Re: PF und mehrere Configfiles

From: Matthias Fechner <idefix(at)fechner.net>
Date: Thu, 23 Feb 2006 23:51:10 +0100

Hallo Peter,

* Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> [23-02-06 21:28]:
> Warum? Keine Rhetorik, ich moechte gern wissen, was fwbuilder so gut
> macht.

ok, Vorteile die ich sehe:
1. Regeln sind wunderbar übersichtlich sortiert nach Netzwerkkarten
(interfaces)
2. Die konfiguration der Interfaces holt er sich automatisch via snmp
3. Es lassen sich Gruppen zusammenstellen (der komplette Aufbau ist
mit Hilfe von Objekten aufgebaut.
4. Ein Knopfdruck und er kompiliert die Regeln für ein anderes OS oder
eine andere Firewall
5. Auf Knopfdruck lassen sich die Regeln via ssh installieren
6. Das Tool geht mit einigen Checks über die Regeln drüber, somit
findet man sofort Regeln die sich z.B. überdecken
7. Wenn diverse Objekte lösche, z.B. löscht das Programm glaube auch
die Regeln, die mit diesem Objekt in Verbindung stehen

Das ist mir jetzt aufgefallen, nehme das Ding aber auch erst seit ca.
einer Woche her.

> Was ist's?

Mit der neuen Version sollen sog. AddressTables kommen, womit das dann
möglich sein soll.

> Ich finde es bei meinem, sich im Einsatz entwickelnen Skript, gut, die
> Kontrolle zu haben. Zum Beispiel an geeigneter Stelle ein "if [-r
> ${rc.options}]; then . ./${rc.options}; fi"

ja, fwbuilder baut auch ein Script mit dem man Firewall laden kann,
welches man auch selber anpassen kann, aber das will ich nicht,
FreeBSD hat ein start-up script /etc/rc.d/pf welches die Regeln liest
und damit soll es dann auch gehen.

> Es mag nicht die eierlegende Wollmilchsau sein, aber es wird tun, was ich
> brauche, und bis jetzt steckt da nicht mehr als ein Tag Arbeit drin, und
> es kann bereits fast alles, was ich bei mir brauche, und das sowohl fuer
> pf als auch iptables.

hihi, klar würde ich auch nicht machen, wenn ich eine schon fertige
Lösung hätte. Aber für die Leute, die sowas noch nicht haben ist
fwbuilder wirklich eine nette Hilfe.

> Anyway, zurueck zu Deinem Problem. Es ist schon moeglich, in einem Skript
> die erste Translation- oder Filter-Regel festzustellen, um da Dein
> Translations- oder Filter-Add-On hinzuzufuegen (die Regeln heissen ja
> rdr, pass, block, etc. und lassen sich so den pf-Kategorien zuordnen)

ja, da hast du recht, aber das ist mir dann zu blöd, da schmeisse ich
einfach schnell meinen emacs oder vi an und schon passt es und die
Regeln ändern sich ja auch nur am Anfang noch dann werden die ziemlich
schnell fest sein wenn alles läuft.

Gruss
Matthias

-- 
"Programming today is a race between software engineers striving to build
bigger and better idiot-proof programs, and the universe trying to produce
bigger and better idiots. So far, the universe is winning." -- Rich Cook
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Thu 23 Feb 2006 - 23:53:02 CET

search this site