Matthias Houdek wrote:
ich benutze, heute noch, auf meinem router eine SuSEfirewall mit ipchains. ok, mittlerweile ist das script an einigen stellen von mir angepasst worden. trotzdem würde ich behaupten das die SuSEfirewall nicht so schlecht und auch nicht so kompliziert ist wie ihr ruf.
die SuSEfirewall2 habe ich mir bisher eher am rande mal angeschaut. genau deshalb interessiert mich warum du sie so schlecht findest.
Das größte Problem der Suse-Firewall2 (die meine ich jetzt speziell, über die SuSE-Firewall mit ipchains hab ich auch mal meinen Zugang zu der Problematik gefunden) ist die sehr starre, vorgefasste Konfiguration über Yast. Und mal ehrlich, welcher User bessert da noch nach, wenn er das alles per Mausklick erledigen kann?
Und was kann er dort? - 2 Schnittstellen angeben (intern und extern), OK, das ist meist ausreichend - ein paar Dienste ankreuzen die er erlauben will (anbieten) - weitere Dienste angeben durch eintragen der Portnummern - Masquerading ein/ausschalten (für welche Dienste eigentlich?) - "Alle laufenden Dienste schützen" ein/ausschalten In der Erklärung heißt es dazu: "..., dass jeder Netzwerkzugriff auf TCP- und UDP-Dienste auf diesem Rechner verhindert wird, mit Ausnahme der Dienste, die Sie im vorherigen Dialog explizit erlaubt haben." Und wenn ich das ausschalte, was passiert dann? - "vor internem Netzwerk schützen" ein/ausschalten (interne Rechner haben die gleichen Rechte wie externe oder es wird vom LAN alles erlaubt) - diverse Protokollierungseinstellungen (naja ...)
Und was ist mit ausgehenden Verbindungen? Zu welchen Verbindungen dürfen RELATED-Verbindungen aufgebaut werden? Warum kann ich nicht nach Innen und Außen unterschiedliche Regeln festlegen? Selektionen nach verschiedenen Quell/Zieladressen? ...
einen teil der 'starrheit' nimmt einem das '/etc/sysconfig/scripts/SuSEfirewall2-custom'.
Den Namen "Firewall" hat sich das Teil nun wirklich nicht im geringsten verdient.
klar ist: wer die SuSEfirewall _ernsthaft_ nutzen will kommt um einen blick in das '/sbin/SuSEfirewall2' nicht herum. und genau dann wird sie ganz brauchbar. zumindest war es mit der SuSEfirewall der 7.1 so. micha