Joerg Rossdeutscher wrote:
Am Son, 2003-04-27 um 21.29 schrieb Michael Meyer:
Joerg Rossdeutscher wrote: Die meisten Firewalls parsen Textdateien, in denen sowas drinsteht (Beispiel entnommen der shorewall):
ACCEPT $FW net:$TIME_SERVERS udp 123
...und da stellt sich mir die Frage: Welche ip-Regel baut der daraus? Wirklich die, die ich glaube? ...und der versuch, die generierte Regel per iptables -L wiederzufinden ist ein Alptraum.
ich mag paketfilter nach obiger manier auch nicht. die SF2 ist aber _nicht_ so eine art von paketfilterscript.
Die meisten Firewall-Scripte, und dazu gehört m.E. auch die Susefirewall, halten den Anwender von der technischen Ebene möglichst fern und geben ihm eine Variablendatei an die Hand, in der er 20 Sachen ändern kann.
ja klar. überlege doch mal auf wen die SF2 zugeschnitten ist. wenn sie alles in eine datei gepackt hätten, kämen hier alle 2 tage anfragen nach dem motto: 'ich habe an der konfiguration der SF2 gebastelt, jetzt kommt immer parse error...'
Ich möchte aber z.B. ssh von außen zulassen, smtp auch, aber smtp zusätzlich mit einer MAC-Adresse des Clients schützen. Das geht mit der Susefirewall nur über die Hooks.
ja, dazu sind sie ja da.
Und in der Regel geht es erstmal nicht, weil ich was falsch mache. Diesen Fehler jetzt zu finden ist deutlich einfacher mit einer Firewall, die von vornherein vielleicht etwas unkomfortabler ist, wo ich aber ein Script Zeile für Zeile durchsehen kann, wo mein Kram eigentlich hängenbleibt.
das sehe ich nun wieder anders. ich finde bei mir ein ipchains -L übersichtlich.
ich kenne es wirklich nicht, dachte aber immer, es generiert genau eine datei mit den einzelnen iptables aufrufen.
Ich will pures iptables, manuell programmiert und kommentiert, und kein Programm, das mir iptables /rausschreibt/. Ich will ein schönes bash-script, das kommentiert ist, mit solchen schönen Dingen wie
du willst? dann schreib es dir am besten selbst. dann gibts auch nichts mehr zu meckern.
# entkommentieren sie die nächste Zeile, # wenn sie wollen, daß...
mit ordentlichen Einrückungen und Variablen.
Ich will, daß jemand schreibt
iptables -s $INT -d EXT -j .... iptables -s $EXT -d INT -j .... iptables -s $INT -d INT -j ....
... und nicht irgendwelche Schleifen for $I in $INTERFACES iptables -d $I ... ...in denen mit kryptischen awk und sed-Kommandos superclever hantiert wird, nur lesen kann man's nicht mehr.
auch das sehe ich anders. genau das von dir kritisierte macht es oft sehr viel übersichtlicher.
Ich will maximale Nachvollziehbarkeit. Ich will iptables -L eintippen und erkennen, wo die Regeln herkommen.
du glaubst, iptables -L sieht anders aus, nur weil du alles in einer datei schön untereinander hast?
ipchains hat meines Wissens einen großen Vorteil gegenüber iptables: Man kann Testpakete durchschicken. Soviel ich weiss, ist das bei iptables nicht mehr eingebaut. Sehr schade. Jemand anderer Meinung? :-)
ja, iptables --help.
,----[ iptables --help ] | --check -C chain Test this packet on chain `----|
Nö. man iptables:
BUGS Check is not implemented (yet).
*boa* wie gemein. dann hätten sie es ja auch aus --help nehmen können.
also <http://buug.de/~aleks/iptables/> sieht ganz interessant aus.
Jepp. Grob überflogen, sieht sehr ordentlich aus. Genau das meinte ich: Dieses Script kann man lesen!
sehr witzig. hast du es dir angesehen? eine konfig, eine init, das script an sich ...
du musst dich nur von deiner 'alles muss in einer datei sein'-phobie befreien.
Nö. Geht doch, siehe dein eigener Vorschlag. :-)
ja, ich habe ihn gesehen. du auch? lass uns doch per PM weitermachen. ist ja vielleicht auf dauer doch zu OT. micha