Vorwort zu den unterschieden einer Firewall

Warum eine Firewall und welche?

Für Windows-Firewall + Linux-Firewall
Warum jeder eine Firewall benötigt sollte mittlerweile allen klar sein.
Eine Firewall ist ein Schutz vor Angriffe von Außen aus dem geliebten Internet.
Jetzt kommt der Irrsinnige Satz, den viele immer gerne von sich loslassen.

Ich hab doch nichts zu verbergen
...ein typischer Satz, auch von Smartphone Besitzern, von denen die sich nicht im klaren sind, was sie da eigentlich von sich geben !!!

Das stimmt bestimmt nicht! Oder euch ist wirklich alles schei.. egal.

Nicht nur das man Euch Viren als Schadsoftware unter schieben kann, die Software oder das Betriebssystem zerstören können,
oder Viren die auch sogar die Hardware zerstören können,
oder Mailware, die Kontaktlisten wild weiter verschicken,
oder Mailware, die anderen vorgaukelt das ihr selber Spammail verteilt,
oder Mailware, die anderen vorgaukelt das ihr Viren versendet,
oder Hacker die in Euren PC dringen, dort alles ansehen oder was verändern, oder sogar was löschen.
Das alles ist sogar strafbar und nicht nur PP (persönliches Pech) dies gehört auch zu euren Datenschutz. Schutz vor Anderen.
Also schützt euer PC und euch selber mit euren darauf liegende Daten, Bilder, etc. durch eine knall harten Firewall.
Meldungen von diesen Viren und Trojaner kennt ihr ja schon alle und die meisten vertrauen auf ihre Software das sie es richtig macht.
Damit könnt ihr euch auch Werbebanner vom Hals schaffen.

Und jetzt kommt es ganz Dicke !!!

Auch ein Betriebssystem und Software macht sich Selbstständig, das wissen nur wenige, dies soll euch auch mal bewusst werden!
Wer meint, er könne sich mit gezielten Einstellungen seinen lieblings- Webbrowser bändigen, der irrt gewaltig.
Software senden auch Signale nach außen, dass sie geöffnet und damit auch verwendet werden. Wo bleibt denn da der Datenschutz?
Es hat keinem zu interessieren wie, wann und von wo aus man eine Software öffnet, es reicht das sie wissen, dass man sie heruntergeladen hat und nutzen möchte, Punkt aus. Der Rest ist Datenschutz!
Deswegen nutzt auch eine bessere und "Harte Firewall" womit ihr nur das frei gebt wo ihr auch im Internet selber hinwollt.

Nicht nur Windows auch Linux Internet Browser, auch der Firefox beinhaltet gezielte Kode in seinen Programmbausteinen, die versteckt Internet Adressen antickern und aufrufen, obwohl man ihnen es verbieten wollte, sie machen es trotzdem, weil die Software wissentlich so programmiert wurde, dass man das nicht verhindern kann. Das geliebte Linux kann nichts dafür, u.U. auch Windows, nur der Nutzer, der sich seine Software nicht genauer ansieht und meint, es wird schon gut gehen, ist ja Linux. Dort ist es das selbe, so wie man die Software bekommt, sind sie auch eine Datenschleuder.

Klar, kann man sich auch den offenen Quellkode selber herunter lagen und sie selber kompilieren, das die Software wieder rein nur dies macht, wofür sie mal geschrieben wurde. Aber wer macht das alles schon, auf jeden Fall nicht die, die sich schon etwas mehr auskennen aber noch nicht alles darüber wissen, wie so etwas gemacht wird und sie dann bei jedem Update immer wieder neu kompilieren? Das stresst.
Wobei man dann dennoch auf Software Lizenzen achten muss, nicht nur bei Linux, sondern besonders bei Windowsprogrammen.


Deswegen ist es immer besser eine richtige Harte Firewall zu nutzen, die keine Abfragen durchlässt, die man selber nicht getätigt hat.
George Radio One © 2015 - 2019
Euer George...
 
  Linux Firewall

Harte Firewall

Was gibt es da alles z.B., oder welche Initiativen würde man bevorzugen können? Nichts richtiges!
Auch die Aussagen von Linux Experten oder Linux Freakys weichen sehr stark von ihren Meinungen ab, wie man eine Firewall aufbaut, bzw. schreibt, was alles nötig wäre, ist oder was man weg lassen könnte. Denn das Thema Software wird kaum mit einbezogen, eher noch ignoriert. Man muss sich wirklich hinsetzen und seine Firewall-Regeln selber schreiben. Aber es ist nicht schwer selber eine eigene Firewall zu schreiben die auch beim booten sofort greift, also als Autostart sozusagen sofort da ist.

