Product SiteDocumentation Site

5.14. Hinzufgen von Firewall-Fhigkeiten

Das Debian-GNU/Linux-Betriebssystem hat die eingebauten Fhigkeiten des Linux-Kernels. Wenn Sie eine aktuelle Verffentlichung von Debian (mit dem Standardkernel 2.6) installiert haben, steht Ihnen als Firewall iptables (netfilter) zur Verfgung[51].

5.14.1. Firewallen des lokalen Systems

Sie knnen eine Firewall dazu benutzen, den Zugriff auf Ihr lokales System abzusichern und sogar um die Kommunikation von ihm nach Auen zu beschrnken. Firewall-Regeln knnen auch dazu benutzt werden, Prozesse zu sichern, die nicht vernnftig konfiguriert werden knnen, um Dienste nicht einigen Netzwerken, IP-Adressen, etc. zur Verfgung zu stellen.
Dieser Schritt ist aber hauptschlich deshalb als letzter in dieser Anleitung, weil es viel besser ist, sich nicht alleine auf die Fhigkeiten der Firewall zu verlassen, um ein System zu schtzen. Die Sicherheit eines Systems setzt sich aus mehreren Ebenen zusammen; eine Firewall sollte die letzte sein, wenn bereits alle Dienste abgehrtet worden sind. Sie knnen sich sicherlich leicht eine Konfiguration vorstellen, bei der ein System lediglich von einer eingebauten Firewall geschtzt wird, und der Administrator glckselig die Firewall-Regeln aus irgendwelchen Grnden (Probleme mit dem Setup, Verdruss, Denkfehler, ...) entfernt. Dieses System wre weit geffnet fr Angriffe, wenn es keine anderen Schutzmanahmen auf dem System gibt.
Andererseits knnen Firewall-Regeln auf dem lokalen System dafr sorgen, dass bse Dinge nicht passieren. Sogar wenn die bereitgestellten Dienste sicher konfiguriert sind, kann eine Firewall vor Misskonfigurationen oder frisch installierten Diensten, die noch nicht passend konfiguriert sind, schtzen. Auerdem wird eine strenge Konfiguration nach Hause telefonierende Trojaner am Funktionieren hindern, es sei denn, der Firewall-Code wird entfernt. Beachten Sie, dass ein Eindringling keinen Superuser-Zugriff bentigt, um ferngesteuerte Trojaner zu installieren (da es erlaubt ist, sich an Ports zu binden, wenn es sich nicht um einen privilegierten Port handelt und die Fhigkeiten (Capabilities) noch vorhanden sind).
Demzufolge wre ein passendes Firewall-Setup, eines mit einer standardmigen Richtlinie, die alles ablehnt, was nicht ausdrcklich erlaubt ist, also:
  • Eingehende Verbindungen werden nur zu lokalen Diensten von erlaubten Maschinen gestattet.
  • Ausgehende Verbindungen werden nur von Diensten erlaubt, die auf Ihrem System benutzt werden (DNS, Web-Surfen, POP, E-Mail, ...).[52]
  • Die Forward-Regel verbietet alles; es sei denn, andere Systeme werden geschtzt (siehe dazu unten).
  • Alle anderen eingehenden und ausgehenden Verbindungen werden abgelehnt.

5.14.2. Schtzen anderer Systeme durch eine Firewall

Eine Debian-Firewall kann auch so installiert werden, dass sie mit Firewall-Regeln Systeme hinter ihr beschtzt, indem sie die Angriffsflche zum Internet hin einschrnkt. Eine Firewall kann so konfiguriert werden, dass ein Zugriff von Systemen auerhalb des lokalen Netzwerks auf interne Dienste (Ports) unterbunden wird. Zum Beispiel muss auf einem Mail-Server lediglich Port 25 (auf dem der Mail-Dienst aufsetzt) von auen zugnglich sein. Eine Firewall kann so konfiguriert werden, dass sogar, wenn es neben den ffentlich zugnglichen noch andere Netzwerkdienste gibt, direkt an diese gesendete Pakete verworfen werden (dies nennt man filtern).
Sie knnen eine Debian GNU/Linux Maschine sogar so konfigurieren, dass sie als Bridge-Firewall (berbrckender Schutzwall) fungiert, d.h. als eine filternde Firewall, die komplett transparent zum gesamten Netzwerk erscheint, ohne IP-Adresse auskommt und daher nicht direkt attackiert werden kann. Abhngig von dem installierten Kernel mssen Sie vielleicht den Bridge-Firewall-Patch installieren und dann 802.1d Ethernet Bridging in der Kernel-Konfiguration und die neue Option netfilter ( firewalling ) Support auswhlen. Sehen Sie dazu Abschnitt B.4, „Aufsetzenden einer Bridge-Firewall“, um zu erfahren, wie man dies auf einem Debian GNU/Linux System aufsetzt.

