Joerg Rossdeutscher wrote:
Am Son, 2003-04-27 um 18.04 schrieb Michael Meyer:
Joerg Rossdeutscher wrote:
Ich rede davon, daß die meisten Firewalls irgendwelche Textdateien in Pseudocode "nach iptables übersetzen". Da kannst du dann reinschreiben "von $ALLES nach $DRINNEN port http reject", und dir werden ein halbes Dutzend iptables-Regeln erstellt. Schön und gut, und wenn mal irgendwas /nicht/ klappt, steigt man durch das Gewurschtel nicht mehr durch.
du hast dir '/sbin/SuSEfirewall2' noch nie angesehen, oder?
Liest du meine Mails?
bisher ja.
Die Susefirewall macht genau das, was ich nicht will. Sie trennt "Programm" und "Daten". Wenn ich die Konfigurationsdatei editiere, kann ich daraus nicht besonders gut erkennen, was die Firewall daraus macht.
sie trennt nicht 'programm und daten'. was auch immer _genau_ damit von dir gemeint ist. sie hat bestimmte variablen in einer externen datei. und das macht bei einem für die allgemeinheit geschriebenen paketfilter-script, IMHO, wirklich sinn.
Hast du bei einer nicht korrekt arbeitenden FIrewall schonmal iptables -L gemacht und versucht, aus dem Resultat schlau zu werden?
ja.
Man macht einfach immer doppeltes Debugging: - einmal die Firewall selbst, in deren Planung man vielleicht einen Denkfehler hat - ...oder die Firewall enthält gar nicht den Code, den man /glaubt/ daß man ihn per "Pseudocode" generiert.
ich kann immer noch nichts mit pseudocode anfangen. was meinst du damit? variablen in einer externen datei?
Ich bin einfach auf der Suche nach einen Script, welches gut kommentiert einen Haufen iptables-Befehle hintereinander enthält. Es ist dann wesentlich einfacher zu sehen, was man eigentlich tut.
dass kann, je nach umfang des scriptes, täuschen.
'/sbin/SuSEfirewall2' enthält im grossen und ganzen nur 'pures iptables'. schaue es dir einfach mal an. das setzen von variablen in einer externen konfigurationsdatei ist nichts ungewöhnliches.
in '/sbin/SuSEfirewall' steht nichts, dass nicht nachzuvollziehen wäre.
Sehe ich anders. Das Script liegt irgendwo, holt sich Parameter von anderswo, hängt noch die Hooks aus einer dritten Datei rein, das sind drei Dateien, und das Ergebnis kann ich mir mit iptables -L angucken und enthält logischerweise nichtmal Kommentare. Wie schön ist im vergleich dazu _eine_ Datei mit vielen Kommentaren, in der einfach iptables Befehle untereinanderstehen.
sie liegen nicht _irgendwo_. wo die einzelnen dateien der SF2 liegen, ist sehr gut dokumentiert. genauso finden sich in allen dateien, zum teil sehr umfangreiche, kommentare.
zum bauen von paketfiltern wird auch oft 'fwbuilder' empfohlen.
<http://www.fwbuilder.org/> ich kenne es aber nicht. ich nutze immer noch 'ipchains'.
fwbuilder kenne ich. Ist noch abstrakter.
sorry, aber generiert dieses fwbuilder nicht genau das, was du willst? ich kenne es wirklich nicht, dachte aber immer, es generiert genau eine datei mit den einzelnen iptables aufrufen.
ipchains hat meines Wissens einen großen Vorteil gegenüber iptables: Man kann Testpakete durchschicken. Soviel ich weiss, ist das bei iptables nicht mehr eingebaut. Sehr schade. Jemand anderer Meinung? :-)
ja, iptables --help. ,----[ iptables --help ] | --check -C chain Test this packet on chain `----|
um iptables zu begreifen, wirst du wohl wenigstens ein mal dein eigenes script schreiben müssen.
iptables begreifen ist nicht so sehr das Problem, da komm ich schon mit klar. Schön wäre es, einfach ein Script zu haben, welches schonmal die Gemeinheiten abfeiert wie gespoofte IPs und kaputte Pakete, damit man selber nur noch seine Portfreigaben hintendranhängen muß. Rad neu erfinden und so.... du weisst schon. :-)
also <http://buug.de/~aleks/iptables/> sieht ganz interessant aus. du musst dich nur von deiner 'alles muss in einer datei sein'-phobie befreien. micha -- Ich habe seinerzeit <http://buug.de/~aleks/iptables/> verwendet, weil der Mann weiß, was er Tut(tm). Robin S. Socha in d.c.o.u.l.m