floppy-isdn4linux Version 3.6.2 - Fli4l

8. Entwickler-Dokumentation
position Die Position, an der die Regel eingefügt werden soll
comment Ein Kommentar, der zusammen mit der Regel angezeigt werden soll, wenn
sich jemand den Paketfilter ansieht.
8.7.2. Einordnen in bestehende Regeln
Fli4l konfiguriert den Paketfilter mit einem gewissen Standardregelsatz. Will man eigene Regeln
einfügen, wird man diese in der Regel nach dem Standardregelsatz einfügen wollen. Ebenfalls
wird man wissen wollen, was denn die vom Nutzer gewünschte Aktion beim Verwerfen eines
Paketes ist. Diese Informationen bekommt man für die FORWARD und INPUT Chain durch
Aufruf zweier Funktionen wie im folgenden gezeigt:
get_defaults FORWARD # get default actions for forward chain
get_count FORWARD # get number of default rules for forward
$res res enthält die Position nach den default rules
$drop drop enthält die Chain, in die verzweigt werden soll, wenn ein Paket verworfen wird
$reject enthält die Chain, in die verzweigt werden soll, wenn ein Paket abgelehnt wird
8.7.3. Erweiterung der Paketfilter-Matches
Fli4l verwendet in den Paketfilterregeln die Syntax match:params, um zusätzliche Bedingungen
an die Pakete zu stellen (siehe mac:, limit:, length:, prot:, ...). Will man zusätzliche Matches
hinzufügen, wird das folgendermassen gemacht:
1. Anlegen einer Datei opt/etc/rc.d/fwrules-.ext. In diesem File steht in etwa folgendes:
# extension is available
foo_p=yes
# the actual extension, adding matches to match_opt
do_foo ()
{
param=$1
get_negation $param
match_opt="$match_opt -m foo $neg_opt --fooval $param"
}
2. Testen der Erweiterung
> cd opt/etc/rc.d
> sh test-rules.sh ’foo:bar ACCEPT’
add_rule filter FORWARD ’foo:bar ACCEPT’
iptables -t filter -A FORWARD -m foo --fooval bar -s 0.0.0.0/0 \
-d 0.0.0.0/0 -m comment --comment foo:bar ACCEPT -j ACCEPT
3. Aufnahme der Erweiterung und aller noch benötigten Dateien (iptables-Komponenten,
netfilter-Kernelmodule) ins Archiv über einen der bekannten Mechanismen.
330