[Sysadmins] "Макроязык" для firewall

Nikolay A. Fetisov =?iso-8859-1?q?naf_=CE=C1_naf=2Enet=2Eru?=
Пн Янв 28 13:11:21 MSK 2008 

On Mon, 28 Jan 2008 09:34:30 +0300
Eugene Prokopiev wrote:

> А есть ли у нас или может кто использует самопальные средства (набор
> скриптов, а не GUI) для упрощения написания правил iptables? ...

FIAIF - в дистрибутиве есть. 


Для обсуждаемой в community@ темы простого шлюза
>комп с двумя сетевушками
>    eth0   192.168.x.51(городская сеть и VPN)
>    eth2   192.168.0.1
>    шлюз 192.168.x.1

(http://lists.altlinux.org/pipermail/community/2008-January/403115.html)


конфигурация выглядела бы так:

/etc/fiaif/fiaif.conf
------8<---------------
...
DONT_START=0
ZONES="EXT INT"
CONF_INT=zone.int
CONF_EXT=zone.ext
...
DEBUG=0
...
------8<---------------


/etc/fiaif/zone.int:
------8<---------------
NAME=INT
DEV=eth2
DYNAMIC=1
GLOBAL=0

IP_EXTRA=""
NET_EXTRA="224.0.0.0/4"
DHCP_SERVER=0

INPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"
FORWARD[0]="ALL DROP ALL 0.0.0.0/0=>0.0.0.0/0"

REDIRECT_PROXY="tcp 80 0.0.0.0/0=>0.0.0.0/0 127.0.0.1 3128"

SNAT[0]="EXT ALL 0.0.0.0/0=>0.0.0.0/0"

TC_ENABLE=0
------8<---------------


/etc/fiaif/zone.ext:
------8<---------------
NAME=EXT
DEV=eth0
DYNAMIC=1
GLOBAL=1

IP_EXTRA=""
NET_EXTRA="192.168.x.0/255.255.255.0"
DHCP_SERVER=0

INPUT[0]="ACCEPT tcp ssh 0.0.0.0/0=>0.0.0.0/0"
INPUT[1]="ACCEPT icmp echo-request 0.0.0.0/0=>0.0.0.0/0"
INPUT[2]="DROP_NOLOG udp 67,135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0"
INPUT[3]="DROP_NOLOG tcp 135,137,138,139,445,520 0.0.0.0/0=>0.0.0.0/0"
INPUT[4]="REJECT udp ALL 0.0.0.0/0=>0.0.0.0/0"
INPUT[5]="DROP ALL 0.0.0.0/0=>0.0.0.0/0"

OUTPUT[0]="ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"

FORWARD[0]="ALL ACCEPT ALL 0.0.0.0/0=>0.0.0.0/0"

REPLY_AUTH="EXT tcp-reset tcp auth 0.0.0.0/0=>0.0.0.0/0"
REPLY_TRACEROUTE="EXT icmp-port-unreachable udp 33434:33464 0.0.0.0/0=>0.0.0.0/0" 
LIMIT_PING="EXT DROP 1/second 3 ICMP echo-request 0.0.0.0/0=>0.0.0.0/0"

TC_ENABLE=0
------8<---------------

В итоговой конфигурации были бы заблокированы обращения извне с частных 
подсетей (кроме явно разрешённой 192.168.x.0/24), с ещё не распределённых 
IANA диапазонов адресов, включено логирование отброшенных пакетов (кроме CIFS), 
ну и т.п. - в общей сложности порядка 400 правил.

Примеры конфигурации в пакете, разумеется, присутствуют.


-- 
С уважением,
Николай Фетисов

Подробная информация о списке рассылки Sysadmins