Weiter Zur�ck [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING

15.4 Start und �berwachung der Firewall

Nach der Installation und Konfiguration der Firewall ist nun das wichtigste Ziel, die Firewall zu �berwachen.

Dieser Abschnitt beschreibt die Kommandos des Programms sfc.

Zuerst sollte man sich vergewissern, da� das Kernel Filtermodul in den Kernel eingef�gt worden ist. Der Shell Befehl lsmod zeigt alle geladenen Module des Kernels an. W�hrend das Filtermodul stets als zus�tzliches Modul geladen werden mu�, k�nnte es sein, da� vom Kerneld�mon einige Module, z.B. f�r Netzwerkkarten, eigenst�ndig geladen worden sind. Wichtig ist, das das Modul sf geladen sind. Generell f�r alle folgenden Befehle gilt: Ohne Angabe des Konfigurationsfiles wird die Datei /etc/firewall.conf als default Konfiguration angenommen.

Starten der Firewall

Die Firewall wird mit "sfc start firewall.conf" gestartet, je nachdem, wie das Konfigurationsfile benannt wurde, sind auch andere Namen zul�ssig.

Das Startkommando �berpr�ft, ob der Firewall-D�mon l�uft, und liest dann das Konfigurationsfile ein.

Stop der Firewall

Um den Firewall-D�mon zu stoppen, gen�gt die Eingabe von "sfc stop". In diesem Moment wird jeder Datenverkehr unterbrochen und es werden alle Interfaces blockiert. Dies dient der Sicherheit bei einem Fehler im Betriebssystem.

Nun kann eventuell die Firewall mit einer neuen Konfiguration gestartet werden, die dann sofort wieder einsatzbereit ist. Ein Reboot sollte nicht stattfinden. Es existiert aber noch ein reconfig Befehl....

Achtung: Problematisch wird es dann, wenn der Firewall-D�mon mit rmmod entladen wird. In diesem Moment greifen die Standardeinstellungen des Kernels. Er leitet dann alle Pakete zwischen den Interfaces weiter.

Die Rekonfiguration der Firewall

In einigen F�llen k�nnte es gew�nscht sein, automatisch zwischen verschiedenen Firewallkonfigurationen zu wechseln. Beispielsweise k�nnte an Samstagen und Sonntagen somit der Aufbau einer Internet-Verbindung verboten sein. In diesem Falle sollte man den cron D�mon bem�hen, der folgende Befehle ausf�hrt:

sfc stop; sfc start neue_konfiguration.conf

Einfacher ist er Einsatz des Befehls:

sfc stop; sfc reconfig neue_konfiguration.conf

Dieser Befehl startet eine neue Konfiguration. Hierbei werden alle Parameter von bestehenden TCP Verbindungen �bernommen ! Verbindungen, die nach den neuen Regeln verboten sind, werden beendet.

Hierzu k�nnen optional noch zwei weitere Parameter �bergeben werden:

flush ist die Default Einstellung, die alle erlaubten Verbindungen aufrechterh�lt.

flush_all beendet alle Verbindungen. Diese Option entspricht einem Stop und dem Neustart.


Weiter Zur�ck [Inhalt] Online Suche im Handbuch LITTLE-IDIOT NETWORKING