Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- tachtler:firewallbuilder_centos_7 [2014/10/11 07:41] – [Tabelle] klaus
+++ tachtler:firewallbuilder_centos_7 [2020/02/09 14:08] – [/home/fwadmin/fw/myFirewall_wrapper.sh] klaus
@@ Zeile 8: / Zeile 8: @@
   * **__NICHT__ mit** ''firewalld.service'' **!!!**
-:!: **HINWEIS** - **Nachfolgend soll die Installation und eine mögliche Einbettung in eine bestehendes Betriebssystem veranschaulicht werden !!!**
+:!: **HINWEIS** - **Nachfolgend soll die Installation und die Einbettung in eine bestehendes Betriebssystem veranschaulicht werden !!!**
-:!: **WICHTIG** - **Es werden weder eine Komplettlösungen, noch eine Anleitungen für eine komplette Firewall-Konfiguration gegeben !!!**
+:!: **WICHTIG** - **Es werden weder eine Komplettlösungen, noch eine Anleitungen zur kompletten Firewall-Konfiguration gegeben !!!**
 :!: **HINWEIS** - **Mehr Informationen zum gezielten Einsatz, können unter nachfolgenden Link bezogen werden:**
@@ Zeile 34: / Zeile 34: @@
 Zur Einbindung des **__externen Repositories__** von
-  * [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]]
+  * [[http://repo.mailserver.guru/|http://repo.mailserver.guru]]
-Mit nachfolgendem Befehlen kann ein ''rpm''-Installationspaket heruntergeladen und installiert werden, mit dem das **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] als Drittrepository im Betriebssystem, als zusätzliche Quelle, eingebunden werden kann.
+Mit nachfolgendem Befehlen kann ein ''rpm''-Installationspaket heruntergeladen und installiert werden, mit dem das **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] als Drittrepository im Betriebssystem, als zusätzliche Quelle, eingebunden werden kann.
 Zuerst sollte mit nachfolgendem Befehl in das Verzeichnis ''/tmp'' gewechselt werden:
@@ Zeile 43: / Zeile 43: @@
 </code>
-Nachfolgender Befehl kann das entsprechende ''rpm''-Paket für das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] heruntergeladen werden:
+Nachfolgender Befehl kann das entsprechende ''rpm''-Paket für das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] heruntergeladen werden:
 <code>
-# wget http://repo7.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
+# wget http://repo.mailserver.guru/7/os/x86_64/Packages/mailserver.guru-7-1.noarch.rpm
---2014-10-10 09:59:03--  http://repo7.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
+--2014-10-10 09:59:03--  http://repo.mailserver.guru/7/x86_64/mailserver.guru-7-1.noarch.rpm
-Resolving repo7.mailserver.guru... 217.91.103.190
+Resolving repo.mailserver.guru... 217.91.103.190
-Connecting to repo7.mailserver.guru|217.91.103.190|:80... connected.
+Connecting to repo.mailserver.guru|217.91.103.190|:80... connected.
 HTTP request sent, awaiting response... 200 OK
 Length: 5944 (5.8K) [application/x-rpm]
@@ Zeile 58: / Zeile 58: @@
 </code>
-Mit nachfolgendem Befehl, kann nun die Installation des ''rpm''-Pakets für das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] durchgeführt werden:
+Mit nachfolgendem Befehl, kann nun die Installation des ''rpm''-Pakets für das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] durchgeführt werden:
 <code>
 # yum localinstall /tmp/mailserver.guru-7-1.noarch.rpm
@@ Zeile 128: / Zeile 128: @@
 </code>
-:!: **HINWEIS** - Damit könnte bereits das das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] grundsätzlich genutzt werden!
+:!: **HINWEIS** - Damit könnte bereits das das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] grundsätzlich genutzt werden!
-Zur **Sicherheit** sollte jedoch noch der **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden, da alle Pakete via **GPG**-Schlüssel signiert sind, und diese Signatur nur dann überprüft werden kann!
+Zur **Sicherheit** sollte jedoch noch der **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden, da alle Pakete via **GPG**-Schlüssel signiert sind, und diese Signatur nur dann überprüft werden kann!
