Přehledný firewall pro Linux

[Mr.X]

Ahoj,

můžete mi prosím doporučit firewall pro Linux?

Chytrý idiot řekne: "Nauč se iptables."

Jistě že to (něco) bude TŘEBA nadstavba nad iptables, ale jde o to, že při změně konfigurace JEDNOU do roka pravidelně zapomenu, jak se co dělá a člověk tam pak tříská chyby. Potřebuji něco relativně fail-proof, jede hlavně o čitelnost, abych za rok zase hned viděl, co které pravidlo dělá. Vím, že to je pro někoho obtížně pochopitelné, ale když vidím iptables jednou za rok nebo za dva, tak už vím prd, jak jsem to před nějakou dobou (vy)myslel, holt nejsem tak geniální. Další aspekt je ten, že aby člověk něco udělal dobře, měl by nejprve získat nějakou praxi, nauč se iptables je jedna z těch rad chytrých idiotů, kteří předpokládají, že se člověk chce dokolečka učit to a samé a že to klidně napoprvé bez praxe dá! Ne, to není můj případ! Prosím, potřebuji něco dostatečně přehledného!

Zase jsem čučel do IPtables a pár pravidel, která jsem tam dal někdy v roce 2010 a jsou mi aktuálně naprostou záhadou.
Co dělají? Netuším. Proč jsem je tam dal? Nemám páru. Tenkrát jsem poslechl chytráky a nabušil to ručně, fungovalo to, ale teď, po třech letech, nemám vůbec páru, co to dělá.

Dík za rady.

PS: Nemusí to hned být blbuvzdorné webové klikátko, kvůli kterému budu na serveru rozjet kompletní LAMP nebo instalovat Xserver.
Prostě něco mezi.

[Reklama]

[JardaP .]

Jestli se obejdete bez ipv6, tak Firehol. Ale pak musite ip6 ze systemu uplne vybourat. A az ho jednou budete potrebovat, tak kdyz bude vhodna konstelace, tak do te doby podporu snad autori dodelaji.

[Pavel 'TIGER' Růžička]

Nebo hledáš něco jako tohle? http://www.fwbuilder.org

[Mr.X]

Přečetl jsem si dokumentaci k FireHOL a vypadá to přesně jako to, co chci.
Fakt na to nemám, učit se jednu stejnou věc pořád dokola.
Ale vyzkouším i ten FWbuilder!

Moc díky!
Už jsem byl zase zpocený strachy, že budu dva dny laborovat s IPtables ručně.
Ono na tom toho až tolik není, ale je to pokaždé hrozný stres a otrava se to učit od znova.

[neRuda]

Firehol je dost neudrzovany, pouzivam jeho fork

http://www.sanewall.org/

syntaxe konfigurace je shodna.

[Reklama]

[Mr.X]

Jo a kdyby to někdo hledal, tak tady to má pěkně naservírované:

http://www.root.cz/clanky/firehol-nejsnazsi-firewall/
http://www.heronovo.cz/firehol/
http://wiki.ubuntu.cz/firewall_router_gateway
http://gama.fsv.cvut.cz/gwiki/FireHOL

[xfasdf]

Nuz, a presne z tohto dovodu mam na "routeri" FreeBSD a firewall pf.
pf.conf sa jednoducho da pochopit aj po roku.

[Filip Jirsák]

Jediná použitelná rada ve vašem případě je: najměte si na to někoho, kdo to mu rozumí. Způsob zápisu pravidel pro iptables je to nejmenší, co pro nastavení firewallu potřebujete znát. Hlavně potřebujete vědět o tom, jak fungují sítě, a jak fungují sítě v Linuxu. Přičemž ovládací program iptables je velmi tenkou obálkou nad částí síťování v jádře, takže to potřebujete znát tak jako tak. Pokud nevíte, co některá pravidla vašeho firewallu znamenají, a nedokážete to zjistit ani z dokumentace vašeho nastavení firewallu, žádný jiný způsob konfigurace vás stejně nezachrání.

