Konfigurátor iptables pravidel - alternativa k fireholu

Bash a sadu vlastních funkcí :).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

29.6.2011 21:12 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Nemám pár týdnů na ladění vlastních pravidel :-)

Bývaly doby, kdy jsem si to psal sám, ale už nemám čas sledovat "kalibraci pravidel" podle aktuálního dění ve světe - myslím přizpůsobování pravidel útokům.

29.6.2011 21:17 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Nemám pár týdnů na ladění vlastních pravidel

Však já vždycky přidávám pravidla podle potřeby. Obvykle výjimky z restrikcí, někdy restrikce (hlavně ty kolik smí projít paketů za určitý čas).

iptables umí dobře chránit jen proti některým typům útoků, a ty jsou jednuduché na ošetření. Ty ostatní si většinou poradí i s běžně nastaveným firewallem (přičemž do běžného nastavení spadá i to, o čem si admin myslí, že je superbezpečné).

Pochybuju, že Firehol s útoky dokáže udělat něco víc než pár pravidel v iptables.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

29.6.2011 21:25 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Žádný firewall nesedící na aplikační vrstvě nemůže ochránit z principu všechno. Já si zase myslím, že firewall na aplikační vrstvě je více na škodu než k užitku ve většině aplikací. Těch pár řádků ten firehol zase negeneruje, víceméně se jedná o tisíce iptables pravidel.

29.6.2011 21:57 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Žádný firewall ~~nesedící na aplikační vrstvě~~ nemůže ochránit z principu všechno.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

29.6.2011 22:03 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Těch pár řádků ten firehol zase negeneruje, víceméně se jedná o tisíce iptables pravidel.

Tak to bych chtěl docela vidět k čemu to ve výsledku je. Můj firewall generuje momentálně cca stovku pravidel. Není dokonalý, ale umím si představit, že se vejde do dvou set, když tam nasázím pár dalších statických pravidel. Dál už si umím představit jen pravidla generovaná „podle situace“.

Což mi připomíná, že bych se měl někdy podívat, jak jsou na tom iptables s možností použít nějaké address listy.

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

30.6.2011 03:13 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Tak to bych chtěl docela vidět k čemu to ve výsledku je.

6 fyzických síťových rozhraní, další virtuální, desítky služeb pro každé rozhraní, zvlášť definovaná pravidla pro jednotlivé routování, logování, omezování paketů ..., no ono to velikostně odpovídá.

30.6.2011 23:05 pavlix | skóre: 54 | blog: pavlix
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Neříkám, že ne... ale rád bych takové nasazení viděl zaživa a prohlédnul, jestli dává smysl a jestli je návrhově v pořádku (tzn jestli složitost řešení odpovídá složitosti problému, který je jím vyřešen).

Já už tu vlastně ani nejsem. Abclinuxu umřelo.

Co shorewall?

30.6.2011 03:20 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Ten udělá přesně co mu řeknu nebo to má i nějakou "automatickou ochranu"? - ve fireholu mi stačí jedním konfiguračním parametrem říct, jakou chci obecně bezpečnost a přidá to automaticky pravidla na obranu před základními útoky.

30.6.2011 09:28 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Útoky? Snort a psad znáte?

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

30.6.2011 09:43 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Představa, že firewall je něco, co si zapnete (nebo dokonce zvolíte míru bezpečnosti), a tím je to vyřešeno, je nesmyslná. Firewall znamená nastavení pravidel pro nějakou konkrétní síť. Automaticky přidaná pravidla jsou k ničemu, protože vůbec netušíte, jestli vaši síť nějakým způsobem chrání, zda jsou neúčinná nebo dokonce škodlivá.

30.6.2011 10:15 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Automatická pravidla typu ICMP má takový limit spojení, max. takový a takový paket, nějaká stavová pravidla typu u TCP se nejprve musí otevřít spojení apod. jsou myslím dost užitečná.

30.6.2011 10:47 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

K čemu?

30.6.2011 11:43 konf.
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Brání zahlcení routeru (firewallu) příp. počítačů za firewallem zbytečnými pakety.

30.6.2011 12:32 Filip Jirsák | skóre: 68 | blog: Fa & Bi
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

Zahlcení firewallu brání těžko, když ten paket už na ten firewall dorazil – naopak je jeho zpracování složitější, protože se musí zkontrolovat víc pravidel. Počítače za firewallem by takhle chráněné být mohly, ale těžko nějakým automaticky vygenerovaným univerzálním pravidlem.

30.6.2011 11:52 SPM | skóre: 28
Rozbalit Rozbalit vše Re: Konfigurátor iptables pravidel - alternativa k fireholu

konfiguruje se jako normální firewall - nadefinuješ si zóny, politiku mezi zónama a pak jednotlivá pravidla (kde se daj používat makra, takže makro FTP vkládá pravidla tak, aby ftp fungovalo a podobně). Nějaké rate limity apod. jsem nezkoušel, ale věřil bych, že to tam jde nastavovat také.

Dotaz: Konfigurátor iptables pravidel - alternativa k fireholu

Odpovědi