-Nachfolgender Befehl lädt den **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] von
+Nachfolgender Befehl lädt den **GPG-Schlüssel** des **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] von
-  * [[http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7|http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7]]
+  * [[http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7|http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7]]
 herunter:
 <code>
-# wget http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
+# wget http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
---2014-10-10 10:22:42--  http://repo7.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
+--2014-10-10 10:22:42--  http://repo.mailserver.guru/7/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
-Resolving repo7.mailserver.guru... 217.91.103.190
+Resolving repo.mailserver.guru... 217.91.103.190
-Connecting to repo7.mailserver.guru|217.91.103.190|:80... connected.
+Connecting to repo.mailserver.guru|217.91.103.190|:80... connected.
 HTTP request sent, awaiting response... 200 OK
 Length: 1650 (1.6K) [text/plain]
@@ Zeile 150: / Zeile 150: @@
 </code>
-Mit nachfolgendem Befehl, kann nun der **GPG**-Schlüssel des **__externen Repositories__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden:
+Mit nachfolgendem Befehl, kann nun der **GPG**-Schlüssel des **__externen Repositories__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] **importiert** werden:
 <code>
 # rpm --import /tmp/MAILSERVER.GURU-RPM-GPG-KEY-CentOS-7
@@ Zeile 215: / Zeile 215: @@
 </code>
-Jetzt kann das **__externe Repository__** von [[http://repo7.mailserver.guru/|http://repo.mailserver.guru]] genutzt werden.
+Jetzt kann das **__externe Repository__** von [[http://repo.mailserver.guru/|http://repo.mailserver.guru]] genutzt werden.
 Es sollten mit nachfolgendem Befehl die von **''yum''**, dem Paket-Manager von [[http://www.centos.org|CentOS]], bereits zwischengespeicherten Informationen, welche bei der Nutzung von **''yum''** zu einem früheren Zeitpunkt ermittelt wurden, mit nachfolgenden Befehl gelöscht werden, um eine Neuermittlung aller verfügbaren Paketinformationen durchzuführen:
@@ Zeile 897: / Zeile 897: @@
 Im **Reiter**
-  * **Labels**
+  * **Labels - Standard**
 {{:tachtler:fwbuilder:fwbuilder7-preferences-labels.png|Firewall Builder - Edit - Preferences - Labels}}
 :!: **HINWEIS** - **In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.**
+  * **Labels - Zonenmodell**
+{{:tachtler:fwbuilder:fwbuilder7-preferences-labels-zonenmodel.png|Firewall Builder - Edit - Preferences - Labels - Zonenmodell}}
+sollten nachfolgende Änderungen nun durchgeführt werden:
+^ Label                    ^ Farbcode ^   R ^   G ^   B ^   H ^   S ^   V ^
+| BLOCKED                  | rot      | 200 | 110 | 110 |   0 | 115 | 200 |
+| INPUT untrust            | türkis   |  60 | 168 | 168 | 180 | 164 | 168 |
+| INPUT trust              | grün     | 139 | 192 | 101 |  94 | 121 | 192 |
+| FORWARD untrust -> trust | orange   | 192 | 139 |  90 |  28 | 135 | 192 |
+| FORWARD trust -> untrust | gelb     | 192 | 186 |  68 |  57 | 165 | 192 |
+| OUTPUT untrust           | lila     | 163 | 126 | 192 | 273 |  58 | 192 |
+| OUTPUT trust             | blau     | 118 | 148 | 192 | 215 |  98 | 192 |
 Im **Reiter**
@@ Zeile 1029: / Zeile 1044: @@
 :!: **HINWEIS** - **In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.**
 === Firewall Settings ===
@@ Zeile 1040: / Zeile 1054: @@
   * **Compiler**
-Firwall Builder - Firewall Settings - Compiler}}
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-compiler.png|Firwall Builder - Firewall Settings - Compiler}}
 sollten nachfolgende Änderungen nun durchgeführt werden:
@@ Zeile 1053: / Zeile 1067: @@
 Im **Reiter**
-  * **Installer**
+  * **Installer - Variante SCP/SSH**
-Firwall Builder - Firewall Settings - Installer}}
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-installer.png|Firwall Builder - Firewall Settings - Installer - SCP/SSH}}
 sollten nachfolgende Änderungen nun durchgeführt werden:
@@ Zeile 1066: / Zeile 1080: @@
