Hallo in die Runde, Am Freitag 27 Juli 2007 schrieb Fred Ockert:
Lentes, Bernd schrieb:
ich suche ein graf. Frontend für Firewalls (iptables).Mit iptables selbst kenne ich mich kaum aus. Und das yast-Frontend ist zwar gut, um schnell mal einen Port zu öffnen, kommt aber auch schnell an seine Grenzen. So möchte ich z.B. best. Ports nur für best. IP's öffnen, und auch Kommentare setzen können.
[...]
Es ist wohl davon auszugehen, daß sich FWBuilder und die SuSEFirewall ins Gehege kommen und ich daher die SuSEFirewall abschalten muss ?
Die Skript-Mechanismen könnten sich in die Quere kommen.
Du kannst also auch alles direkt in diesem Script ändern (wenn du weisst, was du tust..) auch FWbuilder ist primär für Leute gemacht, die wissen was sie da tun... insofern ist es nicht so trivial zu bedienen! Der Builder hilft dir zwar einige offensichtliche Fehler zu erkennen (hilft!! wirklich erkennen musst du selbst) aber er weiss nicht, was du willst.. und erst recht nicht, ob es klug ist ...genauso zu tun. Die innere Logik der von dir entworfenen Firewall kann er zwar viel besser darstellen, als je aus einem Shellscript ersichtlich wäre, aber..
Bei älteren Suse-Linuxen habe ich gesehen, dass man durchaus eigene Skripten fürs Firewalling einsetzen kann, aber das hat dann zur Folge, dass man sich nicht mehr auf Updates oder YaST stützen kann. Ich hab's jetzt nicht auf die Schnelle gefunden. Bei den älteren Suses konnte man eigene Regeln inkludieren, ohne den sonstigen hilfreichen Mechanismus außer Kraft zu setzen.
und letzlich beim complieren kommt ein Script deiner Wahl raus
Normalerweise muss man nichts kompilieren. Paketfilter ist üblicherweise iptables (wird mitgeliefert) und die Regeln dazu ein Shellskript mit mehr oder weniger Befehlen drin. Ich wäre beim Firewalling vorsichtig oder würde eventuell für solche Zwecke eine Spezialdistribution wie ipcop oder ähnliches einsetzen. Das kann man ganz schön mittels Virtualisierung realisieren. Bei ipcop und den anderen Spezialisten wird dann gleich ein (Web-)Interface zum leichten Freischalten von Ports oder das Erstellen von Umleitungen offeriert, ohne dass man in die Tiefen der Regelerstellung gehen muss. Vielleicht ist das auch noch eine Alternative. Helga -- ## OpenSource-Werkstatt in Reutlingen -- http://www.eschkitai.de/ ## Etikette - Nein Danke? -- http://www.suse-etikette.de.vu/ -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org