In den letzten Tagen habe ich ein wenig mit iptables gearbeitet. Dabei habe ich wieder festgestellt, dass kein System an pf rankommt. pf durfte ich damals unter OpenBSD nutzen und war direkt begeistert. Einfach, klar strukturiert und leicht verstaendlich. Ok, so leicht verstaendlich wie ein Paketfilter eben sein kann. Mit iptables hatte ich da irgendwie schon mehr Probleme. Vielleicht hatte iptables bei mir aber auch so schlechte Karten, weil ich es auf einem SLES 10 einrichten musste.
Es ist mir mehrfach aufgefallen, und hat sich nun auch wieder bestaetigt, dass man sich bei dieser Distribution leider nicht an bekannte und bewaehrte (Quasi)Standards haelt. So kommt das System mit der sogenannten SuSEfirewall2, zu der es, soweit ich das ueberblicken kann, nicht mal eine *vernuenftige* Dokumentationsbasis wie bei pf (super) oder iptables (nicht ganz so super), gibt. Zu SuSEfirewall2 muss man sagen, dass es hierbei eigentlich nur um ein Script handelt, welches die in einer Konfigurationsdatei (/etc/sysconfig/SuSEfirewall2) gesetzten Variablen ausliest, um daraus entsprechende iptables-Regelsaetze zu erstellen.
Die Konfiguration der Datei /etc/sysconfig/SuSEfirewall2 erfolgt ueber ein, wie ich finde, erbaermliches Menue in yast(2), oder direkt in der Datei. Es gibt einige SuSEfirewall2-Beispieldateien, aber als klassische Dokumentation geht das bei mir wirklich nicht durch. Warum stellt man nicht eine *vernuenftige* GUI fuer iptables zu Verfuegung, oder laesst den User direkt sein eigenes iptables-Script schreiben? Ja, man moechte Linux auch dem „normalen“ Anwender naeherbringen, indem die Einrichtung und Konfiguration vereinfacht wird. Aber die Konfiguration einer Firewall, bzw. eines Paketfilters, setzen eben eine gesunde Wissensbasis voraus. Die Moeglichkeiten der Konfiguration via yast sind eher ein Gag. Dort kann man nicht mal gezielt einzelne Netze konfigurieren, um diesen den Zugriff auf Ressourcen zu erlauben oder zu verwehren.