-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1
On Thursday 19 September 2002 10:45, Carsten Friede wrote:
Konrad Rosenbaum wrote:
Ich konfiguriere meine FW nur einmal beim Booten, die Regeln bleiben auch ohne Interface aktiv, damit besteht kein Grund bei jedem Dial-Out die FW erneut aufzubauen.
Hey, wie machst Du das?
1. Ich konfiguriere mir meine FW per Hand, bis ich mit den Testergebnissen zufrieden bin (vorausgesetzt man hat irgendwo ausserhalb einen Rechner von dem aus man den eigenen "angreifen" kann). 2. Ich speichere die Config mit "iptables-save >/etc/iptables.rules" 3. Ich richte mir ein Bootskript ein: 3.1. cd /etc/init.d 3.2. cp skeleton iptables 3.3. $EDITOR iptables 3.3.1 start wird auf "iptables-restore </etc/iptables.rules" gesetzt 3.3.2 stop bleibt leer (wozu eine FW aufraeumen, das oeffnet nur unnoetig Loecher) 3.3.3 restart, reload werden "$0 start" 3.3.4 es kommt eine Zusatzregel "open" rein, die die FW abschaltet (iptables -F ...; iptables -P ... ACCEPT) (benutze ich, wenn ich Tests ohne FW durchfuehren will) 4. Ich verteile das Skript in die diversen Runlevel (bei Debian per update-rc.d, bei SuSE via YaST2 Init-Editor)
Das schoene daran, wenn ich meine FW von Hand mal wieder etwas getunt habe braucht ich nur nochmal iptables-save aufzurufen, damit das permanent wird. Ausserdem kann ich so mehrere verschiedene Konfigurationen rumliegen lassen, die die Ergebnisse verschiedenster Experimente enthalten.
Konrad
- -- Never shown Star Trek episodes #1: Dr. Crusher: "Geordy, since when does he have such deep blue eyes?" Lt. Geordy LaForge: "I think we will need to reboot Data."