11.4. Paketfilter mit Univention Firewall

Die Univention Firewall integriert einen Paketfilter auf Basis von iptables in Univention Corporate Server.

Sie ermöglicht die gezielte Filterung unerwünschter Dienste und die Absicherung von Rechnern während Installationsarbeiten. Darüber hinaus stellt sie die Basis für komplexere Szenarien wie Firewall-Regeln oder Application Level Gateways bereit. Univention Firewall ist standardmäßig in allen Univention Corporate Server-Installationen enthalten.

Standardmäßig blockiert UCS alle eingehenden Ports. Jedes UCS-Paket stellt Regeln bereit, die die vom Paket benötigten Ports wieder freigeben. Firewall-Regeln werden hauptsächlich über Univention Configuration Registry-Variablen konfiguriert. Informationen zur Definition von Paketfilter-Regeln finden Sie unter Network packet filter in Univention Developer Reference [3].

Darüber hinaus enthält das Verzeichnis /etc/security/packetfilter.d/ Skripte mit Firewall-Regeln. Die Namen aller Skripte beginnen mit zwei Ziffern, was eine nummerierte Reihenfolge ermöglicht. Die Skripte müssen als ausführbar markiert sein, damit UCS sie ausführen kann.

Nach Änderungen der Paketfilter-Einstellungen muss der Dienst univention-firewall neu gestartet werden.

Die Univention Firewall kann durch Setzen der Univention Configuration Registry Variable security/packetfilter/disabled auf true deaktiviert werden.

Siehe auch

netfilter/iptables Projekt-Homepage - Dokumentation zum netfilter/iptables Projekt

für einen Überblick über die verfügbare Dokumentation zu iptables.

Iptables Tutorial

ein Tutorial zu iptables von Oscar Andreasson.

iptables(8) Manpage

für Informationen zur Konfiguration von Firewall-Regeln mit iptables.

Packet Filtering HOWTO

für ein Howto zur Paketfilterung mit iptables.