hallo

habe jetzt schon ne weile versucht, fwbuilder für redhat zu installieren, scheint net zu gehen.........ich habe auf www.rpmfind.net das paket "firewall.*-*.*.noarch.rpm" gefunden und wollte das installieren.....dazu brauchts aber wiederum ipchains...

daher die frage: kennt ihr ein wirklich gutes firewall-tool, dass seine sachen alle mit iptables macht und eben [b]nicht[b] mit ipchains...?
die sache ist die, dass ich zwar schon die ganze zeit dokus lese über iptables und mir jetzt mal ne firewall mit graf. tool bauen will, um halt "noch mehr" nachzuvollziehen und zu verstehen, was diese progis da mit dem iptables machen......

daher: kennt ihr so en tool..? ich find da praktisch nix brauchbares für redhat.....

es müsste aber schon mind. so gut wie ein "fwbuilder" sien

gruss&danke
pbalo

gibts da einfach nichts....? ich meine, alles, was ich bisher installier hab, ging net......jay's firewall......fwbuilder...usw

erbitte rat

moin moin

http://www.harry.homelinux.org/modules.php?name=iptables_Generator ;)


Gruß HL

vergiss es, auf die site kann ich net zugreifen..........ich durchforsch mal, obs ne andere download-location gibt irgendwo.-.
merci&gruss

Hi@all

Kann mir mal bitte wer sagen, was das hier mit Servern und/oder Clients zu tun hat :confused:

Cu
André

PS: Ich verschieb das mal.

tut mir leid, ber.penner...
@HL:
dein link geht neet.....
aber: es gibt ja sooo viele von diesen dingern....aber ich begreif das net....das hier: http://sourceforge.net/projects/phpfwgen/ ist auch ein witz....dann installierst du das, niergens ne doku oder so.......du hast dann zwar en skipt zum starten und beenden:[root@master1 etc]# init.d/firewall start
Turning on Firewalling functions.
iptables: Chain is not empty
[root@master1 etc]# init.d/firewall stop
Turning off Firewalling functions.
iptables: Chain is not empty aber wohin hat der das ausführbare ding hingetan, mit welchem man die iptables konfigurieren kann per GUI?????????? ich habe keine Ahnung.....ich find das ding net......was meinst du?

gruss&danke
pablo

das ist ein witz: ich bin noch su:[root@master1 etc]# su
[root@master1 etc]# ppp/firewall-masq
bash: ppp/firewall-masq: Keine Berechtigung
[root@master1 etc]#

@Berufspenner

schlecht konfigurierte server sichert man mit einer firewall ;) :D

@pablovschby

ich hab bisher noch keine gui für iptables eingesetzt. ich würde wegen den regeln/script mal unter /etc nachsehen

edit: da bin ich mit meiner antwort, wieder haarscharf an deiner frage vorbeigeschrammt ;) du suchst ja das proggi selbst, versuch mal ein whereis phpfwgen

Gruß HL

Original geschrieben von HangLoose
@Berufspenner

schlecht konfigurierte server sichert man mit einer firewall ;) :D

@pablovschby

ich hab bisher noch keine gui für iptables eingesetzt. ich würde wegen den regeln/script mal unter /etc nachsehen


Gruß HL mach ich auch die ganze Zeit.....und suchen tu ich auch die ganze Zeit...aber jetzt nicht mehr.....denn jetzt lies ich nur noch hier (http://www.linux-user.de/ausgabe/2002/05/030-firewall/firewall-4.html) und machs selber, dann bin ich nämlich schneller...
gruss&danke
pablo

also....HL...nur noch diese Frage:iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP dies ist ein aufruf des scripts iptables und stellt dies ein......aber net statisch....wenn ich also das ganze statisch willl... (das obenstehende und alles, was sonst noch mit iptables zu tun hat...) nehme ich bei den obenstehenden syntax einfach nur "iptables" raus und mach en fiole, das heisst "iptables" und setz es dann letztendlich, bevor ich den dienst zum schluss starte, an die richtige stelle....oder...? das geht so, odere..? das hier:/etc/sysconfig/iptables:
-P INPUT DROP
-P FORWARD DROP
-P OUTPUT DROP ist das gleiche wie das obenstehende, oder...? einfach statisch...also persistent...? dies kann man auch mit allen anderen befehlen so machen, oder..?das hier am terminal eingegeben:iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT ist das gleiche wie das hier ins file /etc/sysconfig/iptables:-A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT oder..? der einzige unterschied ist, dass das zweite einfach statisch, sprich persistent ist.....stimmt das..?
thanks&greetings
pablo

sorry, aber dein befehl sagt grad mal, dasses diese datei gibt...:bash-2.05b$ whereis −u −M phpfwgen -f
−u:
−M:
phpfwgen:
bash-2.05b$ whereis -name phpfwgen
whereis [ -sbmu ] [ -SBM Verzeichnis ... -f ] Name...
bash-2.05b$ whereis phpfwgen
phpfwgen:
bash-2.05b$ auch mit man whereis kann nicht rausgefunden werden, wie man da die directory mitangezeigt wird.......(??????)

danke
pablo

hi

mit -P änderst du die default policy. in dem fall setzt du sie in allen 3 chains auf drop.


iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT DROP

das P hat also nichts mit statisch etc. zu tun.


-A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

wird dir eine fehlermeldung liefern.


iptables -A INPUT -p tcp --sport 80 --dport 1024: ! --syn -j ACCEPT

das würde gehen, wenn du das in die konsole schreibst. du könntest theoretisch jede eigene regel einzeln in die konsole tippen. beim nächsten booten würde das spiel von vorne beginnen. ziemlich mühsam ;). deshalb schreibt man seine regeln in ein script, macht dieses ausführbar und verlinkt das ganze in den default runlevel. so werden die regeln beim booten automatisch geladen. zum aufbau dieses scriptes => siehe mein script, was ich gepostet habe.


Gruß HL

Original geschrieben von HangLoose
das würde gehen, wenn du das in die konsole schreibst. du könntest theoretisch jede eigene regel einzeln in die konsole tippen. beim nächsten booten würde das spiel von vorne beginnen. ziemlich mühsam ;). deshalb schreibt man seine regeln in ein script, macht dieses ausführbar und verlinkt das ganze in den default runlevel. so werden die regeln beim booten automatisch geladen. zum aufbau dieses scriptes => siehe mein script, was ich gepostet habe. du hast natürlich wiedermal absoluit recht...ja.....bin wohl heute en bischen müde...() aber das problem ist eben:

ich finde sonst nirgens eine solch gute beschreibung wie diese von linuxuser.de und wenn ich in dein file schaue .-......sorry, aber dann steig ich nicht mehr durch........ das ist einfach zu krass zum anfangen....obwohl du mir das da sehr gut erklärt hast...

die beschreibung auf linuxuser.de ist halt einfach für richtige idi's, schritt für schrtitt ........da kann gar nix schiefgehen....aber ich werde mir meine firewall schon noch hinbringen....

frage: du kennst net zuf.weise grad ne beschr., die so "easy" ist, wie jene auf linuxuser.de, einfach mit der statischen beschreibung des files iptables....so, wies du mir erklärt hast eigentlich......einfach noch ne spur langsamer. und mit weniger ketten und co.............. (?)

merci dir
pablo

hi


ich finde sonst nirgens eine solch gute beschreibung wie diese von linuxuser.de und wenn ich in dein file schaue .-......sorry, aber dann steig ich nicht mehr durch........ das ist einfach zu krass zum anfangen....obwohl du mir das da sehr gut erklärt hast...

da muss ich dir zustimmen. der artikel ist leicht verständlich geschrieben. aber wie gesagt, wenn du dich intensiver mit der materie beschäftigen willst, würde ich dir zu nem buch raten.

Gruß HL

@HL:
ich möchte nämlich letztens, dass du mich verstehst.........und dafür jetzt das...: $ipt -A MY_REJECT -m limit --limit 7200/h -j LOG --log-prefix "REJECT OTHER " dies ist einer der etwa 20 beispiele, die du mir vor en paar tagen erklärt hast....und es war auch eine gute erklärung, bitte.....versteh mich einfach....: das grundprinzip versteh ich ja auch bereits, es sind die details, die nicht "reinwollen"..........

ich meine....was heisst oben --limit 7200/h...? (bitte beantworte jetzt diese fragen nicht......)...............irgendwas mit mehr als 7200 pakete pro stunde dürfen durch oder so.....tja.......oder hier: $ipt -A FORWARD -i $ext -o $int -m state --state ESTABLISHED,RELATED -j ACCEPT da hab ich natürlich keine ahnung......weisst du, was ich meine..? es ist ja gut, wenn man das prinzip und die praktik kennt.....aber wenn man nicht genau weiss, hier:$ipt -A FORWARD -i $int -o $ext -m state --state NEW -p TCP --sport $p_high --dport http -j ACCEPT ahhhhh ganz klar...... -sport scheint sourceport zu sein........ah, logisch....... -dport ist irgendwas mit destination port............

ich wusste vor 4Tagen grad mal, wie man iptables und linux schreibt,............tja.........darum suche ich eben auch ne beschreibung für richtige vollidioten ... damit mir das sitzt, verstehst...?

ich muss dann sagen könne: ah, klar, $int, die variable fpr eth1 (als bsp).....und ahhhh........ $p_high heisst das und das..............und das weiss ich alles nicht........

und daher kann ich eben mit deinem script noch nichts anfangen, weil ich einfach nur bahnhof verstehe........

oder hättest du nach 1woche iptables-"hobby-"kenntnissen dieses script schon begriffen..? ich weiss ja nicht, aber ich denk, du kennst iptables auch schon länger als ich.-......ok genug[code]tatsache ist... dass man halt hierzu eine beschreibung bräuchte, die es fast net gibt......... ich geh ja auch ab und zu in den bücherladen, aber für sowas bräuchte ich bspweise nur eine beschreibung à la linuxuser.de, einfach für deine art, die iptables zu bestimmen (also statisch ins file schreiben, anstatt terminal)......und die find ich praktisch nirgens....

also muss ich en buch kaufen...morgen

verstehst du mein unwissen und meine ratlosigkeit..?
gruss&danke
pablo

oder hättest du nach 1woche iptables-"hobby-"kenntnissen dieses script schon begriffen..?

nein natürlich nicht und ich weiß auch heute noch nicht alles. momentan fehlt mir auch die zeit mich weiter mit iptables zu beschäftigen.

das problem bei fremden scripten, ist z.b. der einsatz von variablen, um sich tipparbeit zu sparen. ich tu mich auch schwer fremde scripte, in denen viele variablen vorkommen, zu lesen.

$ipt ist z.b. solch eine variable. um nicht am laufenden band iptables tippen zu müssen, hab ich das ganze in eine variable *verpackt*, siehe am anfang des scriptes => ipt=/sbin/iptables

auf diese variable kannst du dann mit $ zugreifen. oder p_high steht für die high ports in meinem script

p_high=1024:65535 # unprivileged ports


so muss in die heia ;)


Gruß HL