Dann fangen wir mal langsam damit an:

Beispiel 1:
Im Router werden Ports und IP-Adressen bestimmt. Ein PC wird mit einer Firewall booten, die alle IP-Anfragen gnadenlos blockt, die nicht zulassen wurden und ohne das deine anfragende IP eine Antwort bekommt, als ob man den PC aus hat oder gar nicht existiert. Falsche Anfragen laufen ins leere.
  1. Im Router könnte man schon mal nur bestimmte Ports freigeben die genutzt werden sollen, für das internes Netzwerk oder den angeschlossenen PC, oder nur für einen bestimmten PC.
  2. Alles andere, der Rest wird gesperrt. Router die hintereinander geschaltet sind, müssten mit angepasst werden.
  3. Wir sehen uns vorher bekannte Firewalls an, die man meistens im Internet finden kann.
  4. Es sollen Regeln für eine Firewall erstellt werden die sich auf die Netzwerkkarte im PC auswirken.
  5. Bei jedem PC Neustart soll mit einem Script bestimmte Parameter für unsere neue Firewall ausführt werden.
zu 1. Router sind von Hersteller Software individuell bedingt einzustellen, deswegen gehe ich jetzt erst mal nicht drauf ein.
zu 2. Grundsätzlich wird wirklich alles zuerst gesperrt und nur das frei gegeben was auch wirklich nur gebraucht wird.
zu 3. Man loggt sich mit einem Terminal-Programm oder der BASH mit su und dem Root Passwort in die Administrator Ebene ein.
        Man kommt damit in die Administrator Ebene: root@debian:/home/UserHomeName#
        Nun benutzte man einen Editor seiner Wahl, z.B. VIM oder NANO. Ich nutze Nano wegen der besseren Farbigen Darstellung.

        Eine Datei, hier als Script, wird für eine Firewall erstellt. Vorher zeige ich euch was Linux User sich zusammen schreiben.
        Man kann sich die z.Z. benutzte IP-Tabelle nur als eingeloggt Root User (Admin) mit den Befehlszeilen: iptables -L -n -v ansehen.
        In der Regel sieht eine IP-Tabelle als Script so aus, die man für eine Firewall hernehmen oder umschreiben kann:

Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
  pkts bytes target     prot opt in     out     source               destination         

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination   

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
Und als Script sie der Inhalt so aus:

#! /bin/sh
/sbin/iptables -P INPUT ACCEPT
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

Wenn sie noch so in etwa aussieht, kann man schön sehen, dass nach der Installation von Linux im Normalfall immer ACCEPT
ausgewählt wurde, das ist gleichbedeutend mit Akzeptiere alles. Das ist also keine Firewall, nur Eingang und Ausgang aufmachen.
Wäre auch sehr riskant diese Einstellung so zu lassen. Mann kann sich nur zu Not so eine Datei zulegen, wenn man sich mal
komplett aussperrt hat, oder seine vorhandene Einstellung als Sicherheitskopie abspeichern. Als Reserve so zu sagen.
Dann gibt es noch diese Variante, wird viel genutzt und auf jeden Fall besser, aber sie lässt auch noch sehr viel durch:

#! /bin/sh
# Mit Strings als IPT
IPT="/sbin/iptables"

# Alle Regeln und Filter löschen
$IPT --flush
$IPT --delete-chain

#### Ändert alle Regeln in allen chain
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP

#### *** Sicherheit für kaputte Packete (Blockiere / nicht antworten) ***
$IPT -A INPUT -p ALL -m state --state INVALID -j DROP
$IPT -A OUTPUT -p ALL -m state --state INVALID -j DROP

###  Antworten auf bestehende Verbindungen erlauben
$IPT -A INPUT -m state --state ESTABLISHED,RELATED  -j ACCEPT
$IPT -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

### Eigens freigeben mit NEW
$IPT -A OUTPUT -m state --state NEW -s 127.0.0.1/0 -j ACCEPT

### Erlaube Filter (NEW)
$IPT -A INPUT -p tcp -m state --state NEW -m multiport --dports 21,80,443 -j ACCEPT
$IPT -A OUTPUT -p tcp -m state --state NEW -m multiport --dports 21,80,443 -j ACCEPT

### Nachfiltern für alle zufälligen Neugierigen und Mitesser :-)
$IPT -A FORWARD -j DROP
$IPT -A OUTPUT -j DROP

        Hier wird mit anfangs alles gesperrt, die derzeit laufenden Verbindungen werden mit "ESTABLISHED,RELATED" aufrecht erhalten
        und mit dem Parameter "NEW" neue Verbindungen wieder zugelassen, die mit "multiport" aufgelisteten "Ports" freigegeben sind.

Gut. Nur warum bekommen wir mit nicht ahnend 1x1 unsichtbaren Pixel oder eingebetteten Scripten in den Webseiten immer Werbung von anderen Anbietern die wir nicht selber geöffnet haben? Weil sie mit der Webseite mitgezogen werden und nicht blockiert wurden.
Nun war man auch so clever und hat für die Browser extra Blocker mit Plugins geschrieben, damit weiß aber dann auch der Anbieter von dem Plugin-Blocker wo man keine Werbung mehr haben will und jedes mal bei einem Besuch der besagten einzelnen Seiten bekommt auch der Blocker-Anbieter mitgeteilt welche einzelnen Seiten besucht wurden. So ein Schwachsinn. So sind die Werbeblocker auch ein Schuss im Ofen. Also blockt man dann eher lieber die IP von solchen Witzbolden.
Funktioniert aber nicht wirklich, denn die geben so viel Geld aus für immer wieder neuen IP-Adressen, scheinbar lohnt sich das Geschäft mit dem Internet Verhalten der Verbraucher...und dem gläsernen User, es wird immer unkontrollierbarer. Darum machen wir es jetzt mal anders und geben bei dem Webseiten Besuch keine Gelegenheit auf Anfragen und Antworten zu reagieren und lassen nur die IP-Adressen auf dem PC rein und raus spazieren, die wir selber zulassen.
Das mindert auch alle Gefahren von Internet Angriffen wie DOS (Denile of Service).

zu 4. Und Ab geht die Party: Wir öffnen einen Editor mit Rootrechte, hier z.B. mit nano.
Wir erinnern uns, erst wir alles anfangs sperren und dann erst zulassen und Port-freigaben sind eh schon im Router konfiguriert.
Wir können es uns auch etwas einfacher machen, wenn wir alle Parameter von uns vorher bestimmen, damit wir sehen welche
eigenen Parameter wir selber haben und es dient auch für einen besseren Überblick zu behalten, Rest kann gelöscht werden.
Die erste Zeile mit #! /bin/sh muss für die ausführbare Funkion so bestehen bleiben, der Pfad sollte für die meisten richtig sein.
Alles was sonst hinter dem Zeichen # steht, sind nur Kommentare und kann mit ihm auch gelöscht werden, wie auch die Zeilen
mit Einträgen, wenn ihr z.B. keinen eigenen Server im Internet Freigebt, oder auch keinen Server im eigenen Netzwerk habt.
ichtig sind die Kurzbefehle -s für source = von Quelle-Adresse und -d für destination = nach Ziel-Adresse, dass sie nicht
vertauscht werden, sonst funktioniert es nicht.
#! /bin/sh
#
# Firewall nach George-Radio.One - Datum: 25.03.2019 - 02:00 MEZ (Für SL, siehe immer aktuelle Update von Servern!)
# Kommentar: Konfiguration Harte-Firewall, auch als Kindersicherung zu nutzen, besser als die in Router einzustellen sind.
# Standard Konfiguration. Erweiterungen können heruntergeladen und mit eingefügt werden
# 
# Lizenzart: MIT - Diese Lizenz ist die gröste offene Lizenz. Weltweit !
# Die MIT Lizenz erlaubt: Für jeden zu besitzten, zu nutzen, zu verändern
# und weiter zugeben in Form von mit anderen teilen, verkaufen oder verschenken!
#
#### EIGENE PARAMETER ###################################################
IPT="/sbin/iptables" # Verweis wo bei euch @iptables verlinkt wird
LHOST="127.0.0.1/0"  # Interne lokale Netzwerk IP-Adresse ist auf allen PCs gleich
LOCAL="192.168.178.3/24"    # (Anpassen!) IP-Adresse! Euer PC im Netzwerk
LOCAL_NET="192.168.178.1"   # (Anpassen!) IP-Adresse! Euer Router Netzwerk Gateway
EMAIL_ADD="xxx.xxx.xxx.xxx" # (Anpassen!) IP-Adresse! Zugang für e-Mail Server
################################### #####################################
#### ALLE REGELN UND FILTER LöSCHEN
$IPT --flush
$IPT --delete-chain
#### VORERST GRUNDSäTZLICHSTELLT ALLES SPERREN OHNE ZU ANTWORTEN
$IPT -P INPUT DROP
$IPT -P FORWARD DROP
$IPT -P OUTPUT DROP
#### PORTSCANN ABWEHREN OHNE ZU ANTWORTEN
$IPT -A INPUT -p icmp -j DROP
#################################################################################
#### EIGENE VORGABEROUTE - PC DURCH ROUTER LEITEN (DNS)
$IPT -A INPUT  -s $LOCAL_NET -d $LOCAL -j ACCEPT
$IPT -A OUTPUT -d $LOCAL_NET -s $LOCAL -j ACCEPT
#################################################################################
# e-MAIL Server Zugang
$IPT -p tcp -A INPUT  -d $LOCAL -s $EMAIL_ADD -m tcp --sport 443 -j ACCEPT
$IPT -p tcp -A OUTPUT -s $LOCAL -d $EMAIL_ADD -m tcp --dport 443 -j ACCEPT
#################################################################################
####
#### ERWEITERTE OPTIONEN KöNNEN HERUNTER GELADEN UND EINGEFüGT WERDEN
####
#### SPEZIELLE FREIGEBE FüR SEP.NETZWERK MEDIASERVER IM EIGENEN NETZWERK
#### SPEZIELLE FREIGEBE FüR SERVER AUF EIGENEN PC FüR DAS INTERNET z.B. VOICE-HTTP-FTP
#### SPEZIELLE FREIGEBE FüR FTP ZUGRIFF AUF EIGENE DOMAIN
#### SPEZIELLE GAME-IPs Secondlife (Plug-in's sind dafür nicht erforderlich, Update 08.04.2019)
#################################################################################

