| View previous topic :: View next topic |
| Author |
Message |
akx
Tux's lil' helper
Joined: 17 Jun 2005
Posts: 107
Location: Treviso
|
 Posted: Fri Jun 24, 2005 10:32 pm Post subject: Firewall? Ma quale? |
 |
|
Volevo solo chiedere,
secondo voi qual'è il miglior Firewall da installare con un....emerge flex? ho provato ad emergere Firestarter, ma ha dato solo errori e non me l'ha emerso quindi volevo sentire un po' di opinioni per decidere che firewall emergere x il mio nuovo Gentoo2005.0! Grazie a tuti anticipatamente |
|
| Back to top |
|
 |
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Fri Jun 24, 2005 10:43 pm Post subject: |
|
|
non sono molto esperto in materia, o almeno non lo sono come vorrei... 
l'unica cosa che ho capito e di cui sono quasi totalmente convinto è che per la generazione delle regole di iptables, è meglio mettersi lì e scriversele a manina senza utilizzare nessun programma. si è parlato molto anche del progetto shorewall, molti lo adorano per la sua intuitività, molti, probabilmente più smaliziati, invece lo disprezzavano per la complessità delle regole generate e quindi del suo mantenimento in caso di problemi con il programma. oltre a questo... cedo la parola a persone più esperte di me... |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 25, 2005 12:13 am Post subject: Re: Firewall? Ma quale? |
|
|
credo tu abbia fatto confusione...
il firewall è uno solo e non hai possibilità di scelta. trattasi di netfilter, che è un ibrido kernel-space/user-space
il componente kernel-space è il vero netfilter, ed è il firewall
il componente user-space permette di manipolare e configurare il firewall, ed è per default iptables
esistono altri aggeggi user-space, ma si tratta solo di interfacce per iptables, che a sua volta è un'interfaccia per netfilter
l'unica cosa certa è che se non sai usare iptables combini poco di buono anche con gli altri, quindi il primo consiglio è quello di imparare a usare iptables, il resto verrà da sè |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 7:14 am Post subject: |
|
|
Concordo con quanto detto. Meglio farlo a manina... almeno capisci quello che stai facendo.
Va inoltre ricordato che la difficoltà non sta nello scrivere le regole ma di capire quello che ci sta dietro...
https://forums.gentoo.org/viewtopic-p-2431700.html , segui questa guida... è un buon inizio!
byebye
fat_penguin |
|
| Back to top |
|
|
abasme
Guru
Joined: 04 Aug 2003
Posts: 398
Location: Guatemala
|
| Posted: Sat Jun 25, 2005 7:15 am Post subject: |
|
|
prova gshield configurare questo /etc/gshield/gShield.conf
scusi, mio italiano per non è mia lengua natal.
_________________
"Un verdadero geek es un tipo que cree que en un kilómetro hay 1024 metros."
Abasme
Mayix Developer
http://abasme.gentoo-la.org
www.gentoo-la.org
www.mayix.net
linuxID # 315839 |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sat Jun 25, 2005 7:21 am Post subject: |
|
|
| Ic3M4n wrote: | | si è parlato molto anche del progetto shorewall, molti lo adorano per la sua intuitività, molti, probabilmente più smaliziati, invece lo disprezzavano per la complessità delle regole generate e quindi del suo mantenimento in caso di problemi con il programma. |
questo non e' corretto a mio avviso.
La potenza di shorewall si vede anche nella facilita' con cui puoi mantenere un firewall.
Prendi un firewall a 7,8 zone e gestiscilo in modo intuitivo con uno script ad hoc....auguri 
Shorewall rende la cosa semplice e intuitiva.
Non voglio iniziare nuovamente il discorso....
Questo e' quanto penso e ringrazio Dio ogni giorno per l'esistenza di shorewall.... tra i tool il migliore IMHO.
_________________
while True:Gentoo() |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 7:45 am Post subject: |
|
|
| xchris wrote: | | Ic3M4n wrote: | | si è parlato molto anche del progetto shorewall, molti lo adorano per la sua intuitività, molti, probabilmente più smaliziati, invece lo disprezzavano per la complessità delle regole generate e quindi del suo mantenimento in caso di problemi con il programma. |
questo non e' corretto a mio avviso.
