Hallo Ich setze meine Iptables-Reglen mit fwbuilder. Ein grafisches Frontend, für alle, die das nicht mit den Tasten machen möchten oder können. Zu meiner Verteidigung: Auch fwbuilder setzt einiges an Grundwissen voraus. Nun möchte ich mein Script auf den eigentlichen Firewall zügeln. Zuvor habe ich mit dem Lesen von anderen Scripts Stunden verbraten. Mich interessieren nicht die Rules. Sondern ganz einfach, wie ich dieses Script starten kann. Irgendwie macht das jeder anders. Ich möchte, dass die FW immer läuft, also nicht erst bei einer Verbindung ins Internet.(Der Rechner läuft immer) Unten habe ich mal einen kleinen Teil meines Scripts angehängt. Da wo ich ein ==> gepflanzt habe, gehört meiner Meinung nach noch irgendwelche Dinge hin. Aber ich weiss nicht was (Ich meine keine Rules, sondern andere Scriptaufrufe oder Programmstarts?). #!/bin/sh # # This is automatically generated file. DO NOT MODIFY ! # # Firewall Builder fwb_iptables v1.0.1 # # Generated Wed Jul 17 18:23:53 2002 CET by Chef # # # # if [ -x /usr/bin/logger ]; then logger -p notice "Activating firewall script firewall.fw generated Wed Jul 17 18:23:53 2002 CET by Chef" fi ===> FWD=`cat /proc/sys/net/ipv4/ip_forward` echo "0" > /proc/sys/net/ipv4/ip_forward echo "1" > /proc/sys/net/ipv4/ip_dynaddr echo "1" > /proc/sys/net/ipv4/conf/all/accept_source_route echo "0" > /proc/sys/net/ipv4/icmp_echo_ignore_all echo "30" > /proc/sys/net/ipv4/tcp_fin_timeout echo "1800" > /proc/sys/net/ipv4/tcp_keepalive_intvl iptables -P OUTPUT DROP iptables -P INPUT DROP iptables -P FORWARD DROP cat /proc/net/ip_tables_names | while read table; do iptables -t $table -L -n | while read c chain rest; do if test "X$c" = "XChain" ; then iptables -t $table -F $chain fi done iptables -t $table -X done ip -f inet addr flush dev eth1 scope link ip -f inet addr flush dev eth2 scope link ip -f inet addr flush dev ppp0 scope link In /etc/init.d/iptables habe ich folgenden Eintrag gemacht: case "$1" in start) start ####### FWBUILDER SCRIPT /etc/fwbuilder/firewall.fw ################################# ;; stop) stop ;; restart) # "restart" is really just "start" as this isn't a daemon, # and "start" clears any pre-defined rules anyway. # This is really only here to make those who expect it happy start ####### FWBUILDER SCRIPT /etc/fwbuilder/firewall.fw Für alle die, die fwbuilder kennen, sagen jetzt sicher, dass ich mich darum nich kümmern muss. Stimmt. Aber auf dem Rechner, auf dem ich fwbuilder laufen habe, brauch ich nur, um die Rules zuammenzuklicken. Auf dem FW-Rechner selbst, sollte nur das absolute Minimum laufen. Irgendwie sollte das soch nicht so eine Hexerei sein. FW-Rechner kann sein: SuSE ab 7.3 mit 3 Netzwerkkarten und ADSL. Wäre nett, wenn mir da jemand unter die Arme greifen könnte. Gruss Fabian
Am Donnerstag, 18. Juli 2002 20:11 schrieb Fabian Huesser:
Nun möchte ich mein Script auf den eigentlichen Firewall zügeln. Zuvor habe ich mit dem Lesen von anderen Scripts Stunden verbraten. Mich interessieren nicht die Rules. Sondern ganz einfach, wie ich dieses Script starten kann. Irgendwie macht das jeder anders. Ich möchte, dass die FW immer läuft, also nicht erst bei einer Verbindung ins Internet.(Der Rechner läuft immer)
Dann startest du die Firewall am besten gleich im Standard-Runlevel (dein Standard-Runlevel steht in /etc/inittab). Du legst dein Skript nach /etc/rc.d und in z.B. /etc/rc.d/rc3.d/ machst du einen Link auf /etc/rc.d/deinskript (ln -s /etc/rc.d/deinskript S99firewall). Des weiteren solltest du dafür sorgen, dass in den anderen Runlevels das Firewalling wieder gestoppt wird.
