Florian Lohoff schrieb: > On Sun, Feb 21, 2010 at 11:31:40AM +0100, Peter Lohmann wrote: >> Hi! >> >> Gibt es eigentlich irgendeine Art Assistent für die Definition von Firewall >> (iptables) Regeln - am Besten einen, der ein Basic Ruleset z.B. gleich >> mitbringt? > > Was ist denn so schwer an iptables das man da einen assistenten braucht? >
Das Problem der meisten ist, das es "magisch" ist, wie die Packete durch iptables gehen, und so nicht verstehen, WARUM etwas so als Regel da steht. Klar, das matched hier mal auf ip, das da auf port, hmm, ja, das erschliesst sich einem recht schnell, aber wie das ineinander greift, gerade mit state filtern? So tappt man dann "im dunkeln" ohne "Karte" im Kopf, c&p'ed irgendwas um irgendwas zu erreichen, ohne zu verstehen was man da eigentlich macht, oder sucht gleich den Assistenten. Das ist nichts schlimmes, iptables ist halt ein komplexes system. Aber da hilft ja oft ein Bild! Einfach: <http://www.frozentux.net/iptables-tutorial/chunkyhtml/images/tables_traverse.jpg> "Komplett": <http://l7-filter.sourceforge.net/PacketFlow.png> Dort ist dann jeweils die "table" und die "chain" drangeschrieben. Jetzt noch beherzigen das an einer Regel alle Bedingen gelten muessen (ver-"und"-et) und das Regeln in einer chain von "oben nach unten" abgearbeitet werden bis eine matched (ver-"oder"-ert), sonst schlaegt der Default zu. Nachdem man das "gefressen" hat was wann wo vorbeikommt, schreibt man iptables regeln runter wie shell Befehle (Was will ich machen? Ah ja, da das dort taggen/verwerfen/umeandern, das in die Chain, das in die Table, da die Bedingung, da jenes Target). Meine persoehnliche Meinung... [snip] > > Flo > Gruss Jan -- (⊙﹏⊙) -- Linux mailing list [email protected] subscribe/unsubscribe: http://lug-owl.de/mailman/listinfo/linux Hinweise zur Nutzung: http://www.lug-owl.de/Mailingliste/hints.epo
