CGIConfig2 v0.9

Firewall-/Forwarding-Setup für Fli4l-Router via CGI

1. Inhalt

1. Inhalt
2. Disclaimer
3. Installationshinweise für FLi4L v2.1.7
1. Voraussetzungen
2. Installation
4. Konfiguration und Funktionsumfang
1. online hosts
2. firewall state
3. portforwarding state
4. custom portforwarding state
5. Variablen in der cgiconfig.txt

Ich übernehme keinerlei Verantwortung für eventuelle Schäden, die durch dieses Skript verursacht werden könnten. Die Benutzung erfolgt ausdrücklich auf eigene Verantwortung.

3. Installationshinweise für FLi4L v2.1.7

• In der FLI4l-Config müssen aktiviert sein:
• der mini-httpd
• das opt_portfw
• arp aus den fli4l-tools

• Man entpacke das Archiv und kopiere alles in das FLi4L-Basisverzeichnis
• Anpassen der Datei cgiconfig.txt im config-Verzeichnis (OPT_CGICONFIG auf YES wechseln)
• Optional: Wer das Sicherheits-Modell des Mini-HTTPD benutzen möchte, kann bei den HTTPD-Usern in der Datei config/httpd.txt den Bereich "CGICONFIG" sowie die Rechte "view" und "set" setzen. (s. auch FLi4L-Doku Kapitel 4, HTTPD)
• Nun noch eine neue Diskette erstellen oder den Router per imonc updaten, und schon kann man loslegen.

Wenn man die Dateien per ftp hochgeladen hat muss man noch darauf achten, dass die CGIs ausführbar sind. Am einfachsten führt man dazu ein

chmod 777 /usr/local/htdocs/*.cgi

Ich denke, prinzipiell sind die beiden Skripte größtenteils selbsterklärend. main_cgiconfig.cgi zeigt den momentanen Zustand an und bildet die "Schaltzentrale". Seinerseits ruft es die check_switch.cgi auf, welche dann die eigentlichen Änderungen vornimmt.

Hiermit erhält man eine Liste aller in der base.txt eingetragenen und/oder über DHCP konfigurierte Clients.

Hier hat man die Möglichkeit, den Internet-Zugang clientweise zu gestatten/zu verweigern. Wird ein Client gesperrt, dann wird in der Table FORWARD für das Target für den entsprechenden Client auf fdrop gestellt.

Die Einstellung von FORWARD_HOST_WHITE (Blacklist oder Whitelist) in der config/base.txt wird dabei berücksichtigt.

Man hat die Möglichkeit, einen Host 'rot' (Forwarding und Router-Zugriff Verboten) oder 'gelb' (NUR Forwarding verboten) zu sperren. Proxy-Zugriffe sind also noch möglich, wenn der Client nur mit 'gelb' gesperrt wurde.

In die Textfelder "custom-IP" können IPs von Rechnern eingegeben werden, die nicht angezeigt werden. In der Liste erscheinen automatisch alle Hosts aus der base.txt.

Wird ein Host 'rot' oder 'gelb' gesperrt, werden auch Pakete die zu bestehenden Verbindungen gehören, zu diesem Host verboten.

Bei 'rot' werden bestehende Port-Forwardings und Router-Zugriffe unterbrochen und verboten. Bei 'gelb' nur bestehende Port-Forwardings.

Zeigt an, welche Ports auf welchen Client im Netz weitergeleitet werden. Diese können einzeln Aktiviert (grün) und Deaktiviert werden (rot).

Es werden nur die Einstellungen aus der config/base.txt angezeigt.

Hier werden alle Portforwarding-Einstellungen aus der Table FORWARD aufgelistet. Angezeigt werden nur die Filter, die auch auf ACCEPT stehen, und deren Protokoll genau angegeben ist.(also kein ALL)

Diese können über das X auch einzeln gelöscht werden.

Unter add Custom Portfowarding kann man eigene Einstellungen vornehmen. Angegeben wird das Protokoll, die Ziel-IP (also der Client auf den weitergeleitet werden soll) und die ports.

Zu beachten ist, das ein ganzer Port-Bereich mit Port1:Port2 angeben werden muss!

Die Einstellungen unter advanced Portforwarding können auch gespeichert werden.

Die Werte werden unter /tmp gespeichert. Das Verzeichnis sollte daher auf der Diskette,Festplatte etc. liegen.

4.7 Variablen in der cgiconfig.txt

Gruss,
Benjamin Hering
bosborros@gmx.net

Ich habe das Original für Fli4l v2.0.X als Vorlage genommen. Es stammt von

Daniel H. Reichelt
fli4l@itamservices.de