Re: Firewallkonfiguration
Hallo Benedikt,
vielen Dank für die Info.
Demnach plant ihr also die Output Schlange beim Terminalservern mit
user/group-id filtern zu belegen. OK, prima.
Nur wen man beim Terminalserver an den iptables schrauben muß, könnte es
vielleicht Konflikte beim speichern, wiederhochfahren, neustart des Rechners
etc. geben.
Z.B. hängen bei mir "hinter" dem Terminalserver auch noch andere Rechner und
nicht alle sollen (immer) durchgeroutet werden. Wäre halt schön, wenn das
weiterhin sehr übersichtlich gemacht werden könnte. ;)
Vielleicht können diese Infos noch allgemein hilfreich sein worauf es bei der
Kombinierbarkeit von Lösungen zu achten gälte oder auf welche getestete
Lösung ihr zurückgreifen könntet:
With firehol you can restart the firewall any time you like without disrupting
any allowed running traffic.
But it allows only the established connections that match the services you
have allowed. Nothing more. This means that even if someone is lucky enough
to connect to a non-allowed service before you change rules, he will simply
be blocked as soon as the firewall activation completes.
Quicksave/restore with /sbin/iptables-save:
"firehol save"
Starts the firewall and then saves it using /sbin/iptables-save
to /etc/sysconfig/iptables.
Since v1.64, this is not implemented using /etc/init.d/iptables save because
there is a bug in some versions of iptables-save that save invalid commands
(! --uid-owner A is saved as --uid-owner !A) which cannot be restored.
FireHOL fixes this problem (by saving it, and then replacing --uid-owner !
with ! --uid-owner ).
Note that not all FireHOL firewalls will work if restored
with: /etc/init.d/iptables start because FireHOL handles kernel modules and
might have queried RPC servers (used by the NFS service) before starting the
firewall. Also, FireHOL automatically checks current kernel configuration for
client ports range. If you restore a firewall using the iptables service your
firewall may not work as expected.
Gruß,
Christian
Reply to: