Freesco, NND, CDN, EOS

W związku z dyskusjami na forum (i nie tylko) dotyczącymi zmian firewalla, proponuję całkiem nowe rozwiązanie. W zasadzie zasugerował je zciech, ja jednak tę propozycję nieco zmodyfikowałem. Chciałbym także, aby w dziale "pakiety - głosowania" odbyło się na ten temat głosowanie.
Propozycja, w razie jej przyjęcia, nie będzie kompatibilna wstecz, zatem będzie wymagała uwagi użytkownika, jeśli będzie aktualizował system. Radzę to także wziąć pod uwagę, jeśli ktoś będzie zabierał głos.
A zatem po kolei:
1. Dzielimy pakiet iptables (będzie pozbawiony firewalla) i dodajemy nowy pakiet firewall. W wersji instalacyjnej oczywiście firewall będzie instalowany domyślnie obok iptables. W przypadku aktualizacji iptables będzie informacja o konieczności doinstalowania pakietu firewall.
2. W pakiecie firewall wprowadzamy zmiany, które zrobił zciech (czyli w skrócie forward). Wprowadzamy też zmiany dotyczące otwierania portów usług (już w zasadzie przegłosowane na tak).
3. Uruchomienie firewalla będzie przebiegało tak: skrypt sprawdza istnienie iptables.rules (jeśli jest, to uruchamia, tu się nic nie zmienia), w przeciwnym razie sprawdza istnienie pliku custom (jeśli jest to go uruchamia) lub ewentualnie na koniec uruchamia plik firewall (czyli standardowy).
4. Po instalacji firewalla pojawia się informacja dla użytkownika, że jeśli chce w pliku firewall wprowadzać własne reguły, to ma skopiować go jako plik custom. Taka sama informacja będzie też zawarta w pliku firewall.
5. Podczas kolejnych aktualizacji nie będzie żadnej ochrony pliku firewall traktowanego jak każdy inny plik wykonywalny, własne firewalle mają być albo w iptables.rules, albo w pliku custom.
I na koniec...
Proszę o podjęcie dyskusji w tym wątku i tu spróbujemy wypracować najlepsze rozwiązanie, które potem poddamy pod głosowanie.

_________________
Belfer.one.PL
Audio Cafe

Idea wstępnie wygląda obiecująco, ten projekt realizuje w pełni moje założenia. Ciekawi mnie praktyczne rozwiązanie.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Czy jest jakas szansa na to by do pakietu firewall wykorzystac (chociaz w czesci) firewall czerwa?
Uzywa iptables.rules do przechowywania regul firewalla a konfigurator bylby zapewne plusem dla poczatkujacych uzytkownikow.

_________________
| ArchLinux X64 2.6.29-6 (Custom) @ IBM eServer 235
| Intel Xeon 2,4GHz (x2) : 2GB RAM : 2x36GB SCSI (RAID1)
| httpd2.6 mysql exim dhcpd named proftpd stats niceshaper06
| WAN: 35|35 mb/s (GTS) @ 500+ hosts

Firewall czerwa jest odrębnym pakietem (obecnie w testing). Takim pozostanie choć zmieni się jego nazwa. Zostanie zastosoawana reguła replaces aby mieć pewność, że pakiet zostanie prawidłowo upgradowany do nowej nazwy.
Domyślnym firewallem NND pozostanie script Zciecha.

Osobiście mam jedno pytanie - plik /etc/rc.d/iptables (i script firewall) rozpoznaje obecnie parametry start, stop, restart, save, panic, restore. Czy script custom (jego nazwa może się zmienić - to temat do dalszych ustaleń) musi być kompatybilny z tymi parametrami czy dopuszczamy sytuację gdy zaimplementowana jest tylko obsługa start, stop, restart a pozostałe parametry wyświetlają błędy? A może pozostawiamy w tym pliku pełną dowolność i godzimy się z wyświetlaniem śmieci podczas użycia niezaimplementowanych parametrów i podczas zamykania syatemu?

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Wlasnei dlatego jestem temu przeciwny. Reguly napisane recznie sa bardziej przejrzyste, a zaden konfigurator nie przewidzi wszystkich regul jakie moga sie przydac.

_________________
FAQ dla NND: http://nnd-linux.pl/faq.php
Doswiadczenie, to cos, co zdobywasz tuz po chwili w ktorej go potrzebowales.

Toteż poza konfiguratorem przekierowania portów, nie ma innego konfiguratora... Poza tym, nie oszukujmy się, w bardzo wielu przypadkach ten wbudowany firewall + opcja save zupełnie wystarcza. Jak ktoś potrzebuje więcej to ma możliwość uruchomienia własnego scriptu.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Jeśli admin utworzył takowy plik to już sam powinien zadbać o kompatybilność funkcji.

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie
Szybkie kobiety i piękne samochody

Ja to sobie wymyśliłem tak, że user, który potrzebuje dopisywać własne reguły, kopiuje standardowy firewall jako plik custom i dopisuje własne regułki zgodnie z potrzebami. Wtedy będzie on spełniał wszystkie warunki. Jest jednak możliwość napisania własnego pliku i wtedy coż... nie jesteśmy w stanie przewidzieć.

_________________
Belfer.one.PL
Audio Cafe

wywolanie skryptu z parametrm, który nie jest w nim zaimplementowany może wyswietlic informacje jesli jest w nim np.

*) echo Głupi jestes!

lub nic nie powodowac.

_________________
Nie jestem NEKROMANTĄ, nie wróżę z flaków!
Alkohol pity z umiarem nie szkodzi nawet w największych ilościach!
Przeczytaj nim zapytasz

Niby tak. Tu nie ma problemu.



obawiam się pytań, typu: "zrobiłem /etc/rc.d/iptables stop i mi się wyświetliło 'H%$&^*%$#$%#^' a firewall nadal mnie nie wpuszcza... POMOCY!!!!!!!!!!!!!!"

a propos - jesli rozdzielamy iptables od firewalla to script /etc/rc.d/iptables powinien zmienić nazwę na firewall i znaleźć się w pakieci firewall.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Jeśli ktoś będzie na tyle głupi, żeby napisać coś, co się nie da uruchomić, to obawiam się, że nie da sie przewidzieć, co to będzie. Jedynie co ewentualnie mozna przewidzieć to brak np. sekcji start w skrypcie. Ale moim zdaniem wystarczy ostrzeżenie w zakomentowanej sekcji skryptu. Ja rozumiem, ze komputera może używać największy nawet idiota (w przeciwieństwie do dróg nie obowiązuje tu prawo jazdy), ale nie znaczy to, że każdy idiota może być administratorem serwera i powiem brzydko niech wówczas spada na /dev/drzewo.

Tak też mi się wydaje.

_________________
Belfer.one.PL
Audio Cafe

Ja proponuję żeby był dołączony dobrze okomentowany szkielet takiego pliku firewalla, może to być skrypt standardowy z wywalonymi regułkami z funkcji start a w stop można zostawić te otwierające dla zapobiegnięcia zablokowania sobie serwera.

_________________
Ten post Ci pomógł? Zaznacz go jako pomocny .