Názory k článku FireHOL - nejsnazší firewall
-
Já používám generátor bash scriptu pro iptables: http://easyfwgen.morizot.net/gen/. Myslím, že je to ještě jednodušší metoda, než ve výše popsaném článku, a pro 90 % uživatelů by měla stačit. -
Martin Lebeda (neregistrovaný)Jenže když nestačí, tak do toho vygenerovaného scriptu musíte sáhnout a přehledné mi to nepřijde...
Navíc přehlednost firewallu na pár řádcích je velmi vhodný pro potřeby údržby, kdy musíte se k nastavení fw vracet každých půl roku a upravovat, přidávat, odebírat atd... -
Martin Lebeda (neregistrovaný)O shorewall jsem se zajímal, když jsem hledal zjednodušení mého 318-ti řádkového scriptu, ale nějak mi to nepřišlo jako příliš velké zjednodušení a pak už jsem jej nestudoval, proto ani nemohu porovnávat.
Zde mi stačí upravit pár řádek v jediném souboru a většinou se mi vejde na obrazovku celý ;-). -
anonymníJa pouzivam FERM, http://ferm.sourceforge.net
Zda se mi to dost podobne tomu Fireholu. Zna nekdo oba a muze rict, ktery je lepsi?
ast -
Václav Lorenc (neregistrovaný)Znám oba a neřekl bych (pokud se ferm v posledních měsících/letech nějak zásadně nezměnil), že si jsou oba projekty podobné.. Ferm mi přijde jako poměrně tupý preprocesor, firehol se snaží změnit i logiku pohledu na věc. Osobně mám firehol radši, i když dá občas práci ta pravidla zase zpátky umravnit do použitelné podoby.
-
Martin Lebeda (neregistrovaný)Ano jde, na požadované místo v posloupnosti cofiguračních příkazů se dá zařadit přímo příkaz iptables (konfirační - nikoliv přímo /sbin/iptables) s příslušnými parametry.
Fireholl a podobné projekty nejsou vhodné pro každého, jejich síla je především při vytváření jednoduších firewallů. Pokud požadujete úplnou kontrolu nad pořadím pravidel a máte mnoho vyjímek ze standardních možností, bude vhodnější naspsat vlastní script bez použití berličky. -
anonymnízvladne to vse co umi iptables abych mohl prepsat svuj skript a vypadal c(č)itelne? mam na mysli - router s 5 interfejsy, (dva do inetu - dva ruzni inet provideri, jeden vpn do zahranici, jeden interfejs do lokalni site, jeden do dmz), ruzne presmerovani portu ven/dovnitr, povolene sluzby zevnitr ven pro nektere ip adresy/mac adresy, markovani, tosovani atd... nechtel bych se do toho pustit a zjistit, ze stejnak budu muset pulku veci vkladat pomoci puvodnich zapisu... (ale stejne asi reknete at to zkusim a uvidim) :)
diky -
Martin Lebeda (neregistrovaný)Nepředpokládám, že by jste potřeboval berličku, pokud dokážete zkonfigurovat takovýto firewall přímo.
Markování, tosovani, redirect atd... FireHOL umí, ale spíše jde o to, kolik se odlišujete od standardně nabízených možností. Pokus vám výchozí nastavení "sedne", pak se může konfigurace fw docela zkrátit, ale pokud si budete muset "pulku veci vkladat pomoci puvodnich zapisu", moc si nepomůžete.
