Re: Firewallkonfiguration

To: user@skolelinux.de
Subject: Re: Firewallkonfiguration
From: "C. Gatzemeier" <c.gatzemeier@tu-bs.de>
Date: Wed, 29 Nov 2006 13:47:54 +0100
Message-id: <[🔎] 200611291347.54557.c.gatzemeier@tu-bs.de>
In-reply-to: <[🔎] 20061129092642.GF2809@squat.noreply.org>
References: <[🔎] 456A0231.5000807@waldorfschule-minden.de> <[🔎] 20061128182959.GD6106@outback.rfc2324.org> <[🔎] 20061129092642.GF2809@squat.noreply.org>

Hallo,

soll auch keine Kritik sein. Mag ja jeder Seine eigenen skripte am 
liebsten. ;)  Mal angedeutet wie firehol ein nettes Werkzeug auch für solche 
Skripte oder eben auch Webinterfaces etc. ist...
(Quasi eine Bash library)


Am Mittwoch, 29. November 2006 10:26 schrieb Florian Reitmeir:
> Was ich mir mal wuenschen wuerde, waere ein echtes Firewall Regelwerk, also
> etwas wo man beginnt zuerst mal die Struktur zu definieren. Was es braucht
> waere z.b.
>
> - Services per Host
> - Services per Host Gruppe
> - Host Gruppen
> - Zoneneinteilung

Das würde man mit firehol mit beliebigen bash Mitteln machen können.

Also Service Gruppen(client bzw. server) und Host Gruppen in Variablen oder 
Unterdateien definieren... oder vorhandene netgroups/ldap infos nutzen.

Bei Bedarf kann man bash dann damit für hunderte von vlans "interfaces" und 
"router" generieren lassen...
http://firehol.sourceforge.net/language.html

Helper für transparente proxys und gängige kernelmodule gibts auch.
Wenn man die Datei aufteilt kann man in anderen skripten auch einfach sowas 
nutzen:

echo "newhost" >> /etc/firhol/xyz.hostgroup

(Innerhalb von Skolelinux würde man die schon definierten netgroups oder ldap 
nutzen können.)

> - syntax check

Ja.

Für Nessus checks o.ä., könntest Du entsprchende Befehle mit in die firehol 
Datei(en) schreiben, oder das firehol skript selbst erweitern.

Die Sturkur ist ja in den Datei(en) beschrieben.


BEim Debuggen/auditieren des Skriptes ist vielleicht die Datei mit den 
resultierenden Befehlen oder der interaktive Modus mit seinen Kommentaren 
hilfreich. Ansosten ist das Ebenenabhängig wie bei jedem Programm? 
(iptables,kernellog,skript,config)
---

Eigentlich war die Frage doch nach der Paketfilterkonfiguration in skolelinux 
bzw. dynamisch über CipUX?

Das bleibt natürlich den Programmierern überlassen, mich und einige Admins 
würde es sicher freuen wenn es über ein Werkzeug gehen würde das verständlich 
die Sturktur beschreibt (Statt der daraus abgeleiteten filter an den 
Schnittstellen) und auch weiterhin gut lokal angepasst werden kann.

Gruß,
Christian

Reply to:

Follow-Ups:
- Re: Firewallkonfiguration
  - From: Florian Reitmeir <florian@reitmeir.org>

References:
- Kein Internetverbot bei CIPux
  - From: Ulex <ulex@waldorfschule-minden.de>
- Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
  - From: Maximilian Wilhelm <max@rfc2324.org>
- Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
  - From: Florian Reitmeir <florian@reitmeir.org>

Prev by Date: Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
Next by Date: Re: Firewallkonfiguration
Previous by thread: Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)
Next by thread: Re: Firewallkonfiguration
Index(es):
- Date
- Thread