Bjoern Meier <bjoern.meier@googlemail.com> (Mi 10 Mär 2010 14:06:43 CET):
> >
> > Schau dir ferm an. Dies kommt dem reinen Shell-Scripting sehr nahe,
> > erlaubt aber dennoch, übersichtliche Regelsets zu erzeugen und bietet
> > über passenden @include-Statements genau das, was du dir vorstellst.
> >
> > S°
>
> Das Problem ist ja auch, ich müsste jetzt erst einmal wieder den
> umgekehrten Weg gehen - die Regeln wieder für ein Programm anpassen,
> was mir dann das daraus macht was ich schon habe.
> Wenn ich mir dann anschaue was ferm macht:
> chain INPUT {
> policy DROP;
> mod state state (RELATED ESTABLISHED) ACCEPT;
> proto tcp dport (http ftp ssh) ACCEPT;
> }
>
> kann ich auch gleich iptables direkt nehmen. Die Syntax unterscheidet
> sich kaum und ich habe eine bessere Kontrolle.
Ich bin auch ferm-Fan. Die Syntax ist zum Glück(!) der iptables-Syntax sehr
ähnlich, so daß mich deren Manpage auch weiterbringt.
Und wenn Du z.B. die Gruppierungsfeatures nutzt, dann ist es doch mehr,
also nur einfach Regeln aufschreiben:
ACCEPT {
proto tcp {
dport (http https);
dst (hostA hostB) dport (mysql ssh);
…
…
}
proto udp {
dport (domain … …)
}
}
… oder wonach auch immer Du das gerne gruppierst.
Und für den Anfang gibt's ein „ferm-import“.
Viele Grüße
Heiko Schlittermann
--
SCHLITTERMANN.de ---------------------------- internet & unix support -
Heiko Schlittermann HS12-RIPE -----------------------------------------
gnupg encrypted messages are welcome - key ID: 48D0359B ---------------
gnupg fingerprint: 3061 CFBF 2D88 F034 E8D2 7E92 EE4E AC98 48D0 359B -
Attachment:
signature.asc
Description: Digital signature