Freesco, NND, CDN, EOS

Witam wszystkich. Kilka ostatnich dni siedziałem i przerabiałem standardowy Firewall dla NND. W oparciu o opisy z Forum oraz źródła firewall'a NND i czerwa powstał prosty w użyciu i łatwo konfigurowalny firewall. Na razie testują go dwie osoby. Jeżeli ktoś jest chętny, aby go sprawdzić - można go sobie zainstalować:

pacman -U http://www.adi.internetdsl.pl/nnd/firew ... pkg.tar.gz

Opis mozliwości znajduje się w pliku: /etc/iptables/readme.txt
Wszystkie ustawienia natomiast w pliku: /etc/iptables/conf/firewall.conf
Będę wdzięczny za wszelkie uwagi i komentarze.

Możliwości firewalla to:
- maskarada tylko dla adresow IP z pliku /etc/hosts
- blokada wybranych portow (uslug)
- otwarcie wybranych portow (uslug)
- przekierowanie uzytkownikow np. zalegajacych z oplata za Internet
- uruchomienie przy przekierowaniu daemona thttpd dla tej strony
- blokowanie wybranych adresow MAC
- blokowanie programow P2P
- ustawienie squid'a w tryb transparent - wymaga zmian w squid.conf
- wsparcie dla mldonkey (pozwala uzyskac HighID)
- dodatkowy restart MRTG przy restarcie firewall'a
- przekierowanie portow na dowolny wewnetrzny komputer w sieci
- blokowanie dostepu do komunikatorow GG, TLEN dla okreslonych IP
- blokowanie zbyt duzej ilosci polaczen TCP i UDP
- ustawianie wartosci TTL dla calej sieci
- program "generuj" do wypelniania plikow listami adresow IP



Dodatkowo w pakiecie znajduje się skrypt "generuj" który po podaniu nazwy pliku i zakresów IP generuje nam plik z listą adresów IP wewnątrz. Użycie go jest bardzo proste - albo wpisujemy generuj i po kolei odpowiadamy na pytania albo wpisujemy generuj nazwa_pliku poczatkowe_ip koncowe_ip
Myślę, że ułatwi on nieco życie wszystkim posiadaczom NND.

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Nie mam czasu teraz testować ale z opisu wygląda nieźle. Zgodnie z zasadą "daj palec a wezmą rękę" poproszę jeszcze o panel administracyjny www do tego cacka

Przyjmuję to jako propozycję rozbudowy i ujmuję w planach na przyszłośc (na razie nieokresloną )...

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Uwagi z bardzo pobieżnego przejrzenia pakietu

1. pakiet podmienia oryginalny script /etc/iptables/firewall - w przypadku upgradu pakietu iptables nowy script może zostać nadpisany.

W NND jest mechanizm pozwalający na zastosowanie dowolnego firewalla bez naruszania tego domyślnego. Założenie było takie, aby zawsze i u każdego użytkownika był ten sam script aby w razie problemów można było do niego wrócić, np w celu diagnozowania błędów.

2. pakiet dostarcza plik _thttpd - który podczas instalacji zmienia nazwę na thttpd i zostaje umieszczony w absurdalnym miejscu (/etc/iptables)

Jeśli mamy zainstalowany pakiet thttpd (a jest on instalowany domyślnie) to powielanie tego pliku w innym miejscu nie ma sensu. Jeśli go nie ma to najprawdopodobniej jest zainstalowany apache. Jesli zaś nie mamy zainstalowanego żadnego web serwera (raczej mało prawdopodobne) to wystarczy dodać do zalezności thttpd lub apache.

3. script instalacyjny robi mnóstwo rzeczy, które powinny znaleźć się w funkcji build() pliku PKGBUILD

należy pamiętać, że w bazie pakietów są zapisane różne informacje o pakiecie, między innymi lista plików. Jeśli w pakiecie mamy plik X, który podczas instalacji zostaje skopiowany i zmienia nazwę na Y to przy usunięciu takiego pakietu plik Y pozostanie w systemie. Czyli zamiast porządku mamy bałagan... polecenie pacman -Ql nazwa_pakietu zwraca listę plików w pakiecie, tyle że tych plików na dysku nie ma...

4. Przygotowując pakiet w którym jest konfigurator należy dążyć do zgodności z nndconf - pozwoli to mieć dostęp do konfiguracji systemu i wszystkich usług w tym samym miejscu, w ten sam sposób.

Działania scriptu nie testowałem.
Dodatkowa prośba: zgłaszając pakiet prosimy zawsze podawać plik PKGBUILD. Wystarcza on w zupełności do zbudowania pakietu (oczywiście pod warunkiem, że jest prawidłowo zbudowany).

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Witam,
moim skromnym zdaniem, budowanie kilku firewalli to glupota. NIe lepiej zkontaktowac sie z czerwem, panie Adi i napisac cos porzadnego? Zaczynanie kilku projektow jest moim zdaniem bez sensu. Rozumiem, ze kazdy chce byc slynny i miec swoja ksywke w NND, ale tu chodzi o funkcjonalnosc. Oczywiscie moge sie mylic, ale to tylko moje skromne zdanie.

Pozdrawiam

Ja rowniez opcjonuje za tym aby obaj panowie polaczyli sily i wspolnie zbudowali firewall,pod warunkiem ze oboje bede tego chcieli, a chyba dobrze by bylo polaczyc sily i zbudowc wspolny, funkcjonalny i latwy w konfiguracji firewall - ale to tylko moje sugestie ktore ewentualnie moge wam podac pod rozwage.

nie do końca się z Tobą zgadzam. Z jednej strony wyznaję zasadę jedno zadanie - jeden program, jednak w przypadku firewalla jest to bardzo trudne. Każdy z nas ma inną sieć i inne potrzeby. napisanie zaś scriptu, który zadowoliłby wszystkich jest chyba niemożliwe.
Idealnym rozwiązaniem byłby konfigurator o niemalże nieograniczonych mozliwościach konfiguracyjnych. Takiego jednak póki co nikt nie napisał.
Z dotychczasowych prób rozwiązania problemu firewalla w NND wynika (moim zdaniem) konieczność przebudowy pakietu iptables (który zawiera wbudowany domyślny firewall) i rozdzielenie firewalla od iptables. Przy dającej się zauważyć niechęci do stosowania polecenia /etc/rc.d/iptables save nie widzę innej możliwości. Obawiam się jednak, że mniej doświadczeni użytkownicy będą mieli problemy jeśli zrezygnujemy z dotychczasowego domyślnie instalowanego firewalla.

_________________
Mis'
___________________________________
"Real Men Use Telnet on port 80" (el bid)

Mis poczekaj 2 dni a taki zobaczysz ;D musze tylko dostosowac do ndconf znaczy juz koncze ;]

A faktycznie lepsze rozwiazanie jest zrobic jeden duzy firewall

A po 3 drobny balagan masz w tym firewallu i brak konfiguratora

_________________

Po teście uważam że bardziej "przyjazny:)" i łatwiejszy jest firewall czerwa.

Uważam że po dodaniu do do nnd_conf będzie jeszcze prościej i łatwiej (jak czerwo go wkońcu doda ;] ).

Już wszyscy powylewali na mnie zimną wodę, czy jeszcze ktoś ?? A mnie się podoba,poza tym to własna robota - wiecie jaka satysfakcja . Poodpisuję jutro na Wasze posty

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

Po czesci masz racje, ale jakby panowie polaczyli swoje sily to mogli by napisac konfigurator zadawalajacy wszystkich.

Pozdrowienia

adi przejrzalem troche ten twoj firewall i jestem ciekawy skad bierzerz przy limitowaniu polaczen program hping2??
I lepiej napisz domnie jezeli masz ochote oczywiscie to cos razem zdzialamy, moj firewall w tym momencie wyglada tak:
http://listonosz.no-ip.com/download/NND ... a/firewall

jak sam widzisz jest juz dosc duzy, i nie podmienia orginalnego pliku firewall tylko jest dostosowany do nndconfa, ale jeszcze musze go dopracowac bo pare rzeczy mnie denerwoj ale juz wszystko chodzi
Mam w nim limitowanie polaczen ae ty masz zrywanie polaczen i nie wiem na jakiej zasadzie

_________________

Ok zgadamy się, ale trochę później. Mam Twoje GG chyba także nie będzie problemu (o ile się nie ukrywasz przed światem... )

_________________
Ludzie często, zamiast szukać prostych rozwiązań, komplikują sobie życie...

U mnie nie dzała limitowanie połączeń
1. cut źle wycina IP i rozpoznaje limit=200 jako IP :/
2. Po poprawieniu wpisu na własne potrzeby limitowanie dalej nie działa

Jakieś pomysły

a czy ja napisalem ze to wersja stabilna
wiem ze to nie chodzi ale nie mam chilowo czasu zeby go dokonczyc, zrobie wszystko dzisiaj w nocy i wystawie gotowa paczke

_________________

OK. Dzięki.

To jeszcze tylko zwrócę uwagę na to, że generowanie dodaje reguły, które są wykomentowane w configach. Zapewne chodzi o cut-y i grep-y.

Życzę owocnej pracy

Pozdrawiam

to tez wiem ;D i raczej nie bedzie to rozwiazane bo nie mam narazie rozsadnego pomyslu ;/
Chwilowo poprawiam inne rzeczy ;D i jest co robic ;D mozesz komentowac np. jak masz wpis gr1,10.10.10.10 to zrob g#r1,10.10.10.10 i juz ;]

edit: a jak narazie c isie podoba??? przezuc skrypt do /etc/nndconf.d i odpal nndconf ;]

_________________

Narazie zauważyłem tylko te 2 niedociągnięcia A poza tym działa super

Czerwo,
ode mnie czapka z głowy
ten firewall jest naprawdę niezły, mam na myśli cały proces konfiguratora itd...
Mała sugestia...
Można by było poprawić opisy tego co się dokładnie konfiguruje.
Jest naprawdę dobrze, ale mimo że nieco się znam na tych portach, to i tak nie zawsze rozumiem co ustawiam...

To powiem jak jest, prosilem pare osob zeby to zrobily bo ja jak to robie po raz 28 do dlamnie tam juz nie jest nic skomplikowane ;D
Dlatego prosba np. do ciebie przeanalizuj wszytskie "napisy" i popatrz jak by je pozmieniac na logiczne teksty, firewall jest praktycznie skonczony i praktycznie moge go juz udostepnic, jednak nieche wypuszczac wersji beta wole to skonczyc, jz sie 2 ludzi zobowiazalo ze zrobi panela administracyjny przez www, mam nadzieje ze dotrzymaja obietnicy

Pozdrawiam

_________________