Hlavní navigace

Názor k článku FireHOL - nejsnazší firewall od JMarek - Dd, Obavam se, ze jste trosku mimo... V clanku...

  • Článek je starý, nové názory již nelze přidávat.
  • 9. 2. 2005 11:44

    JMarek
    Dd,

    Obavam se, ze jste trosku mimo... V clanku se pise o SW, ktery dokaze vygenerovat pravidla pro iptables tak, aby bylo dosazeno odpovidajici funkcnosti.
    Jak s tim souvisi propustnost firewallu?
    Propustnost firewallu je prece zalezitost tykajici se poctu pravidel, rychlosti procesoru, rychlosti sitovych rozhrani apod., nikoliv skriptu, ktery mi generuje pravidla.
    Ano, na tom, jak jsou pravidla vygenerovane, jiste propustnost zavisi. Jestlize ale nejsem schopen presvedcit nejaky skript, aby mi adresy blacklistu (ja to tedy spise delam obracene, takze adresy whitelistu) usporadal tak, abych je nemel postupne v jednom chainu, pokud je jich uz tolik, pak je cas ke zmene. A navic dneska uz snad kazdy pouziva ip_conntrack, takze rozhodovani se provadi pouze nad pakety, ktere zahajuji spojeni, ne?
    A co se tyce toho "kvalitnejsiho firewallu": to nezavisi na kvalite firewallu, ale na zpusobu provedeni. Je jasne, ze pokud se pouziva ip_conntrack modul v kombinaci s blacklistem, tak tuto funkcionalitu nedostanete. Utocnik nebude sice moci navazat spojeni do budoucna, ale stavajici spojeni zustane v cinnosti. Pokud se budete drzet na bezpecnejsi strane a pouzijete kombinaci ip_conntrack + whitelist, tak jste za vodou.
    Proste: at delate s cim delate, vzdycky nakonec skoncite u iptables (pripadne u ipchains). Kdyz ale vite, co delate, bezpecnost bude o mnoho vyssi a propustnost Vam nebude klesat tak dramaticky.

    Zdravi
    Honza