Re: [Sysadmins] Макроязык для firewall

2008-01-31 Пенетрантность Maxim Tyurin 
Eugene Prokopiev writes:

 Здравствуйте!

 А есть ли у нас или может кто использует самопальные средства (набор
 скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
 пока только о поддержке firewall в etcnet, но какое-то оно слишком
 низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
 функций, используя которые я могу писать такие правила:

Использую. Свое самописное в виде модуля tcl.
\skip
У меня оно другое. Так как я пишу правила достаточно жесткие то чтоб
было меньше писать и совершать меньше ошибок (например раньше я бывало
забывал написать правило OUTPUT симметричное правилу INPUT).

 Можно бы и еще проще (оставить только allow* и forward*), то так для
 меня сохраняется максимальная читабельность, хотя сейчас я уже думаю,
 что это и не нужно ...

 Делает ли кто что-то подобное, и нужны ли (а может есть) такие
 средства в Сизифе, т.е. стоит ли опакетить?

В Сизифе думаю что будет. После того как у peet@ и у меня появится
свободное время чтоб связать это с connexion ;)

-- 

With Best Regards, Maxim Tyurin
JID:[EMAIL PROTECTED]
   ___ 
  / _ )__ _  ___  ___ _
 / _  / // / _ \/ _ `/ _ `/ __/ // (_-
//\_,_/_//_/\_, /\_,_/_/  \_,_/___/
   /___/  
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Макроязык для firewall

2008-01-31 Пенетрантность Peter V. Saveliev 
В сообщении от Monday 28 January 2008 09:34:30 Eugene Prokopiev написал(а):
 Здравствуйте!

 А есть ли у нас или может кто использует самопальные средства (набор
 скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
 пока только о поддержке firewall в etcnet, но какое-то оно слишком
 низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
 функций, используя которые я могу писать такие правила:

skip /
 Делает ли кто что-то подобное, и нужны ли (а может есть) такие
 средства в Сизифе, т.е. стоит ли опакетить?

пока не приделал интерфейс, чтобы подключить скрипт Макса, у меня только 
simple-acl, но пока его мне хватает (пример с домашней машины):

!
configure network
...
!
interfaces
!
ethernet 1
address 192.168.0.1/24
address 192.168.0.10/24
call macom out
call nat out
...
!
tc
!
simple-acl macom
rule 100 reject dst 213.247.243.0/24
rule 101 reject dst 213.247.247.0/24
!
simple-acl nat
rule 10 snat tosrc 192.168.0.1

в Сизифе есть, но старая версия. Новые версии не пакечу по ряду причин, среди 
которых первая -- мне пока достаточно make install при сборке раутерного 
имиджа.

-- 
Peter V. Saveliev
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Макроязык для firewall

2008-01-28 Пенетрантность Led 
Monday, 28 January 2008 08:34:30 Eugene Prokopiev написав:
 Здравствуйте!

 А есть ли у нас или может кто использует самопальные средства (набор
 скриптов, а не GUI) для упрощения написания правил iptables?

fwcreator

-- 
Led
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Макроязык для firewall

2008-01-28 Пенетрантность Anton Kvashin 
Eugene Prokopiev пишет:
 может кто использует самопальные средства (набор
 скриптов, а не GUI) для упрощения написания правил iptables?

Не самопальное и не гуи: shorewall

-- 
Anton Kvashin
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

Re: [Sysadmins] Макроязык для firewall

2008-01-28 Пенетрантность Nikolay A. Fetisov 
On Mon, 28 Jan 2008 09:34:30 +0300
Eugene Prokopiev wrote:

 А есть ли у нас или может кто использует самопальные средства (набор
 скриптов, а не GUI) для упрощения написания правил iptables? ...

FIAIF - в дистрибутиве есть. 


