Re: Iptables strukturieren

To: debian-user-german@lists.debian.org
Subject: Re: Iptables strukturieren
From: Michael Schwartzkopff <misch@multinet.de>
Date: Wed, 10 Mar 2010 14:05:54 +0100
Message-id: <[🔎] 201003101405.54870.misch@multinet.de>
In-reply-to: <[🔎] c4ca7ed91003100453j71918e0gd916e6291bd65f35@mail.gmail.com>
References: <[🔎] c4ca7ed91003100453j71918e0gd916e6291bd65f35@mail.gmail.com>

Am Mittwoch, 10. März 2010 13:53:48 schrieb Bjoern Meier:
> Hi,
>
> ich komm jetzt allmählich in die Lage, dass mein Script über die ich
> die Netfilter-Tabellen mit iptables füttere etwas größer und damit
> unübersichtlich werden. Um den vorzubeugen wollte ich das ganze neu
> strukturieren.
> Wäre gut, wenn ihr Ideen dazu habt und mir diese mitteilen könntet.
>
> Zur Übersicht:
> Die Firewall um die es geht, ist quasi die 2 Stufe. Sie prüft ob die
> angenommenen IPs gültig sind und erlaubt dann die Zugriffe in ein
> DMZ-Subnet zu bestimmten Ports. Ebenso regelt sie welche Ports vom
> Firmennetz raus dürfen. Das Gateway und die Firewall selbst stehen
> wiederum in ein eigenes Subnet. Wir haben verschiedene Eintrittspunkte
> ins Firmennet (PPtP, IPSec, etc.).
>
> Bisher habe ich das so strukturiert.
> Alle default-Chains bekommen die default-policy DROP. Also alles was
> ich nicht explizit erlaube ist verboten (ist bei uns noch leichter zu
> definieren ;) ).
> Dann prüfe ich erstmal die IPs und leite dann an eine <IP>_CHECK_PORTS
> Chain Alle dort definierten Ports werden wieder an eine Chain Namens
> <IP>-ACCEPT_AND_LOG geleitet, die - wie der Name schon sagt - die
> Pakete erst loggt und dann ans Target ACCEPT gibt. das Logging ist nur
> für die Testphase.
>
> Leider ist das alles in einem einzigen Script. Ich würde das gern
> aufteilen, so nach der Art:
>
> /etc/firewall/10-<IP1>.conf
> /etc/firewall/20-<IP2>.conf
> /etc/firewall/30-<IP3>.conf
> usw.
> In diesen Scripten steht dann pro IP die Gesamte Kette, also vom
> ersten prüfen der IP bei Input über die Port-Prüfung bis zum Accept.
>
> Dann
> noch ein
> /etc/init.d/firewall start-stop-script welches Scripte in
> /etc/firewall/*.conf inkludiert.
>
> Meinungen?
>
> Ja, ich weiß es gibt Tools die Iptables-Rules generieren, aber die
> mochte ich bisher nicht so.
> Gruss,
> Björn

Schau Dir fwbuilder an. Ein Bild sagt mehr als 1000 Zeilen Script.

Grüße,
-- 
Dr. Michael Schwartzkopff
MultiNET Services GmbH
Addresse: Bretonischer Ring 7; 85630 Grasbrunn; Germany
Tel: +49 - 89 - 45 69 11 0
Fax: +49 - 89 - 45 69 11 21
mob: +49 - 174 - 343 28 75

mail: misch@multinet.de
web: www.multinet.de

Sitz der Gesellschaft: 85630 Grasbrunn
Registergericht: Amtsgericht München HRB 114375
Geschäftsführer: Günter Jurgeneit, Hubert Martens

---

PGP Fingerprint: F919 3919 FF12 ED5A 2801 DEA6 AA77 57A4 EDD8 979B
Skype: misch42

Reply to:

Follow-Ups:
- Re: Iptables strukturieren
  - From: Bjoern Meier <bjoern.meier@googlemail.com>

References:
- Iptables strukturieren
  - From: Bjoern Meier <bjoern.meier@googlemail.com>

Prev by Date: Re: Iptables strukturieren
Next by Date: Re: Iptables strukturieren
Previous by thread: Re: Iptables strukturieren
Next by thread: Re: Iptables strukturieren
Index(es):
- Date
- Thread