählen. In vielen Server-Setups, besonders in einer DMZ, wird häufig eine Hardwarefirewall verwendet, die einen ersten Schutz bietet. Ich empfehle jedoch, auf jedem Gast iptables oder eine andere Firewall zu installieren, um zusätzlichen Schutz zu gewährleisten. Gerade bei offenen Ports, wie bei Plesk oder Gameservern, ist es wichtig, sicherzustellen, dass nur notwendige Verbindungen zugelassen werden. Eine gute Firewall-Konfiguration ist entscheidend für die Sicherheit!
 
Last edited:
sbr2d2 said:
Braucht es den überhaupt eine Firewall bei einem vernünftig konfiguriertem System?
Click to expand...
Sinn und Zweck einer auf dem Server ist, dem Admin die Versicherung zu geben dass auch nach Updates oder in Multi-User Systemen nicht spontan unerwartete Ports benutzbar sind. Zusätzlich erlaubt es Netzwerk-Filterung wenn man zb keine getrennte Netzwerke anlegen kann aber Zugriffe begrenzen will.

Joe User said:
iptables ist KEINE Firewall nur ein Paketfilter...
Click to expand...
iptables is a generic firewalling software that allows you to define rulesets.
--> https://www.netfilter.org/
 
Screenshot 2024-10-11 at 00-09-37 netfilter_iptables project homepage - The netfilter.org ipta...png

d4f said:
iptables is a generic firewalling software that allows you to define rulesets.
--> https://www.netfilter.org/
Click to expand...
Ich kann das Zitat auf der Seite nicht finden...
 
iptables sagt lediglich dem netfilter was es tun soll. Es ist also ein reines Konfig-Tool ohne aktives element. Die eigentliche Firewall in dem Fall ist netfilter im Kernel.

Joe User said:
Lutz Donnerhacke sollte manchem Mitleser ein bekannter Name sein und seine Kompetenz auf diesem Gebiet wohl kaum angezweifelt werden:
Click to expand...
Unterm Strich Software welche die Arbeit verrichtet, Sprich ein Toolset aus mehreren Teilen. Auf HW-Firewall läuft im Endeffekt auch nur Software die ggf. auf mehrere HW-Layer aufgesplittet werden kann.
 
Last edited:
Ja, ich muss dazu sagen, dass da natürlich eine Hardware Firewall davor hängt, bzw jetzt auch noch ein zweites 10 Gbit Modell parallel. Da will ich dann mal darauf umsteigen. Im Moment eine fixe IP, vielleicht nehme ich beim gewünschten Providerwechsel dann ein /29er Subnet dazu, obwohl es CHF 60 kostet. Bedarf wär da, aber muss erst mal finanziert werden können.

Die Debian Server hängen halt alle in einem VLAN. Ok, zugegeben, da gibt es auch noch zwei Windows. Halt meine DMZ. Also nur, was von draussen erreichbar ist. Paar Spili Server, ein Plesk, Nextcloud, bisschen anderer Kleinkram. Bei Windows (jaja, weiss Desktop Windows für Server ist böse, geht aber eh alles immer mehr Richtung Linux), hat es halt immer schon per Default die Firewall dazu.

Die anderen Server sind Ubuntu und Debian. Und vielleicht noch unwichtiges wie FreeBSD. Bin da auch nur per Zufall drauf gekommen, dass da keine "Firewall" auf den Linux Gästen ist.

Was ist da jetzt das Mittel zur Wahl? Überall iptables installieren, und gut ist?
 
MarroniJohny said:
Bei Windows... hat es halt immer schon per Default die Firewall dazu.
Click to expand...
Falsch. Default und Firewall schließt sich begrifflich aus.

MarroniJohny said:
Die anderen Server sind Ubuntu und Debian. Und vielleicht noch unwichtiges wie FreeBSD. Bin da auch nur per Zufall drauf gekommen, dass da keine "Firewall" auf den Linux Gästen ist.

Was ist da jetzt das Mittel zur Wahl? Überall iptables installieren, und gut ist?
Click to expand...
Nein. Das ist wie Tür kaufen, dann aber nicht schließen. Den Preis der Tür kannst Du Dir ebenso sparen wie den (zugegeben sehr geringen) Aufwand iptables zu installieren.

Btw. iptables ist mittlerweile auch nicht mehr Stand. Es wird immer mehr durch nftables ersetzt.

.A.
 
Sowohl bei Windows als auch bei Linux ist ein Paket-Filter intergriert, der IP Pakete auf Grund eines Regelwerks blockiert, abweist oder durchläßt. Bei Windows wird außerdem auch direkt ein je nach Sichtweise mehr oder weniger brauchbares Regelwerk angewendet, wenn man die Firewall aktiviert. Bei Linux muss man sich selber darum kümmern, ein brauchbares Regelwerk zu erstellen - eben mit den Tools iptables und nftables.
Solange auf einem Port kein Dienst lauscht, ist dieser Port ohnehin geschlossen, das brauche ich im Paketfilter nicht noch mal machen. Habe ich also mein System und meine Dienste sauber konfiguriert, sollten auch nur die Ports offen sein, auf denen auch Dienste von außen erreichbar sind. Und dann brauche ich den Paketfilter auch nicht konfigurieren (und im Falle von Linux bräuchte ich dann auch kein iptables installieren).
Von daher kommt es immer auf die Anforderungen an, ob unter Linux iptables/nftables benötigt wird - unter Windows ist dessen Konfigurationstool halt immer installiert und von Microsoft eine Deinstallation nicht vorgesehen. Für anderen Betriebssysteme gilt das entsprechend natürlich auch mit deren Tools.
Eine pauschalte Aussage, dass auf einem Server eine Software-Firewall installiert sein muss, ist also grundsätzlich erstmal nicht korrekt. Es kommt auf jeden Fall individuell an, was sinnvoll ist, auch abhängig vom Schutzbedarf.
 
You must log in or register to reply here.
Back
Top