Ach Schwertfisch, das wird bestimmt schwierig mit dem Thread, mein Versuch:
Schwertfisch hat geschrieben: 
14.04.2018 13:10:38
Habe mir also eine Firewall installiert (ufw bzw die GUI gufw).
Damit wird kaum einer der hiesigen Foristen arbeiten. Ich habe
ufw mal stinkendfaul genutzt, um den Managementzugang meines per WLAN angeschlossenen Homeservers hinter einer Hardware-Firewall auf die Schnelle zusätzlich neben SSH noch abzusichern (abgehend alles erlaubt, ankommend nur ssh von bestimmten Host). Rate-Limit ließ sich zwar konfigurieren, aber Doku über Einzelheiten fand ich nicht.
Schwertfisch hat geschrieben: 14.04.2018 13:10:38
Würde gerne eingehende sowie ausgehende Verbindungen standardmäßig blockieren und dabei für einzelne Programme Ausnahmeregelungen festlegen.
Gegenüber meiner Geschichte wird das weit komplexer (Suchwort: egress firewall) und du wirst Logging für Fehler (Drops) bei im Vorfeld noch nicht freigegebenen Verbindungen benötigen sowie gute Dokumentation. Findest du eher für iptables. Deshalb rate ich dir, damit zu beginnen. Mehr Hilfe im Forum findest du für iptables. Letzteres hat wohl auch mehr Features, SNAT, DNAT. ufw ist nur ein Frontend für iptables. (Shorewall als iptables-Frontend wäre auch eine Möglichkeit, allerdings eher für Firewalls mit mehreren Ports und Zonen gedacht.)
Schwertfisch hat geschrieben: 14.04.2018 13:10:38
Also wie funktioniert das Ganze, wie finde ich heraus, welches Programm über welchen Port kommuniziert und wie kann ich meine Einstellungen dementsprechend anpassen?
Ports findest du hier:
https://de.wikipedia.org/wiki/Liste_der ... rten_Ports
Dann googeln (oder Wiki) nach der ausführlichen Kommunikation einzelner (deiner benötigten) Protokolle, beispielhaft:
67, 68 wichtig für DHCP (Broadcasts):
https://de.wikipedia.org/wiki/Dynamic_H ... n_Protocol
https://de.wikipedia.org/wiki/Internet_ ... e_Protocol
http://bittorrent-faq.de/#ss2.2
http, https, DNS, ntp brauchst du mindestens. (Meist sind Zielports wichtig, Quellports oft variabel.)
Dann smtps, pop3s, ipmaps (s für secure/verschluesselt) zu den Servern (IP-Addressen, besser DNS-Namen) deines Mailprovider.
(Ports und Namen siehe Server-Einstellungen im Mail-Client, z. B. Thunderbird)
Eventuell noch ping (wenn ICMP gedropt), traceroute, SSH, ...
Eingehend alles sperren, durch stateful packet inspection (SPI) müssen keine Rückwege abgehender Verbindungen definiert werden.
Dann Firewall-Logs bei Fehlern/Drops im laufenden Betrieb, man/frau denkt nicht an alles. Müsste aber fast alles sein.
Brauchst du wirklich eine Personal-Firewall (auch Desktop-Firewall genannt)? Hast du mehrere Rechner, Windows-Virenschleudern der Kinder, zu disziplinierende Smart-TVs, -Phones, IoT? Zumindest dann wohl besser oder zusätzlich auf Router angeordnet (PFSense oder OPNSense, testweise mal in VM/VBox). Ansonsten gibt es Vorbehalte bezüglich Personal Firewalls: Wenn der PC kompromittiert ist, kann man davon ausgehen, dass auch die Personal Firewall kompromittiert wurde. Aber als Ergänzung oder "Disziplinarmassnahme" für User, warum nicht? Sicherheit ist meist ein Zwiebelschalenprinzip.
Vorteil Personal Firewall vs. Hardwarefirewall: Erstere kann auf Applikationsebene arbeiten. Ratsam als Ergänzung einer Hardware-Firewall, die nicht so einfach kompromittiert werden kann und für das ganze Netzwerk wirksam ist. Oder hängt dein Rechner direkt und ohne NAT-Router am Internet? Dann wäre die Firewall auf dem Desktop = Gateway ratsam. Wie auf einem Root-Server auch. Zuhause könnte man sich die Beschaffung einer Router-Firewall-Kombination jedoch überlegen.
Persönlicher Rat: Router mit Firewall (eventuell mit GUI wie PFSense, OPNSense) und Einarbeitung in iptables für Personal Firewalls auf PCs, Servern.
Edit: Schlechtschreibung
Edit2:
möglichst Quell- und Zieladressen (-netzwerke) in Regeln definieren
nur wenn unbedingt notwendig: any/all
erst spezielle Regeln dann allgemeine (Reihenfolge meist von oben nach unten, First Match und Rest ignoriert)
wegen Performance und First Match: häufig gebrauchte Regeln oben