# Hier kommen jetzt alle Einträge rein wo ihr im Internet hin wollt ... an besten Sortiert nach Kategorien
# Ordnung halten versüßt das halbe leben, aber wer Ordnung hällt ist auch zu faul zum suchen :-)
# Was nicht gebracht wird kann gelöscht werden

### Für Kinder und Jugendliche ### ( Altersgerecht? Muss noch geprüft werden! )
# https://blinde-kuh.de (Vorsicht - Art. 6 Abs. 1 S. 1 lit. a DSGVO. i.V.m. Art. 28 DSGVO) (ab ?? Jahren ?)
$IPT -A INPUT  -p tcp -d $LOCAL -s 194.195.10.105 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 194.195.10.105 -m tcp --dport 443 -j ACCEPT

# https://bravo.de (Vorsicht - Art. 6 Abs. 1 S. 1 lit. a DSGVO.) (ab ?? Jahren ?)
$IPT -A INPUT  -p tcp -d $LOCAL -s 91.195.218.126 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 91.195.218.126 -m tcp --dport 443 -j ACCEPT

# https://duden.de (Vorsicht - Art. 6 Abs. 1 S. 1 lit. b+f DSGVO.)
$IPT -A INPUT  -p tcp -d $LOCAL -s 37.61.202.187 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 37.61.202.187 -m tcp --dport 443 -j ACCEPT


### Musik Webseiten ####
# http://George-Radio.One Webseite (Kein speichern von Daten !!!)
$IPT -A INPUT  -p tcp -d $LOCAL -s 89.31.143.100 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 89.31.143.100 -m tcp --dport 80 -j ACCEPT

# http://sunshine-live.de (Vorsicht - Art. 6 Abs. 1 S. 1 lit. a+b+c+e+f DSGVO.)
$IPT -A INPUT  -p tcp -d $LOCAL -s 149.202.200.172 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 149.202.200.172 -m tcp --dport 80 -j ACCEPT

# http://beatlesradio.com (Achtung - ohne jeglichen Datenschutz!)
$IPT -A INPUT  -p tcp -d $LOCAL -s 64.40.99.2 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 64.40.99.2 -m tcp --dport 80 -j ACCEPT

