![[Inhalt]](toc.gif)
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |
Nach der Installation und Konfiguration der Firewall ist nun das wichtigste Ziel, die Firewall zu überwachen.
Dieser Abschnitt beschreibt die Kommandos des Programms sfc.
Zuerst sollte man sich vergewissern, daß das Kernel Filtermodul in den Kernel eingefügt worden ist. Der Shell Befehl lsmod zeigt alle geladenen Module des Kernels an. Während das Filtermodul stets als zusätzliches Modul geladen werden muß, könnte es sein, daß vom Kerneldämon einige Module, z.B. für Netzwerkkarten, eigenständig geladen worden sind. Wichtig ist, das das Modul sf geladen sind. Generell für alle folgenden Befehle gilt: Ohne Angabe des Konfigurationsfiles wird die Datei /etc/firewall.conf als default Konfiguration angenommen.
Starten der Firewall
Die Firewall wird mit "sfc start firewall.conf" gestartet, je nachdem, wie das Konfigurationsfile benannt wurde, sind auch andere Namen zulässig.
Das Startkommando überprüft, ob der Firewall-Dämon läuft, und liest dann das Konfigurationsfile ein.
Stop der Firewall
Um den Firewall-Dämon zu stoppen, genügt die Eingabe von "sfc stop". In diesem Moment wird jeder Datenverkehr unterbrochen und es werden alle Interfaces blockiert. Dies dient der Sicherheit bei einem Fehler im Betriebssystem.
Nun kann eventuell die Firewall mit einer neuen Konfiguration gestartet werden, die dann sofort wieder einsatzbereit ist. Ein Reboot sollte nicht stattfinden. Es existiert aber noch ein reconfig Befehl....
Achtung: Problematisch wird es dann, wenn der Firewall-Dämon mit rmmod entladen wird. In diesem Moment greifen die Standardeinstellungen des Kernels. Er leitet dann alle Pakete zwischen den Interfaces weiter.
Die Rekonfiguration der Firewall
In einigen Fällen könnte es gewünscht sein, automatisch zwischen verschiedenen Firewallkonfigurationen zu wechseln. Beispielsweise könnte an Samstagen und Sonntagen somit der Aufbau einer Internet-Verbindung verboten sein. In diesem Falle sollte man den cron Dämon bemühen, der folgende Befehle ausführt:
sfc stop; sfc start neue_konfiguration.conf
Einfacher ist er Einsatz des Befehls:
sfc stop; sfc reconfig neue_konfiguration.conf
Dieser Befehl startet eine neue Konfiguration. Hierbei werden alle Parameter von bestehenden TCP Verbindungen übernommen ! Verbindungen, die nach den neuen Regeln verboten sind, werden beendet.
Hierzu können optional noch zwei weitere Parameter übergeben werden:
flush ist die Default Einstellung, die alle erlaubten Verbindungen aufrechterhält.
flush_all beendet alle Verbindungen. Diese Option entspricht einem Stop und dem Neustart.
|
|
Online Suche im Handbuch | LITTLE-IDIOT NETWORKING |