* [Sysadmins] "Макроязык" для firewall
@ 2008-01-28 6:34 Eugene Prokopiev
2008-01-28 8:41 ` [Sysadmins] " Макроязык " " Led
` (6 more replies)
0 siblings, 7 replies; 9+ messages in thread
From: Eugene Prokopiev @ 2008-01-28 6:34 UTC (permalink / raw)
To: Sysadmins
Здравствуйте!
А есть ли у нас или может кто использует самопальные средства (набор
скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
пока только о поддержке firewall в etcnet, но какое-то оно слишком
низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
функций, используя которые я могу писать такие правила:
. /opt/scripts/firewall/fw-functions.sh
fw_clear
fw_policy DROP
fw_define_allowed
fw_define_rejected
fw_allow_interface lo
fw_validate_tcp
fw_allow_icmp
fw_allow_client_udp
fw_allow_client_tcp
fw_allow_tcp + 0.0.0.0/0 22
fw_allow_tcp lan 192.168.12.10 222 10.0.101.103 22
fw_forward_to_interface wan 192.168.12.0/24 $WAN_ADDRESS
fw_drop
Можно бы и еще проще (оставить только allow* и forward*), то так для
меня сохраняется максимальная читабельность, хотя сейчас я уже думаю,
что это и не нужно ...
Делает ли кто что-то подобное, и нужны ли (а может есть) такие
средства в Сизифе, т.е. стоит ли опакетить?
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] " Макроязык " для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
@ 2008-01-28 8:41 ` Led
2008-01-28 8:57 ` [Sysadmins] "Макроязык" " Andrew Kornilov
` (5 subsequent siblings)
6 siblings, 0 replies; 9+ messages in thread
From: Led @ 2008-01-28 8:41 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Monday, 28 January 2008 08:34:30 Eugene Prokopiev написав:
> Здравствуйте!
>
> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables?
fwcreator
--
Led
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] "Макроязык" для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
2008-01-28 8:41 ` [Sysadmins] " Макроязык " " Led
@ 2008-01-28 8:57 ` Andrew Kornilov
2008-01-28 9:02 ` Anton Kvashin
` (4 subsequent siblings)
6 siblings, 0 replies; 9+ messages in thread
From: Andrew Kornilov @ 2008-01-28 8:57 UTC (permalink / raw)
To: sysadmins
"Eugene Prokopiev" <enp@altlinux.org> writes:
> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
> пока только о поддержке firewall в etcnet, но какое-то оно слишком
> низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
> функций, используя которые я могу писать такие правила:
Мой опыт такой: после изучения iptables tutorial, при использовании любых
"высокоуровневых" создателей правил для iptables, все время ловлю себя
на мысли, что совершенно не понимаю их и мозг автоматом пытается преобразовать
эти правила в синтаксис iptables, чтобы понять о чём речь. Поэтому для себя
в etcnet я сделал (да-да, я изобрел это чудовище :) просто raw syntax и некое
подобие ipfw из этих правил. Всякие усложнения, циклы, функции делать
сложно и никому, по большому счету, не нужно. Конечно, кое-что бы не помешало,
те же циклы, но это нужно всю логику работы переделывать. Мне оно давно не
нужно ни в каком виде, так что патчи, как говорится, are welcome :)
--
Andrew Kornilov
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] "Макроязык" для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
2008-01-28 8:41 ` [Sysadmins] " Макроязык " " Led
2008-01-28 8:57 ` [Sysadmins] "Макроязык" " Andrew Kornilov
@ 2008-01-28 9:02 ` Anton Kvashin
2008-01-28 10:11 ` Nikolay A. Fetisov
` (3 subsequent siblings)
6 siblings, 0 replies; 9+ messages in thread
From: Anton Kvashin @ 2008-01-28 9:02 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Eugene Prokopiev пишет:
> может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables?
Не самопальное и не гуи: shorewall
--
Anton Kvashin
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] "Макроязык" для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
` (2 preceding siblings ...)
2008-01-28 9:02 ` Anton Kvashin
@ 2008-01-28 10:11 ` Nikolay A. Fetisov
2008-01-28 13:35 ` Евгений Терешков
` (2 subsequent siblings)
6 siblings, 0 replies; 9+ messages in thread
From: Nikolay A. Fetisov @ 2008-01-28 10:11 UTC (permalink / raw)
To: sysadmins
On Mon, 28 Jan 2008 09:34:30 +0300
Eugene Prokopiev wrote:
> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables? ...
