Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)

To: user@skolelinux.de
Subject: Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
From: Florian Reitmeir <florian@reitmeir.org>
Date: Wed, 29 Nov 2006 10:26:42 +0100
Message-id: <[🔎] 20061129092642.GF2809@squat.noreply.org>
Mail-followup-to: user@skolelinux.de
In-reply-to: <[🔎] 20061128182959.GD6106@outback.rfc2324.org>
References: <[🔎] 456A0231.5000807@waldorfschule-minden.de> <[🔎] 200611281635.41137.c.gatzemeier@tu-bs.de> <[🔎] 20061128160957.GK28273@squat.noreply.org> <[🔎] 200611281925.17560.c.gatzemeier@tu-bs.de> <[🔎] 20061128182959.GD6106@outback.rfc2324.org>

Hallo,

On Die, 28 Nov 2006, Maximilian Wilhelm wrote:
> Am Dienstag, den 28 November hub C. Gatzemeier folgendes in die Tasten:
> <Werbung>
>  Wie waers mit Alff? (A Linux Firewall Framework)
> 
>  Ist nicht darauf ausgelegt iptables-Befehle zu "vereinfachen" sondern
>  die Generierung komplexerer Regelwerke zu erleichtern.
> 
>  Im Moment eher nur wirklich sinnvoll zur Erstellung von Regelwerken
>  fuer eine Routing-Firewall.
>  Host-Based Security ist geplant.
> 
>  Alff weiss auch was Services sind.
> 
>  http://alff.rfc2324.org/
> </Werbung>

<wichtig>nimm das bitte nicht als persoenliche kritik..</wichtig>

Ein kurzer Blick in den Source zeigt wie das ganze entwickelt wird..
man nehme die eigenen iptables shell skripte, und baue makros.. und gewinnt
dabei aber nur kurzfristig etwas. (und ich habe glaub ich selber min. 3-4
solcher Projekte angefangen)

Was ich mir mal wuenschen wuerde, waere ein echtes Firewall Regelwerk, also
etwas wo man beginnt zuerst mal die Struktur zu definieren. Was es braucht
waere z.b.

- Services per Host
- Services per Host Gruppe
- Host Gruppen
- Zoneneinteilung

- syntax check
- echter erreichbarkeits Check von Services, z.b. indem man intern einen
  Graphen aufbaut...
- nur zu definieren wie Host Gruppen miteinander reden, reicht im allgemeinen
  nicht, normal will man noch eine "Route" haben z.b. einen speziellen Host
  der als Proxy dient, oder auch nur ein spezielles iptables Module.
- direkte Manipulation von der CLI ohne Neustart also wie 
addhost <HOST> <HOSTGROUP> oder
addhostgroup <GROUP> <HOST> <HOST>
listhosts <GROUP>
...
- Anzeige der Firewallstrukturen.. 
.
.

das Problem an den META Sprachen/Projekten ist, dass sie zwar den Syntax
"vereinfachen" wie man iptables anwendet. Aber es nicht mehr nachvollziehbar
ist was das ganze Ding tut wenn es wirklich mal mehr regeln werden. Es ist
zwar toll einen einfachen Syntax fuer die Erzeugung der Regeln zu haben, es
macht aber keinen Sinn das Debuggen danach mit "iptables -vnL" zu machen.

-- 
Florian Reitmeir

Reply to:

Follow-Ups:
- Re: Firewallkonfiguration
  - From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>
- Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
  - From: Maximilian Wilhelm <max@rfc2324.org>

References:
- Kein Internetverbot bei CIPux
  - From: Ulex <ulex@waldorfschule-minden.de>
- Re: Kein Internetverbot bei CIPux
  - From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>
- Re: Kein Internetverbot bei CIPux
  - From: Florian Reitmeir <florian@reitmeir.org>
- Re: Kein Internetverbot bei CIPux
  - From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>
- Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
  - From: Maximilian Wilhelm <max@rfc2324.org>

Prev by Date: Re: Kein Internetverbot bei CIPux
Next by Date: Re: Firewallkonfiguration
Previous by thread: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
Next by thread: Re: Firewallkonfiguration
Index(es):
- Date
- Thread