Benötige ich eine Firewall auf meinem Linux-Desktop?

Mi, 23. Februar 2022, Christian Imhorst

Das ist eine Frage, die sich nicht nur Linux-Neulinge, sondern auch Power-User hin und wieder mal stellen. Von Windows ist man gewohnt, dass im Hintergrund die Defender Firewall arbeitet, um den PC vor Schadsoftware und Malware zu schützen. Unter Linux wird das eher nicht benötigt. Oder doch?

Eine Firewall besteht aus einer Reihe von Softwarefiltern, die den ein- und ausgehenden Datenverkehr auf dem Computer kontrollieren. Oder einfach gesagt: Sie ist eine Mauer zwischen  dem Computer und der Außenwelt eines Netzwerks, die vor Angriffen oder unbefugten Zugriffen schützt, wenn es brennt. Ob eine Firewall auf dem Linux-Desktop benötigt wird, hängt von verschiedenen Faktoren ab. Ist man die meiste Zeit alleine in seinem Netzwerk unterwegs, braucht man sie vermutlich eher nicht. Das kann sich allerdings schnell ändern, wenn man den Laptop häufiger mit öffentlichen WLANs verbindet, in dem sich viele fremde Rechner tummeln.

Auch wenn man aktuell keine Firewall auf dem eigenen Linux-Desktop benötigt, ist es doch immer besser, eine zu haben, einfach um auf Nummer sicher zu gehen, oder falls sich die Bedingungen ändern. Eine Firewall verbraucht kaum Ressourcen, bietet aber eine zusätzliche Sicherheitsebene. Ports, die für die Verbindung zwischen einem Programm und dem Netzwerk sorgen, können beispielsweise nicht versehentlich durch die Installation von Software oder durch falscher Handhabung geöffnet werden und der Computer bleibt im privaten und öffentlichen WLAN geschützt.

Manche Linux-Distributionen wie openSUSE oder Fedora haben mit firewalld schon gleich nach der Installation eine aktive Firewall am Start. Um zu überprüfen, ob sie wirklich läuft, kann man in einem frisch installierten Fedora die Kommandozeile aufrufen und den Status abfragen:

firewall-cmd --state

Das Ergebnis sollte „running“ sein. Möchte man die Firewall-Einstellungen grafisch einstellen, anstatt auf der Kommandozeile, installiert man einfach das Programm firewall-config nach. Eine grafische Oberfläche bringt openSUSE in der Regel schon bei der Installation mit: YaST ist eine Sammlung grafischer Tools, um ein Linux zu administrieren, unter anderem auch die Firewall.

Um einen Dienst wie SSH kurzfristig in der Firewall zu erlauben, damit man auf den Rechner zugreifen kann, gibt man in der Kommandozeile den folgenden Befehl ein:

firewall-cmd --zone=public --add-service=ssh

Möchte man den Dienst nicht nur kurzfristig, sondern dauerhaft freigeben, hängt man am Ende des Befehls noch die Option --permanent an. Danach werden die Firewall-Regeln nochmal neu geladen, damit sie greifen:

firewall-cmd --reload

In der grafischen Oberfläche wählt man zuerst die Firewall-Zone aus, in der sich der Rechner befindet. Standardmäßig ist das die Zone „public“, also öffentlich. Es gibt noch viele weitere Zonen wie „home“, „work“ und so weiter, die man manuell einstellen kann. In der Zone „public“ wird dann im linken Feld der Dienst ausgewählt, beispielsweise „SSH“ und mit „Hinzufügen“ ins rechte Feld mit dem erlaubten Diensten hinzugefügt. Nach dem Klick auf „Übernehmen“ werden die Firewall-Einstellungen neu geladen und sind aktiv.

Andere Linux-Distributionen wie beispielsweise Ubuntu setzen auf die benutzerfreundliche, also user-friendly Firewall (UFW). Ob sie aktiv ist, findet man in der Kommandozeile heraus, indem man ihren Status abfragt:

sudo ufw status verbose

Das Ergebnis ist vermutlich „Status: Inaktiv“. Sollte das der Fall sein, kann man die Firewall mit dem folgenden Befehl scharf schalten:

sudo ufw enable

Danach öffnet man den Port für SSH:

sudo ufw allow ssh

Wenn man jetzt den Status der Firewall erneut überprüft, sieht man, dass der Port 22 für Anfragen über SSH geöffnet ist.

Auch hier kann man die Einstellungen mit einer grafischen Benutzeroberfläche machen. Dazu installiert man das Programm GUFW, um mit der Administration der Firewall zu beginnen.  Um den Port 22 nach außen zu öffnen, geht man zur Registerkarte „Regeln“ klickt auf das Plus-Zeichen (+) und fügt eine einfache Firewall-Regel hinzu, indem man das entsprechende Programm, dessen Port man freigeben möchte, über den Anwendungsfilter auswählt.

Ob man sich eine Firewall installieren möchte, muss jede und jeder für sich selbst entscheiden. Bei einigen Distributionen sind sie standardmäßig sowieso dabei und auch aktiv. Da Firewalls kaum Ressourcen kosten und einen Sicherheitsgewinn darstellen, lohnt sich die Auseinandersetzung mit ihnen auf jeden Fall.