Vezměte si nějaké složitější a častější požadavky a zkuste si najít řešení podle dokumentace - podle toho se uvidí zda ano nebo ne. -
anonymní# === CONFIGURATION STATEMENT
# CONF: 40>>> server ident reject with tcp-reset
# INFO>>> Preparing for service 'ident' of type 'server' under interface #'inet'
# INFO>>> Creating chain 'in_inet_ident_s1' under 'in_inet' in table 'filter'
/sbin/iptables -t filter -N in_inet_ident_s1
/sbin/iptables -t filter -A in_inet -j in_inet_ident_s1
# INFO>>> Creating chain 'out_inet_ident_s1' under 'out_inet' in table
# 'filter'
/sbin/iptables -t filter -N out_inet_ident_s1
/sbin/iptables -t filter -A out_inet -j out_inet_ident_s1
# INFO>>> Running simple rules for server 'ident'
/sbin/iptables -t filter -A in_inet_ident_s1 -p tcp --sport 1024:65535 --dport auth -m state --state NEW,ESTABLISHED -j REJECT
--reject-with tcp-reset
/sbin/iptables -t filter -A out_inet_ident_s1 -p tcp --sport auth --dport 1024:65535 -m state --state ESTABLISHED -j REJECT --
reject-with tcp-reset -
anonymníDobrý den a zdravím. Pro generováni firewallu používam Shorewall, jsem s nim celkem spokojený. Jeho jediná droboucká nevýhoda je, ze samotná konfigurace je rozsypaná do cca 20ti souborů.
Co ale postrádám je nějaký generátor firewallu pro IPV6. Nemáte někdo nějaké zkušenosti potažmo doporučení?
Díky moc. -
anonymní
V distribucii LEAF/Bering uClibc v zozname packages hned prvy zhora je 6wall.lrp.
Je to IPv6 Packet Filtering Firewall vychadzajuci zo Shorewall v1.4.5. Ak neviete co s LRP suborom, tak je to obycajny TGZ subor, takze staci ho rozbalit a vybrat si z neho co potrebujete.Niesom si velmi isty, ale mam pocit, ze nova verzia Shorewall by uz mala pracovat aj s IPv6, ale to som si naozaj nie velmi isty.
TimeLord
-
anonymníUž ho zkouším, a vypadá to slibně. Defaultně funguje pouze na jádrech 2.4 a 2.5, ale nechal se přesvědčit. Konfigurace podobná jako Shorewall, takže během asi 10 minut jsem měl vygenerovaný firewall.
Při startu si chce nahrát moduly ip6_queue, ip6t_LOG, ip6t_mac, ip6t_limit, ip6t_multiport, které ve standardním jádru od Redhatu (Fedora Core 2 - 2.6.10-1.8_FC2smp) nejsou a zatím se mi nepodařilo zjistit, co ty moduly mají dělat. Nicméně se to rozběhlo i bez nich. Ještě se musím připojit doma a důkladně se oskenovat zvenčí. -
anonymníNe, diky, opravdu, ale opravdu nechci. Ja to mam rad vsechno pohromade v souboru jednom; shorewall je hlavni pricinou vsech zbytecnych problemu tykajicich se firewallu (viz diskusni forum na abclinuxu.cz a na pocitac mi v zadnem pripade nesmi, ani omylem.
-
anonymní
Presne to som urobil a nasiel som tam len take, kde cteny pouzivatel alebo nevie citat dokumentaciu alebo boduje svojou neschopnostou.
Pravdepodobne je to len nejaky paranormalny jav, ze na vsetkych mojich linuxovych strojoch sa shorewall sprava presne tak, ako chcem ja. Alebo ze by to bolo tym, ze si najskor precitam dokumentaciu?
Takze este raz, mozete mi prezradit nejaky problem s firewallom, ktoreho pricinou je shorewall a nie vasa neschopnost?
-
anonymníJiste, mate pravdu. Lepsi je mit konfiguraci firewallu rozhazenou ve dvaceti souborech, je to tak daleko prehlednejsi, systematictejsi, zadne problemy to nedela, je to ohromne inteligentni a vyhodne, shorewall je proste naprosto genialni. No a ted se s nim muzete jit treba vyfotit, proste ten kram nechci ani videt. Jasne?!
-
anonymní
To ma byt akoze odpoved na moju otazku? LOL, dakujem vam za tuto fundovanu odpoved, pobavil ste ma.
