Ganeymed
23.06.05, 15:35
Hallo,
Ich habe eine Frage zu iptables und snort-inline.
Ich habe einen separaten Rechner mit drei Ethernetkarten.
eth0 für das externe Netz
eth1 für das interne Netz
eth2 für meine DMZ
http://www.ganeymed.de/pixx/fw_ids/001.jpg
Bis jetzt habe ich eine Firewall mit einem Script bestimmt, in dem
meine Iptabels standen. Das habe ich dann ausführbar gemacht
und in Runleveln darauf verlinkt.
Soweit alles kein Problem.
Nun möchte ich aber das Snort-Inline auch auf der Firewall läuft.
Ich würde gerne alle Pakete,denen ich erlaubt habe zu passieren,
nocheinmal mit Snort Inline anschauen.
Dazu muß ich die ja in die Queue übergeben,
damit Snort sich die da abholt.
Heißt das ich muß alle meine Regeln abändern?
Hier ein Beispiel aus der CT Heft 22/2004
iptables -t mangle -A OUTPUT -p tcp --syn -m state --state NEW --dport 80 -j MARK --set mark 1
iptables -t mangle -A INPUT -p tcp --syn -m state --state ESTABLISHED --dport 80 -j MARK --set mark 2
iptables -A OUTPUT -m mark --mark 1 -j QUEUE
iptables -A INPUT -m mark --mark 2 -j QUEUE
Ich verpasse jedem Paket also erstmal ein Flag ob es sich um eine neue oder
eine bestehnde Verbindung handelt: Dann schiebe ich es dann in die Queue?
(das Beispiel ist für eine Firewall natürlich nur bedingt geeignet,
weil auf der Firewall selbst ja wohl kaum jemand http verwenden wird)
Auf eine Firewall hätte ich für input und output ja nur ssh, Ping und das was
ich an die SQL Datenbank im interen Netz schicken will.
Wenn ich jetzt also andere Dienste zulassen will
muß ich das in gleicher Weise machen.
Kann ich also meine alten iptables Regeln alle wegschmeissen?
Wie ist das bei Forwarding?
Wenn ich aus dem internen Netz eine Verbindung ins Internet Aufbauen
möchte ist das ja (ohne snort inline) einfach. Das Paket wird einfach durchgereicht.
In dem Heft ist auch diese Beispiel:
iptables -t mangle -A FORWARD -p tcp --syn -m state --state NEW -j MARK --set mark 1
iptables -t mangle -A INPUT -p tcp --syn -m state --state ESTABLISHED -j MARK --set mark 2
iptables -A FORWARD -j QUEUE
Das heißt, alles was nicht für die Firewall selbst bestimmt ist, wird
automatisch in die Queue geschickt, wo Snort-Inline es sich dann abholen kann?
Ich habe jetzt schon eine ganze Menge über Snort Inline gelesen,
aber das ist mir immer noch unklar....
Ich habe eine Frage zu iptables und snort-inline.
Ich habe einen separaten Rechner mit drei Ethernetkarten.
eth0 für das externe Netz
eth1 für das interne Netz
eth2 für meine DMZ
http://www.ganeymed.de/pixx/fw_ids/001.jpg
Bis jetzt habe ich eine Firewall mit einem Script bestimmt, in dem
meine Iptabels standen. Das habe ich dann ausführbar gemacht
und in Runleveln darauf verlinkt.
Soweit alles kein Problem.
Nun möchte ich aber das Snort-Inline auch auf der Firewall läuft.
Ich würde gerne alle Pakete,denen ich erlaubt habe zu passieren,
nocheinmal mit Snort Inline anschauen.
Dazu muß ich die ja in die Queue übergeben,
damit Snort sich die da abholt.
Heißt das ich muß alle meine Regeln abändern?
Hier ein Beispiel aus der CT Heft 22/2004
iptables -t mangle -A OUTPUT -p tcp --syn -m state --state NEW --dport 80 -j MARK --set mark 1
iptables -t mangle -A INPUT -p tcp --syn -m state --state ESTABLISHED --dport 80 -j MARK --set mark 2
iptables -A OUTPUT -m mark --mark 1 -j QUEUE
iptables -A INPUT -m mark --mark 2 -j QUEUE
Ich verpasse jedem Paket also erstmal ein Flag ob es sich um eine neue oder
eine bestehnde Verbindung handelt: Dann schiebe ich es dann in die Queue?
(das Beispiel ist für eine Firewall natürlich nur bedingt geeignet,
weil auf der Firewall selbst ja wohl kaum jemand http verwenden wird)
Auf eine Firewall hätte ich für input und output ja nur ssh, Ping und das was
ich an die SQL Datenbank im interen Netz schicken will.
Wenn ich jetzt also andere Dienste zulassen will
muß ich das in gleicher Weise machen.
Kann ich also meine alten iptables Regeln alle wegschmeissen?
Wie ist das bei Forwarding?
Wenn ich aus dem internen Netz eine Verbindung ins Internet Aufbauen
möchte ist das ja (ohne snort inline) einfach. Das Paket wird einfach durchgereicht.
In dem Heft ist auch diese Beispiel:
iptables -t mangle -A FORWARD -p tcp --syn -m state --state NEW -j MARK --set mark 1
iptables -t mangle -A INPUT -p tcp --syn -m state --state ESTABLISHED -j MARK --set mark 2
iptables -A FORWARD -j QUEUE
Das heißt, alles was nicht für die Firewall selbst bestimmt ist, wird
automatisch in die Queue geschickt, wo Snort-Inline es sich dann abholen kann?
Ich habe jetzt schon eine ganze Menge über Snort Inline gelesen,
aber das ist mir immer noch unklar....