iptables Frontend

    Hatte bis jetzt Shorewall, aber suche jetzt was Bestimmtes:
    Ich habe mehrere Netzwerk Interfaces, teilweise auch mit mehreren Adressen bzw. Subnets dran. Also eth0, eth1, eth1:1, usw. Die Subnets und Interfaces sollen alle wirre Regeln haben ;)
    Shorewall unterstützt leider nur "normale" Interfaces, ich brauche also was anderes. Und ich will wirklich ein Frontend, bitte keine Diskussion drüber, ich könnte zwar ein ewiglanges Script schreiben, möchte aber nicht die Übersicht verlieren, wenn ich dann nach paar Wochen was ändere und ein ewiglanges iptables-Script vor mir habe. Günstig wäre irgendwas textbasiertes, Firewall mit Klicken erstellen wäre zu viel Frontend des guten ;)

    Hi!

    Shorewall bietet schon die Möglichkeit verschiedene Netze an einem Interface mit Regeln zu versehen, indem du einfach im zones file mehrere zones definiertst und dann im interfaces file diese zones einfach dem selben interface zuweist, mit dem Netz dahinter angegeben:

    ../zones :

    #ZONE DISPLAY COMMENTS
    net Net Internet
    loc Local Local Networks
    wlan WLAN WLAN net

    ../interfaces :

    ...
    loc eth0:192.168.1.1/24 detect dhcp,nobogons,tcpflags
    net ppp0 detect tcpflags
    wlan eth0:192.168.0.1/24 detect tcpflags,nobogons
    ...

    Natürlich kannst du auch bei den rules einfach die Zone und das Netz dahinter verwenden dass auf dem Interface liegt für das du die Zone definiert hast:

    ../rules :

    ...
    ACCEPT wlan:192.168.0.10/32 fw tcp 53
    ...


    Falls du trotzdem ein GUI suchst kann ich dir den Firewall Builder ans Herz legen, da ich mit dem gute Erfahrungen gemacht hab.


    -mfg georg

    Ist das neu? Ich hab' Version 2.4.1, wo das nicht geht und auch in der Dokumentation steht, dass es nicht geht. (also die Interfaces so in die /etc/interfaces zu schreiben)
    Es gibt zwar nen Guide für Shorewall und IP Aliasing aber damit bin ich auch noch nicht recht glücklich geworden...

    Naja, bei mir laufts mit der Version 2.2, aber eben genau dieser Syntax.

    Aber mal kurz auf shorewall.net -> Documentation -> Aliased Interfaces
    nachgeschlagen, ist unter Multpile Subnets - Example 6 eine Bespielkonfiguration wie du sie suchst, die syntaktisch leicht anders ist, aber dafür schon ab ver. 1.4.2 funktionieren soll. ;)

    Hm. Ich hab' Version 2.4 und da geht deine Syntax nicht (steht auch in meiner Dokumentation drin, dass es nicht geht, sehr seltsam).
    Ja, die Doku kenne ich, nur klappte mit der das Masquerading nicht mehr. (sobald ich ein Interface in der /etc/hosts erst näher definierte).
    Hab's nun so gelöst: einfach ne Rule erstellt für den Rechner mit entsprechender IP. Gefällt mir nicht so, sind viele Rules, da noch ein Rechner in dieses Subnet kommt, aber was soll's, es geht alles ;)

    Hauptsache es läuft ;).

    Falls die config mit shorewall zu komplex wird kann ich dir wirklich den Firewall Builder ans Herz legen.
    Die erstmalige Konfiguration und Einarbeitung ist zwar ein bischen zeitaufwändig, dafür die Wartung bei komplexeren System auf Dauer einfacher.
    (find ich halt :D)

    -mfg

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden