PF FW mit Http

[unix_united]

Hallo Leute,

ich bin neu in diesem Forum und sage ersteinmal HALLO.

ich will meinen dsl-router in die ecke stellen und mal mit einer richtigen FireWall arbeiten!!!!

Ich habe mir soweit die PF angesehen und denke dass ich die soweit ganz gut verstehe. Ich will aber meine FireWall per HTTPS ansteuern (ja, ich bin Azubi und langeweile mich derzeit immens)

Jetzt gibt es ja soweit ich weiss bereits solche tools (pfsense), aber ich denke viel lieber wäre mir wenn ich mal meine Programmierkenntnisse vertiefen könnte und selbst mal was einfaches basteln kann. Zeit habe ich ja;-)

danke und tschüss

 

[Kamikaze]

Hmm, wie lautet denn deine Frage?

 

[unix_united]

ok, die Frage lautet so wie mein thread:

PF per Browser ansteuern:-)

Bis jetzt editiere ich dies alles in meiner rc.conf datei
- meinen beiden NICs IP addressen geben
- Route eingeben
- Filterregeln editieren
- pppoe namen eingeben
- Natten/Masqueraden
- mitloggen und anschauen was so auf meinem ext, Interface passiert?

Wenn ich das alles über web machen möchte, sollte ich dann dafür einen script schreiben (perl??) und das per web aufrufen? oder macht man das heutzutage mit xml-rpc??

dat wars:-)

 

[Kamikaze]

Einfach per Skript. Du kannst alles verwenden. Ich habe schon CGI-Skripte für /bin/sh geschrieben, das hat auch funktioniert.

 

[unix_united]

ok, welche scriptsprache würdest du mir empfehlen CGI, Perl, TCL???? ich bin zwar newbie, aber die kommende zeit ist hier sowieso nicht allzuviel los (muss nämlich unser kleines Mini Netzwerk mit administrieren)

also kann ich mir die zeit erlauben

 

[Kamikaze]

Ich würde empfehlen die Skriptsprache zu verwenden, die du am besten beherrschst.

 

[unix_united]

ok, danke für die empfehlung, dann werde ich es mit TCL versuchen

 

[oenone]

Ich würde dafür eher Perl vorschlagen, das war "Ursprünglich als Werkzeug zur Verarbeitung und Manipulation von Textdateien insbesondere bei System- und Netzwerkadministration vorgesehen" (wikipedia)

 

[menace]

[ot]bsdforen.de - Hier werden sie verwirrt.
*scnr*
die vorigen 3 Posts haben schon eine gewisse Satire an sich =)[/ot]

 

[d4mi4n]

unix_united:
Habe sowas mal mit php gemacht, zwar nicht in dem Ausmass wie du es vorhast aber es hat funktioniert.
Oh und es war IPFW (glaube ich zumindest) aber das ist ja im Grunde egal.
Musst eigentlich nur dem www z.B. mit sudo die Rechte geben und gut.

 

[*Sheep]

unix_united ich bin mir sicher, Du suchst soetwas wie Comixwall.

There are a couple of commercial and open source firewalls available, but none of them run on OpenBSD. OpenBSD is believed by many to be the most secure operating system in the world, thus would be perhaps the first candidate for an ISG.

Main services running on ComixWall are provided by the following open source projects/software:

• Firewall functions provided by OpenBSD pf
• DansGuardian web filter (anti-virus through ClamAV)
• Snort IDS and periodic rule updates by oinkmaster
• ClamAV and periodic signature updates by freshclam
• SpamAssassin
• OpenBSD spamd: spam deferral daemon
• P3scan: POP3 anti-virus/anti-spam proxy
• smtp-gated: SMTP anti-virus/anti-spam proxy
• Dante: SOCKS proxy
• Squid: HTTP proxy
• Apache Web Server (OpenBSD httpd)
• OpenBSD ftp-proxy
• IMSpector: IM proxy which supports MSN, IRC, Yahoo, etc.
• DNS server
• DHCP server
• OpenSSH

ComixWall can be fully configured on the command line just like any other OpenBSD system, but perhaps the most important part of ComixWall is its user-friendly web administration and monitoring interface. Here are a couple of its features:

• Basic settings like system hostname, interface IPs, gateway, hosts file, etc. can be configured via the web interface.
• pfw is integrated into the web interface so that pf rules can be managed very easily.
• pf module has a simple AfterHours and privileged/restricted IPs setting, which can be configured using the web interface.
• symon is the tool used for creating most of the monitoring graphics: CPU load/temperature/fan speed, shared memory and disk usages, PF and process graphs, etc.
• Host network usages and protocol usage graphs are based on pmacct package.
• Most modules have logs and live logs pages, where users can view and search system and process logs, even the compressed archives!
• IM proxy can log all of the text messages interchanged.
• Log files can be downloaded via the web interface.
• Most modules have statistics and live statistics pages too, where statistics are presented as top lists and bar charts. Statistics can be viewed for the compressed archives too!
• Most of the modules configuration can be done without going into the command line. Some advanced settings can be achieved using the web interface too.
• There are two users who can login to the web interface: admin and user. Admin can access all of the pages, while user does not have access rights to configuration pages, thus cannot interfere with system settings, cannot even change user password (i.e. you can safely give the user password to your boss).
• Man pages of OpenBSD and installed software can be accessed and searched via the web interface.
• Doxygen documentation of the web interface itself can be viewed on the web interface too (Doxygen has partial PHP support and no shell script support).
• Web interface is written in PHP and uses gettext, so that the web interface can be translated into other languages very easily (current release has partial Turkish support).
• Web interface configuration pages are designed so that the changes you have made to the configuration files on the command line (such as comments you might have added) stay intact after you configure some module using the web interface.

Installation CD is available as a bittorrent download. You can find the torrent file under Downloads section. However, more user friendly installation may be needed, thus in the plans.

System Administration Guide (SAG) for ComixWall 4.1 can be downloaded under Downloads section too. Besides the SAG, ComixWall web administration interface contains many info and tips boxes.

Today's most COTS computers are 64-bit. These systems have important differences from old 32-bit computers, both in terms of performance and features (such as NX bit). Furthermore, most of the services running on ComixWall mentioned above (such as web content-filter and anti-virus/spam processes) ask for both performance and shared memory. After all, running a 32-bit OS and software on 64-bit hardware would be a wasteful use of resources. Therefore, the first public release of ComixWall runs on 64-bit architectures, thus uses OpenBSD amd64. Future releases will always support amd64.

Since the release of 4.1b, many users asked for an i386 version too. Even though I believe that ComixWall needs a relatively powerful hardware, due to high demand by users, the 4.2 release will have an installation CD iso for i386 as well.

As of the first week of November 2007, ComixWall 4.1b release has seen around 600 downloads. Other than one or two minor issues which could be worked around very easily, there were no major problems reported by users. After all, ComixWall 3.9 and 4.0 with most of the features above were in production use in at least two locations, since June 2006. Therefore, ComixWall may be considered quite stable and feature-rich.

Some of the very important features can be configured only through the command line. Web interfaces for these features will be added in the next releases. These come bundled with OpenBSD:

• VPN
• VLAN
• CARP
• SNMP

There are some missing modules too. These missing features are in planned status, but unfortunately may not exists in the first releases. Among them are:

• IMAP proxy with Anti-Virus and Anti-Spam support
• Virus scan on FTP proxy
• Virus scan on IM proxy

The piece of software developed solely for ComixWall is the Web Administration Interface, which is released under BSD license.

Da Du noch viel Zeit hast, liest Du offensichtlich noch nicht misc@. Ich weiß als Azubi ist man noch wild und abenteuerlustig, aber ich würde ersteinmal bei z.B. Comixwall schauen, um ein Gefühl für den Umfang des Unternehmens zu bekommen...
Man muss nicht alles neu machen, man kann bestehendes anpassen/weiterentwickeln.

Noch ein Tipp: ...manchmal ist es besser das Gequake der FOBA* zu überlesen.

*] FreeBSDOkkupierteBrettAmtsführung
*] FreeBSDOccupiedBoardAdministration

 

[unix_united]

wow, finde ich echt stark dass es bereits solche Opensource firewalls gibt. Also ich werde wohl etwas in der nächsten zeit damit rumspielen. Ich glaube ich werde mich aber weiterhin mit der Programmierung befassen, vll kann ich das ja als meine Facharbeit reinbringen:-)

danke leute und ich halte euch auf dem laufenden

 

[Bytesplit]

Einer der schönen Dinge von OpenSource ist, man kann sich die Quellen anschauen und daraus lernen. Viel wichtiger, wie ich finde, ist es aber das man Dinge auch zurückgeben kann.

