Re: simple firewall
Maxim Sorokin wrote: > > Собираюсь поставить deb на машину, постоянно подключенную к Интернету > > (а не эпизодически, как у меня), есть желание поставить "персональный" > > firewall. > > Пока выбираю м/у shorewall и firewall-easy. > > Господа, кто может внести конструктивные предложения? > bastilla вроде неплоха для персонального а что, iptables уже не катит? понапридумывают же -- //Alexander ICQ #96225688 GPG keyID: 8A00E9C4 at pgpkeys.mit.edu
Re: simple firewall
> On 2004.03.17 at 18:30:47 +1000, Den Ivanov wrote: > > > On 17 March 2004 16:40, Victor B. Wagner wrote: > > > Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот > > > это source , вот это destination, вот это interface, а вот сюда надо > > > jump. > > Тоесть ты считаешь что возможность писать > > --- > > interface any world > > server ssh accept > > --- > > вместо > > --- > > По-моему, вышепоскипанное не эквиалентно вышепроцитированному. > > > тебе не нужна? > > Не нужна. Не так часто я эти правила правлю. Я не рискну утверждать, что разногласия по этому поводу экивалентны разногласиям между остроконечниками и тупоконечниками, но некая тенденция наблюдается. Конечно, очень приятно, когда написал 5 строк в конфиге, и вот у дебя наикрутейший firewall с тонкими _персонализированными_ настройками. Но. Философия открытых систем предполагает, что юзер (не всегда обязательно, на самом деле) а тем более админ _должны_ разбираться в том как устроена их система, как все работает, где что лежит, кто чем дышит. В том числе и на сетевом уровне. А если желания в этом разбиратся нет, то всегда можно нанять специалиста который в этом таки разбирается, и пущай админит. (Купить дорогую сиську с контрактом на поддержку и администрирование я как опцию специально не рассматриваю, это все от лукавого :) Такой строгий (и слегка фашиский) подход сильно смягчает наличие _полной_ документации в часности на ipchains, огромное количество опубликованных примеров, а так-же легко дступных скриптов любого уровня сложности (доступных где, не скажу). Т.е. если мне нужен минимум, я пишу скрипт сам (вот он, simple firewall), если нужно настрить потоньше, я ищу подходящий скрипт (просто скрипт, а не пакет, сую куда хочу, вызываю откуда хочу, а они приемлемо документированны) или иду в сортир на пару часов с доками. А просто ставить некий пакет типа "черный ящик" с минимумом настроек, по меньшей мере глупо (IMHO). AtGuard под Linux, блин, еще чего не хватало. Salud.
Re: simple firewall
On 2004.03.17 at 18:30:47 +1000, Den Ivanov wrote: > On 17 March 2004 16:40, Victor B. Wagner wrote: > > Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот > > это source , вот это destination, вот это interface, а вот сюда надо > > jump. > Тоесть ты считаешь что возможность писать > --- > interface any world > server ssh accept > --- > вместо > --- По-моему, вышепоскипанное не эквиалентно вышепроцитированному. > тебе не нужна? Не нужна. Не так часто я эти правила правлю. > > У серверов обычно проблем нет. У них вся конфигурация выглядит как > > полиси по умолчанию - deny, вот эти сервисы разрешить, потому что мы их > > предоставляем, ssh разрешить, чтобы рулить можно было, и всё. > Наверное не ошибусь, если скажу что 50% машин с линуксом - это > маршрутизаторы/nat/vpn/firewall в том или ином виде, а 50% оставшихся машин > требуют какой-либо нетривиальной настройки firewall. Ошибешсья. Из тех машин, на которые имею логины я, маршрутизаторами является меньше трети. И ни на одном не-маршрутизаторе нетривиальных настроек файрволла нет. Всё сводится к одному из двух тривиальных случаев - либо всё можно, а файрвол на маршрутизаторе, либо ничего нельзя, а можно только то, что нужно.
