| Freesco, NND, CDN, EOS http://forum.freesco.pl/ |
|
| Iptables i firewall - całkiem nowa propozycja http://forum.freesco.pl/viewtopic.php?f=24&t=15954 |
Strona 1 z 1 |
| Autor: | Maciek [ czwartek, 20 września 2007, 13:52 ] |
| Tytuł: | Iptables i firewall - całkiem nowa propozycja |
W związku z dyskusjami na forum (i nie tylko) dotyczącymi zmian firewalla, proponuję całkiem nowe rozwiązanie. W zasadzie zasugerował je zciech, ja jednak tę propozycję nieco zmodyfikowałem. Chciałbym także, aby w dziale "pakiety - głosowania" odbyło się na ten temat głosowanie. Propozycja, w razie jej przyjęcia, nie będzie kompatibilna wstecz, zatem będzie wymagała uwagi użytkownika, jeśli będzie aktualizował system. Radzę to także wziąć pod uwagę, jeśli ktoś będzie zabierał głos. A zatem po kolei: 1. Dzielimy pakiet iptables (będzie pozbawiony firewalla) i dodajemy nowy pakiet firewall. W wersji instalacyjnej oczywiście firewall będzie instalowany domyślnie obok iptables. W przypadku aktualizacji iptables będzie informacja o konieczności doinstalowania pakietu firewall. 2. W pakiecie firewall wprowadzamy zmiany, które zrobił zciech (czyli w skrócie forward). Wprowadzamy też zmiany dotyczące otwierania portów usług (już w zasadzie przegłosowane na tak). 3. Uruchomienie firewalla będzie przebiegało tak: skrypt sprawdza istnienie iptables.rules (jeśli jest, to uruchamia, tu się nic nie zmienia), w przeciwnym razie sprawdza istnienie pliku custom (jeśli jest to go uruchamia) lub ewentualnie na koniec uruchamia plik firewall (czyli standardowy). 4. Po instalacji firewalla pojawia się informacja dla użytkownika, że jeśli chce w pliku firewall wprowadzać własne reguły, to ma skopiować go jako plik custom. Taka sama informacja będzie też zawarta w pliku firewall. 5. Podczas kolejnych aktualizacji nie będzie żadnej ochrony pliku firewall traktowanego jak każdy inny plik wykonywalny, własne firewalle mają być albo w iptables.rules, albo w pliku custom. I na koniec... Proszę o podjęcie dyskusji w tym wątku i tu spróbujemy wypracować najlepsze rozwiązanie, które potem poddamy pod głosowanie. |
|
| Autor: | Albercik [ czwartek, 20 września 2007, 19:34 ] |
| Tytuł: | |
Idea wstępnie wygląda obiecująco, ten projekt realizuje w pełni moje założenia. Ciekawi mnie praktyczne rozwiązanie. |
|
| Autor: | barte-k [ czwartek, 20 września 2007, 20:32 ] |
| Tytuł: | |
Czy jest jakas szansa na to by do pakietu firewall wykorzystac (chociaz w czesci) firewall czerwa? Uzywa iptables.rules do przechowywania regul firewalla a konfigurator bylby zapewne plusem dla poczatkujacych uzytkownikow. |
|
| Autor: | Mis' [ czwartek, 20 września 2007, 20:55 ] |
| Tytuł: | |
barte-k pisze: Czy jest jakas szansa na to by do pakietu firewall wykorzystac (chociaz w czesci) firewall czerwa?
Uzywa iptables.rules do przechowywania regul firewalla a konfigurator bylby zapewne plusem dla poczatkujacych uzytkownikow. Firewall czerwa jest odrębnym pakietem (obecnie w testing). Takim pozostanie choć zmieni się jego nazwa. Zostanie zastosoawana reguła replaces aby mieć pewność, że pakiet zostanie prawidłowo upgradowany do nowej nazwy. Domyślnym firewallem NND pozostanie script Zciecha. Osobiście mam jedno pytanie - plik /etc/rc.d/iptables (i script firewall) rozpoznaje obecnie parametry start, stop, restart, save, panic, restore. Czy script custom (jego nazwa może się zmienić - to temat do dalszych ustaleń) musi być kompatybilny z tymi parametrami czy dopuszczamy sytuację gdy zaimplementowana jest tylko obsługa start, stop, restart a pozostałe parametry wyświetlają błędy? A może pozostawiamy w tym pliku pełną dowolność i godzimy się z wyświetlaniem śmieci podczas użycia niezaimplementowanych parametrów i podczas zamykania syatemu? |
|
| Autor: | tasiorek [ czwartek, 20 września 2007, 20:56 ] |
| Tytuł: | |
barte-k pisze: Uzywa iptables.rules do przechowywania regul firewalla
Wlasnei dlatego jestem temu przeciwny. Reguly napisane recznie sa bardziej przejrzyste, a zaden konfigurator nie przewidzi wszystkich regul jakie moga sie przydac. |
|
| Autor: | Mis' [ czwartek, 20 września 2007, 21:01 ] |
| Tytuł: | |
tasiorek pisze: barte-k pisze: Uzywa iptables.rules do przechowywania regul firewalla Wlasnei dlatego jestem temu przeciwny. Reguly napisane recznie sa bardziej przejrzyste, a zaden konfigurator nie przewidzi wszystkich regul jakie moga sie przydac. Toteż poza konfiguratorem przekierowania portów, nie ma innego konfiguratora... Poza tym, nie oszukujmy się, w bardzo wielu przypadkach ten wbudowany firewall + opcja save zupełnie wystarcza. Jak ktoś potrzebuje więcej to ma możliwość uruchomienia własnego scriptu. |
|
| Autor: | Albercik [ czwartek, 20 września 2007, 21:05 ] |
| Tytuł: | |
Cytuj: Osobiście mam jedno pytanie - plik /etc/rc.d/iptables (i script firewall) rozpoznaje obecnie parametry start, stop, restart, save, panic, restore. Czy script custom (jego nazwa może się zmienić - to temat do dalszych ustaleń) musi być kompatybilny z tymi parametrami czy dopuszczamy sytuację gdy zaimplementowana jest tylko obsługa start, stop, restart a pozostałe parametry wyświetlają błędy?
Jeśli admin utworzył takowy plik to już sam powinien zadbać o kompatybilność funkcji. |
|
| Autor: | Maciek [ czwartek, 20 września 2007, 21:08 ] |
| Tytuł: | |
Cytuj: Osobiście mam jedno pytanie - plik /etc/rc.d/iptables (i script firewall) rozpoznaje obecnie parametry start, stop, restart, save, panic, restore. Czy script custom (jego nazwa może się zmienić - to temat do dalszych ustaleń) musi być kompatybilny z tymi parametrami czy dopuszczamy sytuację gdy zaimplementowana jest tylko obsługa start, stop, restart a pozostałe parametry wyświetlają błędy? A może pozostawiamy w tym pliku pełną dowolność i godzimy się z wyświetlaniem śmieci podczas użycia niezaimplementowanych parametrów i podczas zamykania systemu?
Ja to sobie wymyśliłem tak, że user, który potrzebuje dopisywać własne reguły, kopiuje standardowy firewall jako plik custom i dopisuje własne regułki zgodnie z potrzebami. Wtedy będzie on spełniał wszystkie warunki. Jest jednak możliwość napisania własnego pliku i wtedy coż... nie jesteśmy w stanie przewidzieć. |
|
| Autor: | zciech [ czwartek, 20 września 2007, 21:30 ] |
| Tytuł: | |
wywolanie skryptu z parametrm, który nie jest w nim zaimplementowany może wyswietlic informacje jesli jest w nim np. *) echo Głupi jestes! lub nic nie powodowac. |
|
| Autor: | Mis' [ czwartek, 20 września 2007, 22:01 ] |
| Tytuł: | |
Maciek pisze: Ja to sobie wymyśliłem tak, że user, który potrzebuje dopisywać własne reguły, kopiuje standardowy firewall jako plik custom i dopisuje własne regułki zgodnie z potrzebami. Wtedy będzie on spełniał wszystkie warunki. Niby tak. Tu nie ma problemu. Maciek pisze: Jest jednak możliwość napisania własnego pliku i wtedy coż... nie jesteśmy w stanie przewidzieć.
obawiam się pytań, typu: "zrobiłem /etc/rc.d/iptables stop i mi się wyświetliło 'H%$&^*%$#$%#^' a firewall nadal mnie nie wpuszcza... POMOCY!!!!!!!!!!!!!!" a propos - jesli rozdzielamy iptables od firewalla to script /etc/rc.d/iptables powinien zmienić nazwę na firewall i znaleźć się w pakieci firewall. |
|
| Autor: | Maciek [ czwartek, 20 września 2007, 22:21 ] |
| Tytuł: | |
Cytuj: obawiam się pytań, typu: "zrobiłem /etc/rc.d/iptables stop i mi się wyświetliło 'H%$&^*%$#$%#^' a firewall nadal mnie nie wpuszcza... POMOCY!!!!!!!!!!!!!!" Jeśli ktoś będzie na tyle głupi, żeby napisać coś, co się nie da uruchomić, to obawiam się, że nie da sie przewidzieć, co to będzie. Jedynie co ewentualnie mozna przewidzieć to brak np. sekcji start w skrypcie. Ale moim zdaniem wystarczy ostrzeżenie w zakomentowanej sekcji skryptu. Ja rozumiem, ze komputera może używać największy nawet idiota (w przeciwieństwie do dróg nie obowiązuje tu prawo jazdy), ale nie znaczy to, że każdy idiota może być administratorem serwera i powiem brzydko niech wówczas spada na /dev/drzewo. Cytuj: a propos - jesli rozdzielamy iptables od firewalla to script /etc/rc.d/iptables powinien zmienić nazwę na firewall i znaleźć się w pakiecie firewall.
Tak też mi się wydaje. |
|
| Autor: | MAC!EK [ piątek, 21 września 2007, 00:11 ] |
| Tytuł: | |
Ja proponuję żeby był dołączony dobrze okomentowany szkielet takiego pliku firewalla, może to być skrypt standardowy z wywalonymi regułkami z funkcji start a w stop można zostawić te otwierające dla zapobiegnięcia zablokowania sobie serwera. |
|
| Strona 1 z 1 | Strefa czasowa UTC+2godz. |
| Powered by phpBB® Forum Software © phpBB Group https://www.phpbb.com/ |
|