Další věc je, pokud nevíte, k čemu jsou pravidla ve vašem firewallu -- jak jste vůbec přišel na to, že nějaká pravidla do firewallu potřebujete? Co za tím firewallem máte tak důležitého, že chcete přidávat redundantní stupeň ochrany, a zároveň tak nedůležitého, že se s tím chcete patlat sám, i když tomu nerozumíte? Nebo tam máte aplikaci, která se nedá správně nakonfigurovat, a musíte to obcházet na firewallu?

[Bla]

Jirsák, přeležel si pindíka a má špatnou náladu, kecá z hladu nebo nedovede pochopit psaný text? Ten člověk píše, že se to vždycky naučí a po pár letech už zase neví. Zkusil nad tím dnes přemýšlet! Jirsák! Tvoje rada říká, že by tazatal taky měl udělat výběrové řízení, aby našel někoho, kdo tomu fakt rozumí. Než by připravil výběrko, tak se to naučí! Problém není v tazateli, ale v iptables, proto je tolik různých onanovátek, aby se to dalo nastavit lidsky! Taky používám Firehol a taky nebudu výběrko dělat!

[Filip Jirsák]

Chcete říct, že je možné za pár hodin rozumět sítím na docela dobré úrovni, a pak to zase za rok zapomenout? Chcete říct, že když někdo neví, proč má nějaká pravidla ve firewallu, že mu nějaký nástroj pomůže, aby to věděl? Maximálně zařídí, že bude dotyčnému jedno, proč tam ta pravidla má – jenže to už je pak mnohem lepší a bezpečnější nemít tam firewall vůbec.

Jak jsem psal, konkrétní způsob, jakým se konfiguruje firewall, je jen nepodstatný detail. A v tom podstatném – pochopit ty principy – vám žádný nástroj nepomůže.

To, že vy používáte Firehol, nevypovídá vůbec nic o tom, zda máte firewall nakonfigurovaný tak, aby k něčemu byl.

[JSOB]

Koukni na PFsense, Monowall nebo brazilfw. Vse se ovlada pres web rozhrani. Nejlepsi se mi zdal ten PFsense a je docela udrzovany.

[libcha]

Já používám UFW, neboli Uncomplicated firewall. V Ubunutu a derivátech je tuším rovnou nainstalovaný, stačí 'ufw enable' a pak příkazy typu 'ufw allow proto tcp from 156.198.0.0/16 to any port 22' přidávat pravidla. Má taky pár konfiguráků kam jdou napsat i iptables-like příkazy a rozjet se na něm vpoho dá i maškaráda.

[Rhinox]

Koukni na PFsense, Monowall nebo brazilfw.

Jestli se nemylim, to jsou vsechno kompletni mini-distribuce (bsd nebo linux). To asi neni to, co hleda tazatel...

Jinak pres vsechny rady, ja se priklanim k iptables. Skript si udelam jednou, a kdyz si jej dobre okomentuju, neni mozne, abych za 10 let nevedel, co ktere pravidlo dela. To pak stejne muzu zapomenout smysl konfiguracniho souboru trebas pro pfsense. Ale kdyz nekto potrebuje nake ty "udelatka", ok. Dle libosti...

[j]

Jenze tentokrat ma Jirsak pravdu ... pokud tomu nerozumis, tak ti jina varianta tehoz pomuze jak mrtvymu zimnik ... za rok na to budes cumet uplne stejne jako na pravidla v iptables.

Mimochodem, tux je uzasnej v tom, ze se do tech textovych souboru daji psat komentare.

A pokud nevis proc chces nekde nejaky pravidlo, tak to nebudes vedet ani v grafickym provedeni. Tudiz dej nekumu na pivo at ti to nastavi.

[Mirage]

Doporučuji firehol, iptables jsou super tak pro pošuka, který se v tom rýpe každý den, firehol slouží moc dobře.