Freesco, NND, CDN, EOS

Witam

Po dłuższym przyglądaniu się firewallowi Czerwa mam pewien pomysł na nowy sposób działania firewalla (oparty na firewallu Czerwa i ten najbardziej się nadaje).

Zasada działania:

1. Dodajemy nowy katalog /etc/iptables/rules/

2. Konfigurator Czerwa nie buduje firewalla tylko pisze gotowe reguły do /etc/iptables/rules/ (np. /etc/iptables/rules/początkowe, /etc/iptables/rules/ipdeny, /etc/iptables/rules/masq, itd.)

3. dodajemy nowy plik /etc/iptables/rules.queue w którym zapisana jest kolejność dodawania bloków reguł, zapis dowolny np.
: [/] [] ()
początkowe, porty , ttl, ...
GeSHi © Codebox Plus
lub każda nazwa w nowej linijce (muszą się wypowiedzieć bashowcy)

4. Skrypt startujący firewalla układa kod firewalla z klocków znajdujących się w /etc/iptables/rules/ na podstawie /etc/iptables/rules.queue a następnie nadaje gotowemu skryptowi firewalla prawa do wykonywania i odpala, i ewentualnie usuwa plik.

5. Jeżeli skrypt startujący nie znajdzie jakiegoś pliku(bloku) który ma zapisany w kolejce to wywala błąd i ładuje standardowe reguły (np. wszystko zamknięte i otwarty tylko port ssh)

Rozwiązanie ma według mnie jedną ogromną zaletę: jeżeli dodajemy jakąś zewnętrzną paczkę to zmiana firewalla jest dziecinnie prosta. Wrzucamy plik z regułami do /etc/iptables/rules/ (np. /etc/iptables/rules/stats) i wskazujemy mu miejsce w kolejce np. po regułach wycinających p2p. To opiekun paczki musi się zatroszczyć żeby odpowiedni blok reguł znalazł się tam gdzie trzeba (czy zrobi konfigurator czy da instrukcje jak plik z regułami dodać i gdzie to jego sprawa).
Wada(?): Admin ma bezpośredni dostęp do reguł w /etc/iptables/rules/ (niedoświadczony admin może nieźle napsuć jak zacznie ręcznie edytować )

Nie piszę nic w bashu więc nie wiem jaki jest stopień wykonywalności tego pomysłu. W php napiszę od ręki.
Mam nadzieję że pomysł się spodoba i znajdzie się ktoś kto go rozwinie i zaimplementuje.

pomysł wg mnie bdb tylko byłby problem z ustaleniem kolejności bloków (wg mnie)

No właśnie że nie!!

Przecież firewall czerwa w tej chwili układa reguły w jakimś porządku wystarczy że wygenerowałby pliki w /etc/iptables/rules/ i wpisałby domyślny porządek do /etc/iptables/rules.queue np.:

Skrypt startowy sprawdza czy są wszystkie bloki z kolejki i składa z nich plik firewall-a a potem go odpala.

Jeżeli potrzebujemy jakichś reguł w konkretnym położeniu w skrypcie to dodajemy nazwę bloku w odpowiednim miejscu w pliku kolejki

Można by dodać w generatorze Czerwa jeszcze jedną pozycję "generuj plik kolejki" i mamy wtedy generowanie domyślnej kolejki na podstawie tego co generator ma w swoich konfigach.

Taki modularny firewall dałby możliwość dowolnego przestawiania reguł np. możemy zadecydować że statystyki dodajemy dopiero wtedy gdy obetniemy już ruch p2p itp.

Byłoby to duże ułatwienie dla opiekunów paczkek bo wystarczy że zbudowaliby plik z regułami iptables dla swojej paczki i powiedzieli użytkownikowi gdzie te reguły mają być w kolejce.

to na pewno rozwiąże to problem z dodawaniem reguł firewalla przy pakietach, takich jak mrtg, ale czy będzie to poręczne w użyciu? tego nie wiem sam od dawna myślałem o takiej budowie firewalla i nawet chyba gdzieś pisałem o tym

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .

a moze by ktos dokonczyl:
listonosz.com.pl:88

_________________

możesz zapodać źródełka?

Ja chciałem raczej podyskutować nie o tym jaki będzie interfejs użytkownika tylko o tym jak będzie generowany firewall.
Bo przydałoby się zastanowić nad jakimś sposobem zapisu reguł firewalla.
Interfejs przez www jest dobry i pożyteczny tylko ja chce wiedzieć jak będzie generował reguły i jak to połączyć żeby nie było problemu z paczkami które potrzebują własnych regułek.

Całość jest pisana w cgi/sh/perlu/rrdtool
A ze programami ktore maja wlasne regulki to beda zawsze problemy. Bo tego sie nie da rozwiazac. Co bysmy nie robili zawsze beda jaja. Chyba ze np. z mrtg wytniemy skrypty odpowiedzialne za tworzenie lancuchow i wsadzimy je do firewalla ale uwazam to za glupi pomysl bo wtedy trzeba pilnowac czy ten program nie potrzebuje jakis regulek i przepisywanie ich w inne miejsce. Znacznie lepszym rozwiazaniem jest to co wymyslilem czyli firewall podczas restartu wykonuje jeszcze jeden plik w ktorym mamy zapisane komendy ktore ma wykonac. Wtedy mozna sobie np. dopisac restart mrtg lub niceshpaer czy innego htb i wszytsko sie zrobi automagicznie. Narazie innego rozwiazania nie znalazlem i nie mam pomyslu.

_________________

[...]


zgadzam się...

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

hehe blad w slowie regulki juz wiem przez jakie u sie pisze

_________________

szok

swoich postow pisanych za czasow kiedy nie bylo "czasopoprawiacza" zmieniac nie bede,
i tez wiem jak sie to pisze