Firewall "grafisch" auf der Konsole basteln?!

[thomas570dc]

Hi,
was mir jetzt zu meinem Linux-Glück noch fehlt (natürlich abgesehen vom Mailserver...) ist eine Firewall. Das war mir bis jetzt immer zu lästig, das anzugehen. Nun ja, deshalb jetzt meine Frage: Es gibt ja so schöne Tools für KDE und Gnome, wo man sich das zusammenklicken kann. Auf meinem Server läuft natürlich kein X! Gibt es nicht vielleicht auch ein Programm à la debconf, mit dem man über Dialoge auf Konsolenbasis seine Firewall erstellen kann?

[k-pl]

Warum versuchst Du es nicht mit iptables direkt? Da lernt man viel besser, was dahinter steckt. Und wenn man es einmal kapiert hat, geht das auch super schnell.

[thomas570dc]

Naja, das mag ja schon sein...mir fehlt dann nur etwas die Motivation, das endlich anzupacken. Und ich dachte, wenn es sowas vielleicht gäbe...

[guddl]

hi,

such doch einfach auf http://www.freshmeat.net mal
nach gui und firewall - da bekommst du schon einiges
zur auswahl.

http://freshmeat.net/search/?q=gui+fire ... n=projects

ich persoenlich habe ganz gute erfahrungen mit gShield
( http://muse.linuxmafia.org/gshield.html ) gemacht.
das ist zwar nicht grafisch - aber ist auch leicht zu konfigurieren.

gruss guddl

[zippy]

gibt es denn da irgend welche guten bücher oder so, die
einem das basiswissen vermitteln können?

[Luxus]

bei debian ist ein object orientiertes gui dabei
welches sehr gut sein soll

apt-get install fwbuilder
die adresse ist glaub fwbuilder.org

[thomas570dc]

na schön, aber dafür brauch ich doch auch X....
Ich werd mir jetzt mal gshield anschauen, danke!

[Luxus]

hab das topic nicht ganz gelesen.. bzw. habs einfach überlesen mit der konsole

[pdreker]

na schön, aber dafür brauch ich doch auch X....
Ich werd mir jetzt mal gshield anschauen, danke!

Nein, brauchst Du nicht...
Allerdings unter der Voraussetzung, dass Du einen anderen Rechner mit Linux und X hast. Mit fwbuilder kann man die Regeln auf einem Rechner editieren und sie dann an die Firewall senden.

Ich habe das hier so konfiguriert, wenn Du wissen willst wie ich das gemacht habe, einfach nochmal posten...

Patrick

[Nick Byte]

Hi,
@pdreker
das würde mich interessieren, da ich auf meinem Server kein X installiert habe und mich in iptables gerade erst einwühle. Soll heissen, dass ich meiner FW nicht 100% vertraue und gerne jetzt eine Config von fwbuilder einsetzen und später optimieren würde.

Grüße
Nick

[pdreker]

Wenn Du Deiner FW nicht voll vertraust, dann hast Du ein Problem
(wenigstens bis zu einem gewissen Grad...)

Ich nehme eher an, dass Du Dir nicht ganz sicher bist, ob Dein Regelsatz das macht, was willst... right?

Egal... so geht's: (Warnung: Crash Kurs! Einfach ein bisschen suchen, und man findet die fehlenden Antworten... sonst wird das hier endlos lang)

• - Zuerst muss Du den sshd auf Deiner Firewall so einrichten, dass sich root ohne Passwort einloggen kann. Auf gar keinen Fall einfach root ein leeres Passwort geben!!!! Wie das geht findet man in der sshd Doku (Stichwort: Publickey Authentication.
  - Jetzt brauchst Du ein Shellskript, was die Regeln auf Deiner FW installiert. Die gibt es auf http://www.fwbuilder.org/ unter Downloads. Für iptables brauchst Du fwb_wrapper_iptables.
  - Dieses Skript kopierst Du einfach auf dem Rechner auf dem Du die FW editierst nach /usr/bin (nicht vergessen: eXecutable Flag setzen.
  - Dieses Skript trägst Du jetzt in fwbuilder bei der entsprechenden Firewall in das Feld "Compiler (if different from default)" ein, welches Du im Tab "Compile/Install" findest (also "/usr/bin/fwb_wrapper_iptables").
  - In dem gleichen Config Dialog musst Du noch unter "Commandline Options" eintragen, wo dein FW Skript hin soll. Ich hab's bei mir unter /etc/firewall auf dem firewall Rechner. Dazu trägt man da "-t /etc/firewall" ein.
  - Jetzt muss Du nur noch dafür sorgen, dass das Firewall Skript auch bei jedem Boot ausgeführt wird. Dazu habe ich ein init Skript (siehe unten) in /etc/init.d/firewall.local auf der Firewall angelegt, und in /etc/rc2.d/ einen Link zu diesem Skript:

  Code: Alles auswählen

  cd /etc/rc2.d
  ln -s ../init.d/firewall.local S11firewall.local

Das alles bewirkt jetzt folgendes:
Du erstellst eine FW Config mit fwbuilder. Wernn Du fertig bist speichern. Dann in fwbuilder aus dem Menu "Rules" den Eintrag "Compile" auswählen. Jetzt werden die FW Regeln erzeugt und automatisch auf die Firewall kopiert und aktiviert. Den Menueintrag "Install" braucht man hier nicht, weil "Compile" das alles schon erledigt. Install wird normalerweise auch immer inaktiv erscheinen.