FIAIF - в дистрибутиве есть.
Для обсуждаемой в community@ темы простого шлюза
>комп с двумя сетевушками
> eth0 192.168.x.51(городская сеть и VPN)
> eth2 192.168.0.1
> шлюз 192.168.x.1
(http://lists.altlinux.org/pipermail/community/2008-January/403115.html)
конфигурация выглядела бы так:
/etc/fiaif/fiaif.conf
------8<---------------
...
DONT_START=0
ZONES="EXT INT"
CONF_INT=zone.int
CONF_EXT=zone.ext
...
DEBUG=0
...
------8<---------------
/etc/fiaif/zone.int:
------8<---------------
NAME=INT
DEV=eth2
DYNAMIC=1
GLOBAL=0
IP_EXTRA=""
NET_EXTRA="224.0.0.0/4"
DHCP_SERVER=0
INPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
FORWARD[0]="ALL DROP ALL 0.0.0.0/0=>0.0.0.0/0"
REDIRECT_PROXY="tcp 80 0.0.0.0/0=>0.0.0.0/0 127.0.0.1 3128"
SNAT[0]="EXT ALL 0.0.0.0/0=>0.0.0.0/0"
TC_ENABLE=0
------8<---------------
/etc/fiaif/zone.ext:
------8<---------------
NAME=EXT
DEV=eth0
DYNAMIC=1
GLOBAL=1
IP_EXTRA=""
NET_EXTRA="192.168.x.0/255.255.255.0"
DHCP_SERVER=0
INPUT[0]="ACCEPT tcp ssh 0.0.0.0/0=>0.0.0.0/0"
INPUT[1]="ACCEPT icmp echo-request 0.0.0.0/0=>0.0.0.0/0"
INPUT[2]="DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0"
INPUT[3]="DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0"
INPUT[4]="REJECT udp ALL 0.0.0.0/0=>0.0.0.0/0"
INPUT[5]="DROP ALL 0.0.0.0/0=>0.0.0.0/0"
OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
FORWARD[0]="ALL ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
REPLY_AUTH="EXT tcp-reset tcp auth 0.0.0.0/0=>0.0.0.0/0"
REPLY_TRACEROUTE="EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=>0.0.0.0/0"
LIMIT_PING="EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=>0.0.0.0/0"
TC_ENABLE=0
------8<---------------
В итоговой конфигурации были бы заблокированы обращения извне с частных
подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых
IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS),
ну и т.п. - в общей сложности порядка 400 правил.
Примеры конфигурации в пакете, разумеется, присутствуют.
--
С уважением,
Николай Фетисов
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] "Макроязык" для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
` (3 preceding siblings ...)
2008-01-28 10:11 ` Nikolay A. Fetisov
@ 2008-01-28 13:35 ` Евгений Терешков
2008-01-29 6:07 ` Eugene Prokopiev
2008-01-31 16:11 ` Maxim Tyurin
2008-01-31 22:13 ` [Sysadmins] " Макроязык " " Peter V. Saveliev
6 siblings, 1 reply; 9+ messages in thread
From: Евгений Терешков @ 2008-01-28 13:35 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
"Eugene Prokopiev" пишет:
> Делает ли кто что-то подобное, и нужны ли (а может есть) такие
> средства в Сизифе, т.е. стоит ли опакетить?
SuSEfirewall2, если не побоитесь. :-)
Правда, он не слишком то тесно в дистрибутив интегрирован. И док, как это
делать, нету (втыкать как удобнее в etcnet, видимо).
--
С уважением, Терешков Евгений.
Jabber ID: evg@altlinux.org, evg_krsk@jabber.ru
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] "Макроязык" для firewall
2008-01-28 13:35 ` Евгений Терешков
@ 2008-01-29 6:07 ` Eugene Prokopiev
0 siblings, 0 replies; 9+ messages in thread
From: Eugene Prokopiev @ 2008-01-29 6:07 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Спасибо всем, думаю, что мне оптимальнее будет опакетить свой
собственный велосипед - он все же значительно более тонкая прослойка
над iptables, чем, то что я посмотрел из предложенного, да и знаю я
его лучше прочих :) Правда, опакечу для себя, в Сизиф отправлять не
стану т.к. таких там и без меня хватает ;)
--
С уважением,
Прокопьев Евгений
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] "Макроязык" для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
` (4 preceding siblings ...)
