Mohl by ho nekdo srovnat s arno firewall? Umi pracovat s vice ip adresami, tj mam server s 30 ip adresama a na kazdou potrebuji povolit urcite porty z nejakych adres ? V arno vypada zapis takto:
1.1.1.1#2.2.2.2,3.3.3.3~22,9091, coz znamena pro ip adresu 1.1.1.1 povol pristup z ip adres 2.2.2.2 a 3.3.3.3 na porty 22, 9091.
Nevim, nejak mi unika smysl techto "wrapperu". Neni snad lepsi nakonfigurovat si to sam? Co tady udelate konfigurakem na sedm radku, to se da zahrnout dvema pravidly, a nemusim davat pozor jestli pouzivam kulate nebo hranate zavorky...
Rekneme ze BFU muze byt vdecnej za nake graficke rozhrani, nejlepe nake hezke omalovatko kde jenom zaklikne ze chce pristup na web a odesilat maily, a pravidla se pak nageneruji sama. Ale tohle? Proc syntakticka pravidla jednoho typu menit za pravidla jinyho typu?
Souhlas. Mě by se líbilo grafické klikátko, ale žádné rozumné neznám. Co jsem viděl tak jenom http://gufw.org/, ale to je jenom pro ubuntu.
Napsat ty 2 pravidla není úplně snadné pro člověka co se v tom nepohybuje. Občas se o to pokouším a je dost porod. Musím přečíst hromadu materiálů a pak stejně nevím jestli to opravdu dělá to co chci.
Nejni to jen pro ubuntu, kazde distro si to muze nebalickovat.
http://kde-apps.org/content/show.php?content=137789
http://launchpad.net/ufw
http://code.google.com/p/ufw-frontends/
Jinak v Gentoo to je a suse ma zase "yast2 firewall" kde se da taky spousta veci suprove naklikat.
Používám ferm už dlouho a mám s ním velmi pozitivní zkušenosti. I když ovládám iptables tak ferm mi byl velice nápomocný. V době, kdy jsem ferm objevil, ještě nebyly jiné grafické a klikací nástroje a díky fermu jsem byl schopen velmi rychle nakonfigurovat fw pro moje potřeby. Pravda, pravidel bylo relativně málo, ale to neznamená, že jsem díky tomu provedl konfiguraci rychleji, než kdybych ručně vypisoval přímo iptables pravidla.
Všechny tyhle "generátory pravidel" považuji za zbytečné přidávání práce. Co jsem se setkal, tak to chodí takto:
* "Nasaď tam generator, ať se nemusíme učit iptables" -- že se ale musíme učit syntax generátoru už nikomu nevadí
* "Nastav tam tohle pravidlo" ... "hmm nejde, tak to doplň přímo jako iptables" -- tak proč se tam ten generátor nasazoval?
Ve výsledku to zatím vždy dopadlo tak, že bylo nutné se naučit jak generátor pravidel tak i iptables samotné. Přínos a ulehčení práce nikde, právě naopak.
Skutečně nechápu ten odpor psát si pravidla hezky pěkně sám.
Podla mna je najjednoduchsie spravit si vlastny "generator pravidiel" - shell script, ktory vrati napriklad priamo iptables prikazy. Ten moze lahko vyuzivat par listov IP adries, aby tam nebol "bordel" na styl opakujucich sa prikazov a podobne.
Vyhoda je dobra spravovatelnost; nie je treba sa ucit ziadny dalsi jazyk (=porozumie tomu kazdy sysadmin) a nie je problem spravit zvlast skript pre par povolanych na pridanie vynimky (napriklad) vyhradne na SSH alebo inu sluzbu.
Kedysi som pouzival firestarter (klikaci fw nad iptables). Mozno to niekoho zaujme: www.fs-security.com
Ten syntax se mi nějak úplně jednoduchý zase nezdá.
Já osobně raději používám firehol.
Na serveru mám syntax v confu takovouto:
version 5 FIREHOL_LOG_PREFIX="Firehol: " local_ips="xxx.xxx.xxx.xxx/25" server_mongod_ports="tcp/27017" client_mongod_ports="any" interface eth0 world protection strong server "ping ssh nrpe http https ftp" accept server "ipv6neigh ipv6router ipv6error" accept client "ipv6neigh ipv6router" accept server mongod accept src "dev.domain.tld ruby.domain.tld" server snmp accept src mon.domain.tld server all accept src user1.domain.tld client all accept
Dnes už je projekt neudržovaný, ale zde najdete jeho fork který umí i ipv6:
http://download.sanewall.org/releases/latest/
http://git.sanewall.org/