- Mitglied seit
- 28 Jul 2005
- Beiträge
- 451
- Punkte für Reaktionen
- 0
- Punkte
- 0
Da die hausgemachte Firewall von AVM per default nur ein einfaches Portforwarding kann und das nicht den Ansprüchen einer ordentlichen Firewall entspricht, habe ich eine GUI für iptables entwickelt. Denn mit iptables kann man jedglichen Datenverkehr zwischen sämtlichen Interfaces regulieren.
Wer z.B. mehrere VPN Tunnel zu Partnerboxen hat, kann mit iptables die Zugriffe einschränken. Weiterhin kann man ausgehenden Datenverkehr von bestimmten Clients ins Internet begrenzen, und und und....
Bevor hier die Diskussion aufkommt, dass iptables unstable ist und ca. alle 3h abschmiert, möchte ich noch anmerken, dass es irgendwann (vielleicht beim nächsten Kernel) wieder einwandfrei funktionieren wird.
Ich mach es z.B. derzeit so, dass ich alle 2h den rc.iptables daemon per cronjob restarte. Das klappt eigentlich ganz gut.
So, jetzt zur GUI:
Die GUI beinhaltet ein Eingabe Formular, mit dem man Regeln setzen und löschen kann.
Darunter sieht man alle Regeln in einer Tabelle mit entsprechenden chains (Ketten) aufgelistet.
Man kann sogar Reglen an eine bestimmte Position einfügen.
Der daemon kümmert sich um die Module und lädt bzw. entlädt diese und verarbeitet die Regeln, die über die GUI abgesetzt werden.
Alle Regeln werden im flash reset-fest gespeichert und vom daemon bei Bedarf geladen.
Weiterhin können Regeln auch manuell editiert werden. Dazu ist unter den Einstellungen "IPTABLES: Rules" zu finden.
Es handelt sich hierbei um die erste Version und ich hoffe, dass sich ein paar Leute finden werden, die das Paket mal testen werden und hier darüber berichten.
EDIT 09.01.2008 - V1.0.1 : Download-Pfad in Config.in geändert und Pfaderweiterungen in rc.iptables und iptables.cgi
EDIT 10.01.2008 - V1.0.2 : Fehlerkorrektur uStor01, modreg files, Add Services, images für ACCEPT, DROP und MASQUERADE
EDIT 10.01.2008 - V1.0.3 : Bug in Startoptionen beseitigt. Getestet auf 7050 und 7170.
EDIT 11.01.2008 - V1.0.3a: Fehlende Module und Librarys ins Makefile aufgenommen
EDIT 14.01.2008 - V1.0.4: NAT für PREROUTING und POSTROUTING eingebaut, Breitere Tabelle, One-Klick Rule Deleting, sinnvolle Services per default eingebaut
cronjob:
Im ds-mod muss vor dem "make menuconfig" die Datei "make/iptables/Config.in" gepatched werden. oder man ergänzt einfach manuell die Zeile 24 "source make/iptables-cgi/Config.in".
Nachfolgend der Patch:
Wer das CGI erstmal im RAM testen will, entpackt das "iptables-cgi-1.x.x-dsmod.tar.bz2" und kopiert alles unter /root/ im Archiv nach /mod/ und setzt anschließend folgende Befehle auf der Console ab:
Wer z.B. mehrere VPN Tunnel zu Partnerboxen hat, kann mit iptables die Zugriffe einschränken. Weiterhin kann man ausgehenden Datenverkehr von bestimmten Clients ins Internet begrenzen, und und und....
Bevor hier die Diskussion aufkommt, dass iptables unstable ist und ca. alle 3h abschmiert, möchte ich noch anmerken, dass es irgendwann (vielleicht beim nächsten Kernel) wieder einwandfrei funktionieren wird.
Ich mach es z.B. derzeit so, dass ich alle 2h den rc.iptables daemon per cronjob restarte. Das klappt eigentlich ganz gut.
So, jetzt zur GUI:
Die GUI beinhaltet ein Eingabe Formular, mit dem man Regeln setzen und löschen kann.
Darunter sieht man alle Regeln in einer Tabelle mit entsprechenden chains (Ketten) aufgelistet.
Man kann sogar Reglen an eine bestimmte Position einfügen.
Der daemon kümmert sich um die Module und lädt bzw. entlädt diese und verarbeitet die Regeln, die über die GUI abgesetzt werden.
Alle Regeln werden im flash reset-fest gespeichert und vom daemon bei Bedarf geladen.
Weiterhin können Regeln auch manuell editiert werden. Dazu ist unter den Einstellungen "IPTABLES: Rules" zu finden.
Es handelt sich hierbei um die erste Version und ich hoffe, dass sich ein paar Leute finden werden, die das Paket mal testen werden und hier darüber berichten.
EDIT 09.01.2008 - V1.0.1 : Download-Pfad in Config.in geändert und Pfaderweiterungen in rc.iptables und iptables.cgi
EDIT 10.01.2008 - V1.0.2 : Fehlerkorrektur uStor01, modreg files, Add Services, images für ACCEPT, DROP und MASQUERADE
EDIT 10.01.2008 - V1.0.3 : Bug in Startoptionen beseitigt. Getestet auf 7050 und 7170.
EDIT 11.01.2008 - V1.0.3a: Fehlende Module und Librarys ins Makefile aufgenommen
EDIT 14.01.2008 - V1.0.4: NAT für PREROUTING und POSTROUTING eingebaut, Breitere Tabelle, One-Klick Rule Deleting, sinnvolle Services per default eingebaut
cronjob:
Code:
# iptables alle 2h neu laden
0 */2 * * * /mod/etc/init.d/rc.iptables restart
Im ds-mod muss vor dem "make menuconfig" die Datei "make/iptables/Config.in" gepatched werden. oder man ergänzt einfach manuell die Zeile 24 "source make/iptables-cgi/Config.in".
Nachfolgend der Patch:
Code:
--- /make/iptables/Config.in
+++ /make/iptables/Config.in
@@ -20,6 +20,8 @@
modern Linux distributions.
# Include here for a cleaner menu structure (list packages before modules/libs)
+source make/iptables-cgi/Config.in
+
source make/firewall-cgi/Config.in
Wer das CGI erstmal im RAM testen will, entpackt das "iptables-cgi-1.x.x-dsmod.tar.bz2" und kopiert alles unter /root/ im Archiv nach /mod/ und setzt anschließend folgende Befehle auf der Console ab:
Code:
modreg file 'iptables.rules' 'IPTABLES: Rules' 0 "/mod/etc/default.iptables/iptables.def"
sed "s/vpnc/vpnc\nwebtransmission\niptables/" /etc/static.pkg > /var/tmp/static.pkg
mount -o bind /var/tmp/static.pkg /etc/static.pkg
rm /var/mod/var/cache/menu_packages
Anhänge
Zuletzt bearbeitet: