Paketfilter mit Univention Firewall

11.4. Paketfilter mit Univention Firewall#

Die Univention Firewall integriert einen Paketfilter auf Basis von iptables in Univention Corporate Server.

Dies ermöglicht die gezielte Filterung unerwünschter Dienste, die Absicherung von Rechnern während Installationsarbeiten, und stellt die Basis für komplexere Szenarien wie Firewalls oder Application Level Gateways bereit. Univention Firewall ist standardmäßig auf allen Univention Corporate Server-Installationen enthalten.

In der Grundeinstellung werden eingehende Pakete für alle Ports blockiert/abgelehnt. Jedes UCS-Paket bringt Regeln mit, die die von dem Paket benötigten Ports wieder freigeben.

Die Konfiguration erfolgt im Wesentlichen über Univention Configuration Registry-Variablen. Die Definition von solchen Paketfilter-Regeln ist in Univention Developer Reference [3] dokumentiert.

Darüber hinaus werden die im Verzeichnis /etc/security/packetfilter.d/ liegenden Konfigurationsskripte in alphabetischer Reihenfolge ausgeführt. Standardmäßig sind alle Skripte mit zwei führenden Ziffern benannt, so dass eine einfache Festlegung der Reihenfolge möglich ist. Die Skripte müssen als ausführbar markiert sein.

Nach Änderungen der Paketfilter-Einstellungen muss der Dienst univention-firewall neu gestartet werden.

Die Univention Firewall kann durch Setzen der Univention Configuration Registry Variable security/packetfilter/disabled auf true deaktiviert werden