V distribucii LEAF/Bering uClibc v zozname packages hned prvy zhora je 6wall.lrp.
Je to IPv6 Packet Filtering Firewall vychadzajuci zo Shorewall v1.4.5. Ak neviete co s LRP suborom, tak je to obycajny TGZ subor, takze staci ho rozbalit a vybrat si z neho co potrebujete.
Niesom si velmi isty, ale mam pocit, ze nova verzia Shorewall by uz mala pracovat aj s IPv6, ale to som si naozaj nie velmi isty.
TimeLord
Presne to som urobil a nasiel som tam len take, kde cteny pouzivatel alebo nevie citat dokumentaciu alebo boduje svojou neschopnostou.
Pravdepodobne je to len nejaky paranormalny jav, ze na vsetkych mojich linuxovych strojoch sa shorewall sprava presne tak, ako chcem ja. Alebo ze by to bolo tym, ze si najskor precitam dokumentaciu?
Takze este raz, mozete mi prezradit nejaky problem s firewallom, ktoreho pricinou je shorewall a nie vasa neschopnost?
To ma byt akoze odpoved na moju otazku? LOL, dakujem vam za tuto fundovanu odpoved, pobavil ste ma.
Neviem preco ja uboziak nikdy nepotrebujem na shorewall nejakych 20 konfigurakov ale vzdy vystacim len so 4 - zones, interfaces, policy a rules. Pripadne aj masq. Nazov kazdeho z nich hovori sam za seba, co sa v ktorom nastavuje. Treba len citat. Dokonca si ich nastavujem aj presne v tomto poradi ako som ich vymenoval.
Je to taky "odveci firewall s mnozstvom rozsypanych konfigurakov", ze si ho Linux Embedded Appliance Firewall distribucie ako napr. Bering, Bering uClibc, Line vybrali ako svoj zaklad a pouzivaju ho aj ine distribucie.
Poznam Toma Eastepa, som s nim velmi casto v kontakte a poznam jeho pracu. Seawall pre ipchains a nasledne Shorewall pre iptables su skvele diela, ktore vytvoril. To, ze vy nieste schopny nakonfigurovat Shorewall, nehovori absolutne nic o kvalite Shorewallu, ale len o vasej "kvalite". Kludne ho nepouzivajte a dajte mu zakaz pristupu na vas pocitac, mne to zily netrha, ale ak ho tu chcete zosmiesnovat, tak aspon skuste pouzit nejake padne a rozumne argumenty a nielen trapne reci svedciace o tom, ze vy ho nezvladate.
Este raz otazka: mozete mi prezradit nejaky problem s firewallom, ktoreho pricinou je shorewall a nie vasa neschopnost? Vysvetlite mi aj ten pravdepodobne paranormalny jav, ze na vsetkych mojich linuxovych strojoch sa shorewall sprava presne tak, ako chcem ja?
Stale som od vas nevidel ani jeden padny argument, ktory by poukazoval na nekvalitu Shorewallu a nie na vasu obmedzenost.
Obavam se, ze jste trosku mimo... V clanku se pise o SW, ktery dokaze vygenerovat pravidla pro iptables tak, aby bylo dosazeno odpovidajici funkcnosti.
Jak s tim souvisi propustnost firewallu?
Propustnost firewallu je prece zalezitost tykajici se poctu pravidel, rychlosti procesoru, rychlosti sitovych rozhrani apod., nikoliv skriptu, ktery mi generuje pravidla.
Ano, na tom, jak jsou pravidla vygenerovane, jiste propustnost zavisi. Jestlize ale nejsem schopen presvedcit nejaky skript, aby mi adresy blacklistu (ja to tedy spise delam obracene, takze adresy whitelistu) usporadal tak, abych je nemel postupne v jednom chainu, pokud je jich uz tolik, pak je cas ke zmene. A navic dneska uz snad kazdy pouziva ip_conntrack, takze rozhodovani se provadi pouze nad pakety, ktere zahajuji spojeni, ne?
A co se tyce toho "kvalitnejsiho firewallu": to nezavisi na kvalite firewallu, ale na zpusobu provedeni. Je jasne, ze pokud se pouziva ip_conntrack modul v kombinaci s blacklistem, tak tuto funkcionalitu nedostanete. Utocnik nebude sice moci navazat spojeni do budoucna, ale stavajici spojeni zustane v cinnosti. Pokud se budete drzet na bezpecnejsi strane a pouzijete kombinaci ip_conntrack + whitelist, tak jste za vodou.
Proste: at delate s cim delate, vzdycky nakonec skoncite u iptables (pripadne u ipchains). Kdyz ale vite, co delate, bezpecnost bude o mnoho vyssi a propustnost Vam nebude klesat tak dramaticky.
Zdravi
Honza
Skuste WIPFW project. Akurat len, ze je to ipfw z FreeBSD a je to pre Windows ;-)