Re: Kein Internetverbot bei CIPux

To: user@skolelinux.de
Subject: Re: Kein Internetverbot bei CIPux
From: Florian Reitmeir <florian@reitmeir.org>
Date: Tue, 28 Nov 2006 17:09:57 +0100
Message-id: <[🔎] 20061128160957.GK28273@squat.noreply.org>
Mail-followup-to: user@skolelinux.de
In-reply-to: <[🔎] 200611281635.41137.c.gatzemeier@tu-bs.de>
References: <[🔎] 456A0231.5000807@waldorfschule-minden.de> <[🔎] 200611281310.28870.c.gatzemeier@tu-bs.de> <[🔎] 20061128133547.GH28273@squat.noreply.org> <[🔎] 200611281635.41137.c.gatzemeier@tu-bs.de>

Hallo,


On Die, 28 Nov 2006, C. Gatzemeier wrote:

> Am Dienstag, 28. November 2006 14:35 schrieb Florian Reitmeir:
> 
> > ich kenne bisher keinen Fall indem eine Meta Sprache bei Firewalls den
> > recht einfachen Syntax von Iptables erfolgreich verbessert haette.
> 
> Da muß ich dir recht geben. Genau das hat mir bei den meisten Skripten auch 
> immer nicht so gefallen. Vielfach einfach nur eine andere Syntax für um 
> iptables (Paketfilter) zu definieren.
> 
> Beispiel für eine Definition von Verbindungen statt den abgeleiteten einzelnen 
> Paketfilter Regeln. Hier mit zwei "interface" Verbindungen und eine "router" 
> Verbindung:
> 
> Übersichtlich für Einsteigeradmins als auch flexibel für den Linux ISP 
> admin. ;)
> 
> ---
> service_domain="admin.feierabend.de"
> 
> interface eth0 internet
> 	server ssh accept src $service_domain
> 	client dns accept
> 	client ntp accept
> 
> 
> interface eth1 trusted_lan
> 	policy accept
> 
> 
> router lan2internet inface eth1 outface eth0
> 	masquerade
>         route all accept   #Hier solls denn natürlich flexibeler sein
> ---
> 
> FireHol setzt das (mit so einigen Features) und den (vor)definierten 
> Protokoll/Portdefinitionen in ordentliche iptables Regeln um.
> 
> Die werden gerade für Schuladmins doch schnell unübesichtlich. Gerade wenn es 
> um die Finessen geht.
> 
> Bash Funktionen und ggf. weitere normale iptables Befehle (QoS,Layer7) können 
> direkt in der einen (oder eben mehreren gesourceten) Datei verwendet werden.


ich empfinde normale Bash Skripte dennoch als einfacher....
z.b.

TCP_SERVICES=""
TCP_SERVICES="$TCP_SERVICES smtp"
TCP_SERVICES="$TCP_SERVICES smtps"
TCP_SERVICES="$TCP_SERVICES www"
TCP_SERVICES="$TCP_SERVICES https"
TCP_SERVICES="$TCP_SERVICES domain"
TCP_SERVICES="$TCP_SERVICES imaps imap"
TCP_SERVICES="$TCP_SERVICES pop3 pop3s"
TCP_SERVICES="$TCP_SERVICES rsync"
TCP_SERVICES="$TCP_SERVICES ftp-data ftp"
TCP_SERVICES="$TCP_SERVICES 21000:21100"

iptables -N tcp-access
for port in $TCP_SERVICES; do
   iptables -A tcp-access -j ACCEPT --protocol tcp destination-port $port
done


und wenn ich dann will, kann ich das ganze noch verfeiern .. und z.b. recent
verwenden. Und ich kann es splitten, und in Ebenen unterteilen falls ich es
brauche, ich kann LOGS an beliebigen Stellen erzeugen...


-- 
Florian Reitmeir

Reply to:

Follow-Ups:
- Re: Kein Internetverbot bei CIPux
  - From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>

References:
- Kein Internetverbot bei CIPux
  - From: Ulex <ulex@waldorfschule-minden.de>
- Re: Kein Internetverbot bei CIPux
  - From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>
- Re: Kein Internetverbot bei CIPux
  - From: Florian Reitmeir <florian@reitmeir.org>
- Re: Kein Internetverbot bei CIPux
  - From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>

Prev by Date: Re: Kein Internetverbot bei CIPux
Next by Date: Re: Kein Internetverbot bei CIPux
Previous by thread: Re: Kein Internetverbot bei CIPux
Next by thread: Re: Kein Internetverbot bei CIPux
Index(es):
- Date
- Thread