Re: Iptables strukturieren

To: Debian german userlist <debian-user-german@lists.debian.org>
Subject: Re: Iptables strukturieren
From: Bjoern Meier <bjoern.meier@googlemail.com>
Date: Wed, 10 Mar 2010 14:17:19 +0100
Message-id: <[🔎] c4ca7ed91003100517g34d65679y2c632790789ad064@mail.gmail.com>
In-reply-to: <[🔎] 201003101405.54870.misch@multinet.de>
References: <[🔎] c4ca7ed91003100453j71918e0gd916e6291bd65f35@mail.gmail.com> <[🔎] 201003101405.54870.misch@multinet.de>

hi,

Am 10. März 2010 14:05 schrieb Michael Schwartzkopff <misch@multinet.de>:
> Am Mittwoch, 10. März 2010 13:53:48 schrieb Bjoern Meier:
>> Hi,
>>
>> ich komm jetzt allmählich in die Lage, dass mein Script über die ich
>> die Netfilter-Tabellen mit iptables füttere etwas größer und damit
>> unübersichtlich werden. Um den vorzubeugen wollte ich das ganze neu
>> strukturieren.
>> Wäre gut, wenn ihr Ideen dazu habt und mir diese mitteilen könntet.
>>
>> Zur Übersicht:
>> Die Firewall um die es geht, ist quasi die 2 Stufe. Sie prüft ob die
>> angenommenen IPs gültig sind und erlaubt dann die Zugriffe in ein
>> DMZ-Subnet zu bestimmten Ports. Ebenso regelt sie welche Ports vom
>> Firmennetz raus dürfen. Das Gateway und die Firewall selbst stehen
>> wiederum in ein eigenes Subnet. Wir haben verschiedene Eintrittspunkte
>> ins Firmennet (PPtP, IPSec, etc.).
>>
>> Bisher habe ich das so strukturiert.
>> Alle default-Chains bekommen die default-policy DROP. Also alles was
>> ich nicht explizit erlaube ist verboten (ist bei uns noch leichter zu
>> definieren ;) ).
>> Dann prüfe ich erstmal die IPs und leite dann an eine <IP>_CHECK_PORTS
>> Chain Alle dort definierten Ports werden wieder an eine Chain Namens
>> <IP>-ACCEPT_AND_LOG geleitet, die - wie der Name schon sagt - die
>> Pakete erst loggt und dann ans Target ACCEPT gibt. das Logging ist nur
>> für die Testphase.
>>
>> Leider ist das alles in einem einzigen Script. Ich würde das gern
>> aufteilen, so nach der Art:
>>
>> /etc/firewall/10-<IP1>.conf
>> /etc/firewall/20-<IP2>.conf
>> /etc/firewall/30-<IP3>.conf
>> usw.
>> In diesen Scripten steht dann pro IP die Gesamte Kette, also vom
>> ersten prüfen der IP bei Input über die Port-Prüfung bis zum Accept.
>>
>> Dann
>> noch ein
>> /etc/init.d/firewall start-stop-script welches Scripte in
>> /etc/firewall/*.conf inkludiert.
>>
>> Meinungen?
>>
>> Ja, ich weiß es gibt Tools die Iptables-Rules generieren, aber die
>> mochte ich bisher nicht so.
>> Gruss,
>> Björn
>
> Schau Dir fwbuilder an. Ein Bild sagt mehr als 1000 Zeilen Script.
>
> Grüße,

Ja, fwbuilder hatte ich im Einsatz, bzw. mir angesehen. Der Router läuft eigentlich ohne X und ich sitze - nicht ganz freiwillig - an einer Windows-Maschine. Extra einen XServer auf Windows aufzusetzen nur um eine Firewall mit "Bildchen" zu definieren ist nicht ganz mein Ding. Außerdem generiert fwbuilder teilweise Rules die ich so direkt nicht möchte. Ist wie einer dieser WYSIWYG-Editoren für HTML.

Ich denke, ich werde auch nur bei Iptables bleiben. Mir ging es jetzt nur darum, ob ihr noch Ideen zur Strukturierung habt.

Gruß,

Björn

Reply to:

Follow-Ups:
- Re: Iptables strukturieren
  - From: Michael Schwartzkopff <misch@multinet.de>

References:
- Iptables strukturieren
  - From: Bjoern Meier <bjoern.meier@googlemail.com>
- Re: Iptables strukturieren
  - From: Michael Schwartzkopff <misch@multinet.de>

Prev by Date: Re: Iptables strukturieren
Next by Date: Re: Iptables strukturieren
Previous by thread: Re: Iptables strukturieren
Next by thread: Re: Iptables strukturieren
Index(es):
- Date
- Thread