Neviem preco ja uboziak nikdy nepotrebujem na shorewall nejakych 20 konfigurakov ale vzdy vystacim len so 4 - zones, interfaces, policy a rules. Pripadne aj masq. Nazov kazdeho z nich hovori sam za seba, co sa v ktorom nastavuje. Treba len citat. Dokonca si ich nastavujem aj presne v tomto poradi ako som ich vymenoval.
Je to taky "odveci firewall s mnozstvom rozsypanych konfigurakov", ze si ho Linux Embedded Appliance Firewall distribucie ako napr. Bering, Bering uClibc, Line vybrali ako svoj zaklad a pouzivaju ho aj ine distribucie.
Poznam Toma Eastepa, som s nim velmi casto v kontakte a poznam jeho pracu. Seawall pre ipchains a nasledne Shorewall pre iptables su skvele diela, ktore vytvoril. To, ze vy nieste schopny nakonfigurovat Shorewall, nehovori absolutne nic o kvalite Shorewallu, ale len o vasej "kvalite". Kludne ho nepouzivajte a dajte mu zakaz pristupu na vas pocitac, mne to zily netrha, ale ak ho tu chcete zosmiesnovat, tak aspon skuste pouzit nejake padne a rozumne argumenty a nielen trapne reci svedciace o tom, ze vy ho nezvladate.
-
anonymní
Este raz otazka: mozete mi prezradit nejaky problem s firewallom, ktoreho pricinou je shorewall a nie vasa neschopnost? Vysvetlite mi aj ten pravdepodobne paranormalny jav, ze na vsetkych mojich linuxovych strojoch sa shorewall sprava presne tak, ako chcem ja?
Stale som od vas nevidel ani jeden padny argument, ktory by poukazoval na nekvalitu Shorewallu a nie na vasu obmedzenost.
-
anonymníOsobne pouzivam script Arno's firewall http://rocky.molphys.leidenuniv.nl/ , ktery je pro 2 sitovky. Lze jej snadno nastavit. Kvalitnejsi firewall by mel umet po pridani adresy na black list pripojeni odstrihnout (pisi to zamerne, ne vsechny firewally to umi/umely). Pokud je vsak na black listu ~1500 rozsahu adres (na netu jsou i black listy s 22000 rozsahy), tak propustnost klesne z 28MB/s na 2.8MB/s - sempron 1800MHz 99% zatez procesoru; 1Gb sitovky. Reread black listu ~25[sek]. Duron 1200MHz je ~2x pomalejsi.
Netestoval jsem onech 22000, ale pokud by to slo linearne (kazdych dalsich 1500 rozsahu snizi propustnost o rad), pak propustnost by klesla na ~0.00000028[B/sek] = 1 bajt za 41 dni (az se to zda neuveritelne).
Je zajimave, ze vetsina recenzentu propustnost firewallu pomiji, ackoli se muze jednat o pomerne kriticke hrdlo.
P.S: Cisla se vztahuji na script z vyse uvedene stranky. -
Dd,
Obavam se, ze jste trosku mimo... V clanku se pise o SW, ktery dokaze vygenerovat pravidla pro iptables tak, aby bylo dosazeno odpovidajici funkcnosti.
Jak s tim souvisi propustnost firewallu?
Propustnost firewallu je prece zalezitost tykajici se poctu pravidel, rychlosti procesoru, rychlosti sitovych rozhrani apod., nikoliv skriptu, ktery mi generuje pravidla.
Ano, na tom, jak jsou pravidla vygenerovane, jiste propustnost zavisi. Jestlize ale nejsem schopen presvedcit nejaky skript, aby mi adresy blacklistu (ja to tedy spise delam obracene, takze adresy whitelistu) usporadal tak, abych je nemel postupne v jednom chainu, pokud je jich uz tolik, pak je cas ke zmene. A navic dneska uz snad kazdy pouziva ip_conntrack, takze rozhodovani se provadi pouze nad pakety, ktere zahajuji spojeni, ne?