La potenza di shorewall si vede anche nella facilita' con cui puoi mantenere un firewall.
Prendi un firewall a 7,8 zone e gestiscilo in modo intuitivo con uno script ad hoc....auguri
Shorewall rende la cosa semplice e intuitiva.
Non voglio iniziare nuovamente il discorso....
Questo e' quanto penso e ringrazio Dio ogni giorno per l'esistenza di shorewall.... tra i tool il migliore IMHO. |
...hehe, come al solito si potrebbe iniziare una violentissima guerra di religione!
Cmq, solo per "par condicio" ...
ho dovuto implementare alcuni firewall netfilter con 5-6 interfaccie di rete e con un 400-500 righe di script "hand-made" non ho mai avuto problemi... le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice, visto che le regole sono state scritte con ordine maniacale...
Chiudo qui la discussione!
byebye
fat_penguin |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sat Jun 25, 2005 8:51 am Post subject: |
|
|
| fat_penguin wrote: |
le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice,
|
non sono d'accordo.. e non la puoi spacciare come verità assoluta! 
e non lo saremo mai credo...
quindi chiudiamo qui
ciao 
_________________
while True:Gentoo() |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 25, 2005 9:03 am Post subject: |
|
|
| fat_penguin wrote: | | ho dovuto implementare alcuni firewall netfilter con 5-6 interfaccie di rete e con un 400-500 righe di script "hand-made" non ho mai avuto problemi... le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice, visto che le regole sono state scritte con ordine maniacale... |
premesso che io sono uno di quelli assolutamente contrari a shorewall, come puoi dire una cosa del genere? come puoi dire che le prestazioni sono superiori?
shorewall è un'interfaccia per iptables, che alla fine è un'interfaccia per netfilter. che tu usi shorewall o iptables per a configurazione, il firewall è sempre netfilter.
direi semplicemente che quello che hai scritto non ha minimamente senso e nessun riscontro nella realtà.
per la manutenzione invece sono pienamente d'accordo |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 9:11 am Post subject: |
|
|
| k.gothmog wrote: | | fat_penguin wrote: | | ho dovuto implementare alcuni firewall netfilter con 5-6 interfaccie di rete e con un 400-500 righe di script "hand-made" non ho mai avuto problemi... le prestazioni ti assicuro sono anni avanti rispetto a Shorewall... e la manutenzione è decisamente piu semplice, visto che le regole sono state scritte con ordine maniacale... |
premesso che io sono uno di quelli assolutamente contrari a shorewall, come puoi dire una cosa del genere? come puoi dire che le prestazioni sono superiori?
shorewall è un'interfaccia per iptables, che alla fine è un'interfaccia per netfilter. che tu usi shorewall o iptables per a configurazione, il firewall è sempre netfilter.
direi semplicemente che quello che hai scritto non ha minimamente senso e nessun riscontro nella realtà.
per la manutenzione invece sono pienamente d'accordo |
libero di avere la tua opinione... certo che anche la sequenza delle rules fanno la loro parte... tanto piu visto il funzionamento di iptables!
Certo magari su una connessione ADLS e una sola interfaccia di rete non lo hai notato... ma su connessione a 100MBit, 6 nterfacce con altrettante sottoreti e 500 righe di regole ... ti assicuro che la differenza la vedi... anche a occhio...
byebye
fat_penguin |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 25, 2005 9:41 am Post subject: |
|
|
| fat_penguin wrote: | libero di avere la tua opinione... certo che anche la sequenza delle rules fanno la loro parte... tanto piu visto il funzionamento di iptables!
Certo magari su una connessione ADLS e una sola interfaccia di rete non lo hai notato... ma su connessione a 100MBit, 6 nterfacce con altrettante sottoreti e 500 righe di regole ... ti assicuro che la differenza la vedi... anche a occhio... |
non ne sono molto convinto. credo abbia più importanza il tipo di filtraggio che fai, e il tipo e numero di moduli che usi.
che shorewall crei un sacco di chain inutili è palese, ma dire che tante chain possono rallentare... mi sembra davvero davvero difficile, soprattutto viste le potenze di calcolo delle macchine che ci sono oggi |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 9:55 am Post subject: |
|
|
| k.gothmog wrote: | | fat_penguin wrote: | libero di avere la tua opinione... certo che anche la sequenza delle rules fanno la loro parte... tanto piu visto il funzionamento di iptables!
Certo magari su una connessione ADLS e una sola interfaccia di rete non lo hai notato... ma su connessione a 100MBit, 6 nterfacce con altrettante sottoreti e 500 righe di regole ... ti assicuro che la differenza la vedi... anche a occhio... |
non ne sono molto convinto. credo abbia più importanza il tipo di filtraggio che fai, e il tipo e numero di moduli che usi.
che shorewall crei un sacco di chain inutili è palese, ma dire che tante chain possono rallentare... mi sembra davvero davvero difficile, soprattutto viste le potenze di calcolo delle macchine che ci sono oggi |
Fidati... non me ne viene in tasca nulla... lo so perche ho fatto i test del caso... 100Mbit sono gia il limite...
byebye
fat_penguin |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sat Jun 25, 2005 10:05 am Post subject: |
|
|
| fat_penguin wrote: |
Fidati... non me ne viene in tasca nulla... lo so perche ho fatto i test del caso... 100Mbit sono gia il limite...
|
mmm
hai mai controllato un firewall che fa filtering solo a livello di pacchetti (e nn di applicazione come squid)?
Un p2,p3 non se ne accorge neanche.
Ho firewall con schede gigabit (p4) e viaggiano senza alcun problema. (smistando tra le varie lan)
(non vanno al limite delle schede solo per problemi ovvi di velocita' del bus non pciX ma vanno ben oltre i 100mbit/s)
Sarò onesto: e' la prima volta che sento un affermazione del genere.
_________________
while True:Gentoo() |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 10:15 am Post subject: |
|
|
| xchris wrote: | | fat_penguin wrote: |
Fidati... non me ne viene in tasca nulla... lo so perche ho fatto i test del caso... 100Mbit sono gia il limite...
|
mmm
hai mai controllato un firewall che fa filtering solo a livello di pacchetti (e nn di applicazione come squid)?
Un p2,p3 non se ne accorge neanche.
Ho firewall con schede gigabit (p4) e viaggiano senza alcun problema. (smistando tra le varie lan)
(non vanno al limite delle schede solo per problemi ovvi di velocita' del bus non pciX ma vanno ben oltre i 100mbit/s)
Sarò onesto: e' la prima volta che sento un affermazione del genere. |
Potremo discuterne a lungo. Cmq, se vuoi, tu mi mandi il tuo file di conf per iptables... poi lo sconvolgiamo un po... mantenendo cmq sempre le stesse politiche... poi lo lanciamo e vediamo se le prestazioni non calano...
Certo il tuo FW con 4 interface di rete Gbit è interessante... ma sei sicuro che riempi la banda? Hai l'infrastruttura di rete che supporta il tutto senza rallentamenti?
Se cosi fosse, mi ritiro nella mia ignoranza, e rinuncio alla discussione.
byebye
fat_penguin |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 25, 2005 11:08 am Post subject: |
|
|
concordo con xchris
ragionandoci un po' sopra... il firewall è a livello kernel.
si guardano le intestazioni dei pacchetti e si prendono le dovute decisioni.
essendo a livello kernel non ci sono latenze dovute a context-switch per il passaggio da una chain all'altra, o da un modulo all'altro, come avviene per i processi, quindi non vedo come una diversa organizzazione del FW possa renderlopiù veloce. se parliamo di 486 potrei anche accettarlo, ma con le macchien di adesso... è davvero dura tenere in piedi una tesi del genere.
ho macchine multiprocessore intel e sparc collegate a internet con fibre ottiche... penso che il mio banco di prova sia "sufficiente"... come diic te. non parlo di adsl attaccate al computer di casa |
|
| Back to top |
|
|
Ic3M4n
Advocate
Joined: 02 Nov 2004
Posts: 3489
Location: Bergamo.
|
| Posted: Sat Jun 25, 2005 11:21 am Post subject: |
|
|
@k.gothmog,fat_penguin,xchris: quello che ho scritto è stato un riassunto molto sintetico della discussione che c'è stata in questo thread.
a questo aggiungo: | Quote: | | non sono molto esperto in materia, o almeno non lo sono come vorrei... |
inoltre mi sembra di non aver portato la discussione ad una guerra di religione, ma solo dell'aver portato a conoscenza dell'autore del topic le due "campane" nell'arco di 4 riche e mezzo, e quindi di sicuro con qualche piccolo errore. però se ogni volta che esce la parola shorewall dobbiamo sorbirci tutta la pappardella del cosa è meglio... cosa è peggio... mi sembra scorretto soprattutto nei confronti di akx che non riesce più a capire cosa prendere per buono e cosa no. |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 11:28 am Post subject: |
|
|
| k.gothmog wrote: | concordo con xchris
ragionandoci un po' sopra... il firewall è a livello kernel.
si guardano le intestazioni dei pacchetti e si prendono le dovute decisioni.
essendo a livello kernel non ci sono latenze dovute a context-switch per il passaggio da una chain all'altra, o da un modulo all'altro, come avviene per i processi, quindi non vedo come una diversa organizzazione del FW possa renderlopiù veloce. se parliamo di 486 potrei anche accettarlo, ma con le macchien di adesso... è davvero dura tenere in piedi una tesi del genere.
ho macchine multiprocessore intel e sparc collegate a internet con fibre ottiche... penso che il mio banco di prova sia "sufficiente"... come diic te. non parlo di adsl attaccate al computer di casa |
...secondo me la fai un po semplice...
Ecco alcune riflessioni:
1) piu regole ci sono, piu tempo un pacchetto ci mette ad essere smistato. No?
2) tabelle di pre e postrouting penso che facciano di piu che passare pacchetti da un'interfaccia all'altra... Praticamenente vanno a riscrivere le intestazioni di ogni pacchetto!
3) tabelle di mangling... incide e non poco sul tempo delle operazioni.
4) se i pacchetti analizzati fanno parte dello stesso stream di dati la processazione sara' decisamente veloce (tabella delle connessioni)... ma se hai migliaia di flussi... e inizi continui di 3way-hand-shake ...
EDIT: non sto dicendo che iptables sia lento o che abbia bisgono di HW estremamente potente. Sto solo sottolineando che una configurazione non certosina puo fare la differenza!
byebye
fat_penguin |
|
| Back to top |
|
|
xchris
Advocate
Joined: 10 Jul 2003
Posts: 2824
|
| Posted: Sat Jun 25, 2005 12:02 pm Post subject: |
|
|
a dire il vero hai detto che i 100mbit/s sono il limite
ti ringrazio per la disponibilità ma il fatto che usi shorewall al posto di un mio script non e' per incapacità di scriverlo. (prima di usare shorewall usavo solo i miei script).
Io direi di terminare qui la discussione anche perche' siamo un po' OT.
Il thread e' iniziato chiedendo un consiglio sul firewall da usare su un pc singolo e quindi tutto questo discorso non ha un gran senso.
Ognuno ha le sue convinzioni...
e preghiamo che i mod non ci becchino di nuovo
Io cmq proporrei ai mod 3 thread sticky:
File system Arena
Firewall arena
Window Manager Arena
ciao a tutti e... buon motogp
_________________
while True:Gentoo() |
|
| Back to top |
|
|
fat_penguin
Apprentice
Joined: 25 Jul 2004
Posts: 294
Location: sud side of Switzerland
|
| Posted: Sat Jun 25, 2005 12:56 pm Post subject: |
|
|
| xchris wrote: | a dire il vero hai detto che i 100mbit/s sono il limite
ti ringrazio per la disponibilità ma il fatto che usi shorewall al posto di un mio script non e' per incapacità di scriverlo. (prima di usare shorewall usavo solo i miei script).
Io direi di terminare qui la discussione anche perche' siamo un po' OT.
Il thread e' iniziato chiedendo un consiglio sul firewall da usare su un pc singolo e quindi tutto questo discorso non ha un gran senso.
Ognuno ha le sue convinzioni...
e preghiamo che i mod non ci becchino di nuovo
Io cmq proporrei ai mod 3 thread sticky:
File system Arena
Firewall arena
Window Manager Arena
ciao a tutti e... buon motogp |
hehe... è bello confrontarsi ... cmq concordo ... non pascoliamo troppo!
byebye
fat_penguin |
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sat Jun 25, 2005 1:12 pm Post subject: |
|
|
@IceMan: non mi sembra si stia facendo nessuna guerra di religione su shorewall o altro. si afcevano solo alcune considerazioni sulle velocità di filtraggio
era solo un confronto di idee
| fat_penguin wrote: | | non sto dicendo che iptables sia lento o che abbia bisgono di HW estremamente potente. Sto solo sottolineando che una configurazione non certosina puo fare la differenza! |
questo mi può sta bene. però da qui a dire che iptables è più veloce di shorewall... capisci che c'è un grosso errore di principio.
ad ogni modo... torniamo in topic, che è meglio |
|
| Back to top |
|
|
akx
Tux's lil' helper
Joined: 17 Jun 2005
Posts: 107
Location: Treviso
|
| Posted: Sat Jun 25, 2005 9:53 pm Post subject: |
|
|
| OK, son riuscito a fare una confusione mostruosa....ma allora ad esempio firestarter che è?Non è molto che ho Gentoo in macchina quindi chiedo |
|
| Back to top |
|
|
mindolo
n00b
Joined: 25 Jun 2005
Posts: 6
|
| Posted: Sat Jun 25, 2005 10:22 pm Post subject: |
|
|
| akx wrote: | | OK, son riuscito a fare una confusione mostruosa....ma allora ad esempio firestarter che è?Non è molto che ho Gentoo in macchina quindi chiedo |
Firestarter è un frontend a iptables/netfilter.
più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? io sulla mia macchina non ho manco mezza regola di iptables, e vivo felice, elimino i servizi inutili, configuro a modo quelli che mi servono (ssh, apache e vsftpd al momento) e tengo aggiornata la macchina.
questo è GNU/Linux, non windoze dove installando un coso che ha scritto sopra il cd "firewall" pensi di essere al sicuro...
Per creare un sistema di packet filtering efficiente devi sapere _esattamente_ cosa succede all'interno dei protocolli di rete durante la comunicazione, altrimenti è inutile...
comunque se proprio sei convinto delle tue idee: http://netfilter.org/documentation/index.html#documentation-howto
_________________
:wq |
|
| Back to top |
|
|
comio
Advocate
Joined: 03 Jul 2003
Posts: 2191
Location: Taranto
|
| Posted: Sat Jun 25, 2005 10:25 pm Post subject: |
|
|
| akx wrote: | | OK, son riuscito a fare una confusione mostruosa....ma allora ad esempio firestarter che è?Non è molto che ho Gentoo in macchina quindi chiedo |
chiariamo che sotto linux l'unico firewall è praticamente netfilter/iptables. Tutti i vari tool che si vedono in giro sono "chains creators", ovvero propongono una interfaccia più o meno grafica per costruire le regole del firewall (sempre iptables).
Il problema è che molte volte gli strumenti automatici generano più righe di quante siano realmente utili, e magari potrebbero creare regole non ottime (comunque da dimostrare).
Io personalmente preferisco avere le catene iptables scritte a manina per avere maggior controllo. Ma è questione di gusti.
ciao
_________________
RTFM!!!!
e
http://www.comio.it
|
|
| Back to top |
|
|
.:chrome:.
Advocate
Joined: 19 Feb 2005
Posts: 4588
Location: Brescia, Italy
|
| Posted: Sun Jun 26, 2005 12:23 am Post subject: |
|
|
| mindolo wrote: | | più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? |
concordo. spesso il firewall è un oggetto superfluo |
|
| Back to top |
|
|
akx
Tux's lil' helper
Joined: 17 Jun 2005
Posts: 107
Location: Treviso
|
| Posted: Sun Jun 26, 2005 12:43 am Post subject: |
|
|
| k.gothmog wrote: | | mindolo wrote: | | più che altro volevo chiederti, sei sicuro di aver bisogno di un firewall? |
concordo. spesso il firewall è un oggetto superfluo |
Beh son qui x imparare no? E per quanto riguarda winz è più di un'anno che non lo uso, solo che in altre distro come fedora core e altre ad esempio cè un tool per settare il livello di sicurezza ( almeno questo viene fatto credere ).... quindi chiedo....sbaglio a chiedere? Non è molto che ho Gentoo in macchina e quindi non sono ancora molto ferrato in materia...tutto qui! |
|
| Back to top |
|
|
|
Forum italiano (Italian)