Du solltest auf jeden Fall noch in das Skript "fwb_wrapper_iptables" reinschauen, da steht oben noch eine Anleitung drin. In "/etc/init.d/firewall.local" ist der Name der FW Skript Datei (/etc/firewall/False.fw) hardcoded. Den musst Du noch ändern.

Ich würde aber nicht versuchen, die von FWBuilder generierten Skripte von Hand zu ändern. Das geht zwar grundsätzlich (Sind einfach Shellskripte), aber die sind natürlich maschinengeneriert, und dementsprechned schlecht verständlich. Ich mache hier seit ich FWBuilder benutze die gesamte FW Config damit, und ich habe nichts gefunden, was damit nicht ging.

Was FWBuilder Dir nicht abnimmt, ist allerdings, dass man ein grundsätzliches Verständnis dafür haben muss, wie Firewalls und IP funktionieren. Dafür sind die Regeln in FWBuilder IMHO deutlich besser lesbar, als in irgendeinem Shellskript.

Hier noch die 2 Skripte:
Zuerst "/etc/firewall/clear_firewall" (löscht alle Regeln):

Code: Alles auswählen

#!/bin/sh
#
# Configurations
#
IPTABLES="/sbin/iptables"

#
# reset the default policies in the filter table.
#
$IPTABLES -P INPUT ACCEPT
$IPTABLES -P FORWARD ACCEPT
$IPTABLES -P OUTPUT ACCEPT

#
# reset the default policies in the nat table.
#
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT

#
# reset the default policies in the mangle table.
#
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT

#
# flush all the rules in the filter and nat tables.
#
$IPTABLES -F
$IPTABLES -t nat -F
$IPTABLES -t mangle -F
#
# erase all chains that's not default in filter and nat table.
#
$IPTABLES -X
$IPTABLES -t nat -X
$IPTABLES -t mangle -X

Und hier "/etc/init.d/firewall.local":

Code: Alles auswählen

#!/bin/sh
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
NAME=daemon
DESC="Firewall System"

test -x $DAEMON || exit 0

set -e

case "$1" in
  start)
        echo -n "Starting $DESC: "
        . /etc/firewall/clear_firewall
        . /etc/firewall/False.fw
        echo "$NAME."
        ;;
  stop)
        echo -n "Stopping $DESC: "
        . /etc/firewall/clear_firewall
        echo "$NAME."
        ;;
  restart|force-reload)
        echo -n "Restarting $DESC: "
        . /etc/firewall/clear_firewall
        . /etc/firewall/False.fw
        echo "$NAME."
        ;;
  *)
        N=/etc/init.d/$NAME
        # echo "Usage: $N {start|stop|restart|reload|force-reload}" >&2
        echo "Usage: $N {start|stop|restart|force-reload}" >&2
        exit 1
        ;;
esac

exit 0

Fragen? Fragen!

Patrick

[thomas570dc]

Woww....klasse!! Ich werde das heut abend gleich ausprobieren, wenn wieder ne Linux-Kiste zur Verfügung habe Anders als hier in der Firma

[Nick Byte]

Vielen Dank für die umfassende Bescheibung!
Werde mich auch sofort dran machen.

Grüsse
Nick

[pentacle]

Hallo,

versuch es doch mal mit fwbuilder (von http://fwbuilder.org )
Du brauchst das -Teil auch nicht auf dem Server installieren, es erzeugt Skripte, die Du auf der jeweiligen ausgewählten Plattform laufen lassen kannst.

Gruß
pentacle

[pdreker]

versuch es doch mal mit fwbuilder (von http://fwbuilder.org )
Du brauchst das -Teil auch nicht auf dem Server installieren, es erzeugt Skripte, die Du auf der jeweiligen ausgewählten Plattform laufen lassen kannst.

Tja, manchmal kann es sich echt lohnen einfach 'mal einen Thread zu lesen.
Genau der Setup (FWBuilder auf einer WS, automatische Installation der Regeln auf der FW) wird oben beschrieben. Die Skripte gibt's latürnich auch auf http://www.fwbuilder.org, und das hier war nur ein Crashanleitung...

Patrick