Iptables Assistent

[Alexander Gretencord]

On Sunday 21 February 2010, Thomas Findeisen wrote:
> > Das Problem ist die Security deines Systems an einen Assistenten
> > "outzusourcen" das ja,  weil man die innereien von iptables verweigert,
> Nein, nicht ganz. Der Assistent spuckt am Ende den Syntax aus, auf
> dessen Basis man gut weiterarbeiten kann.

Ohne euch Zwei zu nahe treten zu wollen, zeigt das hier doch eines der vielen 
Probleme von Open Source Projekten: Selbstzerfleischung der Community ueber 
unwichtigen Schnickschnack, wie der Frage, ob man nun eine GUI fuer etwas 
verwenden sollte (darf?) oder nicht. Mehr Popcorn!
 
> > Das ist wie die Personal Firewall auf der man immer nur "Allow" klickt
> > weil man es nicht verstanden hat.
> Wie gesagt, wir reden von einer GUI welche die Skripte erzeugt. 

Was ist an einer GUI besser, die Skripte erzeugt, als einer GUI, die einem 
alles komplett abnimmt und die Regeln direkt an den Kernel gibt?

Florian hat das eigentliche Problem schon korrekt beschrieben: Leute, die 
glauben, sie haetten Ahnung, weil sie wissen, wie man auf Allow klickt. Das 
alles hat aber nicht damit zu tun, ob man nun ein GUI verwenden will, soll, 
darf oder kann.

Ich persoenlich mag meine Personal Firewall unter Windows sehr gerne. Sie hat 
ein paar wirklich nette Features, wie zum Beispiel die Notifikation bei 
"neuer" Art von Kommunikation, so dass ich nicht sofort an alles denken muss. 
Ich weiss aber ueber IP Bescheid und kann somit auch etwas mit den Meldungen 
anfangen und entsprechend handeln. Hinter dieser GUI steckt aber ein ganz 
normaler Paketfilter wie IPTables. Leider gibt es viele Personal Firewalls, 
die einem so etwas nicht bieten und die unbedarften Benutzern suggerieren, 
dass sie sicher waeren (obwohl staendig ohne wirkliche Ahnung Allow geklickt 
wird ...).

Kleiner Tip, wenn Assistent nicht gleich GUI heissen muss: Ich persoenlich 
fand unter Linux shorewall super. Ist keine GUI (jaja, ich weiss, was ich eben 
geschrieben habe :P), aber man muss auch nicht selber iptables in ein Skript 
hacken. Das Schoene ist, dass sie einem die command line Optionen fuer 
iptables wegabstrahiert, man aber dennoch den vollen Umfang an Kontrolle hat. 
Habe ich sowohl zu Hause mit zwei Rechnern, als auch in der Firma mit etlichen 
Servern und Netzen, VPN und WLAN eingesetzt. Man definiert seine Regeln anhand 
von Zonen und wer aus welcher Zone mit welcher anderen Zone reden darf. Selbst 
ohne Ahnung von IP ist man hier ziemlich sicher, wenn man sich nicht davon 
abschrecken laesst, dass es keine GUI gibt, aber wenn man Ahnung von IP hat 
und weiss was man tut, fuehlt man sich sofort wohl und ist dankbar dafuer, 
dass man das nicht alles selber machen muss.

Probierts einfach mal aus und schaut, was alles aus einer nahezu default 
Config an Regeln generiert wird. Und dann schaut am besten nochmal, was daraus 
wird, wenn ihr erstmal diverse Netze, ISPs etc. habt. Dieses Rad will man 
einfach nicht neu erfinden ...


Alex