Přehledný firewall pro Linux

[Filip Jirsák]

Mě by spíše zajímalo, kde se dají najít nějaké komplexnější stránky pro pravidla pro iptables proti různým typům útoků - např. Xmas, syn-floods, NULL, LAND Attack, WordPress wp-login.php brute force attacks a další. Nenašel jsem stránku, která by se podrobně tímto zabývala - popis jednotlivých útoků, obrana v iptables atd.

Otázka je, jestli má smysl takovou dokumentaci udržovat. To jsou útoky na chyby v jádře nebo chyby v aplikacích, řešením je opravit ty chyby. Firewall je nouzové řešení vhodné nanejvýš do doby, než se chyba opraví – a málokdy je možné ten problém na firewallu odstranit, spíš je to takové záplatování.

[Reklama]

[j]

Jenze treba kvuli jednoduchemu direwallu typu "zahodvsechnokromepingaportu22" to nestoji za tu praci, pokusy a omyly. Prave tim, ze se clovek snazi udelat to v iptables, pricemz iptables nema v malicku, se dopusti zavazne chyby mnohem snaze, nez kdyz si precte man firehol a udela to v nem.

Udela leda prd .. ono to "cosi" vygeneruje a dotycnej pak bude resit, proc mu "neco" nefunguje. Stejne mu nakonec nezbude, nez se podivat na pravidla iptables, ktera z toho vylezou. Velmi casto pak z podobnejch udelatoru lezou sileny zrudnosti ... tusim ze sem onehda testoval shorewall ... a nagenerovalo mi to snad 50 vzajemne provazanych chainu ... blah ... idealni dira ... protoze v tom se nikdo nevyzna. Kdybych to chtel zkoumat, tak si budu tejde kreslit kudy paket vlastne leze ... abych zjistil kde konci ...

[noef]

Pouzivam jiz nejakou dobu (~5let) shorewall a oproti iptables s tc je mnohem prehlednejsi (mozna o neco jednodussi presto stale silny, v pripade hodne pokrocilych veci to jde dodat do hooku po startu; oproti jinym nadstavbam toho ale umi opravdu hodne a presto je IMO stale prehledny). Nastaveni je hezky rozdelene do souboru (takze po pul roce kdyz chci neco upravit, tak to rychle dohledam) a dokumentace je v pohode.

To s poctem chainu je pravda - celkove jsem na 54. Ale co jsem se dival, tak jsou dobre pojmenovany (pokud mate normalne pojmenovany zony v shorewall configu) - napr. vpn2net, wifi2loc atp. Mozna to neni na super-bezpecne firemni pouziti, ale na domaci poziti v kombinaci napr. s debianem v tom nevidim problem.