[Sysadmins] Firewall frontend

[Sysadmins] Firewall frontend

[Evgenii Terechkov]

Знаю, тема здесь и community обсуждалась. Советовали (из того, что есть
в дистре) Fwbuilder, guarddog, rcf, fiaif, ещё может что-то.

Есть ещё много всякого разного из той же оперы.

Вопрос даже не в том, что выбрать на роутер-переросток (писал вчера сюда
вопрос, про flow), хотя я и сильно присматриваюсь к fiaif, а в другом,
странном.

Знаю, что сейчас меня закидают гнилофруктами, но спрошу: никто на альт
не портировал такую штуку, как SuSEFirewall2? Привык я к нему -
наследие. А сейчас готовлю замену сусе и думаю, что что-то хорошее там
таки есть. Как я посмотрю, там в самом скрипте ничего (сильно)
дистроспецифического нет. Вопрос только в переписывании запускающей
обвязки (отрывании rc.status и т.п. и замена на родную обвязку).

Могу это сделать и сам - но времени маловато и не хочется повторять
зазря чей-то труд (очень возможно, более квалифицированный).

"Гугление и чтение доков не помогли"(с) :-).

P.S.: или, если уж на то пошло, подскажите какие у него отрицательные
черты/уязвимости.

Re: [Sysadmins] Firewall frontend

[Michael Shigorin]

On Mon, Apr 17, 2006 at 12:14:31AM +0800, Evgenii Terechkov wrote:
> Могу это сделать и сам - но времени маловато и не хочется повторять
> зазря чей-то труд (очень возможно, более квалифицированный).

Попробуйте; с упаковочными вопросами постараюсь помочь.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Firewall frontend

[Evgenii Terechkov]

Michael Shigorin пишет:

>> Могу это сделать и сам - но времени маловато и не хочется повторять
>> зазря чей-то труд (очень возможно, более квалифицированный).
> Попробуйте; с упаковочными вопросами постараюсь помочь.

В общем бросил я это дело. Переписывать сусешные инит-скрипты лениво
(это ж надо понимать, как они работают) - их там три штуки. Свой писать
стал - сильно задумался, посмотрев на аналоги. В итоге для получения
точной копий правил iptables были скопированы с изначальной машины
скрипт и конфиг SuSEfirewall2 (только поправить пути пришлось), в
/e/s/iptables прописан полный DENY, а в rc.local добавлен запуск
SuSEfirewall2.

Ведь мало просто собрать пакет - его надо и поддерживать в актуальном
состояний. Почитал ChangeLog его и понял - нафиг. Всё равно решил с суси
уползать - зачем оно мне?

Как выдастся время хочу таки настроить там fiaif или Fwbuilder.

P.S.: кстати о фронт-эндах. Собрал на домашней машине такое чудо:
Fieryfilter. Фронт-энд к iptables, интерактивный типа. Он вроде вообще
один такой. Работает даже. Забавный. Жаль, использовать даже на десктопе
(по крайней мере, пока) не получится - из-из некоторых фундаментальных
недостатков. Да и не развивается он, не знаю уж к сожалению или к
счастью.

Re: [Sysadmins] Firewall frontend

[hozzzar]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Здравствуйте, 22 Апрель 2006 17:44 вы писали:
>
> P.S.: кстати о фронт-эндах. Собрал на домашней машине такое
> чудо: Fieryfilter. Фронт-энд к iptables, интерактивный типа.
> Он вроде вообще один такой. Работает даже. Забавный. Жаль,
> использовать даже на десктопе (по крайней мере, пока) не
> получится - из-из некоторых фундаментальных недостатков. Да и
> не развивается он, не знаю уж к сожалению или к счастью.
>
А можно поподробней? Ну, ссылочку там...