Для обсуждаемой в community@ темы простого шлюза
комп с двумя сетевушками
eth0   192.168.x.51(городская сеть и VPN)
eth2   192.168.0.1
шлюз 192.168.x.1

(http://lists.altlinux.org/pipermail/community/2008-January/403115.html)


конфигурация выглядела бы так:

/etc/fiaif/fiaif.conf
--8---
...
DONT_START=0
ZONES=EXT INT
CONF_INT=zone.int
CONF_EXT=zone.ext
...
DEBUG=0
...
--8---


/etc/fiaif/zone.int:
--8---
NAME=INT
DEV=eth2
DYNAMIC=1
GLOBAL=0

IP_EXTRA=
NET_EXTRA=224.0.0.0/4
DHCP_SERVER=0

INPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0
OUTPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0
FORWARD[0]=ALL DROP ALL 0.0.0.0/0=0.0.0.0/0

REDIRECT_PROXY=tcp 80 0.0.0.0/0=0.0.0.0/0 127.0.0.1 3128

SNAT[0]=EXT ALL 0.0.0.0/0=0.0.0.0/0

TC_ENABLE=0
--8---


/etc/fiaif/zone.ext:
--8---
NAME=EXT
DEV=eth0
DYNAMIC=1
GLOBAL=1

IP_EXTRA=
NET_EXTRA=192.168.x.0/255.255.255.0
DHCP_SERVER=0

INPUT[0]=ACCEPT tcp ssh 0.0.0.0/0=0.0.0.0/0
INPUT[1]=ACCEPT icmp echo-request 0.0.0.0/0=0.0.0.0/0
INPUT[2]=DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=0.0.0.0/0
INPUT[3]=DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=0.0.0.0/0
INPUT[4]=REJECT udp ALL 0.0.0.0/0=0.0.0.0/0
INPUT[5]=DROP ALL 0.0.0.0/0=0.0.0.0/0

OUTPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0

FORWARD[0]=ALL ACCEPT ALL 0.0.0.0/0=0.0.0.0/0

REPLY_AUTH=EXT tcp-reset tcp auth 0.0.0.0/0=0.0.0.0/0
REPLY_TRACEROUTE=EXT icmp-port-unreachable udp 33434:33464 
0.0.0.0/0=0.0.0.0/0 
LIMIT_PING=EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=0.0.0.0/0

TC_ENABLE=0
--8---

В итоговой конфигурации были бы заблокированы обращения извне с частных 
подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых 
IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS), 
ну и т.п. - в общей сложности порядка 400 правил.

Примеры конфигурации в пакете, разумеется, присутствуют.


-- 
С уважением,
Николай Фетисов
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins

[Sysadmins] Макроязык для firewall

2008-01-27 Пенетрантность Eugene Prokopiev 
Здравствуйте!

А есть ли у нас или может кто использует самопальные средства (набор
скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
пока только о поддержке firewall в etcnet, но какое-то оно слишком
низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
функций, используя которые я могу писать такие правила:

. /opt/scripts/firewall/fw-functions.sh

fw_clear
fw_policy DROP

fw_define_allowed
fw_define_rejected

fw_allow_interface lo

fw_validate_tcp

fw_allow_icmp

fw_allow_client_udp

fw_allow_client_tcp

fw_allow_tcp +   0.0.0.0/0  22
fw_allow_tcp lan 192.168.12.10  222  10.0.101.103   22

fw_forward_to_interface wan 192.168.12.0/24 $WAN_ADDRESS

fw_drop

Можно бы и еще проще (оставить только allow* и forward*), то так для
меня сохраняется максимальная читабельность, хотя сейчас я уже думаю,
что это и не нужно ...

Делает ли кто что-то подобное, и нужны ли (а может есть) такие
средства в Сизифе, т.е. стоит ли опакетить?

-- 
С уважением,
Прокопьев Евгений
___
Sysadmins mailing list
Sysadmins@lists.altlinux.org
https://lists.altlinux.org/mailman/listinfo/sysadmins