5.14.3. Aufsetzen einer Firewall

Die Debian-Standardinstallation bietet im Gegensatz zu vielen anderen Linux-Distributionen noch keine Methode fr den Administrator, eine Firewall-Konfiguration mit der Standardinstallation einzurichten, aber Sie knnen eine Anzahl von Firewall-Konfigurationspaketen (siehe Abschnitt 5.14.3.1, „Nutzen von Firewall-Paketen“) installieren.
Natrlich ist die Konfiguration einer Firewall immer vom System und dem Netzwerk abhngig. Ein Administrator muss vorher das Netzwerklayout und die Systeme, die er beschtzen will, kennen, die Dienste, auf die zugegriffen werden knnen muss, und ob andere netzwerkspezifischen Erwgungen (wie NAT oder Routing) bercksichtigt werden mssen. Seien Sie vorsichtig, wenn Sie Ihre Firewall konfigurieren. Wie Laurence J. Lane im iptables-Paket sagt:
Die Werkzeuge knnen leicht falsch verwendet werden und eine Menge rger verursachen, indem sie den gesamten Zugang zu einem Computernetzwerk stilllegen. Es ist nicht vllig ungewhnlich, dass sich ein Systemadministrator, der ein System verwaltet, das hunderte oder tausende von Kilometern entfernt ist, irrtmlicherweise selbst davon ausgeschlossen hat. Man kann es sogar schaffen, sich von dem Computer auszusperren, dessen Tastatur unter seinen Fingern liegt. Lassen Sie daher die gebotene Vorsicht walten.
Vergessen Sie nicht: Das bloe Installieren von iptables (oder dem lteren Firewallcode) gibt Ihnen keine Sicherheit, es stellt lediglich die Software zur Verfgung. Um eine Firewall zu haben, mssen Sie sie konfigurieren!
Wenn Sie keine Ahnung haben, wie Sie Ihre Firewall-Regeln manuell aufsetzen sollen, sehen Sie in dem Packet Filtering HOWTO und NAT HOWTO aus dem Paket iptables, zu finden unter /usr/share/doc/iptables/html/ nach.
Wenn Sie nicht viel ber Firewalls wissen, sollten Sie beginnen, indem Sie das http://www.tldp.org/HOWTO/Firewall-HOWTO.html lesen. Installieren Sie das Paket doc-linux-text, wenn Sie es offline lesen wollen. Wenn Sie Fragen stellen wollen oder Hilfe beim Einrichten einer Firewall bentigen, knnen Sie sich an die debian-firewall-Mailingliste wenden, siehe http://lists.debian.org/debian-firewall. Sehen Sie auch Abschnitt 1.4, „Vorwissen“ fr weitere (allgemeinere) Verweise zu Firewalls. Ein weiterer guter Leitfaden fr Iptables ist http://iptables-tutorial.frozentux.net/iptables-tutorial.html.

5.14.3.1. Nutzen von Firewall-Paketen

Das manuelle Aufsetzen einer Firewall kann fr neue (und manchmal auch fr erfahrene) Administratoren kompliziert sein. Hierfr hat die Freie-Software-Gemeinschaft eine groe Zahl von Werkzeugen erstellt, die zur einfachen Konfiguration einer lokalen Firewall benutzt werden knnen. Seien Sie gewarnt, dass einige dieser Werkzeuge sich mehr auf lokalen Schutz konzentrieren (auch personal firewall genannt), whrend andere vielseitiger sind und dazu benutzt werden knnen, komplexere Regelwerke zum Schutz ganzer Netzwerke zu erstellen.
Einige Programme, die unter Debian zum Aufsetzen von Firewall-Regeln benutzt werden knnen, sind:
  • Fr Desktop-Systeme:
    • firestarter, eine GNOME-Anwendung, die sich an Endanwender richtet, die einen Wizard enthlt, der ntzlich ist, um schnell Firewall-Regeln aufzustellen. Die Anwendung enthlt eine graphische Oberflche zum Beobachten, ob eine Firewall-Regel Daten blockiert.
    • guarddog ist ein auf KDE beruhendes Paket zur Erstellung von Firewall-Regeln. Es richtet sich sowohl an Neulinge wie auch an Fortgeschrittene.
    • knetfilter ist ein KDE-Programm mit grafischer Oberflche, um Firewall- und NAT-Regeln fr iptables zu verwalten. Es ist eine Alternative zu guarddog, es ist jedoch etwas mehr auf fortgeschrittenere Benutzer ausgelegt.
    • fireflier ist ein interaktives Werkzeug, um Firewall-Regeln zu erstellen. Dazu analysiert es den Netzwerkverkehr und Anwendungen. Es basiert auf einem Client-Server-Modell, daher mssen Sie sowohl den Server (fireflier-server) als auch einen der zahlreichen Clients (fireflier-client-gtk (Gtk+-Client), fireflier-client-kde (KDE-Client) oder fireflier-client-qt (QT-Client)) installieren.
  • Fr Server-Systeme (textbasiert):
    • fwbuilder, eine objektorientierte graphische Oberflche, die Richtlinien-Compiler fr verschiedene Firewall-Plattformen inklusive Linux' netfilter, BSDs pf (verwendet in OpenBSD, NetBSD, FreeBSD und MacOS X) ebenso wie Zugriffslisten von Routern enthlt. Es ist hnlich zu Enterprise-Firewall-Management-Software. Die vollstndige Funktionalitt von fwbuilder ist auch von der Kommandozeile verfgbar.
    • shorewall, ein Firewall-Konfigurationswerkzeug, das Untersttzung fr IPsec sowie beschrnkte Untersttzung fr Traffic Shaping und die Definition der Firewall-Regeln bietet. Die Konfiguration geschieht durch eine einfache Menge von Dateien, die verwendet werden, um die iptables-Regeln aufzustellen.
    • bastille, diese Hrtungsanwendung ist in Kapitel 6, Automatisches Abhärten von Debian-Systemen beschrieben. Einer der Hrtungsschritte, die der Administrator konfigurieren kann, ist eine Definition des erlaubten und verbotenen Netzwerkverkehrs, der verwendet wird, eine Anzahl von Firewall-Regeln, die das System am Start ausfhrt, zu generieren.
Es gibt in Debian auch noch eine Menge anderer Frontends fr Iptables. Eine vollstndige Liste kann auf der http://wiki.debian.org/Firewalls, die auch einen Vergleich der verschiedenen Pakete enthlt, abgerufen werden.
Seien Sie gewarnt, dass manche der zuvor skizzierten Pakete Firewall-Skripte einfhren, die beim Systemstart ausgefhrt werden. Testen Sie diese ausfhrlich, bevor Sie neustarten, oder Sie finden sich selbst ausgesperrt vor Ihrem Rechner wieder. Wenn Sie verschiedene Firewall-Pakete mischen, kann dies zu unerwnschten Nebeneffekten fhren. Gewhnlich wird das Firewall-Skript, das zuletzt ausgefhrt wird, das System konfigurieren (was Sie so vielleicht nicht vorhatten). Sehen Sie hierzu in der Paketdokumentation nach und benutzen Sie nur eines dieser Setups.
Wie bereits zuvor erlutert, sind einige Programme wie firestarter, guarddog und knetfilter graphische Administrations-Schnittstellen, die entweder GNOME oder KDE (die letzte beiden) benutzen. Diese sind viel benutzerorientierter (z.B. fr Heimanwender) als einige der anderen Pakete in der Liste, die sich eher an Administratoren richten. Einige der Programme, die zuvor aufgefhrt wurden (wie bastille), fokussieren auf das Erstellen von Firewall-Regeln zum Schutz des Rechners, auf dem sie laufen, sind aber nicht notwendigerweise dafr geschaffen, Firewall-Regeln fr Rechner zu erstellen, die ein Netzwerk schtzen (wie shorewall oder fwbuilder).
Es gibt einen weiteren Typ von Firewall-Anwendungen: Anwendungs-Proxys. Wenn Sie eine Mglichkeit suchen, eine Unternehmenslsung aufzusetzen, die Pakete filtert und eine Anzahl von transparenten Proxys bietet, die feinabgestimmte Verkehrsanalysen bieten, so sollten Sie zorp genauer betrachten. Dies bietet alles in einem einzelnen Programm. Sie knnen diese Art von Firewall-Rechner auch manuell aufsetzen, indem Sie die Proxys, die in Debian vorhanden sind, fr verschiedene Dienste verwenden. Zum Beispiel fr DNS bind (richtig konfiguriert), dnsmasq, pdnsd oder totd fr FTP frox oder ftp-proxy, fr X11 xfwp, fr IMAP imapproxy, fr Mail smtpd oder fr POP3 p3scan. Fr andere Protokolle knnen Sie entweder einen allgemeinen TCP-Proxy wie simpleproxy oder einen allgemeinen SOCKS-Proxy wie dante-server, tsocks oder socks4-server verwenden. Typischerweise werden Sie auch ein Web-Cache-System (wie squid) und ein Web-Filtersystem (wie squidguard oder dansguardian) nutzen.