- -- 
С искренним уважением и почтением,
Акулов Захар Валерьевич,
начальник отдела ИТ ООО "Фирма Макс",
г. Новый Уренгой
JID:hozzzar@jabber.ttn.ru
UIN:205051758
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQFEShkGyVOkse5mdawRAmQlAJ4qVmubtirDrhxL5F8OcjFW5qRkwwCeK6uf
3+MI58gDisxNFbSB5WluHrA=
=WzXZ
-----END PGP SIGNATURE-----

Re: [Sysadmins] Firewall frontend

[Evgenii Terechkov]

hozzzar пишет:

>> P.S.: кстати о фронт-эндах. Собрал на домашней машине такое
>> чудо: Fieryfilter. Фронт-энд к iptables, интерактивный типа.
>> Он вроде вообще один такой. Работает даже. Забавный. Жаль,
>> использовать даже на десктопе (по крайней мере, пока) не
>> получится - из-из некоторых фундаментальных недостатков. Да и
>> не развивается он, не знаю уж к сожалению или к счастью.
> А можно поподробней? Ну, ссылочку там...

Ссылка: http://0pointer.de/lennart/projects/fieryfilter/

Пакет собранный лежит на ftp://asterisk.krastel.ru/pub

Re: [Sysadmins] Firewall frontend

[Michael Shigorin]

On Sat, Apr 22, 2006 at 07:44:23PM +0800, Evgenii Terechkov wrote:
> >> Могу это сделать и сам - но времени маловато и не хочется повторять
> >> зазря чей-то труд (очень возможно, более квалифицированный).
> > Попробуйте; с упаковочными вопросами постараюсь помочь.
> В общем бросил я это дело. Переписывать сусешные инит-скрипты
> лениво (это ж надо понимать, как они работают) - их там три
> штуки.

Ну с этим как раз помочь можно.

> Ведь мало просто собрать пакет - его надо и поддерживать в
> актуальном состояний. Почитал ChangeLog его и понял - нафиг.
> Всё равно решил с суси уползать - зачем оно мне?

А вот это да.

> P.S.: кстати о фронт-эндах. Собрал на домашней машине такое
> чудо: Fieryfilter. Фронт-энд к iptables, интерактивный типа. Он
> вроде вообще один такой. Работает даже. Забавный.

NuFW не смотрели, btw?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [Sysadmins] Firewall frontend

[Anton Gorlov]

Evgenii Terechkov пишет:

> P.S.: кстати о фронт-эндах. Собрал на домашней машине такое чудо:
> Fieryfilter. Фронт-энд к iptables, интерактивный типа. Он вроде вообще
> один такой. Работает даже. Забавный. Жаль, использовать даже на десктопе
> (по крайней мере, пока) не получится - из-из некоторых фундаментальных
> недостатков. Да и не развивается он, не знаю уж к сожалению или к
> счастью.

А можно немного поподробнее о недостатках?

-- 
   np: silence

Re: [Sysadmins] Firewall frontend

[Evgenii Terechkov]

Anton Gorlov пишет:

>> P.S.: кстати о фронт-эндах. Собрал на домашней машине такое чудо:
>> Fieryfilter. Фронт-энд к iptables, интерактивный типа. Он вроде вообще
>> один такой. Работает даже. Забавный. Жаль, использовать даже на десктопе
>> (по крайней мере, пока) не получится - из-из некоторых фундаментальных
>> недостатков. Да и не развивается он, не знаю уж к сожалению или к
>> счастью.
> А можно немного поподробнее о недостатках?

http://0pointer.de/lennart/projects/fieryfilter

Re: [Sysadmins] Firewall frontend

[Evgenii Terechkov]

Michael Shigorin пишет:

>> >> Могу это сделать и сам - но времени маловато и не хочется повторять
>> >> зазря чей-то труд (очень возможно, более квалифицированный).
>> > Попробуйте; с упаковочными вопросами постараюсь помочь.
>> В общем бросил я это дело. Переписывать сусешные инит-скрипты
>> лениво (это ж надо понимать, как они работают) - их там три штуки.
> Ну с этим как раз помочь можно.

Можно то можно (а можно и поправить немного пакет iptables, чтоб внешний
какой скрипт вызывал для "патченья" пакетного фильтра), только тот же
fiaif выглядит перспективнее (Хотя и меня "с ходу" и не получилось его
заюзать на домашней машине). В той же "идеологической" категорий,
разумеется. Интересен и Fwbuilder (использую давно дома. Из пушки по
воробьям, знаю. Но когда появилось несколько машинок, он стал смотреться
ещё интереснее, хотя и не предлагает многих фишек, ориентированных на
конкретный пакетный фильтр), в другой весовой.

> NuFW не смотрели, btw?

Только слышал мельком, посмотрю. Спасибо.