[Grml] documentation on kwfirewall..
Kai Wilke
kiste at netzworkk.de
Sun Dec 4 19:23:55 CET 2005
High, high ...
* Ishwar Rattan <ishwar at pali.cps.cmich.edu> schrieb am [04.12.05 15:17]:
>
>
> On Sun, 4 Dec 2005, Michael Prokop wrote:
>
> > If you don't want to use it or if you have problems just run
> > 'apt-get remove --purge kwtools-net-firewall'.
>
> I would like to add some rules to it, as it stands, it does not
> do much and I can't figure out the file where rules are/should go.
>
Sorry for my english
kwfirewall starts from ppp, script /etc/ppp/ip-up.d/1kwfirewall.
1kwfirewall starts the Script /etc/init.d/kwfirewall start.
/etc/init.d/kwfirewall starts /sbin/kwfirewall_start.
The script kwfirewall_starts configurate all tcp/udp ports from
configurations file /etc/kwtools/firewall.cf.
I have the manpage from firewall.cf appended. This is in the
Release kwtools-0.4.2 to come and config is extended. See man -l
firewall.5
link for not ready kwtools-0.4.2:
ftp://ftp.berlios.de/pub/netzworkk/scripts/kwtools/upload/0.4/
kind regards kiste
--
#######################################################################
Netzworkk
Kai Wilke
kiste at netzworkk.de
http://www.netzworkk.de
http://netzworkk.berlios.de
-------------- next part --------------
.TH FIREWALL.CF 5 "November 19, 2005" "Kai Wilke" "kwfirewall Konfigurations Datei"
.SH NAME
firewall.cf - Konfigurationsdatei fuer die kwfirewall Startstopscripte
und kwfirewall
.SH UEBERSICHT
/etc/kwtools/firewall.cf
.SH BESCHREIBUNG
Die Variablen werden von den Start-, Stopscripten und vom Script
kwfirewall eingelesen. Beginnt eine Zeile mit '#' oder ist leer wird
dies als Kommentar interpretiert. Alle Ports, Module muessen getrennt
durch ein Leerzeichen aufgelistet werden. Bei den *_DEV Eintragungen
geht nur ein Interface. Bei den Ports kann man auch den Namen anstelle
der Portnummer vergeben, wenn dieser in der /etc/services steht.
.TP
.B IPTABLES
Geben Sie hier an, welches iptaples Programm benutzt
werden soll (iptables=ipv4, ip6table=ipv6).
.TP
.B MODULES
Geben Sie hier die Netfilter Module an, die beim Start
der Firewall geladen werden sollen.
.TP
.B FORWARD
Soll Forwarding aktiviert werden (yes/no)? Aktivieren
Sie dies nur wenn die Firewall auf einem Router laeuft und Pakete aus
den Netzen ins Internet weiterleiten soll. Wenn dies ein Einzelrechner
ist, deaktivieren Sie dies, da dies sonst ein Sicherheitsproblem ist.
.TP
.B MASQUERADE
Masquerading aktivieren (yes/no)? Wenn Sie dies
aktivieren, werden alle IP-Adressen aus den internen Netzen,
masquiert. Aus dem Internet sieht es dann so aus, als wenn alle
IP-Pakete vom Fierewall Rechner kommen. Dies benoetigen Sie nur wenn
dies kein Einzelrechner ist und eine dynamische IP besitzt (dial on
demand). Lesen Sie auch das NAT-HOWTO unter
http://www.netfilter.org/documentation.
.TP
.B DMZ_DEV
Geben Sie hier die Netzwerk Schnittstelle zu Ihrer
Demilitarisierten Zone (DMZ) an. Benutzen Sie diese nur wenn dieser
Rechner mit einer DMZ verbunden ist.
.TP
.B INT_DEV
Geben Sie hier die Netzwerk Schnittstelle zum Internet
an. Bei dynamischen Verbindungen kann dies ipppn (ISDN), pppn
(Modem/DSL) sein. Das "n" steht fuer eine Zahl (ppp0).
.TP
.B LAN_DEV
Geben Sie hier die Netzwerk Schnittstellen zu Ihrem
Lokal Area Network (LAN) an. Benutzen Sie dies nur wenn dieser Rechner
mit einem LAN verbunden ist.
.TP
.B DMZ
Geben Sie hier die Netzwerkmaske zu Ihrer DMZ an
(192.168.2.0/24).
.TP
.B LAN
Geben Sie hier die Netzwerkmaske zu Ihrem LAN an
(192.168.0.0/24).
.TP
.B TCP_FW_TO_DMZ
TCP Ports von der Firewall zur DMZ
.TP
.B UDP_FW_TO_DMZ
UDP Ports von der Firewall zur DMZ
.TP
.B TCP_FW_TO_INT
TCP Ports von der Firewall zum Internet
.TP
.B UDP_FW_TO_INT
UDP Ports von der Firewall zum Internet
.TP
.B TCP_FW_TO_LAN
TCP Ports von der Firewall zum LAN
.TP
.B UDP_FW_TO_LAN
UDP Ports von der Firewall zum LAN
.TP
.B TCP_DMZ_TO_FW
TCP Ports von der DMZ zur Firewall
.TP
.B UDP_DMZ_TO_FW
UDP Ports von der DMZ zur Firewall
.TP
.B TCP_LAN_TO_FW
TCP Ports von der LAN zur Firewall
.TP
.B UDP_LAN_TO_FW
UDP Ports von der LAN zur Firewall
.TP
.B TCP_INT_TO_FW
TCP Ports vom Internet zur Firewall
.TP
.B UDP_INT_TO_FW
UDP Ports vom Internet zur Firewall
.TP
.B TCP_INT_TO_LAN
TCP Ports vom Internet zum LAN
.TP
.B UDP_INT_TO_LAN
UDP Ports vom Internet zum LAN
.TP
.B TCP_LAN_TO_INT
TCP Ports vom LAN zum Internet
.TP
.B UDP_LAN_TO_INT
UDP Ports vom LAN zum Internet
.TP
.B TCP_INT_TO_DMZ
TCP Ports vom Internet zur DMZ
.TP
.B UDP_INT_TO_DMZ
UDP Ports vom Internet zur DMZ
.TP
.B TCP_DMZ_TO_INT
TCP Ports von der DMZ zum Internet
.TP
.B UDP_DMZ_TO_INT
UDP Ports von der DMZ zum Internet
.TP
.B TCP_LAN_TO_DMZ
TCP Ports vom LAN zur DMZ
.TP
.B UDP_LAN_TO_DMZ
UDP Ports vom LAN zur DMZ
.TP
.B TCP_DMZ_TO_LAN
TCP Ports von der DMZ zum LAN
.TP
.B UDP_DMZ_TO_LAN
UDP Ports von der DMZ zum LAN
.TP
.B NAT - Masquerading
Bei den folgenden Variablen kann man eine IP-Adresse (192.168.0.10),
eine Reihe von IP-Adressen (192.168.0.10-192.168.0.20), ein optionaler
Port oder eine Reihe von Ports (20:22) angegeben werden. Es gehen nur
nummerische Ports.
.TP
.B BEISPIELE
.TP
.B 1.
80:192.168.0.1:3128 - Aendern der Zieladresse von
Webtraffic auf 192.168.0.1 Port 3128.
.TP
.B 2.
192.168.0.1:3128 - Zielport 3128 und Zieladresse auf
192.168.0.1 Port 3128 aendern.
.TP
.B 3.
192.168.0.1-192.168.0.3 - Zieladresse zu 192.168.0.1,
192.168.0.2 oder 192.168.0.3 aendern. Wenn eine Reihe von IP-Adressen
gegeben ist, wird diejenige ausgewaehlt, die im Moment am wenigsten
fuer IP-Verbindungen, von denen die Maschine weiss, benutzt wird. Dies
macht primitives 'load-balancing' moeglich.
.TP
.B TCP_INT_TO_DMZ_NAT
IP-Adressen und TCP Ports vom Internet zur
DMZ per NAT
.TP
.B UDP_INT_TO_DMZ_NAT
IP-Adressen und UDP Ports vom Internet zur
DMZ per NAT
.TP
.B TCP_INT_TO_LAN_NAT
IP-Adressen und TCP Ports vom Internet zum
LAN per NAT.
.TP
.B UDP_INT_TO_LAN_NAT
IP-Adressen und UDP Ports vom Internet zum
LAN per NAT
.SH DATEIEN
/etc/kwtools/firewall.cf
.SH SIEHE AUCH
iptables(8), ip6tables(8)
.SH AUTOREN
Kai Wilke <kiste at netzworkk.de>
-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 189 bytes
Desc: Digital signature
URL: <http://ml.grml.org/pipermail/grml/attachments/20051204/0af0032a/attachment-0003.pgp>
More information about the Grml
mailing list