Re: Kein Internetverbot bei CIPux

["C. Gatzemeier" <c.gatzemeier@tu-bs.de>]

Hallo Florian,

Am Dienstag, 28. November 2006 14:35 schrieb Florian Reitmeir:

> ich kenne bisher keinen Fall indem eine Meta Sprache bei Firewalls den
> recht einfachen Syntax von Iptables erfolgreich verbessert haette.

Da muß ich dir recht geben. Genau das hat mir bei den meisten Skripten auch 
immer nicht so gefallen. Vielfach einfach nur eine andere Syntax für um 
iptables (Paketfilter) zu definieren.

Beispiel für eine Definition von Verbindungen statt den abgeleiteten einzelnen 
Paketfilter Regeln. Hier mit zwei "interface" Verbindungen und eine "router" 
Verbindung:

Übersichtlich für Einsteigeradmins als auch flexibel für den Linux ISP 
admin. ;)


---
service_domain="admin.feierabend.de"

interface eth0 internet
	server ssh accept src $service_domain
	client dns accept
	client ntp accept


interface eth1 trusted_lan
	policy accept


router lan2internet inface eth1 outface eth0
	masquerade
        route all accept   #Hier solls denn natürlich flexibeler sein
---

FireHol setzt das (mit so einigen Features) und den (vor)definierten 
Protokoll/Portdefinitionen in ordentliche iptables Regeln um.

Die werden gerade für Schuladmins doch schnell unübesichtlich. Gerade wenn es 
um die Finessen geht.

Bash Funktionen und ggf. weitere normale iptables Befehle (QoS,Layer7) können 
direkt in der einen (oder eben mehreren gesourceten) Datei verwendet werden.


Gruß,
Christian