5.14.3.2. Manuelle init.d-Konfiguration

Eine andere Mglichkeit ist die manuelle Konfiguration Ihrer Firewall-Regeln durch ein init.d-Skript, das die iptables-Befehle ausfhrt. Befolgen Sie diese Schritte:
  • Sehen Sie das unten aufgefhrte Skript durch und passen Sie es Ihren Anforderungen an.
  • Testen Sie das Skript und berprfen Sie die Syslog-Meldungen nach unterdrckten Netzverkehr. Wenn Sie vom Netzwerk aus testen, werden Sie entweder den Beispielshellcode starten wollen, um die Firewall zu entfernen (wenn Sie nichts innerhalb von 20 Sekunden eingeben) oder Sie sollten die default deny-Richtliniendefinition auskommentieren (-P INPUT DROP und -P OUTPUT DROP) und berprfen, dass das System keine gltigen Daten verworfen hat.
  • Verschieben Sie das Skript nach /etc/init.d/meineFirewall
  • The below script takes advantage of Debian's use (since Squeeze) of dependency based boot sequencing. For more information see: https://wiki.debian.org/LSBInitScripts/DependencyBasedBoot and https://wiki.debian.org/LSBInitScripts. With the LSB headers set as they are in the script, insserv will automatically configure the system to start the firewall before any network is brought up, and stop the firewall after any network is brought down.
    # insserv myfirewall
Dies ist das Beispiel-Firewallskript:
#!/bin/sh
# Simple example firewall configuration.
#
# Caveats:
# - This configuration applies to all network interfaces
#   if you want to restrict this to only a given interface use
#   '-i INTERFACE' in the iptables calls.
# - Remote access for TCP/UDP services is granted to any host, 
#   you probably will want to restrict this using '--source'.
#
# chkconfig: 2345 9 91
# description: Activates/Deactivates the firewall at boot time
#
# You can test this script before applying with the following shell
# snippet, if you do not type anything in 10 seconds the firewall
# rules will be cleared.
#---------------------------------------------------------------
#  while true; do test=""; read  -t 20 -p "OK? " test ; \
#  [ -z "$test" ] && /etc/init.d/myfirewall clear ; done
#---------------------------------------------------------------

PATH=/bin:/sbin:/usr/bin:/usr/sbin

# Services that the system will offer to the network
TCP_SERVICES="22" # SSH only
UDP_SERVICES=""
# Services the system will use from the network
REMOTE_TCP_SERVICES="80" # web browsing
REMOTE_UDP_SERVICES="53" # DNS
# Network that will be used for remote mgmt
# (if undefined, no rules will be setup)
# NETWORK_MGMT=192.168.0.0/24
# Port used for the SSH service, define this is you have setup a
# management network but remove it from TCP_SERVICES
# SSH_PORT="22"

