Firewall SunScreen

První setkání s programem SunScreen pěkně bolelo. Ovládání mi připadlo proti IPtables z Linuxu pěkně úchylné, tak jsem si napsal pár poznámek. Soubor s poznámkama jsem našel při úklidu na disku, tak se o něj podělím 🙂 SunScreen, který je zde používán pro tvorbu vzorových výpisů běží na Solarisu 9 pro x86.

Ovládání utilitou ssadm z příkazového řádku

v /usr/lib/sunscreen/lib/ss_boot
lze zakazat spousteni admin rozhrani v serveru,
staci zakomentovat run_httpd

# vypis nazvu sady  prave aktivnich pravidel
ssadm active

prilad:
root@sun root]# ssadm active
Active configuration: sun default Initial.8
Activated by admin on Tue Jan 04 14:37:57 2005


# editace pravidel, nezadavejte cislo verze
[15:05 root@sun root]# ssadm edit Initial
edit> 

# vypis prave aktivnich pravidel
edit> list rules

# vypis informaci o nadefinovane sluzbe
edit> list SLUZBA

# vypis informaci o vsech sluzbach
edit> list services

# definice vlastni sluzby
edit> add service "https" SINGLE FORWARD "tcp" PORT 443
edit> add service "webmail" SINGLE FORWARD "tcp" PORT 444
edit> add service "calendar" SINGLE FORWARD "tcp" PORT 445
edit> add service "appadmin" SINGLE FORWARD "tcp" PORT 4848

# povoleni sluzby - pridani pravidla
edit> add Rule https * * ALLOW
edit> add Rule webmail * * ALLOW
edit> add Rule calendar * * ALLOW
edit> add Rule appadmin * * ALLOW

# smazani pravidla
edit> del rule NUM

kde NUM je cislo pravidla ziskane vypisem list rules

# presunuti pravidla na jinou pozici

edit> move rule FROM TO
  FROM je cislo pravidla ktere chceme presunout
  TO je kam ho chceme presunout

# ulozeni pravidel
edit> save

# ulozeni pravidel pod jinym nazvem
edit> saveas moje

# aktivovani pravidel
ssadm activate NAZEV

kde NAZEV je bud Inital (default od SUNu) nebo "moje"



# priklad nadefinovanych pravidel
1 "ssh" "*" "*" ALLOW
2 "*" "localhost" "*" ALLOW
3 "*" "sun" "*" ALLOW
4 "https" "*" "*" ALLOW
5 "webmail" "*" "*" ALLOW
6 "calendar" "*" "*" ALLOW
7 "appadmin" "*" "*" ALLOW
8 "common" "*" "*" DENY