> hi,
>
> Am 10. März 2010 14:05 schrieb Michael Schwartzkopff <
misch@multinet.de>:
> > Am Mittwoch, 10. März 2010 13:53:48 schrieb Bjoern Meier:
> >> Hi,
> >>
> >> ich komm jetzt allmählich in die Lage, dass mein Script über die ich
> >> die Netfilter-Tabellen mit iptables füttere etwas größer und damit
> >> unübersichtlich werden. Um den vorzubeugen wollte ich das ganze neu
> >> strukturieren.
> >> Wäre gut, wenn ihr Ideen dazu habt und mir diese mitteilen könntet.
> >>
> >> Zur Übersicht:
> >> Die Firewall um die es geht, ist quasi die 2 Stufe. Sie prüft ob die
> >> angenommenen IPs gültig sind und erlaubt dann die Zugriffe in ein
> >> DMZ-Subnet zu bestimmten Ports. Ebenso regelt sie welche Ports vom
> >> Firmennetz raus dürfen. Das Gateway und die Firewall selbst stehen
> >> wiederum in ein eigenes Subnet. Wir haben verschiedene Eintrittspunkte
> >> ins Firmennet (PPtP, IPSec, etc.).
> >>
> >> Bisher habe ich das so strukturiert.
> >> Alle default-Chains bekommen die default-policy DROP. Also alles was
> >> ich nicht explizit erlaube ist verboten (ist bei uns noch leichter zu
> >> definieren ;) ).
> >> Dann prüfe ich erstmal die IPs und leite dann an eine <IP>_CHECK_PORTS
> >> Chain Alle dort definierten Ports werden wieder an eine Chain Namens
> >> <IP>-ACCEPT_AND_LOG geleitet, die - wie der Name schon sagt - die
> >> Pakete erst loggt und dann ans Target ACCEPT gibt. das Logging ist nur
> >> für die Testphase.
> >>
> >> Leider ist das alles in einem einzigen Script. Ich würde das gern
> >> aufteilen, so nach der Art:
> >>
> >> /etc/firewall/10-<IP1>.conf
> >> /etc/firewall/20-<IP2>.conf
> >> /etc/firewall/30-<IP3>.conf
> >> usw.
> >> In diesen Scripten steht dann pro IP die Gesamte Kette, also vom
> >> ersten prüfen der IP bei Input über die Port-Prüfung bis zum Accept.
> >>
> >> Dann
> >> noch ein
> >> /etc/init.d/firewall start-stop-script welches Scripte in
> >> /etc/firewall/*.conf inkludiert.
> >>
> >> Meinungen?
> >>
> >> Ja, ich weiß es gibt Tools die Iptables-Rules generieren, aber die
> >> mochte ich bisher nicht so.
> >> Gruss,
> >> Björn
> >
> > Schau Dir fwbuilder an. Ein Bild sagt mehr als 1000 Zeilen Script.
> >
> > Grüße,
>
> Ja, fwbuilder hatte ich im Einsatz, bzw. mir angesehen. Der Router läuft
> eigentlich ohne X und ich sitze - nicht ganz freiwillig - an einer
> Windows-Maschine. Extra einen XServer auf Windows aufzusetzen nur um eine
> Firewall mit "Bildchen" zu definieren ist nicht ganz mein Ding. Außerdem
> generiert fwbuilder teilweise Rules die ich so direkt nicht möchte. Ist wie
> einer dieser WYSIWYG-Editoren für HTML.
>
> Ich denke, ich werde auch nur bei Iptables bleiben. Mir ging es jetzt nur
> darum, ob ihr noch Ideen zur Strukturierung habt.
>
> Gruß,
> Björn