[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Firewallkonfiguration



Hallo,

On Mit, 29 Nov 2006, C. Gatzemeier wrote:

> 
> soll auch keine Kritik sein. Mag ja jeder Seine eigenen skripte am 
> liebsten. ;)  Mal angedeutet wie firehol ein nettes Werkzeug auch für solche 
> Skripte oder eben auch Webinterfaces etc. ist...
> (Quasi eine Bash library)

Das Problem das ich sehe, ist dass es viele, aber keine echte Loesung gibt.
Iptables Wrapper helfen nicht weiter, die meisten scheitern schon klaeglich
wenn die Interfaces nicht eth0/eth1 oder eth0.1 eth0.2 heissen sondern
"intern-vlan1" "intern-vlan-2" "internt-vlanb-2" usw.

Auch loesen diese Tools nie die Faelle wo man z.b. zusaetzliche Router hat,
z.b. man hat eine Blackbox irgendwo .. und muss damit leben.

Und man muss das ganze fuer jeden Router/Server neu machen. Man kann nicht
sagen 
- so sieht mein Netz aus -> XML file
- du bist Server XY -> such dir deine Rules

Hoehere Funktionen will ich ja gar nicht erwaehnen.. z.b. Radius/Kerberus support. 
(multiple Subnetze, mehr wie einen Internet Zugang, ...)

Und der wesendlichster Punkt, wenn man nur einen Wrapper schreibt, weiss man
zu keiner Zeit was das Teil wirklich macht. Debuggen muss man mit iptables,
in automatisch generierten Rules.. Zusicherungen wie "Host X darf IMMER auf
Host Y Port XX" kann man nie testen.

Was man schlussendlich erreicht ist dass das ganze komplexer geworden ist,
deswegen haben die "wrapper" auch so eine gringe Verbreitung. Denn die 
einfachen Faelle, kann man mit iptables auch sehr einfach verwalten.


(den Rest kommentier ich ein andermal)

-- 
Florian Reitmeir


Reply to: