Tűzfal otthonra?

Red Hat, Fedora, CentOS

Sziasztok!

Most költöztünk és szeretném az új otthoni infrát rendesen összerakni. Első lépésként tűzfal kellene ügye...

Amiben gondolkodom: Zorp/Opensense? de abszolút nyitott vagyok arra, hogy nektek mi vált be...

Amit szeretnék: iptables, route megy linux adminként de nem vagyok egy hatalmas hálózatos, úgyhogy király lenen ha lenne valami webui is, hogy én is megfelelően értelmezni tudjam a ruleokat.

Amim van: WRT54GL, illetve XEN környezet.

Köszi előre is!

  • 4217 megtekintés

( szollosiimre | 2015. 12. 15., k – 09:44 )

OPNsesnse az a pfsense kicsit újragondolva, újraguizva. Sajnos a doksizás nem megy olyan jól, úgyhogy ebből a szempontból a pf verzióval jobban jársz.

További kérdés, hogy mit akarsz letűzfalazni ennyire. Jó dolog bonyolítani az életet, de legtöbb esetben annak a pár portforwardnak, meg kilépési szabálynak tök fölösleges dolog tud lenni egy külön hardver.

Ha már akarsz trükközni azzal kapcsolatban, hogy mondjuk használsz egy geoip adatbázist, vagy snortot, url filtert, azt összehergelni ingyenes komponensekkel, elég sok problémaforrás tud lenni. Tapasztalatom alapján az ingyenes geoip, a telekomos címek közül párat romániának néz. :)

Az url filter is olyan, hogy azt nem árt néha frissíteni, + magyarra jót találni megint csak nehéz, és ebben az esetben már a hozzá tartozó komponenseket, proxy transparensre állítva, 2-3 belső huzalozással megoldható.

( Proci85 v | 2015. 12. 15., k – 10:18 )

Szerintem egy WRT54GL után bármelyik MikroTiktól elalélsz :)
Magam részéről egy MikroTikkel elintézném a dolgot, mely egyben DHCP, DNS, NAT is.

Ha chain-ekbe rendezed, nem bonyolult.
Egy RB2011-en 12 LAN-t kezelek (VLAN-okkal együtt) és nem volt bonyolult összehozni, sem üzemeltetni. A chaineknek köszönhetően rögtön tudod, hogy hova nyúlj. Ki kell találni egy koncepciót amiben segíthet a linuxakademia féle tűzfal oktatás vagy a mikrotik alapozás oktatás.

Többször nekifutottam, hogy lássam, érezzem, akarjam a mikrotik rendszerét, vagy használni, vagy szeretni.

Ugyanakkor az iptables nem üti meg azt a szintet, hogy bármelyik magát tűzfalnak nevező projekt értelmesen használja. Tegyük ebbe bele rögtön a vyos-t is, mivel azt is megfutottam, ha már ennyire lájkolja, majmolja a juniper shelljét.

Természetesen építettem elég hosszú chain szintű tűzfalat, igaz host szinten, amikor erről volt szó, meg erre volt igény, de minden embert leterelek arról, hogy bármi ilyet használjon akár otthon, de leginkább termelő környezetben.

Fel lehet hozni természetesen azt, hogy a mikrotik olcsó. Ugyanakkor a supportja, az konvergál a 0 szintre. Eszközöket még csak-csak tudnak cserélgetni, hibára reagálni, esetleg lekezelni. Normális release-notes-ot írni már nem megy nekik.

A tűzfal rendszere, tényleg produktív IPtables, ugyanakkor tekintsünk most el arról a részről, hogy ügyesen hogy drótozod vissza a related-established csomagokat a destination zónából, mivel az is az iptables, igy a tűzfal szabályok dolga lenne.
Ha már a zónázásról szólunk. Természetesen ismét csak bele lehet terelni egy chain-be a dolgot, azonban maga a comment rendszer sem feltétlen olyan, hogy ezt produktívan tudd követni.
VPN részhez, ipsec terén racoon-al dolgozik, a konfigurációja ez miatt elég moduláris, ( akár enterprise-nek is lehetne csúfolni ). Maga a racoon is kezd idejét múlt lenni, lévén nem route based, hanem policy based módon intézi az encryptálást.
OpenVPN részhez. Limitált csomagot kapott, amiből sok minden hiányzik. Ennek fényében egyéb OpenVPN környezetbe nagyon nehezen illeszkedik be, inkább hozzá kell igazodni, mint a másik oldal, esetleg szerver környezethez. Nem heterogén hálózatban természetesen ez is hatékony tud lenni.

Mindezeket összevetve részemről elismerem, hogy nem sok időt fordítottam abba, hogy beleássam magam a mikrotikba, ugyanakkor a terméket körülvevő imádatot sem tudom megérteni, mert ennek leginkább az a háttere, hogy olcsó, valamint hogy nagyon széles, ám több sebből vérző háttér erőforrással dolgozik. Valóban nagyon sok minden megvalósítható vele.

Ugyanakkor a hardver és szoftver minősége, a nyomonkövetés, support gyorsasága, valamint a bevezetéssel kapcsolatos problémák lehetséges széles köre engem távol tart az eszköztől. Ez áll fent röviden, a Ford Fairlane híres idézetében összefoglalva.