Wäre nett, wenn mir da jemand unter die Arme greifen könnte.
Hoffe ich habe dich richtig verstanden und es bringt dich weiter... Grüsse, Nicolas
Hallo
Ich möchte, dass die FW immer läuft, also nicht erst bei einer Verbindung ins Internet.(Der Rechner läuft immer)
Dann startest du die Firewall am besten gleich im Standard-Runlevel (dein Standard-Runlevel steht in /etc/inittab). Du legst dein Skript nach /etc/rc.d und in z.B. /etc/rc.d/rc3.d/ machst du einen Link auf /etc/rc.d/deinskript (ln -s /etc/rc.d/deinskript S99firewall). Des weiteren solltest du dafür sorgen, dass in den anderen Runlevels das Firewalling wieder gestoppt wird.
Wäre nett, wenn mir da jemand unter die Arme greifen könnte.
Hoffe ich habe dich richtig verstanden und es bringt dich weiter...
Das bringt schon einiges! Aber wenn ich andere Script anschaue, laden die die benötigten nat-module. Das macht mein super fwbuilder Frontend nicht selbst ;-) Da happerts bei mir im Moment nocht. Naja, werde mal drüber schlafen und nächste Woche sollte mein Netzguruh wieder da sein, vielleicht kann der mir das mal verständlich erklären ;-) Gruss Fabian
Am Donnerstag, 18. Juli 2002 14:14 schrieb Fabian Huesser:
Wenn ich andere Script anschaue, laden die die benötigten nat-module. Das macht mein super fwbuilder Frontend nicht selbst ;-) Da happerts bei mir im Moment nocht.
Dann trags doch von Hand in deine Skripte ein (man modprobe) ;-) Grüsse, Nicolas
Am Donnerstag, 18. Juli 2002 20:11 schrieb Fabian Huesser:
Nun möchte ich mein Script auf den eigentlichen Firewall zügeln. Zuvor habe ich mit dem Lesen von anderen Scripts Stunden verbraten. Mich interessieren nicht die Rules. Sondern ganz einfach, wie ich dieses Script starten kann. Irgendwie macht das jeder anders.
more /etc/init.d/README more /etc/init.d/skeleton man insserv Links selbst zu setzen wie Nicolas vorgeschlagen, solltest Du ab SuSE 7.1 tunlichst vermeiden, weil SuSEConfig die sonst bei jedem Lauf umbiegt. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
Am Donnerstag, 18. Juli 2002 22:16 schrieb Manfred Tremmel:
Links selbst zu setzen wie Nicolas vorgeschlagen, solltest Du ab SuSE 7.1 tunlichst vermeiden, weil SuSEConfig die sonst bei jedem Lauf umbiegt.
Iih! Ist das wahr? Ist ja eine ganz hässliche Erweiterung, die SuSE hier in ihr SuSEConfig eingebaut hat (Was meinst du mit umbiegt? Auf ein anderes Skript oder was?) Grüsse, Nicolas
Am Samstag, 20. Juli 2002 15:32 schrieb Nicolas Rüegg:
Am Donnerstag, 18. Juli 2002 22:16 schrieb Manfred Tremmel:
Links selbst zu setzen wie Nicolas vorgeschlagen, solltest Du ab SuSE 7.1 tunlichst vermeiden, weil SuSEConfig die sonst bei jedem Lauf umbiegt.
Iih! Ist das wahr? Ist ja eine ganz hässliche Erweiterung, die SuSE
Das entspricht der LSB, dass via insserv die Links gesetzt werden, ist also keine SuSE-Erfindung.
hier in ihr SuSEConfig eingebaut hat (Was meinst du mit umbiegt? Auf ein anderes Skript oder was?)
Na die Start- und Stopreihenfolge. Wenn Du nen Link von Deinem Script xyz auf /etc/init.d/rc3.d/S70xyz anlegst, dort keine Abhängigkeiten drinnen sind, wird das ganze auf S00xyz geändert. Wenn Du nun irgendwas benötigst (bei nem Firewallscript muß z.B. das Netzwerk stehen, eventuell i4l usw.), geht die Sache in die Hose. -- Machs gut | http://www.iiv.de/schwinde/buerger/tremmel/ Manfred | http://www.knightsoft-net.de
participants (3)
-
Fabian Huesser -
Manfred Tremmel -
Nicolas Rüegg