OpenSource

Ich hatte gestern Nacht angefangen und bin gerade eben fertig geworden. Ich habe fuer mein Firewallsystem ein Firewall-Skript fuer iptables erstellt. Was daran so besonders ist? Mein altes Firewall-Skript hatte nur auf Portebene Verbindungen erlaubt. Jetzt habe ich eine stateful inspection. Heisst der Status der Verbindung wird mit in die Entscheidung einbezogen, ob die Verbindung erlaubt wird oder nicht. Da ich nicht nur ankommenden Traffic blockiere, sondern auch ausgehenden, der von mir nicht erlaubt wird, bedeutet es natuerlich ein wenig mehr Arbeit. Ich habe jetzt das Skript schoen ordentlich aufgeteilt in einen generellen Bereich der fuer alle Hosts im internen Bereich zaehlt und einzelne Sektionen fuer spezielle Ports die einzelne Hosts benoetigen.

Zusaetzlich habe ich mir gedacht, warum sollte ich Eintraege in Blacklists fuer eMail-Spammer nur auf meinem SMTP-Server blocken. Diese Adressen kann ich doch direkt in eine Blacklist packen und blockieren. Gesagt getan, ein wenig geskriptet und eine extra chain in iptables dafuer erstellt, die ich ohne Veraenderung der anderen Eintraege direkt updaten kann.

Hat richtig spass gemacht die ganzen Regeln zu erstellen. Vor allem ist es so wesentlich sauberer und durchdachter als wenn jemand her geht und sich seine Regeln via Firewallbuilder zusammen klickt. Aber das war auf keinen Fall das Ende der Sicherheitsmassnahmen fuer meine Firewall, eher der Anfang