Sofistikovany firewall skript

Skript ma za ucel:

  • a) oddelit definici pravidel od samotneho init skriptu,
  • b) osetrit stav, kdy menite firewall na vzdalenem stroji a nechtene si odriznete pristup.

Pouziti na vlastni nebezpeci.

Pouziti:

Idea je nasledujici. Funkcni nastaveni si skript uklada do souboru iptables-saved.current. Konfigurace (=definice pravidel) pise administrator do souboru iptables.define.

Pri zmene nastaveni v iptables.define zavedu prikazem /etc/init.d/iptables restart nova pravidla. Pokud se neco nepovede (odriznu si pristup), tak se do hodiny nastaveni vrati do posledniho ulozeneho stavu. Pokud je vse v poradku, tak prikazem /etc/init.d/iptables checkpoint se ulozi stav podle iptables.define.

Pozor - pokud mezi restartem a ulozenim pozmenite soubor iptables.define, nebude to fungovat.

Uz jen vycet parametru init skriptu:

# spusti/vypne/restartuje  fw z definice pravidel
iptables start
iptables stop
iptables restart
 
# ulozni novou sadu pravidel
iptables checkpoint
 
# od aktualniho stavu se vrati k ulozenemu stavu
iptables restore 
 
# aktualni pravidla
iptables status

Struktura souboru:

  • ./etc/iptables – adresar, kam se ukladaji definice pravidel pro iptables
  • ./etc/iptables/iptables-saved.current – aktualni ulozena pravidla (symlink na posledni verzi)
  • ./etc/iptables/iptables.define – definice pravidel, zde se provadi zmeny
  • ./etc/init.d/iptables – init skript, pouziti viz pouziti
  • ./etc/cron.hourly/iptables_restore – skript, ktery zajisti nejpozdeji do hodiny
  • ./var/run/iptables – adresar ukladani zamkovych souboru

Download:

* zdroj ke stazeni: sfw-0.9.tgz

 
comp/unix/skript_sofistikovany_firewall.txt · Poslední úprava: 2008/11/30 01:08 autor: srerucha

TOPlist