# http://discogs.com Platten Bibliothek
$IPT -A INPUT  -p tcp -d $LOCAL -s 216.151.17.140 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 216.151.17.140 -m tcp --dport 443 -j ACCEPT


# Radio Adressen für VLC-PLayer
# George-Radio.One (http://78.94.219.238:8000/live.ogg) Kein speichern von Daten !!!
$IPT -A INPUT  -p tcp -d $LOCAL -s 78.94.219.238 -m tcp --sport 8000 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 78.94.219.238 -m tcp --dport 8000 -j ACCEPT
# Salsa Warriors (http://192.99.17.12:6031/stream)
$IPT -A INPUT  -p tcp -d $LOCAL -s 192.99.17.12 -m tcp --sport 6031 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 192.99.17.12 -m tcp --dport 6031 -j ACCEPT
# Hartbeatz.fm (http://93.234.149.96:8008)
$IPT -A INPUT  -p tcp -d $LOCAL -s 93.234.149.96 -m tcp --sport 8008 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 93.234.149.96 -m tcp --dport 8008 -j ACCEPT
# Slow Radio (http://stream2.slowradio.com)
$IPT -A INPUT  -p tcp -d $LOCAL -s 184.75.223.178 -m tcp --sport 8191 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 184.75.223.178 -m tcp --dport 8191 -j ACCEPT
# DanceFox (http://dfr-radio.de:80) Dancefox Radio
$IPT -A INPUT  -p tcp -d $LOCAL -s 188.138.1.220 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 188.138.1.220 -m tcp --dport 80 -j ACCEPT
# 977 Hits (http://7609.live.streamtheworld.com:80/977_HITS_SC)
$IPT -A INPUT  -p tcp -d $LOCAL -s 104.129.31.10 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 104.129.31.10 -m tcp --dport 80 -j ACCEPT
# Heartbeat FM (http://176.9.184.196:8010)
$IPT -A INPUT  -p tcp -d $LOCAL -s 176.9.184.196 -m tcp --sport 8010 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 176.9.184.196 -m tcp --dport 8010 -j ACCEPT
# Armonia (http://armonia_radio.krominancia.org:4380/stream)
$IPT -A INPUT  -p tcp -d $LOCAL -s 151.80.108.126 -m tcp --sport 4380 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 151.80.108.126 -m tcp --dport 4380 -j ACCEPT
# Defjay (http://tunein.defjay.de)
$IPT -A INPUT  -p tcp -d $LOCAL -s 88.99.212.70 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 88.99.212.70 -m tcp --dport 80 -j ACCEPT



# TV Adressen für VLC-PLayer
# ARD (http://daserstehdde-lh.akamaihd.net/i/daserstehd_de@629196/master.m3u8)
$IPT -A INPUT  -d $LOCAL -s 2.21.76.114 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 2.21.76.114 -j ACCEPT
# NDR HH+HS+MV (https://ndrfs-lh.akamaihd.net/i/ndrfs_hh@430231/master.m3u8)
$IPT -A INPUT  -d $LOCAL -s 2.21.76.138 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 2.21.76.138 -j ACCEPT
# (http://swrbw-lh.akamaihd.net/i/swrbw_live@196738/master.m3u8)
$IPT -A INPUT  -d $LOCAL -s 2.21.76.128 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 2.21.76.128 -j ACCEPT
# (http://swrrp-lh.akamaihd.net/i/swrrp_live@196739/master.m3u8)
$IPT -A INPUT  -d $LOCAL -s 2.21.76.105 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 2.21.76.105 -j ACCEPT


### Für Neues aus der Umwelt, Wissenschaft und Forschung ####
# dwd.de Deutscher Wetterdienst (Vorsicht - Art. 6 Abs. 1 S. 1 lit. a+b+c+e+f DSGVO.)
$IPT -A INPUT  -d $LOCAL -s 141.38.3.62 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 141.38.3.62 -j ACCEPT
# ventusky.com Deutscher Wetterdienst (https://www.ventusky.com/?p=33;48;1&l=temperature-2m)
$IPT -A INPUT  -d $LOCAL -s 194.145.182.146 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 194.145.182.146 -j ACCEPT
# scinexx.de | Das Wissensmagazin mit Science-News aus Wissenschaft und Forschung
$IPT -A INPUT  -d $LOCAL -s 217.160.0.252 -j ACCEPT
$IPT -A OUTPUT -s $LOCAL -d 217.160.0.252 -j ACCEPT


