Re: firewall konfigurieren?
Christoph Haas schrieb:
> (in einem GUI) von knapp 500 Regeln. Das ganze ist noch nach Gruppen
> zusammengefasst, damit nicht jede IP auch eine Regel wird. Wenn du
> das in iptables von Hand machen willst, werden das diverse tausend
> iptables-Regeln werden. Du bist als Praktikant gerne eingeladen, das
Eine so grosse Zahl Regeln hört sich irgendwie "falsch" an. Es gibt zwei
Methoden um die Zahl der Regeln übersichtlich (und auch performant) zu
halten. Zum einen die richtige Verwendung von Userchains, ähnlich der
Programmierung von Unterroutinen. Ein "Ausmisten" der Regelsätze nach
"Überdefinitionen" (z.B. Festlegung der exakten i/o-Schnittstelle in
der Hauptregel und der Userchain) offenbart meistens weiteres
Vereinfachungs- und Reduktionspotential.
Ein weitere zentrale Methode ist das Umbenennen der Schnitstellen. Ich
benenne die Schnittstellen z.B .ext1, int0, dmz_web1, vpn_20_port1.
usw. Dann kann man Regelsätze mit Wildcards verwenden, die alle
exteren, internen, DMZ- oder VPN-Schnittstellen betreffen. Das erhöht
auch die Bedienungssicherheit. Wer merkt sich schon, was genau an eth3
hängt?
--
rainer@ellinger.de
Reply to: