Diskussionen um die Firewall-Defaults von Fedora Workstation

Kurz vor dem Release von Fedora 21 ist auf der Entwickler-Liste eine Diskussion darüber entbrannt, was die richtigen Standard-Einstellungen für die in Fedora Workstation verwendete Firewall sind.

Konkret drehte sich die Diskussion darum, ob alles Ports ab einschließlich 1025 standardmäßig geöffnet oder geschlossen sein sollen. Im Laufe der Diskussion kristallisierte sicher heraus, dass das eigentliche Problem eher ist, das der Anwender momentan keinerlei Rückmeldung darüber bekommt, wenn ein Programm auf einem Port > 1024 kommunizieren will. Falls der Port geschlossen ist, bekommt der Anwender im besten Fall von der Anwendung eine Fehlermeldung, bei einem offenen Port hingegen merkt der Anwender gar nicht, auf welchen Ports ein Programm kommuniziert.

Vor dem Hintergrund dieser sprichwörtlichen Wahl zwischen Pest und Cholera haben sich die Fedora-Entwickler dazu entschlossen, standardmäßig alle Ports > 1024 zu öffnen. Wer mit dieser Standard-Einstellung nicht einverstanden ist, kann in den Firewall-Einstellungen einfach eine andere Zone als „Fedora Workstation“ verwenden.

Zusätzliche Ports mit Firewall-Config freigeben

Bitte beachtet auch die Anmerkungen zu den HowTos!

Firewall-Config ist eine GUI zur Administration von firewalld.

Falls Firewall-Config noch nicht installiert ist, kann man dies über

su -c'yum install firewall-config'

nachholen. Nach der Installation muss anschließend noch der ebenfalls installierte firewalld Daemon gestartet werden:

su -c'systemctl start firewalld.service'

Firewall-Config Fenser nach dem StartNach dem Aufruf von Firewall-Config müssen wir uns je nach Konfiguration unseres Systems entweder mit unserem eigenen oder dem Root-Passwort authentifizieren. Anschließend müssen wir uns  entscheiden, ob wir die zusätzlichen Ports/Port-Bereiche vorübergehend (Runtime-Konfiguration) oder permanent (Bleibende-Konfiguration) freigeben möchten. Entsprechend muss ggf. die aktuelle Ansicht gewechselt werden.

Im nächsten Schritt wechseln wir im rechten Teil des Fensters in das Register „Ports“ und fügen die benötigten Ports/Port-Bereiche über die Schaltfläche „Hinzufügen“ zu der Liste hinzu.

Freigabe-Dialog für Ports/Port-BereicheIn dem sich öffnenden Dialog wählen wir zwischen UDP und TCP als Protokoll, geben die Nummer des freizugebenden Ports bzw. den Port-Bereich in das Eingabefeld „Port/Port-Bereich“ ein und verlassen den  Dialog anschließend wieder über die „OK“ Schaltfläche. Diesen Schritt wiederholen wir für jeden weiteren Port/Port-Bereich, den wir freigeben möchten, entsprechend.

 

Da die Änderungen sofort aktiv sind, können wir Firewall-Config einfach beenden, sobald wir alle gewünschten Ports/Port-Bereiche freigegeben haben.