FW-Regeln im Betrieb ändern
- Ersteller Marco
- Erstellt am
saintjoe
Bodybuilder
Also, du kannst im laufenden Betrieb ja Regeln hinzufügen und löschen.
Angenommen, du willst jetzt die imaginäre
Regel1200 allow tcp from any to any 22 setup keep-state
ändern, fügst du z.b. einfach die neue Regel davor oder dahinter an, und zwar mit
ipfw add 1199 allow tcp from any to any 23 setup keep-state
Nun kannst du die Regel 1200, also die Alte, mit
ipfw del 1200
löschen. Ist zwar in dem Sinne kein Update der alten Regel, aber das Endergebnis ist wohl das gleiche.
Was das neu-einlesen der Rules betrifft: über eine SSH Verbindung kann das schnell ins Auge gehen - solltest du direkten Zugriff (also physikalischen) auf den Rechner haben, kannst du mit
/dein/firewall/script.sh
die Regeln neu einlesen (beachte: das Script sollte ein ipfw -f flush ausführen...).
Zu dem flushen und neu einlesen via SSH sagt die Manpage:
Viel Glück
Gruß
Marco
Well-Known Member
Danke für den Tipp.
Hab mir das Script (/usr/share/examples/ipfw/change_rules.sh) angeschaut. Besser gehts eigentlich nicht mehr.
Meine FW-Rules Datei die in /etc/rc.conf angeben ist, wird geladen und die darin enthaltenen Rules werden an IPFW übergeben (mit vorherigen flush).
Wer mir SSH/telnet verbunden ist und einen Fehler in den Rules gemacht hat, hat sogar eine Recoverfunktion. Wenn man nämlich innerhalb von 30s nicht 'y' zur Bestätigung drückt, werden wieder die alten Rules geladen.
Wirklich genial
Hab mir das Script (/usr/share/examples/ipfw/change_rules.sh) angeschaut. Besser gehts eigentlich nicht mehr.
Meine FW-Rules Datei die in /etc/rc.conf angeben ist, wird geladen und die darin enthaltenen Rules werden an IPFW übergeben (mit vorherigen flush).
Wer mir SSH/telnet verbunden ist und einen Fehler in den Rules gemacht hat, hat sogar eine Recoverfunktion. Wenn man nämlich innerhalb von 30s nicht 'y' zur Bestätigung drückt, werden wieder die alten Rules geladen.
Wirklich genial