if ! [ -x /sbin/iptables ]; then  
    exit 0
fi

fw_start () {

  # Input traffic:
  /sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  # Services
  if [ -n "$TCP_SERVICES" ] ; then
  for PORT in $TCP_SERVICES; do
    /sbin/iptables -A INPUT -p tcp --dport ${PORT} -j ACCEPT
  done
  fi
  if [ -n "$UDP_SERVICES" ] ; then
  for PORT in $UDP_SERVICES; do
    /sbin/iptables -A INPUT -p udp --dport ${PORT} -j ACCEPT
  done
  fi
  # Remote management
  if [ -n "$NETWORK_MGMT" ] ; then
    /sbin/iptables -A INPUT -p tcp --src ${NETWORK_MGMT} --dport ${SSH_PORT} -j ACCEPT
  else 
    /sbin/iptables -A INPUT -p tcp --dport ${SSH_PORT}  -j ACCEPT
  fi
  # Remote testing
  /sbin/iptables -A INPUT -p icmp -j ACCEPT
  /sbin/iptables -A INPUT -i lo -j ACCEPT
  /sbin/iptables -P INPUT DROP
  /sbin/iptables -A INPUT -j LOG

  # Output:
  /sbin/iptables -A OUTPUT -j ACCEPT -o lo 
  /sbin/iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
  # ICMP is permitted:
  /sbin/iptables -A OUTPUT -p icmp -j ACCEPT
  # So are security package updates:
  # Note: You can hardcode the IP address here to prevent DNS spoofing
  # and to setup the rules even if DNS does not work but then you 
  # will not "see" IP changes for this service:
  /sbin/iptables -A OUTPUT -p tcp -d security.debian.org --dport 80 -j ACCEPT 
  # As well as the services we have defined:
  if [ -n "$REMOTE_TCP_SERVICES" ] ; then
  for PORT in $REMOTE_TCP_SERVICES; do
    /sbin/iptables -A OUTPUT -p tcp --dport ${PORT} -j ACCEPT
  done
  fi
  if [ -n "$REMOTE_UDP_SERVICES" ] ; then
  for PORT in $REMOTE_UDP_SERVICES; do
    /sbin/iptables -A OUTPUT -p udp --dport ${PORT} -j ACCEPT
  done
  fi
  # All other connections are registered in syslog
  /sbin/iptables -A OUTPUT -j LOG
  /sbin/iptables -A OUTPUT -j REJECT 
  /sbin/iptables -P OUTPUT DROP
  # Other network protections
  # (some will only work with some kernel versions)
  echo 1 > /proc/sys/net/ipv4/tcp_syncookies
  echo 0 > /proc/sys/net/ipv4/ip_forward 
  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts 
  echo 1 > /proc/sys/net/ipv4/conf/all/log_martians 
  echo 1 > /proc/sys/net/ipv4/ip_always_defrag
  echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
  echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
  echo 0 > /proc/sys/net/ipv4/conf/all/send_redirects
  echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

}

fw_stop () {
  /sbin/iptables -F
  /sbin/iptables -t nat -F
  /sbin/iptables -t mangle -F
  /sbin/iptables -P INPUT DROP
  /sbin/iptables -P FORWARD DROP
  /sbin/iptables -P OUTPUT ACCEPT
}

fw_clear () {
  /sbin/iptables -F
  /sbin/iptables -t nat -F
  /sbin/iptables -t mangle -F
  /sbin/iptables -P INPUT ACCEPT
  /sbin/iptables -P FORWARD ACCEPT
  /sbin/iptables -P OUTPUT ACCEPT
}


case "$1" in
  start|restart)
    echo -n "Starting firewall.."
    fw_stop 
    fw_start
    echo "done."
    ;;
  stop)
    echo -n "Stopping firewall.."
    fw_stop
    echo "done."
    ;;
  clear)
    echo -n "Clearing firewall rules.."
    fw_clear
    echo "done."
    ;;
  *)
    echo "Usage: $0 {start|stop|restart|clear}"
    exit 1
    ;;
  esac
exit 0
Um nicht alle Iptables-Regeln in das Init.d-Skript einfgen zu mssen, knnen Sie auch das Programm iptables-restore verwenden, um die Regeln zu laden, die zuvor mit iptables-save gespeichert wurden. Um dies zu tun, mssen Sie Ihre Regeln erstellen und das Regelwerk statisch speichern (z.B. in /etc/default/firewall).

