Melyik tűzfalprogit ajánlod, és miért?

Linux-security

Sziasztok!

Szeretnék már végre egy tűzfalprogramnál kikötni. Szóval a kérdésem:
Melyik tűzfalprogit ajánlod, és miért? (Esetleg az ajánlásodban szereplő tűzfalprogramhoz nagyon jó könyvet tudsz ajánlani?)

Előre is köszi.

  • 8379 megtekintés

( Panther v | 2007. 05. 01., k – 09:53 )

netfilter/iptables mivel nincs más. Amire te gondolsz, az max. egy frontend (felület) ehhez, és egy tűzfalscriptet gyártasz, amiből az iptables fog lefutni. Ezeket próbálgattam már, de nem rajongok értük, elég gagyik (for me (TM)).

"netfilter/iptables mivel nincs más."

Ezen a kijelentésen a Zorp fejlesztők valószínűleg nagyon megsértődnének.

A netfilter / iptables csak csomagszűrő. Sok helyen a tűzfal ennél azért bonyolultabb szerkezet. Például programok kombinációja:

- csomagszűrő
- web cache
- alkalmazás proxy-k

Valami olyasmi, mint az iptables / SQUID és vagy Zorp keveréke. Esetleg mellé vesznek még IDS-t is.

--
trey @ gépház

hát a zorp is a netfilter raw tábláját használja, és tény, hogy nem csak csomagszűrő. De igazából a netfilter/iptables sem csak csomagszűrő, hiszen állapottartó, vagyis nem feltétlen az egyes csomagokat figyeli, hanem magát a kapcsolatot is, valamint még a TCP/IP feletti protokollt is ismeri néha, pl. ftp-t, mert a conntrack enélkül nem menne.

Tudom mi az iptables / netfilter. Ugyanakkor azt is tudom, hogy nem csak ez létezik Linuxra, és azt is, hogy egy korszerű tűzfalmegoldás messze nem csak csomagszűrőből áll. Például a Microsoft ISA server is egy kombinált megoldás: csomagszűrő, (secure)NAT, webcache, stb. rendszer. Manapság ilyesmiben kell inkább gondolkozni.

--
trey @ gépház

( wolf | 2007. 05. 01., k – 10:58 )

Természetesen Checkpoint :)
Nagyon bírom az általa képviselt "objektum szemléletű" logikát (IP címek, tartományok, protokollok, időpontok, felhasználók, stb.)

Így néz ki a GUI-ja:

http://www.checkpoint.com/corporate/images/firewall-1gx_gui2.jpg

Ha Linux alatt keresel frontend-et akkor turtlefirewall:

GUI:
http://www.turtlefirewall.com/images/screenshot_list_rule.gif
www.turtlefirewall.com

Elmészteajóbús... :-)) Idéznék egy CP-os tűzifára átállás utáni jelentésből (nem szó szerint, csak nagyjából. Amiről átálltak, azon bind futott, és adott DNS-t a védett zónáknak): A dns-gyorsító funkció bekapcsolása után a kliensek a védett zónákban nem, vagy csak lassan kaptak választ a névfeloldási kérésekre. A funkció kikapcsolása, és az 53/udp forgalom átengedése megoldotta a problémát.

Csomagszűrő van jobb is...

A tűzfal volt a defgw, a dns- ntp- és smtp-kiszolgáló a védett zónák számára. Így az ott csücsülő gépeken nem kellett minden egyes dns, meg smtp költöztetés/matatás után konfigurálgatni, csak a tűzifa konfigjában.
A beérkező kérést nem buta módon továbbította csomagszionten, hanem app. szinten értelmezte, és megválaszolta.

Bar csak egy mondatot irtal es magyarul, de megis gondot okoz a megertese. Miert kellene egy DNS szervert "koltoztetni" (akarmit is jelentsen ez)? Egyaltalan, miert kellene a klienseken barmit is allitani, ha az smtp szervernek legfeljebb a DNS-ben kell atirni a cimet, ha mar annyira tilitolizni kell, ill. ha ennyire gaz a halozat, akkor a DNS szerver cime is atadhato DHCP-n. Arrol nem is beszelve, hogy a DMZ, mint fogalom nem jatszik? Az eg mentsen meg, hogy ilyen lama halozatokhoz kelljen az eletben nyulnom... LOL, bar igazabol a fejet fogja emoticont jobban illene ide...

Jon a hamburgerado? - politika, flame és offtopic huppereknek szabadon!

Nem egy darab dns szerver, hanem tucatnyi örökölt konszolidálása. A védett zónákban szolgáltatások szerverei csücsültek, alkalmazásokkal, n+1 interfésszel, alkalmazásba, ilyen.olyan konfigfájlokba bevasalt ip-címekkel, lett légyen szó smtp-ről vagy dns-ről. DHCP nem játszott (ki adjon dhcp-t? a tűzfal???) - picivel nagyobb hálózatról volt szó, mint a belső/külső/dmz felállásnál szokás...

Ertem. Szoval 10-20 dns szervert a tuzfalon futo egy darab bind-re konszolidaltak + add hozza az emlitett konfigfajlos kaoszt... uhhh... Ertem en, hogy van az ugy, hogy az ember a szerv rossz felere kerul, na de hogy eleve ele uljon le.... na mindegy, kossz az infot. Elrettento peldanak jo volt, a mai horroradag kipipalva :-)

Jon a hamburgerado? - politika, flame és offtopic huppereknek szabadon!

Nem jól érted, de sebaj. A dns-konszolidáció minket csak annyiban érintett, hogy a tűzfalaknak megmondtuk, hogy mit, honnan kell kérdezni - a védett zónákban lévő gépeknek meg marhára nem kellett azzal foglalkozni, hogy hol van épp aktuálisan működő és értelmes/helyes választ adó névszerver.

Nemrég dobtuk ki, mert nem eléggé konfigurálható. Sok mindent tud, de amire kellett volna, azt pont nem tudta (nem hiszem, hogy túl extra igényeink lennének).

Zorpnak +1, csak írj hozzá GUI-t, mert az nincs (GPL-es legalábbis, egyébként ld. godot hozzászólását).

Ha programba belefér appliance is, akkor nézd meg a Palo Alto-t, vagy a Juniper ill. Cisco tűzfal termékeit is. Eltekintve attól, hogy a Juniper GUI-ja egy java-s szotty, fagy, lassú stb., messze a legátgondoltabb és legáttekinthetőbb tűzfalfelület, amivel találkoztam. Ha nem java-s lenne, imádnám.

( emberk | 2007. 05. 01., k – 17:42 )

Nekem annó volt egy guarddog nevű előtétprogi a már említett iptables/netfilter-hez (iszonyat sok ilyen sok előtétprogi van egyébként, pl:firestarter,kmyfirewall,firewall, és a guarddog..), aztán meguntam a hekkellést és vettem egy olyan routert amin van tűzfal, és nem kellett vele vacakolnom, egy csomó munkát levettem a gép válláról, kb 7eft-be került, valamelyest gyorsabb is lett a gép (nem ez volt a fő ok, hanem, a kényelem). mindenhol azt olvastam, hogy jobb egy külön tűzfal gép, és külön desktop, ha router tudja egy desktop géphez bőven elég (Ja linux esetén win esetén nem).

Vagy ha van valami hulladek jellegu, mashol mar nem hasznalhato gep akkor a LEAF/Bering esetleg az uClibc-s valtozata.
http://leaf.sf.net
Nemreg egy helyen volt hulladek gep (Celeron-433, 32 MB RAM, 40G winyo) egy masikbol meg kukaztam bele halokartyat es feltettem ra.

SOHO tipusu routert az aktualis ceges beszerzesi rendszer miatt kb. fel-egy evnel hamarabb nem lehet beszereztetni.

Van a winyon egy fat16 filerendszer, bootol a dos es a loadlin.exe a "bootloader" autoexec.bat-bol. A SYSLINUX-ot az oreg gep valamiert nem szerette. A GATE A20 kornyeken voltak gondjai. Boot utan leallitja a winyot. Megfelelo gep eseteben pendrive-rol is elfut.

igen ez is egy alternatív megoldás egy gépből buherálsz egy rútert, bár ez egy picit több áramot eszik. de jobb mert egész komoly szabájokkal szabájozot tűzfalat csinálhatsz..... és még sorolhatnánk az előnyöket. A routeres tűzfalak általában korlátozottabb lehetőséget adnak, de többnyire elég tudással rendelkeznek.

Persze persze tudom hogy jobb annyi cuccot teszel rá amit nem szégylesz..... én is tervezem a párom régi gépét belőni rúternek mert ez kezd nekem is kis tudású lenni (proxy lesz belőle, és rajta lesz a levelezésem) szóval tudom hogy jobb csak arróül volt szó, hogy én azt preferálom, ha nem a desktopon van a tűzfal.

ja ja tudom nincs valami eget rengető képességük, de egy kis desktop gépnél amin nincs semmi extra max a levelezésem a párommal nem hiszem hogy túl nagy kockázati tényezőnek tekintem ha valaki el akarja olvasni hogy ki jelölt az iwiw-en vagy mikorra tervezzük az esküvőnkéet ám legyen. De valóban egy szervert nem tennék be mögé, az fix :D

( utpKabel | 2007. 05. 01., k – 20:29 )

pf, mert valahol azt olvastam, hogy az jó.