" az iptables nem üti meg azt a szintet, hogy bármelyik magát tűzfalnak nevező projekt értelmesen használja" - helyesbítve: A te tudásod az iptables-sel kapcsolatban nem üti meg azt a szintet, hogy érdemben nyilatkozz a használhatóságáról.
Anno volt úgy 100+ tűzfal a kezem alatt (nagyrészt párban), és bizony iptables volt az alapja, és arra épült rá szükség/igény szerint a hálózati forgalom magasabb szintű szűrése.
Igen, egy tizen-huszonsoklábú tűzfal esetében, amikor a generált rulebase több ezer sornyi volt, kellően észnél kellett lenni, hogy mit, hova és hogyan ír be az ember a policy-ba. De ez volt benne a szép :-) Meg az, hogy egy szál soros konzol elég volt a teljes üzemeltetéshez, ha nagyon gáz volt :-P

Az, hogy nem szeretem használni, még mindig nem jelenti azt, hogy nem is tudom. Egyszerűen számomra van jobb eszköz.

Gratulálok, tudlak becsülni. Ugyanakkor ez egyrészt anno volt, másrészt te is saját környezettel dolgoztál. Kérdés, hogy ez mennyire volt jól ledokumentálva, és mit csinált volna egy külsős, akinek 10 perce van megkeresni a hibát.

Van jobb eszköz, igen - akkor is volt, csak épp pilótavizsgásabb volt,mint a rulebase - konfig generálás - konfig kipakolás a megfelelő gépekre, illetve ott az új szabályok élesítése.
Az iptables szabályok egy definíciós fájlból generálódtak le, ezt a def. fájlt azért elég jól (az iptables kimeneténél jobban, bár az is teljesen jól olvasható/érthető) lehetett humán parserrel értelmezni - néhány jól irányzott grep/egrep ezekben a fájlokban, illetve az iptables fölé húzott tűzfal logjában vagy épp konfigurációjában eléggé gyors hibakeresést tett lehetővé.
Fapad volt, érteni kellett hozzá, nem egy "next-next-finish" dobozos motyó volt - ellenben elég durva dolgokat meg lehetett vele csinálni - már ha értettél az iptables-hez meg a Python-hoz :-P

+1 Mikrotik RB951G (Wi-Fi)

Nekem is ez van otthon, nagy megelégedésemre. Egy Xen-es VM-et (Ubuntu+iptables) váltott le. A tűzfala iptables-alapú, GUI-n (dedikált Windows-os alkalmazás + Web) is adminisztrálható. A LinuxAkadémiás videókból pöpecül belőttem a QoS-t is. Nem raktam rá Openwrt-t, mert ezen a változaton még nem annyira supportált, és nem is tudja annyira kihasználni ezen hardver képességeit.

( ncc1701 | 2015. 12. 15., k – 10:18 )

Nekem otthon gen8 microserver van, ubuntu lts, iptables. Bele lehet jönni gui nélkül is, nem olyan vészes...

( nydn | 2015. 12. 15., k – 11:15 )

túzfal? infra?
de hogy on is legyek pfSense

off

Fedora 21? Már támogatása sincs! A megoldás:

su -
(jelszó)
yum update
yum install dnf-plugin-system-upgrade
mkdir /root/upgrade
dnf system-upgrade download --releasever=23 --datadir=/root/upgrade --distro-sync
sync
dnf system-upgrade reboot

Rövidebben is írhattam volna: frissítsd az oprendszered! :)

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Hát. Köszi, a segítő szándékot de nekem tökéletesen megfelel f21 i3wm és nem, nem vagyok Fekete Pákó :D, csupán nem rég jutottam hozzá egy francia kiosztású model m -hez és picit még szoknom kell :D bár azt is hozzátenném, hogy sosem voltam nyelvtan ötös :D .
Annyit még megjegyeznék, hogy csomagokat nem csak addig lehet telepíteni/frissíteni egy disztrón (disztribúción) amíg arra van támogatás... Yum -on túl is van ám élet... :)
De mindenképpen értékelem, hogy legalább figyeltek arra amit írok :D

EliteBook 8540p
Fedora 21
Startup finished in 2.637s (kernel) + 875ms (initrd) + 1.777s (userspace) = 5.290s

Várj, én elgépelésekről, helyesírási hibákról nem beszéltem! :) Csupán azt mondom, hogy a Fedora 21-hez már nincs update, így biztonsági szempontból aggályos. Viszont nagyjából csak 2 hete szűnt meg a támogatás hozzá, így nem kell aggódni azon, hogy nagy baj van, de aktuális egy disztribúció frissítés. Egy ismerősöm gépén frissítettem Fedora 21-ről 23-ra, gond nélkül működik a dolog.

Annyit még megjegyeznék, hogy csomagokat nem csak addig lehet telepíteni/frissíteni egy disztrón (disztribúción) amíg arra van támogatás... Yum -on túl is van ám élet... :)

A repók nyitva vannak, így telepíteni nyilván lehet. A gond az, hogy nem jön már frissítés akkor sem, ha valami súlyos biztonsági rés derül ki. Nem a yum-mal van a baj, mert az működik neked most is meg később is. Gondolom, nem buildelsz magadnak Fedora 23 forrásból Fedora 21-re csomagokat, ráadásul ez függőségek miatt sokszor nem is sikerülne. Nézd meg a Fedora build szerverén, 4.1.13-as kernel az utolsó fordítás fc21-re. Nem is lesz újabb. Firefoxból sincs a 42-esnél frissebb.

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( Szenti v | 2015. 12. 15., k – 11:19 )

Pár elírás, a teljesség igénye nélkül.

A topic címében : túűzfal
üugye
abszóolút

( elod v | 2015. 12. 15., k – 13:31 )

Kéne egy normális router Edge-nek, egy VLAN-on és SSID-n elérhető Internetelérés (erre jó lesz a Mikrotik), a többi meg valami firewall-router appliance mögött ami ha már megvan ugye akkor mehet direkt a Xen-en.

( freeoli v | 2015. 12. 16., sze – 16:26 )

Xen-ben egy sophos home utm minden igényed kielégítheti, de elé javasolt a gl meg mehet ap-nak, de egy backup soho routert javaslok kéznél tartani.