Zusätzlich zur einfachen Website-Sperrung bietet smartlearn auch erweiterte NFTables-Konfigurationsmöglichkeiten für technisch interessierte Lehrpersonen oder IT-Unterricht.
Zugang zur NFTables-Konfiguration
Über die Hauptnavigation (1) gelangen Sie zu verschiedenen Konfigurationsbereichen:
- Prerouting/Postrouting: Erweiterte Routing-Optionen
- Filter/NAT: Grundlegende Filterregeln
- Input/Forward/Output: Verkehrsrichtungen
NFTables-Bereiche
Prerouting
Prerouting behandelt Pakete vor der Routing-Entscheidung. Dies wird hauptsächlich für Destination-NAT (DNAT) verwendet.
Spalten-Bedeutung
- Eingehende Schnittstelle: Netzwerk-Interface, über das Pakete ankommen (z.B. sml0)
- TCP-Zielport: Port, auf den das Paket gerichtet ist (z.B. 3389 = Remote Desktop)
- Aktion: Was mit dem Paket geschehen soll (z.B. dnat = Destination NAT)
- Ziel: Wohin das Paket weitergeleitet wird (z.B. 192.168.110.10)
- Bearbeiten: Aktionen zum Verwalten der Regel
Praktisches Beispiel:
Die Regel sml0 → 3389 → dnat → 192.168.110.10 bedeutet: Alle Remote-Desktop-Verbindungen (Port 3389) von der sml0-Schnittstelle werden an den internen Server 192.168.110.10 weitergeleitet.
Postrouting
Forward regelt den Verkehr, der durch das System hindurchgeleitet wird (Routing zwischen verschiedenen Netzwerksegmenten).
Spalten-Bedeutung
- Eingehende Schnittstelle: Ursprungs-Interface (z.B. sml0)
- Ausgehende Schnittstelle: Ziel-Interface (z.B. wan0)
- TCP-Zielport: Zielport (z.B. 444)
- Aktion: Regelaktion (z.B. accept)
- Bearbeiten: Verwaltungsoptionen
Praktisches Beispiel:
Die Regel sml0 → wan0 → 444 → accept erlaubt Verbindungen von der internen Schnittstelle sml0 zur externen Schnittstelle wan0 auf Port 444.
Forward
Forward regelt den Verkehr, der durch das System hindurchgeleitet wird (Routing zwischen verschiedenen Netzwerksegmenten).
Spalten-Bedeutung
- Aktion: Was mit dem Paket passiert (accept/drop)
- Eingehende Schnittstelle: Quell-Interface
- TCP-Zielport: Zielport
- Ausgehende Schnittstelle: Ziel-Interface
- Bearbeiten: Verwaltungsaktionen
Input
Input behandelt alle eingehenden Pakete, die für das lokale System bestimmt sind.
Erweiterte Spalten-Erklärung
- Eingehende Schnittstelle: Netzwerk-Interface (wan0, lan0, etc.)
- Aktion: Regelaktion (accept, drop)
- IP-Protokoll: Protokolltyp (TCP, UDP, ICMP, etc.)
- Frequenzbegrenzung: Rate-Limiting (z.B. „10/second“)
- TCP-Zielport: Spezifischer Port (SSH=22, HTTP=80, HTTPS=443, etc.)
- Bearbeiten: Regel-Management
Wichtige Port-Beispiele:
- Port 22: SSH (Sichere Fernwartung)
- Port 53: DNS (Namensauflösung)
- Port 443: HTTPS (Verschlüsselter Web-Verkehr)
- Port 8118: Proxy-Dienste
- Port ssh: SSH-Zugang (Textversion)
Regel-Management
In der Bearbeiten-Spalte finden Sie drei wichtige Buttons für jede Regel:
Button 1: Regel-Reihenfolge ändern
- Funktion: Verschieben der Regel in der Prioritätsliste
- Wichtigkeit: Firewalls arbeiten „First Match Wins“ – die erste zutreffende Regel wird angewendet
- Anwendung: Restriktive Regeln vor permissive Regeln setzen
Warum ist die Reihenfolge kritisch?
- Regeln werden von oben nach unten abgearbeitet
- Eine zu permissive Regel oben macht restriktive Regeln unten wirkungslos
- Falsche Reihenfolge kann Sicherheitslücken schaffen
Button 2: Regel löschen
- Funktion: Komplettes Entfernen der Regel
- Einschränkung: Nicht alle Regeln können gelöscht werden
- Geschützte Regeln: Systemkritische Konfigurationen bleiben bestehen
Welche Regeln sind geschützt? Bestimmte Regeln sind für den Systembetrieb notwendig und können nicht gelöscht werden. Das System schützt automatisch kritische Konfigurationen, um die Funktionsfähigkeit sicherzustellen. Welche Regeln genau geschützt sind, kann je nach Systemkonfiguration variieren.
Button 3: Neue Regel hinzufügen
- Funktion: Einfügen einer neuen Regel nach der aktuellen Position
- Strategisch: Position in der Regel-Kette ist entscheidend
- Anwendung: Schrittweises Aufbauen von Regelketten