Aus dem Alltag eines Sysadmin: Firehol
Schnellere Dröhnung
Wer zwischen lärmenden Lüftern nicht mehr die Nerven hat, an komplizierten Firewallregeln zu basteln, sollte sich wie Charly mit dem pfiffigen Ansatz von Firehol befassen.
Abbildung 1: Firehol entlastet den Admin beim Konfigurieren der Firewall, indem er statt komplizierter IPtable-Kommandos einfach Konstrukte in eine Steuerdatei einträgt, hier für FTP-Verbindungen.
|
Special: |
|---|
| 64 | Cfengine
Abstrahiert die System-Eigenheiten von Linux- und 70 | Puppet
Interpretiert eine Spezialsprache und verteilt Konfigurationen und 76 | Bcfg2
Speichert Setups in XML-Dateien und instruiert die Clients per |
Aus der Abstellkammer neben der Küche dringt leises Surren - solange die Tür geschlossen bleibt. Öffne ich sie, schwillt das Geräusch zu dem einer triebwerksgeschädigten Boeing an. Dort, zwischen Lampenöl, Schuhputzutensilien und Konserven okkulter Herkunft, steht die Technik, die mich mit der Welt verbindet. Neben telekomischen Modems und dem asthmatischen Cisco, der für den Großteil des Lärms verantwortlich ist, residiert ein PC-Rentner - die Firewall.
Die IPtables-Regeln umfassten ursprünglich nur das Masquerading für ausgehende Verbindungen und ein paar Sonderregeln. Im Laufe der Zeit wurden die Regeln komplexer und damit der Wunsch nach einer Verwaltungshilfe dringlicher. Firehol [1] hat ihn mir erfüllt. Das Tool arbeitet, anders als der vergleichbare FW-Builder [2], ohne grafische Oberfläche. Stattdessen schreibe ich simple Direktiven in eine Datei, und Firehol übersetzt sie in IPtables-Kommandos.
Alles muss raus
Wenn ich lediglich Masquerading möchte, aber auf HTTP-Verkehr eingeschränkt, reicht folgende kurze Konfiguration:
interface eth0 home
client all accept
interface eth1 internet
client all accept
router to-internet inface eth0 outface eth1
masquerade
route http accept
Die Zeilen mit »client all accept« erlauben, dass die Firewall beliebige Verbindungen ins LAN und Internet aufbauen darf. Um das Masquerading nicht auf HTTP einzuschränken, sondern für alle Protokolle zuzulassen, ändere ich die letzte Zeile in: »route all accept«. Trotz der wenigen Direktiven generiert Firehol mehrere Dutzend IPtables-Kommandos. Das liegt schon allein daran, dass es komplexere Protokolle einer Sonderbehandlung unterzieht, beispielsweise aktives FTP. Abbildung 1 zeigt den Ausschnitt aus dem erzeugten Regelwerk, der für FTP zuständig ist.
Firehol lässt sich übrigens gern bei der Arbeit zuschauen und bietet dafür die praktische »explain«-Funktion an. In eine interaktive Shell tippe ich dabei Regelwünsche in der gezeigten Syntax und erhalte als Antwort die IPtables-Regeln, die Firehol im Ernstfall daraus backen würde. Die Administration meiner heimischen Firewall habe ich nun heimlich, still und leise vereinfacht. Apropos still und leise - was mache ich bloß gegen den Lärm in der Abstellkammer? (jk)
| Infos |
|---|
| [1] Firehol: [http://firehol.sourceforge.net] [2] Michael Schwartzkopff, "Neue Features der Firewall-Oberfläche FW-Builder": Linux-Magazin 06/07, S. 86 |
| Der Autor |
|---|
|
Charly Kühnast administriert Unix-Betriebssysteme im Rechenzentrum Niederrhein in Moers. Zu seinen Aufgaben gehören die Sicherheit und Verfügbarkeit der Firewalls und der DMZ. Im heißen Teil seiner Freizeit frönt er dem Kochen, im feuchten Teil der Süßwasseraquaristik und im östlichen lernt er Japanisch. |
Diesen Artikel als PDF kaufen
Als digitales Abo
Weitere Produkte im Medialinx Shop »
Versandartikel
Onlineartikel
Dieser Online-Artikel kann Links enthalten, die auf nicht mehr vorhandene Seiten verweisen. Wir ändern solche "broken links"
nur in wenigen Ausnahmefällen. Der Online-Artikel soll möglichst unverändert der gedrucken Fassung entsprechen.
Alle Rezensionen aus dem Linux-Magazin
- Buecher/07 Bücher über 3-D-Programmierung sowie die Sprache Dart
- Buecher/06 Bücher über Map-Reduce und über die Sprache Erlang
- Buecher/05 Bücher über Scala und über Suchmaschinen-Optimierung
- Buecher/04 Bücher über Metasploit sowie über Erlang/OTP
- Buecher/03 Bücher über die LPI-Level-2-Zertifizierung
- Buecher/02 Bücher über Node.js und über nebenläufige Programmierung
- Buecher/01 Bücher über Linux-HA sowie über PHP-Webprogrammierung
- Buecher/12 Bücher über HTML-5-Apps sowie Computer Vision mit Python
- Buecher/11 Bücher über Statistik sowie über C++-Metaprogrammierung
- Buecher/10 Bücher zu PHP-Webbots sowie zur Emacs-Programmierung
Insecurity Bulletin
Im Insecurity Bulletin widmet sich Mark Vogelsberger aktuellen Sicherheitslücken sowie Hintergründen und Security-Grundlagen. mehr...