Re: firewall konfigurieren?

To: debian-user-german@lists.debian.org
Subject: Re: firewall konfigurieren?
From: Rainer Ellinger <rainer@ellinger.de>
Date: Sun, 15 Jun 2003 22:53:43 +0200
Message-id: <[🔎] 200306152253.43999@ellinger.de>
In-reply-to: <[🔎] 20030606070257.GA435@torf.workaround.org>
References: <[🔎] bbn7jv$1ed$1@main.gmane.org> <[🔎] 87k7c0grz8.fsf@quux.de> <[🔎] 20030606070257.GA435@torf.workaround.org>

Christoph Haas schrieb:
> (in einem GUI) von knapp 500 Regeln. Das ganze ist noch nach Gruppen
> zusammengefasst, damit nicht jede IP auch eine Regel wird. Wenn du
> das in iptables von Hand machen willst, werden das diverse tausend
> iptables-Regeln werden. Du bist als Praktikant gerne eingeladen, das

Eine so grosse Zahl Regeln hört sich irgendwie "falsch" an. Es gibt zwei 
Methoden um die Zahl der Regeln übersichtlich (und auch performant) zu 
halten. Zum einen die richtige Verwendung von Userchains, ähnlich der 
Programmierung von Unterroutinen. Ein "Ausmisten" der Regelsätze nach 
"Überdefinitionen" (z.B. Festlegung der exakten i/o-Schnittstelle in 
der Hauptregel und der Userchain) offenbart meistens weiteres 
Vereinfachungs- und Reduktionspotential.

Ein weitere zentrale Methode ist das Umbenennen der Schnitstellen. Ich 
benenne die Schnittstellen z.B .ext1, int0, dmz_web1, vpn_20_port1. 
usw. Dann kann man Regelsätze mit Wildcards verwenden, die alle 
exteren, internen, DMZ- oder VPN-Schnittstellen betreffen. Das erhöht 
auch die Bedienungssicherheit. Wer merkt sich schon, was genau an eth3 
hängt?

-- 
rainer@ellinger.de

Reply to:

References:
- firewall konfigurieren?
  - From: Alexander Fieroch <Fieroch@web.de>
- Re: firewall konfigurieren?
  - From: Jens Link <lists@quux.de>
- Re: firewall konfigurieren?
  - From: Christoph Haas <email@christoph-haas.de>

Prev by Date: Re: Kernel-Problem
Next by Date: Re: inittab Modifkation
Previous by thread: Re: firewall konfigurieren?
Next by thread: Re: firewall konfigurieren?
Index(es):
- Date
- Thread