Re: simple firewall
Evening, Yury. "Yury A. Yurevich" <[EMAIL PROTECTED]> 10:19 17/3/2004 wrote: YAY> Собираюсь поставить deb на машину, постоянно подключенную к Интернету YAY> (а не эпизодически, как у меня), есть желание поставить YAY> "персональный" firewall. YAY> Пока выбираю м/у shorewall и firewall-easy. YAY> Господа, кто может внести конструктивные предложения? Посмотри на firehol. Простой DSL (domain-specific language) для настройки правил iptables неискушенным пользователем. -- Dmitry Astapov //ADEpt GPG KeyID/fprint: F5D7639D/CA36 E6C4 815D 434D 0498 2B08 7867 4860 F5D7 639D
Re: simple firewall
On Wed, Mar 17, 2004 at 04:14:45PM +1000, Den Ivanov wrote: > > Расстаться с идиотской идеей "персонального" и сконфигурировать нормальный > > firewall. Все эти easy в критический момент тебя подведут. Не подведет > > только твоё собственное знание того, что происходит. Поэтому читать > > IPTables HOWTO до полного осознания того, что ты хочешь добиться. А > > потом его реализовать. > > Я был абсолютно того-же мнения, пока пользовался FreeBSD и его ipfw с > синтаксисом максимально приближенным к человеческому, но на линуксе и > iptables с его птичьим языком я с тобой уже не соглашусь. > Когда пытаешься привести к более-менее управляемому виду правила на > нескольких десятках серверов, в итоге получаешь тот-же самый > язык/препроцессор который уже кто-то делал до тебя. ну так их и есть. когда у меня правил становится больше десятка я ставлю ferm. -- A: No Q: Should I quote below my post? Good luck! /AKA Druid
Re: simple firewall
On 17 March 2004 16:40, Victor B. Wagner wrote: > On 2004.03.17 at 16:12:48 +1000, Den Ivanov wrote: > > On 17 March 2004 16:03, Victor B. Wagner wrote: > > Я был абсолютно того-же мнения, пока пользовался FreeBSD и его ipfw с > > синтаксисом максимально приближенным к человеческому, но на линуксе и > > iptables с его птичьим языком я с тобой уже не соглашусь. > > Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот > это source , вот это destination, вот это interface, а вот сюда надо > jump. Тоесть ты считаешь что возможность писать --- interface any world server ssh accept --- вместо --- -A INPUT -i lo -j ACCEPT -A INPUT -m state --state INVALID -j DROP -A INPUT -p tcp -m tcp --sport 1024:65535 --dport 22 -j ACCEPT -A INPUT -m state --state RELATED -j ACCEPT -A INPUT -m limit --limit 1/sec -j LOG --log-prefix "IN-unknown:" -A INPUT -j DROP -A FORWARD -j DROP -A OUTPUT -o lo -j ACCEPT -A OUTPUT -m state --state INVALID -j DROP -A OUTPUT -p tcp -m tcp --sport 22 --dport 1024:65535 -j ACCEPT -A OUTPUT -m state --state RELATED -j ACCEPT -A OUTPUT -m limit --limit 1/sec -j LOG --log-prefix "OUT-unknown:" -A OUTPUT -j DROP --- тебе не нужна? > > > Когда пытаешься привести к более-менее управляемому виду правила на > > нескольких десятках серверов, в итоге получаешь тот-же самый > > язык/препроцессор который уже кто-то делал до тебя. > > У серверов обычно проблем нет. У них вся конфигурация выглядит как > полиси по умолчанию - deny, вот эти сервисы разрешить, потому что мы их > предоставляем, ssh разрешить, чтобы рулить можно было, и всё. Наверное не ошибусь, если скажу что 50% машин с линуксом - это маршрутизаторы/nat/vpn/firewall в том или ином виде, а 50% оставшихся машин требуют какой-либо нетривиальной настройки firewall.
Re: simple firewall
*This message was transferred with a trial version of CommuniGate(tm) Pro* Nick 'TARANTUL' Novikov wrote: Только вот реализовывать приходится скриптом на shell. Который можно откомментарить и научить брать информацию из разных мест. Если бы это мог делать какой-нибудь гогтовый скрипт с конфигом, я бы им непременно воспользовался. Использую ferm (http://ferm.sourceforge.net/), а конфиги ему делаю m4 (http://www.seindal.dk/rene/gnu/man/m4_toc.html и http://www.gnu.org/software/m4/). На m4 написал определения разных видов соединений, наборов портов и т.д., этим же m4 генерю конфиги для ipac-ng, а над все этим make :) -- С уважением, Николай Кондрашов, ИТ-менеджер ЗАО "Автоматика РУС" +7(812) 1183238, 3039648 http://avtomatikarus.com/ mailto:[EMAIL PROTECTED]
Re: simple firewall
Den Ivanov (by way of Den Ivanov <[EMAIL PROTECTED]>) пишет: Расстаться с идиотской идеей "персонального" и сконфигурировать нормальный firewall. Все эти easy в критический момент тебя подведут. Не подведет только твоё собственное знание того, что происходит. Поэтому читать IPTables HOWTO до полного осознания того, что ты хочешь добиться. А потом его реализовать. Я был абсолютно того-же мнения, пока пользовался FreeBSD и его ipfw с синтаксисом максимально приближенным к человеческому, но на линуксе и iptables с его птичьим языком я с тобой уже не соглашусь. Когда пытаешься привести к более-менее управляемому виду правила на нескольких десятках серверов, в итоге получаешь тот-же самый язык/препроцессор который уже кто-то делал до тебя. Именно поэтому я использую shorewall - вполне гуманоидный синтаксис, но при необходимости довольно легко "ассемблируемый" в синтаксис iptables. Необходимость такая не возникала давно - плюсик shorewall'у. Виновником проишествия оказался не shorewall, но виновник был найден (netfilter, между прочим) благодаря lists.shorewall.net - еще плюсик. Но IPTables HOWTO читать все равно придется... Дмитрий Федосеев.
Re: simple firewall
Victor B. Wagner wrote: Расстаться с идиотской идеей "персонального" и сконфигурировать нормальный firewall. Все эти easy в критический момент тебя подведут. Не подведет только твоё собственное знание того, что происходит. Поэтому читать IPTables HOWTO до полного осознания того, что ты хочешь добиться. А потом его реализовать. Только вот реализовывать приходится скриптом на shell. Который можно откомментарить и научить брать информацию из разных мест. Если бы это мог делать какой-нибудь гогтовый скрипт с конфигом, я бы им непременно воспользовался. -- TARANTUL
Re: simple firewall
On 2004.03.17 at 16:12:48 +1000, Den Ivanov wrote: > On 17 March 2004 16:03, Victor B. Wagner wrote: > Я был абсолютно того-же мнения, пока пользовался FreeBSD и его ipfw с > синтаксисом максимально приближенным к человеческому, но на линуксе и > iptables с его птичьим языком я с тобой уже не соглашусь. Не вижу ничего птичего в языке iptables. Все просто, всё понятно - вот это source , вот это destination, вот это interface, а вот сюда надо jump. > Когда пытаешься привести к более-менее управляемому виду правила на > нескольких десятках серверов, в итоге получаешь тот-же самый > язык/препроцессор который уже кто-то делал до тебя. У серверов обычно проблем нет. У них вся конфигурация выглядит как полиси по умолчанию - deny, вот эти сервисы разрешить, потому что мы их предоставляем, ssh разрешить, чтобы рулить можно было, и всё.
Re: simple firewall
On 17 March 2004 16:03, Victor B. Wagner wrote: > On 2004.03.17 at 10:19:28 +0600, Yury A. Yurevich wrote: > > Собираюсь поставить deb на машину, постоянно подключенную к Интернету > > (а не эпизодически, как у меня), есть желание поставить "персональный" > > firewall. > > Расстаться с идиотской идеей "персонального" и сконфигурировать нормальный > firewall. Все эти easy в критический момент тебя подведут. Не подведет > только твоё собственное знание того, что происходит. Поэтому читать > IPTables HOWTO до полного осознания того, что ты хочешь добиться. А > потом его реализовать. Я был абсолютно того-же мнения, пока пользовался FreeBSD и его ipfw с синтаксисом максимально приближенным к человеческому, но на линуксе и iptables с его птичьим языком я с тобой уже не соглашусь. Когда пытаешься привести к более-менее управляемому виду правила на нескольких десятках серверов, в итоге получаешь тот-же самый язык/препроцессор который уже кто-то делал до тебя.
Re: simple firewall
> On 2004.03.17 at 10:19:28 +0600, Yury A. Yurevich wrote: > > > Собираюсь поставить deb на машину, постоянно подключенную к Интернету > > (а не эпизодически, как у меня), есть желание поставить "персональный" > > firewall. > > Расстаться с идиотской идеей "персонального" и сконфигурировать нормальный > firewall. Все эти easy в критический момент тебя подведут. Не подведет > только твоё собственное знание того, что происходит. Поэтому читать > IPTables HOWTO до полного осознания того, что ты хочешь добиться. А > потом его реализовать. Пральна! Вот изящно сформулированная мысль! (vs. сервер килограмм на 15...)
Re: simple firewall
On 2004.03.17 at 10:19:28 +0600, Yury A. Yurevich wrote: > Собираюсь поставить deb на машину, постоянно подключенную к Интернету > (а не эпизодически, как у меня), есть желание поставить "персональный" > firewall. Расстаться с идиотской идеей "персонального" и сконфигурировать нормальный firewall. Все эти easy в критический момент тебя подведут. Не подведет только твоё собственное знание того, что происходит. Поэтому читать IPTables HOWTO до полного осознания того, что ты хочешь добиться. А потом его реализовать.
Re: simple firewall
firehol, смотри firehol.sf.net. В testing уже включен. On 17 March 2004 14:19, Yury A. Yurevich wrote: > Собираюсь поставить deb на машину, постоянно подключенную к Интернету > (а не эпизодически, как у меня), есть желание поставить "персональный" > firewall. > > Пока выбираю м/у shorewall и firewall-easy. > > Господа, кто может внести конструктивные предложения?
Re: simple firewall
Yury A. Yurevich wrote: Собираюсь поставить deb на машину, постоянно подключенную к Интернету (а не эпизодически, как у меня), есть желание поставить "персональный" firewall. Пока выбираю м/у shorewall и firewall-easy. Господа, кто может внести конструктивные предложения? bastilla вроде неплоха для персонального