 | Additional command line parameters for scp                               |               | -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin  |
+  * **Installer - Variante SCRIPT**
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-installer_script.png|Firwall Builder - Firewall Settings - Installer - SCRIPT}}
+sollten nachfolgende Änderungen nun durchgeführt werden:
+^ Feldname                    ^ Standardwert  ^ Neuer Wert                             ^
+| Policy install script (...) |               | /home/fwadmin/fw/myFirewall_wrapper.sh |
+Im **Reiter**
+  * **Prolog/Epilog**
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-prolog_epilog.png|Firwall Builder - Firewall Settings - Prolog/Epilog}}
+sollten nachfolgende Änderungen nun durchgeführt werden:
+^ Feldname                                                                   ^ Standardwert  ^ Neuer Wert                                     ^
+| The following command will be added verbatim after generated configuration |               | /usr/sbin/iptables-save > /etc/sysconfig/iptables |
+Im **Reiter**
+  * **Logging**
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-logging.png|Firwall Builder - Firewall Settings - Logging}}
+sollten nachfolgende Änderungen nun durchgeführt werden:
+^ Feldname                  ^ Standardwert  ^ Neuer Wert ^
+| use numeric syslog levels |               | ✔          |
+Im **Reiter**
+  * **Script**
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-script.png|Firwall Builder - Firewall Settings - Script}}
+:!: **HINWEIS** - **In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.**
+Im **Reiter**
+  * **IPv6**
+{{:tachtler:fwbuilder:fwbuilder7-firewall-firewall_settings-ipv6.png|Firwall Builder - Firewall Settings - IPv6}}
+:!: **HINWEIS** - **In diesem Reiter können alle Einstellungen auf den Standardwerten belassen werden.**
+==== /etc/sudoers ====
+Nachfolgende Änderung, **__MUSS__** auf **__JEDER__** **Firewall** durchgeführt werden, um den Firewall-Regelsatz auch **ausführen bzw. installieren** zu können!
+Die Konfigurationsdatei
+  * **''/etc/sudoers''**
+sollte mit nachfolgendem Befehl
+<code>
+# visudo
+</code>
+wie folgt ergänzt werden (**nur relevanter Ausschnitt**):
+<code ini>
+...
+## Allow root to run any commands anywhere
+root    ALL=(ALL)       ALL
+# Tachtler
+%fwadmin ALL = PASSWD: /home/fwadmin/fw/firewallname.fw
+...
+</code>
+:!: **HINWEIS** - Falls die entsprechende Firewall nicht **direkt, mit einer ''route''** erreichbar ist, kann auch nachfolgende Konfiguration nötig sein!
+<code ini>
+...
+## Allow root to run any commands anywhere
+root    ALL=(ALL)       ALL
+# Tachtler
+Defaults:fwadmin !requiretty
+%fwadmin ALL = NOPASSWD: /home/fwadmin/fw/firewallname.fw
+...
+</code>
+:!: **HINWEIS** - Die Zeile ''Defaults:fwadmin !requiretty'' bedeutet, das der Bernutzer ''fwadmin'' keine ''tty'' zur Ausführung des ''shell''-Skriptes benötigt !
+==== /home/fwadmin/fw/myFirewall_wrapper.sh ====
+Nachfolgende **__zwei__** Beipiele zeigen jeweils einen Wrapper für
+  - die **lokale** ''iptables''-Firewall
+  - eine **__nicht__ direkt via ''ssh'' erreichbare** ''iptables''-Firewall
+Nachfolegnd ein Beispiel für einen *Wrapper* für eine **lokale** ''iptables''-Firewall:
+<code ini>
+#!/bin/sh
+/home/fwadmin/fw/myFirewall_wrapper.sh
+</code>
+Nachfolegnd ein Beispiel für einen *Wrapper* für eine **__nicht__ direkt via ''ssh'' erreichbare** ''iptables''-Firewall:
+<code ini>
+#!/bin/sh
+scp -P 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin -o ProxyCommand="ssh -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin fwadmin@192.168.0.50 nc 192.168.1.10 22" /home/fwadmin/fw/myFirewall_wrapper.sh fwadmin@192.168.1.10:/home/fwadmin/fw
+ssh -t -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin -o ProxyCommand="ssh -t -p 22 -i /home/fwadmin/.ssh/id_rsa_fwadmin fwadmin@192.168.0.50 nc 192.168.1.10 22" fwadmin@192.168.1.10 sudo -u root /home/fwadmin/fw/myFirewall_wrapper.sh
+</code>
+* //Der ''scp''-Befehl kopiert das auszuführende Skript auf den Ziel-Server!// \\
+* //Der ''ssh''-Befehl führt das zuvor kopierte Skript auf den Ziel-Server aus!//