### Für die guten alltäglichen Infos ###
# rp-online.de
$IPT -A INPUT  -p tcp -d $LOCAL -s 149.221.196.74 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 149.221.196.74 -m tcp --dport 443 -j ACCEPT
# saarbruecker-zeitung.de
$IPT -A INPUT  -p tcp -d $LOCAL -s 149.221.196.67 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 149.221.196.67 -m tcp --dport 443 -j ACCEPT
# nachrichten.de
$IPT -A INPUT  -p tcp -d $LOCAL -s 81.17.208.54 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 81.17.208.54 -m tcp --dport 80 -j ACCEPT

### Und so weiter...


### Software und Bits ###
# debian.org
$IPT -A INPUT  -p tcp -d $LOCAL -s 128.31.0.62 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 128.31.0.62 -m tcp --dport 443 -j ACCEPT
# gnu.org
$IPT -A INPUT  -p tcp -d $LOCAL -s 209.51.188.148 -m tcp --sport 80 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 209.51.188.148 -m tcp --dport 80 -j ACCEPT
# selfhtml.org
$IPT -A INPUT  -p tcp -d $LOCAL -s 89.238.67.49 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 89.238.67.49 -m tcp --dport 443 -j ACCEPT

# dsgvo-gesetz.de (https://dsgvo-gesetz.de/art-6-dsgvo/ + https://dsgvo-gesetz.de/art-17-dsgvo/)
$IPT -A INPUT  -p tcp -d $LOCAL -s 87.230.42.79 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 87.230.42.79 -m tcp --dport 443 -j ACCEPT


# Suchmaschine MeterGer.de
$IPT -A INPUT  -p tcp -d $LOCAL -s 87.230.42.79 -m tcp --sport 443 -j ACCEPT
$IPT -A OUTPUT -p tcp -s $LOCAL -d 87.230.42.79 -m tcp --dport 443 -j ACCEPT

# iptables -L -n -v listet die IP-Tabelle übersichtlich auf und wird nach Script ausführen angezeigt
iptables -L -n -v

#ENDE

Diese Firewall Schreib-Art hat auf jeden Fall den Vorteil, das nicht mehr unkontrolliert andere Adressen durchgelassen werden, nur diese die auch rein und raus gehen sollen, ohne Werbung. Es ist auch besser und einfacher selber Adressen freizuschalten, als den ganzen Unrat und Misst vom Internet zu blocken. Probiert es aus, ihr werdet sehen, ihr könnt dann auch wieder besser und ruhiger schlafen, auch wenn man den PC mal anlässt. Ich nutze als Webbrowser mittlerweile den Modori, für Webseiten sind bei mir eh immer Scripte ausgeschaltet und ohne Cookies, das wird dann alles bei ihm ignoriert. Denn dann ist ein Datenschutz noch sicherer.

Algorithmen, Werbequäler, Software Spy und sonstige Internethaie, denkt euch eine schönen Gruß und ohne Servus ein Ade :=)

Die Frage: Wo bekomme ich denn die Ganzen IP-Adressen her die man dann Eintragen kann?
Ganz einfach Mit dem Befehl PING kann man die IP-Adressen in einem Terminal abfragen, das ist sogar auch als Home-User möglich.
Vorab! Eine Ping Abfrage beendet man mit Tasten [Strg]+[c]. Sie sollte aber nicht länger als maximal 3-5 Zeilen durchlaufen.
Das ist ein Ehrenkodex unter Admins und gehört zum gute Ruf, schon lange.
Ab 10 Ping Zeilen, grob gesehen, werden schon Serverbesitzer nervös und denken sich es ist ein echter Portscanner, von einem Digitalen Einbrecher am Werk und sperren dann automatisch eure IP-Adresse für eine bestimmten Zeit. 30 Min. bis ca. 7 Tage, je nach dem wie sie drauf sind :-)
Öffne ein Terminal und schreibe dort z.B. ping nachrichten.de rein und man bekommt die IP-Adresse von ihnen in Klammern angezeigt. Sie sammeln hauptsächlich Schlagzeilen, Nachrichten aus anderen Zeitungen, um euch auch mal als Idee andere Medien vorzustellen, habe ich sie hier mit aufgelistet.
Wenn z.B. rp-online.de abgefragt wird, sieht das Ergebnis so aus:

ping rp-online.de
PING rp-online.de (149.221.196.74) 56(84) bytes of data.
ping: sendmsg: Die Operation ist nicht erlaubt
ping: sendmsg: Die Operation ist nicht erlaubt

Das heißt nichts anderes, das RP-Online ihr Netzwerk-Protokoll icmp für Portscanner abgeschirmt hat.