2008-01-28 13:35 ` Евгений Терешков
@ 2008-01-31 16:11 ` Maxim Tyurin
2008-01-31 22:13 ` [Sysadmins] " Макроязык " " Peter V. Saveliev
6 siblings, 0 replies; 9+ messages in thread
From: Maxim Tyurin @ 2008-01-31 16:11 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
Eugene Prokopiev writes:
> Здравствуйте!
>
> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
> пока только о поддержке firewall в etcnet, но какое-то оно слишком
> низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
> функций, используя которые я могу писать такие правила:
Использую. Свое самописное в виде модуля tcl.
\skip
У меня оно другое. Так как я пишу правила достаточно жесткие то чтоб
было меньше писать и совершать меньше ошибок (например раньше я бывало
забывал написать правило OUTPUT симметричное правилу INPUT).
> Можно бы и еще проще (оставить только allow* и forward*), то так для
> меня сохраняется максимальная читабельность, хотя сейчас я уже думаю,
> что это и не нужно ...
>
> Делает ли кто что-то подобное, и нужны ли (а может есть) такие
> средства в Сизифе, т.е. стоит ли опакетить?
В Сизифе думаю что будет. После того как у peet@ и у меня появится
свободное время чтоб связать это с connexion ;)
--
With Best Regards, Maxim Tyurin
JID: MrKooll@jabber.pibhe.com
___
/ _ )__ _____ ___ ____ _______ _____
/ _ / // / _ \/ _ `/ _ `/ __/ // (_-<
/____/\_,_/_//_/\_, /\_,_/_/ \_,_/___/
/___/
^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Sysadmins] " Макроязык " для firewall
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
` (5 preceding siblings ...)
2008-01-31 16:11 ` Maxim Tyurin
@ 2008-01-31 22:13 ` Peter V. Saveliev
6 siblings, 0 replies; 9+ messages in thread
From: Peter V. Saveliev @ 2008-01-31 22:13 UTC (permalink / raw)
To: ALT Linux sysadmin discuss
В сообщении от Monday 28 January 2008 09:34:30 Eugene Prokopiev написал(а):
> Здравствуйте!
>
> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables? Я знаю
> пока только о поддержке firewall в etcnet, но какое-то оно слишком
> низкоуровневое, что ли. Я написал себе простой shell-скрипт с набором
> функций, используя которые я могу писать такие правила:
>
<skip />
> Делает ли кто что-то подобное, и нужны ли (а может есть) такие
> средства в Сизифе, т.е. стоит ли опакетить?
пока не приделал интерфейс, чтобы подключить скрипт Макса, у меня только
simple-acl, но пока его мне хватает (пример с домашней машины):
!
configure network
...
!
interfaces
!
ethernet 1
address 192.168.0.1/24
address 192.168.0.10/24
call macom out
call nat out
...
!
tc
!
simple-acl macom
rule 100 reject dst 213.247.243.0/24
rule 101 reject dst 213.247.247.0/24
!
simple-acl nat
rule 10 snat tosrc 192.168.0.1
в Сизифе есть, но старая версия. Новые версии не пакечу по ряду причин, среди
которых первая -- мне пока достаточно make install при сборке раутерного
имиджа.
--
Peter V. Saveliev
^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2008-01-31 22:13 UTC | newest]
Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2008-01-28 6:34 [Sysadmins] "Макроязык" для firewall Eugene Prokopiev
2008-01-28 8:41 ` [Sysadmins] " Макроязык " " Led
2008-01-28 8:57 ` [Sysadmins] "Макроязык" " Andrew Kornilov
2008-01-28 9:02 ` Anton Kvashin
2008-01-28 10:11 ` Nikolay A. Fetisov
2008-01-28 13:35 ` Евгений Терешков
2008-01-29 6:07 ` Eugene Prokopiev
2008-01-31 16:11 ` Maxim Tyurin
2008-01-31 22:13 ` [Sysadmins] " Макроязык " " Peter V. Saveliev
ALT Linux sysadmins discussion
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/sysadmins/0 sysadmins/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 sysadmins sysadmins/ http://lore.altlinux.org/sysadmins \
sysadmins@lists.altlinux.org sysadmins@lists.altlinux.ru sysadmins@lists.altlinux.com
public-inbox-index sysadmins
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.sysadmins
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git