Firewall installiert ! Aber welche ?

[frodoooo]

Hallo,
wir haben vor kurzem einen Linux Server als Firewall Lösung bei einer Consulting Firma gekauft. Weil wir nur Microsoft Windows Admins in der Firma haben die kein Interesse haben sich in Richtung OpenSource weiterzubilden habe ich jetzt die Aufgabe bekommen mich um diese Firewall Lösung zu kümmern, und zu überwachen, was ich als sehr positiv empfinde. Endlich hält Linux den Einzug in mein Arbeitsleben jiieeehhhaa !

(Ich habe die Einleitung extra etwas länger gehalten, nicht das nachher wieder jemand denkt ich will ne Hacker Anleitung haben, und von euch allen Tipps wie ich unsere Firmen Firewall am besten hacken kann !)

Nun zu meiner Frage :

Wie kann ich herausfinden was für eine Firewall auf diesem System installiert ist ? Die Doku der Consulting Firma ist sehr Allgemein gehalten, so nach dem Motto Linux für Dummies und andere Windows Admins !
Die Consulting Firma hat ein shell Skript geschrieben mit dem man die Firewall steuern kann. Das Skript heisst rcpffirewall und man kann es wie folgt verwenden /sbin/rcpffirewall {start|stop|restart|showtraffic}

Ich habe die Firma bereits angemailt, mir den Namen der Anwendung zu nennen die installiert wurde, damit ich mir ein Buch bestellen kann und mich so dann mit der Materie weiter befassen kann.
Habe allerdings bisher noch keine Info erhalten, daher dachte ich ich versuche es einmal hier im Forum.

Wenn ich im Yast2 auf Security / Firewall gehe, bekomme ich die Meldung

Another Firewall Active
Another kind of firewall is active in your system.
If you continue, SuSEfirewall2 may produce undefined errors .... blah blah blah !

Also wie kann ich raus bekommen und welche Applikation es sich handelt ? Hat jemand ne Ahnung ?

 

[Geier0815]

Dem Namen des Skriptes nach könnte es sich um ein pf firewall handeln. Google gibt dazu in erster Linie Links auf BSD raus. Ansonsten wird es sich bei der Datei /sbin/rcpffirewall möglicherweise um ein Skript handeln. Schon mal versucht die Datei mit einem Editor zu öffnen?

 

[frodoooo]

Hi,
hier der Inhalt der Datei :

#! /bin/sh
#
# pffirewall - Wrapper script.
# Link this into /etc/init.d as defined in LSB specification.
#
#
# $Revision: 1.2 $
#
# $Id: pffirewall,v 1.2 2006/07/27 11:03:10 root Exp $
#
### BEGIN INIT INFO
# Provides:       pffirewall
# Required-Start: $network syslog
# Required-Stop:
# Default-Start:  3 5
# Default-Stop:
### END INIT INFO

 

[Geier0815]

Siehst Du: Hättest Du reingeguckt wärst Du selber drüber gestolpert das es ein pffirewall ist.
Weitere Infos über die Funktionsweise würde ich unter

/usr/local/bin/gate_firewall.sh

vermuten. Aber ich befürchte das es dir nicht viel bringen wird, da die Funktionen einer vernünftig konfigurierten Firewall recht komplex sein können. Sei nicht böse, aber da Du selber nicht in der Lage warst raus zu finden was da werkelt, solltest Du von solchen Konfigurationen wirklich die Finger lassen.
Da aber fast alle Firewalls unter Linux auf ip-tables arbeiten, könntest Du dir darüber mal ein Buch zulegen um zumindest die Grundfunktionen nachvollziehen zu können. Sehr gute Bücher gibt es zB vom Addison-Wesley-Verlag, aber richte dich auf gesalzene Preise ein.

 

[frodoooo]

Hallo Geier0815,

danke erst mal für die Info, und natürlich bin ich nicht böse, aber jetzt weiß ich wenigstens schon mal woran ich bin, und kann jetzt zu diesen Themen gezielt nach Infos suchen, oder ich lasse mir von der Firma das Buch bezahlen.

Die Log Dateien dieser Firewall werden nach /var/log/firewall geschrieben, und sind sehr schwer zu analysieren ohne ein Tool oder Script oder Filter oder was auch immer.

Kennst du zufällig einen LogFileAnalyzer den man für diese Logfiles nutzen kann ??? Die LogDatei sieht wie folgt aus

Dec 20 00:15:23 computername kernel: IN=eth0 OUT=eth1 SRC=xx.xx.xx.xx DST=xx.xx.xx.xx LEN=48 TOS=0x00 PREC=0x00 TTL=121 ID=46932 DF PROTO=TCP SPT=51661 DPT=25 WINDOW=65535 RES=0x00 SYN URGP=0

Oder kennst du ein gutes Intrusion Detection Tool das man evtl. auch noch implementieren "lassen" sollte ?

Danke nochmals ...

P.S. bei dem Name "pffirewall - Wrapper script" hatte ich erst daran gedacht dass die Consulting Firma hier ihren Namen verewigt hat denn das erste pf hätte auch ein kürzel des Firmennamens sein können, deswegen war ich etwas irritiert, und dacht ich frage mal die Leute mich richtig Ahnung

 

[Geier0815]

http://www.amazon.de/Linux-Firewalls-mit-iptables-Co/dp/3827321360/sr=1-1/qid=1166605235/ref=sr_1_1/028-4633032-6676500?ie=UTF8&s=books
http://www.amazon.de/exec/obidos/ASIN/3827321344/$%7B0%7D wäre das zweite Thema, aber da müßtest Du ansonsten mal schauen im April sollen die Bücher wohl als "bundle" in neuer Auflage rauskommen.

 

[frodoooo]

danke dir vielmals, und frohe Weihnachten ...

 

[GMastaP]

wenn du dich mit iptables auseinander setzten willst, ist auch der fwbuilder ein interessantes Programm um mal die ersten iptables scripte zu erzeugen und zu analysieren.

 

[frodoooo]

danke für den heißen Tipp.
Werde ich jetzt gleich mal runterladen und ausprobieren.

Kennt jemand evtl. noch nen "LogFileAnalyzer" ???

Interessant wäre wenn ein Tool nach bestimmten Kriterien die Log Datei durchsucht und mir dann Kritische Zeilen oder Warnungen in der LogDatei markieren würde. Kennt jemand etwas ähnliches ?

 

[Martin Breidenbach]

Es gibt eine Website (URL weiß ich nicht auswendig) auf der man diese iptables Meldungen 'übersetzen' lassen kann. Wobei - IN/OUT/SRC/DST/PROTO/SPT/DPT sind ja eigentlicg fast selbsterklärend wenn man weiß worum es hier eigentlich geht. Da wurde z.B. wohl ein SMTP Paket geloggt.