Bearbeiten von Einträgen in der Linux Mint Firewall (Gufw)

Hallo zusammen,

vielleicht habt Ihr einen Tip: Ich lege in der von Linux Mint mitgelieferten GUI für die Firewall Regeln an. Wenn ich die Tage später wieder bearbeiten möchte, bekomme ich diese Fehlermeldung:

Damit muss ich, wenn es nötig ist, eine Regel „mühsam“ über die Konsole ändern. Habt Ihr eine Idee, warum das so ist?

Und dazu mal eine grundsätzliche Frage: Habe ich eigentlich mit den Ports 80 und 443 das größte Scheunentor überhaupt geöffnet? Alles, was nach Hause funken möchte, funkt doch über IPs per http(s) nach Hause, oder? Ich müsste wohl firejail zusätzlich benutzen, richtig?

Danke Euch.

Die ufw-Regeln müssen mit root-Rechten bearbeitet werden. Vielleicht fehlen die an der Stelle. Es ist zwar eigentlich keine schlaue Idee, aber du könntest mal versuchen, das Programm mit einem vorangestellten sudo zu starten. Wie gesagt ist das eigentlich nichts, was man tun würde, aber ich könnte mir vorstellen, dass das hier das Problem ist.

Ich habe bisher noch nicht den bahnbrechenden Nutzen in einem globalen Blocken ausgehender Ports gefunden. Wie du sagst, muss man sowieso 80 und 443 öffnen und dann kann man es im Grunde auch ganz lassen. Ich würde in erster Linie Anwendungen verwenden, die mich nicht ausspähen, und nachrangig z. B. ein DNS-Sinkhole (Pi-hole o. Ä.). Firejail blockiert, wenn ich das richtig verstanden habe, nicht basierend auf Verbindungen / Hosts / Ports. Die Sicherheit erhöht es trotzdem.

Eine Erklärung habe ich nicht, vielleicht ist es auch als Feature zu sehen? Möglicherweise wollte man verhindern das eine einmal funktionierende Regel fälschlicherweise verändert wird? Keine Ahnung.

Fakt ist, es reicht bereits ein deaktivieren und wieder aktivieren der Firewall in der GUI. Danach erscheint deine gezeigte Meldung, beim Versuch eine Regel zu ändern. Ein sudo gufw ändert daran nichts. Der Effekt bleibt gleich.

Nein, zuvor ohne Firewall aktiv, war bereits auch alles erlaubt nach draussen. Es ist halt einfach wie zuvor, du hast daran nichts geändert :slight_smile:

Beim Start von gufw sollte das root Passwort abgefragt worden sein. gufw handelt das selbst (bei mir mit pkexec). Ansonsten ist da was falsch eingerichtet. Mit sudo starten ist nicht der richtige Weg,

Natürlich - das muss das Ziel sein.

Ok - hätte ja sein können, dass ich da was falsch mache. Scheint nicht so zu sein - ist einfach komisch. Muss ich mit leben :slight_smile:

Die wurde direkt nach der OS-Installation eingeschaltet - ohne vorher ein Internet gesehen zu haben :wink: Hilft aber wohl nix, weil ja sowieso alles per 80 oder 443 und IP nach Hause funkt.

Trotzdem - danke für die Rückmeldungen.

Du kannst natürlich auch alle Ports schließen, aber dann wäre es - polemisch ausgedrückt - einfacher, das Netzwerkkabel zu ziehen. Ansonsten müßtest Du mal sagen, was Du mit dem setup erreichen willst. Ich habe den Verdacht, dass Du die Funktion der Firewall möglicherweise missverstehst.

Das ist gut möglich. Ich veruche, mich mit meinem gefährlichen Halbwissen so gut zu schützen, wie ich es eben kann. Mit Firejail, pihole, und eben Firewall.

Wobei ich gerne auf Applikationsebene definieren würde, was überhaupt rausfunken darf - so eine Art AFWall+ für Linux Mint. Gibt es so etwas? Ich bekomme ja nicht mit, was rausfunkt, wenn über IP-Adressen rausgefunkt wird. Ich kann natürlich mit Wireshark ständig mittracen, aber dafür fehlt mir die Zeit (wobei das ein nicht wirklich valides Argument ist) und das Wissen.

Toll wäre es, wenn ich definieren könnte:

  • Thunderbold darf nur auf die IP-Adresse meines Mailservers zugreifen
  • Firefox darf auf alles zugreifen
  • apt-get darf auf das Repository zugreifen
  • Nextcloud-Client darf auf meine Nextcloud-Instanz zugreifen
  • Alles darf auf mein internes Netz zugreifen
  • […]
  • Sonst darf nix auf nix zugreifen

Genau DAS Missverständnis habe ich mir gedacht. Nein, eine Applikations-Firewall ist mir nicht bekannt. Sie bringt auch wenig, aus technischen Gründen und weil Du den auf Deinem System mitgelieferten Anwendungen trauen kannst - solange Du nicht irgendwelchen Mist wie Skype oder Zoomclient installierst. (Deren Spionage kannst Du aber eh nicht einschränken, das originale Skype war z.B. berühmt dafür, jede Firewall zu umgehen).

Unter Win ist das anders, weil Du dort prinzipiell von keinem einzigen Programm weißt, was es macht und davon ausgehen musst, das alle - vor allem das System selbst - nach hause funken.

Es lohnt nicht, an Sachen wie apt rumzufummeln, das ist altbekannte Standard-Software, was die macht ist bekannt und in Ordnung. Das gilt für das ganze System und auch für den Nextcloudclient. Manchmal kann man in der Konfiguration hier und da etwas einstellen, aber als Anfänger kannst Du davon ausgehen, dass die Leute von Mint das schon richtig machen.

Browser/Firefox und Thunderbird sind die eigentlichen Problemfelder, weil beide Programme in der Lage sind, beliebigen fremden Code (html, css, JS) auszuführen. Port-Beschränkungen helfen da absolut nix, das musst Du im jeweiligen Programm selbst regeln - die Mittel kennst Du sicher: uBlock origin und user.js. Dazu findest Du jede Menge im alten Forum.
Außerdem kannst Du in apparmor oder firejail applikations-bezogene Regeln erstellen. Zu firejail viel im alten Forum.

Du willst Dein System sicher und datenschutzfreundliche betreiben?

  1. Installiere nur Software aus dem Mint-Repository
  2. investiere deine ganze Zeit darein, Firefox und seine Einstellungsmöglichkeiten kennenzulernen.

Danke Dir für die ausführliche Info. Wenigstens habe ich demnach mit dem Betriebssystem schon mal einiges richtig gemacht :wink:

Dann also auf in die Firefox-Welt. Dort steht schon einiges mit uBO, Canvas-Blocker und JShelter (und der Konfig über das Privacy-Handbuch), der user.js, etc.

Dann aber stoße ich auf diese Diskussion diese Diskussion und fühle mich wieder zurück auf Null gesetzt :roll_eyes:

Anstrengend das alles… . Aber es macht Spaß, sich damit zu beschäftigen und gefühlt werde ich sukzessive ein kleines bisschen schlauer; dank Eurer Geduld und Hilfe :+1: