Hallo,

aktuell ist auf unserer IT-Security-Projekt-Seite ein Tool veröffentlicht, mit dem hoffentlich die meisten von Euch mittels "klick-und-klack" eine IP-Paketfilter-Firewall zugeschnitten auf die eigenen Bedürfnisse erstellen können. ;)

Das Tool findet Ihr unter http://www.harry.homelinux.org/ im Bereich "Module". Besonderes Know-How für die Bedienung ist absolut nicht notwendig und tiefgreifende Kenntnisse im Umgang mit iptables (das Tool erzeugt einen Regelsatz für iptables, also Kernel >= 2.4.0 ist Voraussetzung) sind ebensowenig erforderlich.

Im Bereich "HOWTOs" findet Ihr einen kleinen Überblick über das Tool und eine Einschätzung, ob es evtl. für Eure Zwecke geeignet ist. HOWTOs zu anderen Security-Themen sind ebenfalls vorhanden, insbesondere auch ein gutes HOWTO zum Thema iptables von Jinto :)

Features des iptables Generator: Das Tool beherrscht aktuell Paketfilterung, Scan-Dropping, Dienstefreischaltung für HTTP, SMTP, POP3, IMAP, SSH, DNS, EDONKEY, IPSEC und viele andere, Logging und noch einige anderen Features. Für "Run-Aways" bietet es darüber hinaus auch Destination-NAT (DNAT) für fast alle der gerade aufgezählten Dienste an.

Wer all diese Features nicht benötigt, der klickt sich nach Eingabe des Internet-Interfaces einfach schnurstracks durch alle Masken, ohne Veränderungen vorzunehmen und holt sich sein persönliches Firewall-Skript ab :D

P.S.: Wenn Ihr das Tool für Eure Zwecke nutzen könnt, dann wäre ein Feedback ganz recht, da wir das Tool auch weiterentwickeln und dabei Wünsche von Euch so weit wie möglich berücksichtigen möchten. :)

Harry

Klingt gut... aber warum die vielen Angaben bei der Registrierung? (Strasse etc)

Eric

Original geschrieben von 3qualizer
Klingt gut... aber warum die vielen Angaben bei der Registrierung? (Strasse etc)

Ich erhebe über die Registrierung diese Daten (wichtig sind insb. Mailadresse, private/kommerzielle Nutzung und bei kommerzieller Nutzung die Branche sowie ungefähre Unternehmensgröße), damit ich einen besseren Überblick bekomme, wer zu welchem Zweck den Generator benutzt und den Generator damit im Laufe der Zeit besser auf die Umgebung der User anpassen kann.

Für private Nutzer reicht streng genommen derzeit die Angabe der Mailadresse. In diesem Falle könnt Ihr die anderen Daten wie Strasse, PLZ, Ort einfach leerlassen, schließlich will ich nicht jeden User besuchen ;)

Harry

moin harry

dann werd ich den nachher auch mal ausprobieren. wollte ich gestern schon aber das mit den vielen angaben hat mich dann doch abgehalten. ich geb diese daten nämlich nicht so gerne weiter ;)


Gruß HangLoose

Hi HangLoose,

ja das kann ich nachvollziehen. Ich werde nach dem Wochenende ein paar Anmerkungen zu den Feldern schreiben (so in der Art "für private Nutzung ist die Angabe der Mailadresse ausreichend"), damit es nicht mehr so abschreckend wirkt :D

Harry

hi

na hoffentlich kommen dann deine kleinen *firewall-schreiber* bei den ganzen aufträgen dann auch hinterher :D:D


Gruß HangLoose

also was noch fehlt ist, z.B. eth0 freischalten... ich konnte meinen router nämlich nahdem ich die firewall aktiviert hatte nicht mehr per ssh steuern...

Hallo,

auch ich scheiter bei Schritt 1.

