Iptables Assistent
Jan 'RedBully' Seiffert
redbully at cc.hs-owl.de
Sun Feb 21 13:30:57 CET 2010
Florian Lohoff schrieb:
> On Sun, Feb 21, 2010 at 11:31:40AM +0100, Peter Lohmann wrote:
>> Hi!
>>
>> Gibt es eigentlich irgendeine Art Assistent für die Definition von Firewall
>> (iptables) Regeln - am Besten einen, der ein Basic Ruleset z.B. gleich mitbringt?
>
> Was ist denn so schwer an iptables das man da einen assistenten braucht?
>
Das Problem der meisten ist, das es "magisch" ist, wie die Packete durch
iptables gehen, und so nicht verstehen, WARUM etwas so als Regel da steht.
Klar, das matched hier mal auf ip, das da auf port, hmm, ja, das erschliesst
sich einem recht schnell, aber wie das ineinander greift, gerade mit state filtern?
So tappt man dann "im dunkeln" ohne "Karte" im Kopf, c&p'ed irgendwas um
irgendwas zu erreichen, ohne zu verstehen was man da eigentlich macht, oder
sucht gleich den Assistenten.
Das ist nichts schlimmes, iptables ist halt ein komplexes system.
Aber da hilft ja oft ein Bild!
Einfach:
<http://www.frozentux.net/iptables-tutorial/chunkyhtml/images/tables_traverse.jpg>
"Komplett":
<http://l7-filter.sourceforge.net/PacketFlow.png>
Dort ist dann jeweils die "table" und die "chain" drangeschrieben.
Jetzt noch beherzigen das an einer Regel alle Bedingen gelten muessen
(ver-"und"-et) und das Regeln in einer chain von "oben nach unten" abgearbeitet
werden bis eine matched (ver-"oder"-ert), sonst schlaegt der Default zu.
Nachdem man das "gefressen" hat was wann wo vorbeikommt, schreibt man iptables
regeln runter wie shell Befehle (Was will ich machen? Ah ja, da das dort
taggen/verwerfen/umeandern, das in die Chain, das in die Table, da die
Bedingung, da jenes Target).
Meine persoehnliche Meinung...
[snip]
>
> Flo
>
Gruss
Jan
--
(⊙﹏⊙)
More information about the Linux
mailing list