5.14.3.3. Konfiguration von Firewall-Regeln mittels ifup

Sie knnen auch die Netzwerkkonfiguration in /etc/network/interfaces verwenden, um Ihre Firewall-Regeln einzurichten. Dafr mssen Sie Folgendes tun:
  • Erstellen Sie Ihre Firewall-Regeln fr die aktivierte Schnittstelle.
  • Sichern Sie Ihre Regeln mit iptables-save in eine Datei in /etc, zum Beispiel /etc/iptables.up.rules.
  • Konfigurieren Sie /etc/network/interfaces, diese Regeln zu verwenden:
    iface eth0 inet static
            address x.x.x.x
            [.. interface configuration ..]
            pre-up iptables-restore < /etc/iptables.up.rules
Wahlweise knnen Sie auch Regeln erstellen, die beim Herunterfahren der Netzwerkschnittstelle ausgefhrt werden. Dazu erzeugen Sie diese, speichern sie in /etc/iptables.down.rules und fgen diese Anweisung zur Schnittstellenkonfiguration hinzu:
    post-down iptables-restore < /etc/iptables.down.rules
Fr weitergehende Firewall-Konfigurationsskripte durch ifupdown knnen Sie die zu jeder Schnittstelle verfgbaren Hooks (Einspringpunkte) wie in den *.d/-Verzeichnissen verwenden, die mit run-parts aufgerufen werden (vergleiche run-parts(8)).

5.14.3.4. Testen Ihrer Firewall-Konfiguration

Testen Ihrer Firewall-Konfiguration ist so einfach und so schwierig, wie das Starten Ihres Firewall-Skripts (oder die Aktivierung der Konfiguration, die Sie in Ihrer Firewall-Konfigurationsanwendung definierten). Wenn Sie jedoch nicht sorgfltig genug sind und Sie Ihre Firewall aus der Ferne konfigurieren (z.B. durch eine SSH-Verbindung), knnten Sie sich selbst aussperren.
Es gibt mehrere Mglichkeiten, dies zu verhindern. Eine ist das Starten eines Skriptes in einem separaten Terminal, das Ihre Firewall-Konfiguration entfernt, wenn es keine Eingabe von Ihnen erhlt. Ein Beispiel dafr ist:
$  while true; do test=""; read  -t 20 -p "OK? " test ; \
  [ -z "$test" ] && /etc/init.d/firewall clear ; done
Eine andere Mglichkeit ist das Einfhren einer Hintertr in Ihr System durch einen alternativen Mechanismus, der es Ihnen erlaubt, das Firewall-System entweder zurckzusetzen oder ein Loch in es schlgt, wenn irgendetwas krumm luft. Dafr knnen Sie knockd verwenden und es so konfigurieren, dass eine spezielle Portverbindungsversuchssequenz die Firewall zurcksetzt (oder eine temporre Regel hinzufgt). Selbst wenn die Pakete von der Firewall zurckgewiesen werden, werden Sie Ihr Problem lsen knnen, da knockd auf der Schnittstelle lauscht und Sie sieht.
Das Testen einer Firewall, die ein internes Netz schützt, ist eine andere Aufgabe. Schauen Sie sich dafür einige Werkzeuge an, die es für entfernte Ausnutzbarkeitsbewertungen gibt (siehe Abschnitt 8.1, „Programme zur Fernprüfung der Verwundbarkeit“), um das Netzwerk von außerhalb nach innen (oder aus einer beliebig anderen Richtung) bezüglich der Effektivität der Firewall-Konfiguration zu testen.


[51] Ist seit Kernel 2.4 verfgbar (was der Standardkernel fr Debian 3.0 war). ltere Kernelversionen (wie 2.2, der in lteren Debian-Verffentlichungen enthalten war) verwendeten ipchains. Der Hauptunterschied zwischen ipchains und iptables ist, dass letzteres auf stateful packet inspection (zustandsbehaftete Paketuntersuchung) beruht, so dass Ihnen sicherere (und einfacher zu erstellende) Filterkonfigurationen zur Verfgung stehen. ltere (und nun nicht lnger untersttzte) Debian-Verffentlichungen, die den Kernel 2.0 einsetzen, bentigten einen geeigneten Kernel-Patch.
[52] Im Gegensatz zu persnlichen Firewalls fr andere Betriebssysteme, stellt Debian GNU/Linux (noch) keine Firewall-Erstellungs-Schnittstelle zur Verfgung, die Regeln erstellen kann, die einzelne Prozesse oder Benutzer einschrnken. Jedoch kann der Iptables-Code so konfiguriert werden, dass er dies kann (siehe dazu das owner-Modul in der Handbuchseite iptables(8)).