Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Firewall Handbuch für LINUX 2.0 und 2.2 - zurück
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Für alle TCP <strong>und</strong> UDP Protokolle kann zusätzlich noch ein Port oder ein Bereich von Ports<br />
angegeben werden. Hier<strong>für</strong> kann auch der Name des Dienstes angegeben werden, z.B.<br />
telnet. Hier<strong>für</strong> greift die <strong>Firewall</strong> auf die Definitionen in der Datei /etc/services <strong>zurück</strong>. Die<br />
Angabe eines Ports ohne eines der Protokolle tcp oder udp wird ignoriert.<br />
Hier ein Beispiel:<br />
from inside port telnet to 129.13<strong>2.0</strong>.0, port 2700,<br />
130.103.24.0 mask 255.255.255.0 port 3000..4000;<br />
Zum Schluß muß der notification level bestimmt werden, der der <strong>Firewall</strong> angibt, was zu<br />
tun ist, wenn die Regel erfüllt ist. Hier werden alle Aktionen definiert, die neben denjenigen<br />
stattfinden sollen, die über den Verbleib des Paketes entscheiden (accept, block oder<br />
reject).<br />
Der Level 0 gibt an, daß der <strong>Firewall</strong>-Dämon <strong>und</strong> damit auch der User nicht über das<br />
Ereignis informiert wird. Wenn der Level größer als 0 ist, dann wird automatisch ein<br />
Logeintrag vorgenommen, <strong>und</strong> alle Aktionen ausgeführt, die in diesem notification level<br />
angegeben wurden.<br />
Wiederum sind natürlich die Regeln in dem File sehr wichtig. Wenn zwei Regeln<br />
gleichzeitig erfüllt sind, dann hat die erste Regel Vorzug gegenüber der zweiten Regel. Die<br />
Konsequenz daraus ist, daß man stets zuerst die Speziellen Regeln definieren sollte,<br />
bevor man sich den allgemeinen Regeln zuwendet. Beispielsweise wenn alle UDP Pakete<br />
gesperrt sein sollen, außer diejenigen von dem Host 194.77.6.230, dann sollte man diese<br />
Regel in zwei Regeln aufteilen, <strong>und</strong> diese in der korrekten Reihenfolge notieren:<br />
accept udp from 194.77.6.230 notification_level 0;<br />
block udp notification_level 1;<br />
Die notification Sektion<br />
Diese Sektion wird mit dem Schlüsselwort notification eingeleitet. Jeder Abschnitt beginnt<br />
mit dem Schlüsselwort level, gefolgt von einer level number <strong>und</strong> einem Doppelpunkt. Es<br />
können verschiedenste Aktionen zu einer Liste zusammengefaßt werden. Folgende<br />
Aktionen sind möglich:<br />
• message beschreibt einen zusätzlichen Text, der in das Logfile geschrieben<br />
wird. Wenn die Nachricht mehrere Zeilen lang ist, dann muß diese durch ein<br />
Anführungszeichen (") am Ende der ersten Zeile markiert, <strong>und</strong> in der<br />
nächsten Zeile fortgeführt werden. Mehrere Nachrichten müssen dann mit<br />
mehreren if Abfragen erzeugt werden.<br />
• syslog sendet Nachrichten an den syslogd auf der <strong>Firewall</strong>, um einen<br />
zusätzlichen Eintrag neben dem obligatorischen firewall.log File<br />
vorzunehmen. Dies ist dann wichtig, wenn ein Abgleich zwischen mehreren<br />
<strong>Firewall</strong>s über logsurfer oder argus erfolgen soll.<br />
• report kopiert ein Log-Eintrag in das firewall.report File in Ergänzung zu dem<br />
obligatorischen firewall.log file.<br />
• mail sendet eine e-Mail mit den Nachrichten an die angegebene e-Mail<br />
Adresse. Wenn keine Adresse eingetragen ist, wird die e-Mail an dijenige<br />
Adresse gesendet, die als mail_default im Quellcode der <strong>Firewall</strong> definiert<br />
wurde.<br />
• spy startet einen counter intelligence Angriff, z.B. back finger, oder einen DoS<br />
Angriff. Die spy Funktion sollte stets zusammen mit der mail Funktion<br />
eingesetzt werden, damit der User die Resultate unverzüglich als e-Mail<br />
Erstellt von Doc Gonzo - http://kickme.to/plugins