Einleitung
Wenn man Server oder ähnliche Systeme betreibt, auf die aus dem Internet zugegriffen werden kann, so möchte man diese natürlich auch vor Angriffen schützen. Die beste Lösung hierfür ist natürlich eine professionelle Firewall, die neben einem einfachen Paketfilter auch ein Intrusion Prevention System bereitstellt, mit dem selbst sehr komplexe Angriffe erkannt und geblockt werden können. Diese sind jedoch meist sehr teuer, so dass dies manchmal den finanziellen Rahmen sprengt. Da diese üblicherweise einzelne DMZs mit unterschiedlichen IP-Netzen verwenden, ist eine nachträgliche Einbindung in die Kommunikation meist mit mehr oder weniger umfangreichen Netzwerk-Umstrukturierungen verbunden.
Es gibt jedoch eine Alternative, die zwar einen geringeren Funktionsumfang bietet, dafür jedoch wesentlich günstiger ist und einfacher in ein bestehendes Netzwerk integriert werden kann: Eine Bridge-Firewall Diese Art von Firewall arbeitet transparent, wodurch sie einerseits ohne Anpassung des Netzwerks in einen Kommunikationsweg eingefügt werden kann. Zudem ist sie für keinen der Kommunikationspartner sichtbar, da sie den Datenstrom nur mitliest und (außer durch das Firewall-Regelwerk) nicht beeinflusst. Dieses Regelwerk besteht dagegen nur aus einem einfachen Paketfilter, mit dem eine Prüfung des Datenstroms nur anhand von Parametern der verwendeten Netzwerk-Protokolle möglich ist (z.B. IP-Adresse). Richtet man diese jedoch so ein, dass alles, was nicht explizit erlaubt ist, geblockt wird, so lassen sich allein dadurch bereits viele Angriffe von vornherein verhindern.
In nachfolgenden Anleitung wird nun erklärt, wie man selbst eine solche Bridge-Firewall mit Unterstützung von IPv4 und IPv6 unter Ubuntu 10.04 LTS erstellen kann und was dazu benötigt wird. Mit anderen Linux-Distributionen sollte es jedoch ähnlich möglich sein, so dass diese Anleitung prinzipiell natürlich auch für diese gilt.