[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Iptables strukturieren

Am Mittwoch, 10. März 2010 14:17:19 schrieb Bjoern Meier:
> hi,
>
> Am 10. März 2010 14:05 schrieb Michael Schwartzkopff <misch@multinet.de>:
> > Am Mittwoch, 10. März 2010 13:53:48 schrieb Bjoern Meier:
> >> Hi,
> >>
> >> ich komm jetzt allmählich in die Lage, dass mein Script über die ich
> >> die Netfilter-Tabellen mit iptables füttere etwas größer und damit
> >> unübersichtlich werden. Um den vorzubeugen wollte ich das ganze neu
> >> strukturieren.
> >> Wäre gut, wenn ihr Ideen dazu habt und mir diese mitteilen könntet.
> >>
> >> Zur Übersicht:
> >> Die Firewall um die es geht, ist quasi die 2 Stufe. Sie prüft ob die
> >> angenommenen IPs gültig sind und erlaubt dann die Zugriffe in ein
> >> DMZ-Subnet zu bestimmten Ports. Ebenso regelt sie welche Ports vom
> >> Firmennetz raus dürfen. Das Gateway und die Firewall selbst stehen
> >> wiederum in ein eigenes Subnet. Wir haben verschiedene Eintrittspunkte
> >> ins Firmennet (PPtP, IPSec, etc.).
> >>
> >> Bisher habe ich das so strukturiert.
> >> Alle default-Chains bekommen die default-policy DROP. Also alles was
> >> ich nicht explizit erlaube ist verboten (ist bei uns noch leichter zu
> >> definieren ;) ).
> >> Dann prüfe ich erstmal die IPs und leite dann an eine <IP>_CHECK_PORTS
> >> Chain Alle dort definierten Ports werden wieder an eine Chain Namens
> >> <IP>-ACCEPT_AND_LOG geleitet, die - wie der Name schon sagt - die
> >> Pakete erst loggt und dann ans Target ACCEPT gibt. das Logging ist nur
> >> für die Testphase.
> >>
> >> Leider ist das alles in einem einzigen Script. Ich würde das gern
> >> aufteilen, so nach der Art:
> >>
> >> /etc/firewall/10-<IP1>.conf
> >> /etc/firewall/20-<IP2>.conf
> >> /etc/firewall/30-<IP3>.conf
> >> usw.
> >> In diesen Scripten steht dann pro IP die Gesamte Kette, also vom
> >> ersten prüfen der IP bei Input über die Port-Prüfung bis zum Accept.
> >>
> >> Dann
> >> noch ein
> >> /etc/init.d/firewall start-stop-script welches Scripte in
> >> /etc/firewall/*.conf inkludiert.
> >>
> >> Meinungen?
> >>
> >> Ja, ich weiß es gibt Tools die Iptables-Rules generieren, aber die
> >> mochte ich bisher nicht so.
> >> Gruss,
> >> Björn
> >
> > Schau Dir fwbuilder an. Ein Bild sagt mehr als 1000 Zeilen Script.
> >
> > Grüße,
>
> Ja, fwbuilder hatte ich im Einsatz, bzw. mir angesehen. Der Router läuft
> eigentlich ohne X und ich sitze - nicht ganz freiwillig - an einer
> Windows-Maschine. Extra einen XServer auf Windows aufzusetzen nur um eine
> Firewall mit "Bildchen" zu definieren ist nicht ganz mein Ding. Außerdem
> generiert fwbuilder teilweise Rules die ich so direkt nicht möchte. Ist wie
> einer dieser WYSIWYG-Editoren für HTML.
>
> Ich denke, ich werde auch nur bei Iptables bleiben. Mir ging es jetzt nur
> darum, ob ihr noch Ideen zur Strukturierung habt.
>
> Gruß,
> Björn

fwbuilder gibt es auch für windoof. Ausserdem sind die regeln in allgemeinen 
besser, als die meisten Leute von Hand erzeugen. Stichwort: Mehrere Gruppen 
negieren.

Grüße,

-- 
Dr. Michael Schwartzkopff
MultiNET Services GmbH
Addresse: Bretonischer Ring 7; 85630 Grasbrunn; Germany
Tel: +49 - 89 - 45 69 11 0
Fax: +49 - 89 - 45 69 11 21
mob: +49 - 174 - 343 28 75

mail: misch@multinet.de
web: www.multinet.de

Sitz der Gesellschaft: 85630 Grasbrunn
Registergericht: Amtsgericht München HRB 114375
Geschäftsführer: Günter Jurgeneit, Hubert Martens

---

PGP Fingerprint: F919 3919 FF12 ED5A 2801 DEA6 AA77 57A4 EDD8 979B
Skype: misch42
Reply to: