Wird eine verbotene IP-Verbindung durch die Aktion DENY
erkannt, wird deny_cmds aktiviert. Die beiden Scripts sollten vor der Aktivierung
der Firewall gestartet werden, damit keine Einträge verloren gehen. syslog.filter
wird durch einen neuen Eintrag in /etc/syslog.conf aktiviert, der die Pipe
definiert:kernel.info \
/var/adm/FCT/etc/iplog.pipe
Die Möglichkeiten sind hier fast unbegrenzt. Denkbar sind z.B. dynamische
Zähler, mit welchen Denial-of-Service-Attacken abgefangen werden können.
Zum Umgang mit den Definitions-Files und den Scripts stellt FCT eine Reihe von Kommandos
zur Verfügung. Das Kommando firewall startet bzw. beendet den Firewall mit
den Parametern start bzw. stop. Zusätzlich werden die Optionen -s, -t
und -v unterstützt. Um die Konfiguration testen zu können (die Kommandos werden
nicht ausgeführt), wird die Option -t verwendet. Mit der Option -v
(verbose) werden alle einzelnen Kommandos ausgegeben. Die Option -s bewirkt, daß
anstelle der generierten »Rules Files« unter etc/*.rules die in setup
definierten Kommandos setup/*.rules abgearbeitet werden. |
|
Letztere müssen nicht mehr weiterverarbeitet werden,
z.B. um eine bestimmte Syntax zu erzeugen, sondern können direkt ausgeführt werden und
laufen deshalb wesentlich schneller ab. Um die komplette Liste aller Filterregeln
aufzulisten, verwendet man: root# firewall -t -v start
Um den Telnet-Dienst zu löschen, kann man folgendes Kommando benutzen:
root# fw_rules telnet del
Sämtliche Konfigurationsfiles etc/*.cfg
und etc/config/* können auch von Hand ohne das HTML-Interface von FCT geändert
werden. Um anschließend die »Rules Fiels« rules/* neu zu erzeugen, wird create_rules
verwendet. Ohne Parameter werden alle aktuell vorhandenen Files rules/*.rules neu
kreiert. Alternativ kann ein "Dienst" oder Firewall als Parameter
angegeben werden.
Die vorhandene Konfiguration läßt sich mit save_config in einem
tar-file sichern. Parameter ist Filename, FCT-config.tar ist hier
voreingestellt. |
|
Zum Wiedereinspielen der
Konfiguration sollten vorher die alten Konfigurationsfiles gelöscht und die Dateirechte
wiederhergestellt werden (Optionen -i -cgi):
root# save_config FCT-config.tar
root# save_config -i -cgi \
FCT-config.tar
FCT kann prinzipiell
auch ohne sein CGI-HTML-Interface verwendet werden. Allerdings sollte man erst ausreichend
sicher und vertraut mit der Arbeitsweise von FCT sein, bevor man sich daran macht, seine
Firewall mit dem vi zu konfigurieren. Die Konfigurationen Netzwerktopologie (Network),
Dienste auf dem Firewall (Firewall), Trusted Hosts (Trusted) und interne
Definitionen (Aliases) werden in Files etc/*.cfg abgelegt. Die Definition
der für einen Dienst benötigten Verbindungen wandern nach etc/config/*.def,
während die Filterregeln für die Dienste unter etc/config/*.flt zu finden sind.
Die generierten Rules-Files werden nach rules/*.rules bzw. rules/Firewall/*.rules
gespeichert. Bei jedem Ausführen der Rules-Files ohne das Testmodus Flag -t werden
die ausgeführten Kommandos unter setup/*.rules bzw. setup/Firewall/*.rules
gespeichert, damit sie durch das Kommando ´firewall´ mit der Option -s
direkt ausgeführt werden können. Logfiles wandern in das Verzeichnis log. |
# Incoming from hobbes to internal network
ipchains -A input -j ACCEPT -l -i isdn0 -s hobbes -d $internal
ipchains -A output -j ACCEPT -i eth0 -s hobbes -d $internal
ipchains -A forward -j ACCEPT -b -s hobbes -d $internal
# Outgoing from internal network to hobbes
ipchains -A input -j ACCEPT -i eth0 -s $internal -d hobbes
ipchains -A output -j ACCEPT -l -i isdn0 -s $internal -d hobbes
ipchains -A forward -j ACCEPT -b -s $internal -d hobbes
Listing 5: »Trusted Host« hobbes verwendet
Interfacce isdn0 |
|
Für
Interessenten: In diesen Tagen soll FCT in die Linux-Distribution »Debian« http://www.debian.org aufgenommen werden, bei S.u.S.E. sind Aktivitäten angekündigt, aber noch nicht
realisiert (seit S.u.S.E. 5.3: Paket fct). Auf dem Linux-Server sunsite.unc.edu und allen seinen Mirrors ist FCT unter /pub/Linux/network/admin
zu finden. |