Sowohl mein LAN Interface und auch das Internet Interface ist eth0.
Ich habe einen Router an meinen PC mit integrierten Switsch.
Der Router wählt sich automatisch ins Inet ein wenn ich was im I-Net anfordere.

Kannst Du eth0 mit bei Internet Interface einbauen ?


Grüße
DaGrrr

Hallo,

Eure Anregungen und Wünsche nehme ich gerne auf und werde diese in den nächsten Tagen berücksichtigen.

Bitte seid so lieb und schreibt weitere Anregungen an den iptables Generator bitte auf meiner Site in das Forum zum iptables Generator. Hier geht mir früher oder später sicherlich was durch :D

Danke für Euer Feedback :)

Harry

Update:

Den iptables Generator gibt es jetzt in der Version 1.05.

Eure Anregungen sind weitestgehend in die Entwicklung eingeflossen (eth0 für LAN freischalten, eth0/eth1 auch als Internet Interface). Desweiteren sind neu unterstützte Protokolle für den Einsatz eines Servers auf der Firewall oder hinter der Firewall mit DNAT hinzugekommen (MySQL, NTP).

Das Logging verworfener Pakete wurde jetzt vollständig integriert. Für Benutzer, die Ihr Logfile mit den abgelehnten Paketen mit Argusaugen betrachten wollen, empfehle ich auf jeden Fall ein Update auf die neue Version 1.05.

Harry

Hi Harry,

geht schon gut ab das Teil.

Ich würde noch IRC in die Auswahl mit aufnehmen ;)

[oETTi]

Hallo,

ich seh gerade, dass die Module für IRC-Connection Tracking und für ICR-NAT den Einzug in den aktuellen Kernel 2.4.19 gefunden haben. Von daher werde ich es in Kürze implementieren können.

Voraussetzung für die Nutzung eines IRC-Servers im eigenen LAN oder auf der FW ist dann jedoch der Einsatz eines brandaktuellen Kernels.

Harry

Hi Harry,

Hab dein Tool auch benutzt und bin gut zufrieden. Für den Otto-Normal-User absolut ausreichend und selbsterklärend.

Danke

Silvio

Hi Silvio,

danke für die Blumen :)
Ich denke, es ist ebenfalls für den fortgeschrittenen Paketfilter-Admin eine gute Wahl ;)

Montreal/Canada: Was hat Dich denn dorthin verschlagen?

Harry

Harry,

Natürlich ist es auch für Fortgeschrittene eine gute Wahl, aber wenn du dich schon länger damit auseinander gesetzt hast, kann man sich auch selber ein gutes Script machen.

Dagegen gibt es hier im Forum in letzter Zeit sehr viele Postings über iptables und mit deinem Generator lässt sich halt leicht ein funktionierendes Script erzeugen. Nachher kann sich der User das Script genau anschauen und lernt so hoffentlich noch etwas dabei. So kann er nach und nach etwas mehr freigeben (wenn erwünscht) oder halt alles blockiert lassen.

A propos Montréal: eine tolle Stadt mit gutem Nightlife und meine Frau :) . Montréal ist auch in Sachen IT ganz gross (viele special effects für Hollywood-Filme werden hier gemacht).


Silvio

mein lokales Interface ist lan0.
Dafür ist das Skript nicht konzipiert, vielleicht sollte man noch ein eigenes Interface
angeben können.

was ist tr0??

Markus

>was ist tr0??

"tr" steht fuer Token Ring

Original geschrieben von msi
mein lokales Interface ist lan0.
Was ist denn lan0?

Harry

ich hab zwei interfaces (eth0 und eth1) gebridgt (auf linuxdoc.org gibt
howtos dazu) und die Bridge hab ich dann lan0 genannt.

Ah ja - alles klar.
Würde es Dir reichen, wenn ich das lan0-Interface in der Auswahlliste mit aufnehmen würde? Ein Feld mit freier Eintragungsmöglichkeit möchte ich eher nicht anbieten.

Harry