Moin, Am Son, 2003-04-27 um 21.29 schrieb Michael Meyer:
Joerg Rossdeutscher wrote:
Am Son, 2003-04-27 um 18.04 schrieb Michael Meyer:
Joerg Rossdeutscher wrote:
Die Susefirewall macht genau das, was ich nicht will. Sie trennt "Programm" und "Daten". Wenn ich die Konfigurationsdatei editiere, kann ich daraus nicht besonders gut erkennen, was die Firewall daraus macht.
sie trennt nicht 'programm und daten'. was auch immer _genau_ damit von dir gemeint ist. sie hat bestimmte variablen in einer externen datei.
Eben. Unschön.
Man macht einfach immer doppeltes Debugging: - einmal die Firewall selbst, in deren Planung man vielleicht einen Denkfehler hat - ...oder die Firewall enthält gar nicht den Code, den man /glaubt/ daß man ihn per "Pseudocode" generiert.
ich kann immer noch nichts mit pseudocode anfangen. was meinst du damit? variablen in einer externen datei?
Ich will ein script haben, in dem sowas drinsteht: iptables -A input -p tcp --sport 80 -j ACCEPT Die meisten Firewalls parsen Textdateien, in denen sowas drinsteht (Beispiel entnommen der shorewall): ACCEPT $FW net:$TIME_SERVERS udp 123 ...und da stellt sich mir die Frage: Welche ip-Regel baut der daraus? Wirklich die, die ich glaube? ...und der versuch, die generierte Regel per iptables -L wiederzufinden ist ein Alptraum. Die meisten Firewall-Scripte, und dazu gehört m.E. auch die Susefirewall, halten den Anwender von der technischen Ebene möglichst fern und geben ihm eine Variablendatei an die Hand, in der er 20 Sachen ändern kann. Ich möchte aber z.B. ssh von außen zulassen, smtp auch, aber smtp zusätzlich mit einer MAC-Adresse des Clients schützen. Das geht mit der Susefirewall nur über die Hooks. Und in der Regel geht es erstmal nicht, weil ich was falsch mache. Diesen Fehler jetzt zu finden ist deutlich einfacher mit einer Firewall, die von vornherein vielleicht etwas unkomfortabler ist, wo ich aber ein Script Zeile für Zeile durchsehen kann, wo mein Kram eigentlich hängenbleibt.
Sehe ich anders. Das Script liegt irgendwo, holt sich Parameter von anderswo, hängt noch die Hooks aus einer dritten Datei rein, das sind drei Dateien, und das Ergebnis kann ich mir mit iptables -L angucken und enthält logischerweise nichtmal Kommentare. Wie schön ist im vergleich dazu _eine_ Datei mit vielen Kommentaren, in der einfach iptables Befehle untereinanderstehen.
sie liegen nicht _irgendwo_. wo die einzelnen dateien der SF2 liegen, ist sehr gut dokumentiert. genauso finden sich in allen dateien, zum teil sehr umfangreiche, kommentare.
Es liegt an drei Stellen im System, und der Start ist über diverse Scripte verteilt. Ich finde das unübersichtlich.
zum bauen von paketfiltern wird auch oft 'fwbuilder' empfohlen.
<http://www.fwbuilder.org/> ich kenne es aber nicht. ich nutze immer noch 'ipchains'.
fwbuilder kenne ich. Ist noch abstrakter.
sorry, aber generiert dieses fwbuilder nicht genau das, was du willst? ich kenne es wirklich nicht, dachte aber immer, es generiert genau eine datei mit den einzelnen iptables aufrufen.
Ich will pures iptables, manuell programmiert und kommentiert, und kein Programm, das mir iptables /rausschreibt/. Ich will ein schönes bash-script, das kommentiert ist, mit solchen schönen Dingen wie # entkommentieren sie die nächste Zeile, # wenn sie wollen, daß... mit ordentlichen Einrückungen und Variablen. Ich will, daß jemand schreibt iptables -s $INT -d EXT -j .... iptables -s $EXT -d INT -j .... iptables -s $INT -d INT -j .... ... und nicht irgendwelche Schleifen for $I in $INTERFACES iptables -d $I ... ...in denen mit kryptischen awk und sed-Kommandos superclever hantiert wird, nur lesen kann man's nicht mehr. Ich will maximale Nachvollziehbarkeit. Ich will iptables -L eintippen und erkennen, wo die Regeln herkommen.
ipchains hat meines Wissens einen großen Vorteil gegenüber iptables: Man kann Testpakete durchschicken. Soviel ich weiss, ist das bei iptables nicht mehr eingebaut. Sehr schade. Jemand anderer Meinung? :-)
ja, iptables --help.
,----[ iptables --help ] | --check -C chain Test this packet on chain `----|
Nö. man iptables: BUGS Check is not implemented (yet).
also <http://buug.de/~aleks/iptables/> sieht ganz interessant aus.
Jepp. Grob überflogen, sieht sehr ordentlich aus. Genau das meinte ich: Dieses Script kann man lesen!
du musst dich nur von deiner 'alles muss in einer datei sein'-phobie befreien.
Nö. Geht doch, siehe dein eigener Vorschlag. :-) Gruß, Ratti -- -o) /\\ fontlinge Font management for Linux _\_V http://www.gesindel.de Schriftenverwaltung fuer Linux