PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Shorewall, IPTables und ähnliches



Schendi
13.04.03, 10:22
hallo,

bis jetzt dachte ich das shorewall nur ein konfig script für iptables ist,
ich hab gerade die laufenden deamons abgecheckt, shorewall läuft, iptables nicht und es lässt sich auch nicht starten.


was is der konkrete unterschied zwischen beiden, bzw. welche wäre eher zu empfehlen (iptables??).

im thema firewalling hab ich noch nicht allzuviel am hut auf linux.

gruß,
christopher

HangLoose
13.04.03, 10:26
moin moin

ich kenne mich zwar mit der shorewall nicht aus, aber wenn ich richtig informiert bin *greift* shorewall schon auf iptables zurück. allerdings handelt es sich bei iptables nicht um einen dämon, sondern um entsprechende kernelmodule. mach mal ein lsmod als root, dann sollten dir die entsprechenden module aufgelistet werden.


Gruß HL

geronet
13.04.03, 10:38
Die shorewall verwendet noch ipchains.

HangLoose
13.04.03, 10:48
ups :)

Schendi
13.04.03, 11:37
Original geschrieben von geronet
Die shorewall verwendet noch ipchains.

ist ipchains besser?




The Shoreline Firewall, more commonly known as "Shorewall", is a Netfilter (iptables) based firewall that can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system.

ist von der shorewall webseite, demnach würd ich drauf schließen das es mit iptables läuft.


@HL:

lsmod gibt mir mehrere ip_tables module aus:


ipt_TOS 1592 12 (autoclean)
ipt_LOG 4280 5 (autoclean)
ipt_REJECT 3640 4 (autoclean)
ipt_state 1080 14 (autoclean)
iptable_mangle 2712 1 (autoclean)
ip_nat_irc 3280 0 (unused)
ip_nat_ftp 4016 0 (unused)
iptable_nat 21048 2 [ip_nat_irc ip_nat_ftp]
ip_conntrack_irc 4304 1
ip_conntrack_ftp 5200 1
ip_conntrack 27264 4 [ipt_state ip_nat_irc ip_nat_ftp iptable_nat i
p_conntrack_irc ip_conntrack_ftp]
iptable_filter 2348 1 (autoclean)
ip_tables

demnach läuft iptalbes, wenn aber shorewall auf ipchains aufsetzt versteh ich nicht ganz den arbeitshintergrund (2 firewallsystem????).

für was ist dann der daemon?

wer ne andere GUI für iptables sinnvoller? (z.B. FWBuilder, sieht recht nett aus).

HangLoose
13.04.03, 11:47
hm

dann setzt shorewall wohl doch auf iptables. eins geht imho nur, entweder iptables oder ipchains.


ist ipchains besser?

ich habe nie mit ipchains gearbeitet. aber wenn ich richtig informiert bin, gab es bei ipchains noch kein connection tracking. iptables sollte also schon die bessere wahl sein.

zu den GUI's kann ich nichts sagen, da ich sowas nicht brauche. mußt mal hier im forum etwas suchen, das thema gab's schon öfter. imho gibt es sogar für kde ein frontend.


Gruß HL

majobu
13.04.03, 11:58
Shorewall verwendet eindeutig iptables. Das kann man gleich auf der Startseite unter http://www.shorewall.net/ lesen :D

geronet
13.04.03, 12:02
Muss ne neue Version sein ;)

Schendi
13.04.03, 12:14
und für was is nun der iptables daemon?

geronet
13.04.03, 12:22
Es gibt keinen iptables daemon, das ist nur ein Programm das dem Kernel sagt welche Firewallregeln er zu verwenden hat.

Ich würde vorschlagen du schaust dir mal das Firewall HOWTO auf tldp.org an.

Grüsse, Stefan

b-tommy
13.04.03, 13:33
moin;

iptables ist eine untergruppe von netfilter....
anders ausgedrückt ein teil einer ziemlich umfangreichen suite, um netzwerkpakete zu bearbeiten...

weiterhin ist iptables auch nur ein quasi-frontend um die kernel-implementierung zu bedienen..

es ist definitiv nicht möglich, iptables und ipchains zur gleichen zeit auf dem gleichen rechner zu betreiben.

ipchains, der vorgänger von iptables (bis kernel-version 2.2.x) hatte einige sehr gravierende mankos, die es einem geübten user verhältnissmässig leicht gemacht haben, diese firewall zu tunneln. stichwort fehlendes connection tracking...

iptables ist auch nicht ein einzelnes moduls sondern besteht aus vielen verschiedenen, wie sich ja schon aus der obigen liste der geladenen module erkennen lässt...

ich hab mal nen groben blick über diese shorewall gewofen und find die soweit eigentlich ganz brauchbar, weil es einem ziemlich viel frickel-arbeit abnimmt, das man sonst in mühevoller kleinarbeit zu fuss schreiben müsste....

über die zuverlässigkeit und bedienbarkeit dieses aufsatzes kann ich aber leider noch keine auskunft geben würde mich aber freuen, wenn mal jemand seine praktischen erfahrungen mitteilen könnte....


ciao

tommy