Re: [Sysadmins] Макроязык для firewall
Eugene Prokopiev writes: Здравствуйте! А есть ли у нас или может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? Я знаю пока только о поддержке firewall в etcnet, но какое-то оно слишком низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором функций, используя которые я могу писать такие правила: Использую. Свое самописное в виде модуля tcl. \skip У меня оно другое. Так как я пишу правила достаточно жесткие то чтоб было меньше писать и совершать меньше ошибок (например раньше я бывало забывал написать правило OUTPUT симметричное правилу INPUT). Можно бы и еще проще (оставить только allow* и forward*), то так для меня сохраняется максимальная читабельность, хотя сейчас я уже думаю, что это и не нужно ... Делает ли кто что-то подобное, и нужны ли (а может есть) такие средства в Сизифе, т.е. стоит ли опакетить? В Сизифе думаю что будет. После того как у peet@ и у меня появится свободное время чтоб связать это с connexion ;) -- With Best Regards, Maxim Tyurin JID:[EMAIL PROTECTED] ___ / _ )__ _ ___ ___ _ / _ / // / _ \/ _ `/ _ `/ __/ // (_- //\_,_/_//_/\_, /\_,_/_/ \_,_/___/ /___/ ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Макроязык для firewall
В сообщении от Monday 28 January 2008 09:34:30 Eugene Prokopiev написал(а): Здравствуйте! А есть ли у нас или может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? Я знаю пока только о поддержке firewall в etcnet, но какое-то оно слишком низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором функций, используя которые я могу писать такие правила: skip / Делает ли кто что-то подобное, и нужны ли (а может есть) такие средства в Сизифе, т.е. стоит ли опакетить? пока не приделал интерфейс, чтобы подключить скрипт Макса, у меня только simple-acl, но пока его мне хватает (пример с домашней машины): ! configure network ... ! interfaces ! ethernet 1 address 192.168.0.1/24 address 192.168.0.10/24 call macom out call nat out ... ! tc ! simple-acl macom rule 100 reject dst 213.247.243.0/24 rule 101 reject dst 213.247.247.0/24 ! simple-acl nat rule 10 snat tosrc 192.168.0.1 в Сизифе есть, но старая версия. Новые версии не пакечу по ряду причин, среди которых первая -- мне пока достаточно make install при сборке раутерного имиджа. -- Peter V. Saveliev ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Макроязык для firewall
Monday, 28 January 2008 08:34:30 Eugene Prokopiev написав: Здравствуйте! А есть ли у нас или может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? fwcreator -- Led ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Макроязык для firewall
Eugene Prokopiev пишет: может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? Не самопальное и не гуи: shorewall -- Anton Kvashin ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
Re: [Sysadmins] Макроязык для firewall
On Mon, 28 Jan 2008 09:34:30 +0300 Eugene Prokopiev wrote: А есть ли у нас или может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? ... FIAIF - в дистрибутиве есть. Для обсуждаемой в community@ темы простого шлюза комп с двумя сетевушками eth0 192.168.x.51(городская сеть и VPN) eth2 192.168.0.1 шлюз 192.168.x.1 (http://lists.altlinux.org/pipermail/community/2008-January/403115.html) конфигурация выглядела бы так: /etc/fiaif/fiaif.conf --8--- ... DONT_START=0 ZONES=EXT INT CONF_INT=zone.int CONF_EXT=zone.ext ... DEBUG=0 ... --8--- /etc/fiaif/zone.int: --8--- NAME=INT DEV=eth2 DYNAMIC=1 GLOBAL=0 IP_EXTRA= NET_EXTRA=224.0.0.0/4 DHCP_SERVER=0 INPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 OUTPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 FORWARD[0]=ALL DROP ALL 0.0.0.0/0=0.0.0.0/0 REDIRECT_PROXY=tcp 80 0.0.0.0/0=0.0.0.0/0 127.0.0.1 3128 SNAT[0]=EXT ALL 0.0.0.0/0=0.0.0.0/0 TC_ENABLE=0 --8--- /etc/fiaif/zone.ext: --8--- NAME=EXT DEV=eth0 DYNAMIC=1 GLOBAL=1 IP_EXTRA= NET_EXTRA=192.168.x.0/255.255.255.0 DHCP_SERVER=0 INPUT[0]=ACCEPT tcp ssh 0.0.0.0/0=0.0.0.0/0 INPUT[1]=ACCEPT icmp echo-request 0.0.0.0/0=0.0.0.0/0 INPUT[2]=DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=0.0.0.0/0 INPUT[3]=DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=0.0.0.0/0 INPUT[4]=REJECT udp ALL 0.0.0.0/0=0.0.0.0/0 INPUT[5]=DROP ALL 0.0.0.0/0=0.0.0.0/0 OUTPUT[0]=ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 FORWARD[0]=ALL ACCEPT ALL 0.0.0.0/0=0.0.0.0/0 REPLY_AUTH=EXT tcp-reset tcp auth 0.0.0.0/0=0.0.0.0/0 REPLY_TRACEROUTE=EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=0.0.0.0/0 LIMIT_PING=EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=0.0.0.0/0 TC_ENABLE=0 --8--- В итоговой конфигурации были бы заблокированы обращения извне с частных подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS), ну и т.п. - в общей сложности порядка 400 правил. Примеры конфигурации в пакете, разумеется, присутствуют. -- С уважением, Николай Фетисов ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins
[Sysadmins] Макроязык для firewall
Здравствуйте! А есть ли у нас или может кто использует самопальные средства (набор скриптов, а не GUI) для упрощения написания правил iptables? Я знаю пока только о поддержке firewall в etcnet, но какое-то оно слишком низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором функций, используя которые я могу писать такие правила: . /opt/scripts/firewall/fw-functions.sh fw_clear fw_policy DROP fw_define_allowed fw_define_rejected fw_allow_interface lo fw_validate_tcp fw_allow_icmp fw_allow_client_udp fw_allow_client_tcp fw_allow_tcp + 0.0.0.0/0 22 fw_allow_tcp lan 192.168.12.10 222 10.0.101.103 22 fw_forward_to_interface wan 192.168.12.0/24 $WAN_ADDRESS fw_drop Можно бы и еще проще (оставить только allow* и forward*), то так для меня сохраняется максимальная читабельность, хотя сейчас я уже думаю, что это и не нужно ... Делает ли кто что-то подобное, и нужны ли (а может есть) такие средства в Сизифе, т.е. стоит ли опакетить? -- С уважением, Прокопьев Евгений ___ Sysadmins mailing list Sysadmins@lists.altlinux.org https://lists.altlinux.org/mailman/listinfo/sysadmins