Firewalls unter Linux

Gibt es für Linux eine Firewall, die ebenso komfortabel wie die Software-Firewalls unter Windows einzelnen Programmen die Kontaktaufnahme mit dem Internet verbieten kann?

Das ist unter Linux so nicht vorgesehen. Linux-Firewalls - beziehungsweise genauer: Paketfilter - funktionieren anders: Sie filtern IP-Pakete und können nur auf die Informationen zugreifen, die dort vorhanden sind. Das sind etwa IP-Adressen, Ports oder TCP-Flags. Welches Programm diese Pakete auf den Weg gebracht hat, kann das System daraus nicht entnehmen - und folglich nicht filtern. Wenn Sie herausfinden, auf welchen Ports eine Applikation kommuniziert, können Sie eventuell darauf einen Filter setzen.

Über die so genannten iptables kann man zumindest indirekt bestimmten Programmen die Kommunikation mit dem Internet verbieten. Iptables bieten Erweiterungen, mit denen man Filter auf die User-ID respektive Group-ID eines Prozesses setzen kann. Wenn Sie für ein Programm das Set-Group-ID-Flag setzen und es beispielsweise der Gruppe „nonet“ zuordnen, können Sie eine Regel konstruieren, die alle Pakete von Programmen dieser Gruppe blockiert. Komfortabel kann man dies allerdings nicht nennen. Außerdem funktioniert das nur wegen des „Überraschungseffekts“. Rechnet ein Programm mit solchen Filtern, könnte es selbstständig seine effektive Group-ID auf die reguläre Gruppe des Benutzers setzen. (ju) (ju)