PFsense ist ein tolles Projekt, habs schon vielfach verwendet und war immer wieder begeistert. ComixWall ist auch nicht zu verachten, werd ich mir sicher mal antun.

Ich finde nur, man sollte nicht immer das Rad neu erfinden und dann irgendwann wieder ne Website aufmachen und dort das eigene Tool propagieren...

Das sieht dann so aus wie bei Linux, es gibt zigg Distros, von denen keiner so richtig versteht, wie die sich nun unterscheiden und welche man besser der anderen vorzieht. So werden nur viel zu viel Ressourcen verschwendet...

my 2 cents.... :P

 

[f41thr]

Hallo,

wer hat den bereits Erfahrung mit der Comixwall. Ich bin bei der Suche nach tcp proxys für meine OpenBSD FW über genau diesen Artikel darauf gestoßen. Ich teste die Installation gerade in einer virtuellen Umgebung. Würde theoretisch auf einer Alix laufen, ich kann mir vorstellen, daß die Performance nicht aussreicht?

Hat hier jemand bereits Erfahrungen mit der Comixwall, wenn ja auf welcher Plattform?

Gruß

F41THR

 

[Daemotron]

ok, welche scriptsprache würdest du mir empfehlen CGI, Perl, TCL???? ich bin zwar newbie, aber die kommende zeit ist hier sowieso nicht allzuviel los (muss nämlich unser kleines Mini Netzwerk mit administrieren)

also kann ich mir die zeit erlauben

OK, wenn Du Zeit hast, versuch's mit C - schreib Dir ein paar CGIs und zieh die pf-Bindings gleich mit rein, dann kannst Du die Regeln sogar on-the-fly ändern (nur über den Sinn und die Sicherheit des Unterfangens sollte man dann nicht mehr diskutieren *scnr*). Hier kannst Du Dich gerne bedienen; grundlegendes CGI-Handling und einen XHTML-Generator hatte ich schon mal implementiert.

<rant>
Ein Filter-Rechner ist für mich eine sicherheitstechnisch hochsensible Komponente eines Firewalling-Konzepts. Der muss physisch abgeschottet stehen (abschließbares Rack, keine Tastatur, kein Terminal). Remote Zugriff nur über Protokolle, die geeignet starke Authentifizierungsmechanismen unterstützen (z. B. SSH mit PubKeyAuth), und am besten auch nur über ein dediziertes Admin-NIC mit eigenem Subnetz. Ein Webserver ist in meinen Augen ein viel zu hohes Risiko auf einem so sensiblen System, von zusätzlichen Interpretern wie Perl, Python oder gar PHP ganz zu schweigen. Das einzige, was ich gelten lassen könnte, ist ein abgespeckter httpd, der nur über https arbeitet, zur Authentifizierung SSL mit Client-Zertifikat verwendet und das Admin-Interface gleich mit implementiert. Aber auch das ist nur der absolute Notfall, das (nicht sitzungsbehaftete!) HTTP-Protokoll ist für solche Aufgaben eigentlich völlig ungeeignet, und das künstliche Rumgeeiere, um nachträglich Sessions zu implementieren (Cookies, SID in URL, etc.) macht es auch nicht viel besser. Eine solche Lösung ist von vornherein dazu verdammt, irgendwo ein Loch zu haben und damit für ein sicherheitskritisches System inakzeptabel.
</rant>

 

[f41thr]

Hallo,

wer hat den bereits Erfahrung mit der Comixwall. Ich bin bei der Suche nach tcp proxys für meine OpenBSD FW über genau diesen Artikel darauf gestoßen. Ich teste die Installation gerade in einer virtuellen Umgebung. Würde theoretisch auf einer Alix laufen, ich kann mir vorstellen, daß die Performance nicht aussreicht?

Hat hier jemand bereits Erfahrungen mit der Comixwall, wenn ja auf welcher Plattform?

Gruß

F41THR

Wer hat den p3scan schon mal selber gebaut? Ich versuche das gerade auf der Comixwall nachzuvollziehen und scheitere mit den gleichen Fehlermeldungen beim compilieren, wie auf OpenBSD 4.1 bzw. 4.3

D.h. ich verstehe nicht, wie ich die COMIXWALL baue.

Tipps und Hinweise auch gerner per PM

Okay, ich beantworte mir die Frage jetzt selber.

make NO_CHECKSUM=Yes

Da soll man drauf kommen. Leider compiliere ich gerade auf der 4.1 Alix. Aber ich bin einen Schritt weiter:


Danke

F41THR