Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Nowy układ firewalla - propozycja
http://forum.freesco.pl/viewtopic.php?f=24&t=14040		 Strona 1 z 1
Autor:  Lesser [ niedziela, 12 listopada 2006, 02:24 ]
Tytuł:  Nowy układ firewalla - propozycja
Witam

Po dłuższym przyglądaniu się firewallowi Czerwa mam pewien pomysł na nowy sposób działania firewalla (oparty na firewallu Czerwa i ten najbardziej się nadaje).

Zasada działania:
    1. Dodajemy nowy katalog /etc/iptables/rules/
    2. Konfigurator Czerwa nie buduje firewalla tylko pisze gotowe reguły do /etc/iptables/rules/ (np. /etc/iptables/rules/początkowe, /etc/iptables/rules/ipdeny, /etc/iptables/rules/masq, itd.)
    3. dodajemy nowy plik /etc/iptables/rules.queue w którym zapisana jest kolejność dodawania bloków reguł, zapis dowolny np.
    : [/] [] ()
    początkowe, porty , ttl, ...
    GeSHi © Codebox Plus
    lub każda nazwa w nowej linijce (muszą się wypowiedzieć bashowcy)
    4. Skrypt startujący firewalla układa kod firewalla z klocków znajdujących się w /etc/iptables/rules/ na podstawie /etc/iptables/rules.queue a następnie nadaje gotowemu skryptowi firewalla prawa do wykonywania i odpala, i ewentualnie usuwa plik.
    5. Jeżeli skrypt startujący nie znajdzie jakiegoś pliku(bloku) który ma zapisany w kolejce to wywala błąd i ładuje standardowe reguły (np. wszystko zamknięte i otwarty tylko port ssh)


Rozwiązanie ma według mnie jedną ogromną zaletę: jeżeli dodajemy jakąś zewnętrzną paczkę to zmiana firewalla jest dziecinnie prosta. Wrzucamy plik z regułami do /etc/iptables/rules/ (np. /etc/iptables/rules/stats) i wskazujemy mu miejsce w kolejce np. po regułach wycinających p2p. To opiekun paczki musi się zatroszczyć żeby odpowiedni blok reguł znalazł się tam gdzie trzeba (czy zrobi konfigurator czy da instrukcje jak plik z regułami dodać i gdzie to jego sprawa).
Wada(?): Admin ma bezpośredni dostęp do reguł w /etc/iptables/rules/ (niedoświadczony admin może nieźle napsuć jak zacznie ręcznie edytować ;) )

Nie piszę nic w bashu więc nie wiem jaki jest stopień wykonywalności tego pomysłu. W php napiszę od ręki.
Mam nadzieję że pomysł się spodoba i znajdzie się ktoś kto go rozwinie i zaimplementuje.
Autor:  marask [ niedziela, 12 listopada 2006, 10:24 ]
Tytuł: 
pomysł wg mnie bdb tylko byłby problem z ustaleniem kolejności bloków (wg mnie)
Autor:  Lesser [ niedziela, 12 listopada 2006, 13:29 ]
Tytuł: 
No właśnie że nie!!

Przecież firewall czerwa w tej chwili układa reguły w jakimś porządku wystarczy że wygenerowałby pliki w /etc/iptables/rules/ i wpisałby domyślny porządek do /etc/iptables/rules.queue np.:
: [/] [] ()
początkowe, ttl, porty, icmp, hosty, polaczenia, p2p, forward, maskarada
GeSHi © Codebox Plus

Skrypt startowy sprawdza czy są wszystkie bloki z kolejki i składa z nich plik firewall-a a potem go odpala.

Jeżeli potrzebujemy jakichś reguł w konkretnym położeniu w skrypcie to dodajemy nazwę bloku w odpowiednim miejscu w pliku kolejki

Można by dodać w generatorze Czerwa jeszcze jedną pozycję "generuj plik kolejki" i mamy wtedy generowanie domyślnej kolejki na podstawie tego co generator ma w swoich konfigach.

Taki modularny firewall dałby możliwość dowolnego przestawiania reguł np. możemy zadecydować że statystyki dodajemy dopiero wtedy gdy obetniemy już ruch p2p itp.

Byłoby to duże ułatwienie dla opiekunów paczkek bo wystarczy że zbudowaliby plik z regułami iptables dla swojej paczki i powiedzieli użytkownikowi gdzie te reguły mają być w kolejce.
Autor:  MAC!EK [ niedziela, 12 listopada 2006, 15:34 ]
Tytuł: 
to na pewno rozwiąże to problem z dodawaniem reguł firewalla przy pakietach, takich jak mrtg, ale czy będzie to poręczne w użyciu? tego nie wiem sam od dawna myślałem o takiej budowie firewalla i nawet chyba gdzieś pisałem o tym
Autor:  czerwo [ środa, 15 listopada 2006, 21:15 ]
Tytuł: 
a moze by ktos dokonczyl:
listonosz.com.pl:88
Autor:  przemek_nnd [ piątek, 17 listopada 2006, 09:37 ]
Tytuł: 
czerwo pisze:
a moze by ktos dokonczyl:
listonosz.com.pl:88

możesz zapodać źródełka?
Autor:  Lesser [ piątek, 17 listopada 2006, 18:44 ]
Tytuł:  sposób na zapis reguł
Cytuj:
a moze by ktos dokonczyl:
listonosz.com.pl:88

Ja chciałem raczej podyskutować nie o tym jaki będzie interfejs użytkownika tylko o tym jak będzie generowany firewall.
Bo przydałoby się zastanowić nad jakimś sposobem zapisu reguł firewalla.
Interfejs przez www jest dobry i pożyteczny tylko ja chce wiedzieć jak będzie generował reguły i jak to połączyć żeby nie było problemu z paczkami które potrzebują własnych regułek.
Autor:  czerwo [ poniedziałek, 27 listopada 2006, 21:33 ]
Tytuł: 
Całość jest pisana w cgi/sh/perlu/rrdtool
A ze programami ktore maja wlasne regulki to beda zawsze problemy. Bo tego sie nie da rozwiazac. Co bysmy nie robili zawsze beda jaja. Chyba ze np. z mrtg wytniemy skrypty odpowiedzialne za tworzenie lancuchow i wsadzimy je do firewalla ale uwazam to za glupi pomysl bo wtedy trzeba pilnowac czy ten program nie potrzebuje jakis regulek i przepisywanie ich w inne miejsce. Znacznie lepszym rozwiazaniem jest to co wymyslilem czyli firewall podczas restartu wykonuje jeszcze jeden plik w ktorym mamy zapisane komendy ktore ma wykonac. Wtedy mozna sobie np. dopisac restart mrtg lub niceshpaer czy innego htb i wszytsko sie zrobi automagicznie. Narazie innego rozwiazania nie znalazlem i nie mam pomyslu.
Autor:  Mis' [ poniedziałek, 27 listopada 2006, 22:13 ]
Tytuł: 
czerwo pisze:
bałwan jestem


[...]
czerwo pisze:

bałwan jestem


zgadzam się...
Autor:  czerwo [ poniedziałek, 27 listopada 2006, 22:17 ]
Tytuł: 
hehe blad w slowie regulki juz wiem przez jakie u sie pisze :)
Autor:  luki_nowy [ poniedziałek, 27 listopada 2006, 22:18 ]
Tytuł: 
szok :roll: :roll: 8O
Autor:  -MW- [ wtorek, 28 listopada 2006, 19:41 ]
Tytuł: 
Cytuj:
hehe blad w slowie regulki juz wiem przez jakie u sie pisze
swoich postow pisanych za czasow kiedy nie bylo "czasopoprawiacza" zmieniac nie bede,
i tez wiem jak sie to pisze :oops:
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/