Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist

Einführung

In diesem Lab lernen Sie, wie Sie den Status der Firewall auf einem Linux-System überprüfen und die aktiven Firewall-Regeln auflisten. Sie beginnen damit, den benutzerfreundlichen Befehl ufw zu verwenden, um den Gesamtstatus der Firewall zu überprüfen.

Als Nächstes werden Sie tiefer in das zugrunde liegende Tool iptables eintauchen, um die derzeit geltenden detaillierten Paketfilterregeln anzuzeigen. Abschließend werden Sie nftables erkunden, ein moderner Ersatz für iptables, um das Regelset zu überprüfen. In diesem Lab erhalten Sie praktische Fähigkeiten, um Firewall-Konfigurationen in Linux zu verstehen und zu überprüfen.

Skills Graph

%%%%{init: {'theme':'neutral'}}%%%% flowchart RL linux(("Linux")) -.-> linux/BasicSystemCommandsGroup(["Basic System Commands"]) linux(("Linux")) -.-> linux/UserandGroupManagementGroup(["User and Group Management"]) linux(("Linux")) -.-> linux/RemoteAccessandNetworkingGroup(["Remote Access and Networking"]) linux/BasicSystemCommandsGroup -.-> linux/help("Command Assistance") linux/BasicSystemCommandsGroup -.-> linux/man("Manual Access") linux/UserandGroupManagementGroup -.-> linux/sudo("Privilege Granting") linux/RemoteAccessandNetworkingGroup -.-> linux/ifconfig("Network Configuring") linux/RemoteAccessandNetworkingGroup -.-> linux/netstat("Network Monitoring") linux/RemoteAccessandNetworkingGroup -.-> linux/ip("IP Managing") subgraph Lab Skills linux/help -.-> lab-558716{{"Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist"}} linux/man -.-> lab-558716{{"Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist"}} linux/sudo -.-> lab-558716{{"Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist"}} linux/ifconfig -.-> lab-558716{{"Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist"}} linux/netstat -.-> lab-558716{{"Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist"}} linux/ip -.-> lab-558716{{"Wie man prüft, ob eine Firewall-Regel in Linux festgelegt ist"}} end

Anzeigen des Firewall-Status mit ufw status

In diesem Schritt lernen Sie, wie Sie den Status der Firewall auf Ihrem Linux-System mithilfe des Befehls ufw überprüfen. ufw steht für "Uncomplicated Firewall" (einfache Firewall) und ist eine benutzerfreundliche Schnittstelle zur Verwaltung von iptables.

Firewalls sind für die Netzwerksicherheit unerlässlich. Sie steuern ein- und ausgehenden Netzwerkverkehr basierend auf einer Reihe von Regeln. Standardmäßig kann in der LabEx-Umgebung ufw installiert, aber inaktiv sein.

Um den Status der ufw-Firewall zu überprüfen, öffnen Sie Ihr Terminal und geben Sie den folgenden Befehl ein:

sudo ufw status

Drücken Sie die Eingabetaste.

Sie werden wahrscheinlich eine Ausgabe ähnlich der folgenden sehen:

Status: inactive

Diese Ausgabe zeigt an, dass die ufw-Firewall derzeit auf dem System nicht aktiv ist. Wenn sie aktiv wäre, würden Sie eine Liste der derzeit geltenden Regeln sehen.

Der Befehl sudo wird hier verwendet, da das Überprüfen des Firewall-Status administrative Berechtigungen erfordert. Wie bereits erwähnt, hat der Benutzer labex in dieser Umgebung sudo-Zugang ohne Passwort erforderlich.

Das Verständnis des Firewall-Status ist der erste Schritt bei der Verwaltung der Netzwerksicherheit. In den folgenden Schritten werden Sie andere Tools wie iptables und nftables erkunden, um ein tieferes Verständnis dafür zu erhalten, wie Firewalls in Linux funktionieren.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Auflisten der aktiven iptables-Regeln mit iptables -L

In diesem Schritt lernen Sie, wie Sie die aktiven Firewall-Regeln mithilfe des Befehls iptables anzeigen. Während ufw eine vereinfachte Schnittstelle bietet, ist iptables das zugrunde liegende Tool, das die Paketfilterregeln des Linux-Kernels verwaltet.

iptables funktioniert, indem Regeln in verschiedenen "Chains" (Ketten) und "Tables" (Tabellen) definiert werden. Die häufigsten Chains sind INPUT (für eingehenden Verkehr), OUTPUT (für ausgehenden Verkehr) und FORWARD (für Verkehr, der durch das System geht).

Um die aktuellen iptables-Regeln in allen Chains aufzulisten, öffnen Sie Ihr Terminal und geben Sie den folgenden Befehl ein:

sudo iptables -L

Drücken Sie die Eingabetaste.

Sie werden eine Ausgabe ähnlich der folgenden sehen, die die Regeln für die INPUT-, FORWARD- und OUTPUT-Chains zeigt:

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Die Ausgabe zeigt die Standardrichtlinie für jede Chain (in diesem Fall ACCEPT, was bedeutet, dass Verkehr standardmäßig erlaubt ist) und alle spezifischen Regeln, die hinzugefügt wurden. Da ufw im vorherigen Schritt inaktiv war, hat iptables wahrscheinlich keine benutzerdefinierten Regeln, die von ufw konfiguriert wurden.

Die Option -L teilt iptables mit, die Regeln aufzulisten. Wiederum ist sudo erforderlich, da das Anzeigen von Firewall-Regeln administrative Berechtigungen erfordert.

Das Verständnis der Ausgabe von iptables -L ist entscheidend für die Diagnose von Netzwerkverbindungsfehlern und die Überprüfung von Firewall-Konfigurationen.

Klicken Sie auf Weiter, um mit dem nächsten Schritt fortzufahren.

Überprüfen von Regeln mit nft list ruleset

In diesem Schritt werden Sie nftables erkunden, den Nachfolger von iptables. nftables bietet ein flexibleres und einheitlicheres Framework für die Paketfilterung und die Netzwerkadressenübersetzung (Network Address Translation, NAT). Während iptables immer noch weit verbreitet ist, wird nftables auf neueren Linux-Distributionen zur Standardlösung.

Sie können die aktive nftables-Regelsammlung mithilfe des Befehls nft mit der Option list ruleset anzeigen.

Öffnen Sie Ihr Terminal und geben Sie den folgenden Befehl ein:

sudo nft list ruleset

Drücken Sie die Eingabetaste.

Sie werden eine Ausgabe ähnlich der folgenden sehen, die die aktuelle nftables-Konfiguration zeigt:

table ip filter {
	chain INPUT {
		type filter hook input priority 0; policy accept;
	}

	chain FORWARD {
		type filter hook forward priority 0; policy accept;
	}

	chain OUTPUT {
		type filter hook output priority 0; policy accept;
	}
}

Diese Ausgabe zeigt die Standard-Filtertabelle mit den INPUT-, FORWARD- und OUTPUT-Chains, ähnlich wie bei iptables. Die Angabe policy accept gibt an, dass der Verkehr in diesen Chains standardmäßig erlaubt ist.

Der Befehl nft ist das primäre Tool zur Interaktion mit nftables. Die Option list ruleset zeigt die gesamte aktive Regelsammlung an. Wiederum ist sudo erforderlich, um die Firewall-Konfiguration anzuzeigen.

Das Vergleichen der Ausgabe von iptables -L und nft list ruleset kann manchmal Unterschiede aufdecken, wenn beide konfiguriert sind oder wenn eines von beiden Regeln verwaltet, die das andere nicht direkt kontrolliert. In einer typischen Einrichtung wird ein System (entweder iptables oder nftables) der primäre Firewall-Manager sein.

Sie haben nun gelernt, wie Sie den Status von ufw überprüfen, iptables-Regeln auflisten und die nftables-Regelsammlung anzeigen. Dies sind grundlegende Fähigkeiten für das Verständnis und die Verwaltung von Firewalls in Linux.

Klicken Sie auf Weiter, um dieses Lab abzuschließen.

Zusammenfassung

In diesem Lab haben Sie gelernt, wie Sie den Status der Firewall auf einem Linux-System mit verschiedenen Tools überprüfen können. Sie haben begonnen, indem Sie sudo ufw status verwendet haben, um festzustellen, ob die Uncomplicated Firewall (einfache Firewall) aktiv ist. Diese bietet eine benutzerfreundliche Schnittstelle zur Verwaltung von Firewall-Regeln.

Anschließend haben Sie das zugrunde liegende Tool iptables erkundet, indem Sie sudo iptables -L verwendet haben, um die aktiven Paketfilterregeln in verschiedenen Chains wie INPUT, OUTPUT und FORWARD aufzulisten. Dies hat Ihnen einen detaillierteren Einblick in die Firewall-Konfiguration gegeben. Schließlich hätten Sie normalerweise die Regeln mit nft list ruleset überprüft, um zu verstehen, wie das neuere nftables-Framework Firewall-Regeln verwaltet und eine moderne Alternative zu iptables bietet.