Kommen wir zum Abschluss von Punkt 4:

Wo nun eine neue Datei erstellt wird, spielt im wesentlichen erstmals keine Rolle, es ist frei wählbar.
Aber vorzugsweise immer auf einer Partition, die man nach einem neu installieren System behält (z.B. im home)
Abspeichern der Datei mit vorher ausgedachten Namen Harte-Firewall.sh an einem Ort
in /home/UserHomeName/ und passende Root Rechte der Datei vergeben, so dass sie als Script beim PC Neustart gefunden und
automatisch ausgeführt wird.

Ist soweit alles eingetragen und heraus gelöscht was nur ihr an Adressen und Parameter braucht dann wird die Datei mit den
Tasten [Strg]+[o] abgespeichert.
Ihr seht jetzt unten das Feld, wo gefragt wird, wie die Datei für das Abspeichern heißen soll. Entweder ihr gebt jetzt nur den Namen
der Datei ein z.B. Harte-Firewall.sh, oder wenn ihr einen anderen Ort gewählt habt, als vorher geschrieben ist, dann den ganzen
Pfad mit Dateiname, die z.B. /home/UserHomeName/Harte-Firewall.sh funktioniert hier auch.
Dann wird der Editor mit dieser Datei und den Tasten mit [Strg]+[x] geschlossen.
Wir befinden uns immer noch in dem Ordner Pfad root@debian:/home/UserHomeName#.
Die Datei gehört war schon Root und ist für Root auch lesen und schreiben fähig aber man dann sie noch nicht zum ausführen
bzw. starten wie ein lauffähiges Script oder Programm. Das müssen wir der Datei noch beibringen und die Dateieigenschaft, das
Ausführen mit dem Befehl chmod für Root ändern bzw. hinzufügen. Die Gruppe Root kann so bleiben.
Das können wir in dem wir im Terminal die Zeile mit chmod u+rwx Harte-Firewall.sh füllen.
Dann sieht es z.B. so aus: root@debian:/home/UserHomeName#chmod u+rwx Harte-Firewall.sh.
Ich selber nutze aber für solche Aktionen lieber den Dateimanager mc (Midlight Commander) im Terminal, der hat eine einfachen
grafisch Darstellung aber ist sicherer zu bedienen als Eingabezeilen mit chown und chmod, wenn man darin nicht geübt ist.
Der mc hat im Menü -> Datei-> Erweitertes chown schon alles vorsorglich mit eingebaut. die Rechte sollten oder bzw. können
auf [rwx] [r--] [r---] stehen. Also immer prüfen was man gemacht hat.
Man könnte sonst schnell aus Versehen sein Home-Verzeichniss auf nur Root setzen und beim Neustart ohne Home da stehen.
Die Datei hat jetzt dem mc als Betrachter ein * vorne an stehen, das kennzeichnet eine ausführbare Datei.

Startet das Script und ruft in euren Webbrowser eine Seite auf, ihr seht an dem Fortschrittsbalken, dass scheinbar die Seite zulange geladen wird. Nein sie hält sich jetzt nur mit den anderen Adressen so lange auf, die geblockt sind, denn die kommen nicht mehr durch. Drückt die Taste [ESC] und ihr seht, sie ist doch da :) Um so länger eine Seite braucht, um so mehr ist dort für den Leser unbrauchbarer Quellcodemüll eingetragen, Algorithmen, Webtrecker von Fremdanbietern und son Kram, den Leser und Nutzer nicht brauchen.
Und wenn ihr keine Bilder seht, dann wisst ihr jetzt auch, das sie auf anderen Server liegen. Das ändert sich dann bestimmt auch bald, mit dem neuen überarbeiteten Urheberrecht Gesetz. Dazu müssen dann neue Verträge von ihnen untereinander gemacht werden.

zu 5. Wir könnten jetzt, die soweit fertige und ausprobierte Firewall, wie meistens auch von vielen immer wieder empfohlen wird, mit

einem Programm iptables-persistent, das noch heruntergeladen und installiert werden müsste, automatisch irgendwo in unserem
System eintragen lassen. Das machen wir aber nicht, denn wir gehen jetzt einen anderen Weg, damit ihr seht wie so etwas auch ohne
dem funktioniert und ihr mehr über euer Betriebssystem erfahrt.
Wir befinden uns jetzt immer noch in unserem UserHomeName Verzeichnis und geben den Befehl crontab -e ein um unser Script
in einer Crontab-Liste einzutragen das dann diese bei einem Neustart aktiviert. Es ist ganz einfach.

Wir sehen die untersten Zeilen mit einer Leerzeile sie zum Ende auch immer vorhanden sein muss:

#
# For more information see the manual pages of crontab(5) and cron(8)
#
# m h dom mon dow command

Dort tragt ihr nun euer Script mit dem Namen Harte-Firewall.sh ein, die dann bei jedem PC Neustart immer ausgeführt wird.
Achte bitte darauf wo die Datei liegen wird! Sie kann eine Dateiendung .sh haben, wie bei uns der Fall ist, um eine besseren
Übersicht zu behalten, muss sie aber nicht haben, weil Linux einfacher mit Dateinamen umgeht.
In diesen Beispiel jetzt @reboot /home/UserHomeName/Harte-Firewall.sh

Dann sehen die letzten Zeilen so aus, mit einer Leerzeile am Ende:

#
# For more information see the manual pages of crontab(5) and cron(8)
#
# m h dom mon dow command
@reboot /home/UserHomeName/Harte-Firewall.sh

Abgespeichert wird mit den Tasten [Strg]+[o]. Dann schließen wir wieder die Datei mit den Tasten [Strg]+[x].
Damit wird dann diese Datei Harte-Firewall.sh, die im Ordner /home/UserHomeName/ liegt, bei jedem PC Neustart ausgefürt.
Es wird eine crontab Datei, wie diese, in der Regel immer temporär geöffnet, da sie ständig abrufbar sein muss.
Original liegt sie bei Debian in /var/spool/cron/crontabs/root. Letzteres im Pfad ist der Dateiname ohne Endung.

Jetzt habt ihr eine echte Harte-Firewall, die ihr immer wieder erweiterbar ist und nach jedem einschalten, neu und wieder starten von eurem PC, euch treu immer begleitet. Für den einen oder anderen ist dies vielleicht Anfangs ein schweres Brot, aber nach mehrmaligen lesen und ausprobieren, bekommt ihr das schon hin.

Habt ihr Fragen dazu, ruft mich an oder schreibt mir eine e-Mail. Natürlich alles Privat ohne eure Daten zu speichern oder zu notieren.

Beispiel 2:
Einfacher Scriptaufbau mit Port-Angaben. Noch im Test. Erscheint aber auch bald.
George Radio One © 2015 - 2019
Euer George...
 
  Windows Firewall

Harte Firewall

Was gibt es da alles z.B., oder welche Initiativen würde man bevorzugen können?

Beispiel 1:
Erscheint auch bald.

Beispiel 2:
Erscheint auch bald.
George Radio One © 2015 - 2019
Euer George...
 
   

George Radio One

ist ein unabhängiges nicht kommerzielles privat finanziertes

Deutsches Webradio

Let Liberty of Users - Holt Dir die Internet-Freiheit

Pop Musik - Schlager - Rock n' Roll - R&B - B&D - Dubstep
Oldies - Soul - Jazz - Chill - Electro und vieles mehr . . .
Datenschutz
George
Euer Moderator George

Firewall

Euer Schutz vor Eindringlinge Vergesst das Abschießen nicht

Ein Schutz vor Digitalen Einbruch und Privatsphäre

  
Let Liberty of Users
Freiheit der Benutzer
Kein Bit mehr als 'nötig! Nutze deine User nicht aus und mach sie nicht Gläsern!
Navigation
Moderator: George George Radio One Deutsches Webradio Play ---- Radio Hören ---- Nächste Sendung: Hörer-Telefon 0211 - 15 205 218 E-Mail an George @George-Radio.One Home + News Radio hören Platten Archiv 2.1 MB Meine Web-Technologien
Brisante Themen: Wochen News Firewall Tips Internet-Freiheit Probanden Gesundes Essen Neue Technologien
Rechtliches: Impressum Datenschutz Hörer-Telefon E-Mail-Verkehr Copyrights secure notes Lizenznehmer der GEMA und GVL
*