A co se tyce toho "kvalitnejsiho firewallu": to nezavisi na kvalite firewallu, ale na zpusobu provedeni. Je jasne, ze pokud se pouziva ip_conntrack modul v kombinaci s blacklistem, tak tuto funkcionalitu nedostanete. Utocnik nebude sice moci navazat spojeni do budoucna, ale stavajici spojeni zustane v cinnosti. Pokud se budete drzet na bezpecnejsi strane a pouzijete kombinaci ip_conntrack + whitelist, tak jste za vodou.
Proste: at delate s cim delate, vzdycky nakonec skoncite u iptables (pripadne u ipchains). Kdyz ale vite, co delate, bezpecnost bude o mnoho vyssi a propustnost Vam nebude klesat tak dramaticky.
Zdravi
Honza -
anonymní
Skuste WIPFW project. Akurat len, ze je to ipfw z FreeBSD a je to pre Windows ;-)
-
anonymníNo, pokud je uzivatel tak daleko, ze edituje textovy soubory, tak je jednodussi pouzit petricka http://www.petricek.cz/mpfw/
A pokud radsi klika, tak by mohl fungovat http://www.fwbuilder.org/ -
pavel plevel (neregistrovaný)::::::::::. :::::::.. :::.,:::::: ::: ... . :
`;;;```.;;;;;;;``;;;; ;;;;;;;'''' ;;; .;;;;;;;. ;;,. ;;;
`]]nnn]]' [[[,/[[[' [[[ [[cccc [[[ ,[[ \[[,[[[[, ,[[[[,
$$$"" $$$$$$c $$$ $$"""" $$' $$$, $$$$$$$$$$$"$$$
888o 888b "88bo,888 888oo,__ o88oo,.__"888,_ _,88P888 Y88" 888o
YMMMb MMMM "W" MMM """"YUMMM""""YUMMM "YMMMMMP" MMM M' "MMM -
Protože to dělají jenom "prasátka" :-). To není moc konstruktivní, že? :-) Je to tak, že když Vám někdo hackne router, tak se v podstatě nic moc nestane, protože je to standalone stroj, na kterém nic jiného není. Aby se dostal k datům, či je mohl nějak poškodit, je potřeba hacknout další stroj. Navíc se o ty ostatní sroje nemusíte tak moc starat. Prostě pravidelně záplatujete router, ale ostatní stroje nemusíte tak často. Další věc je také to, že na serveru běží více služeb (http, email, ssh, samba,...). A je tedy logicky větší pravděpodobnost chyby v jednom z nich, a tedy i to, že bude hacknut... uff. Snad je to všechno.
-
petr (neregistrovaný)prosím o pomoc při spuštění. podařilo se mi rozjet firehol na počítači, kde je grafické rozhraní. tady jsem to odzkoušel a rozhodl jsem se, že firehol použiji i v praxi. v práci na server. zde je nainstalovaný linux fedora core, bez grafiky, pouze v textu. netuším proč, ale firehol.sh nejde spustit. vypíše:
"Command 'cat' not found in the system path. FireHOL requires this command for its operation. Please install the required package and retry. Note that you need an operational 'which' command for FireHOL to find all the external programs it needs. Check it yourself."
toto je hláška, která se má zobrazit, když nějaký program není v systému. aspoň to tak chápu, když se podívám do firehol.sh. přitom ale, když napíši cat --version, tak mi to vypíše verzi "cat". tudíž v systému je. opravdu nevím, co s tím.
no a ještě by mě zajímalo, kam co umístit, aby se firehol spustil po restartu počítače automaticky např. po aktivaci eth rozhraní. a chápu správně, že pravidla se po takovémto restartu počítače znovu vygenerují?
děkuji moc za rady. petr i c q 62 62 14 52
ČLÁNKY DO MAILU