The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [ Отслеживать ]

"Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от opennews on 15-Июл-09, 11:37 
Вышел стабильный релиз flex-fw (http://code.google.com/p/flex-fw/), небольшой и быстрой надстройки (front-end) для Linux утилиты iptables с простым синтаксисом команд, напоминающем ipfw из FreeBSD или pf из OpenBSD.


Возможности:


-  Сервис-ориентированная конфигурация, позволяет стартовать или останавливать доступ к каждому сервису раздельно и независимо, без остановки всей системы flex-fw целиком;
-  Поддержка сетевых профилей /etc/net (http://etcnet.org/). Можно работать с различным сетевым окружением без какой либо перенастройки flex-fw;
-  Поддержка макросов. Макрос - это переменная, определяемая пользователем, которая может хранить IP-адрес, номер порта, имя интерфейса и т.п.
-  Простая миграция - достаточно переопределить макросы для переноса на другой хост, в другое сетевое окружение;
-  Тиражирование. Описывая сервисы с использованием макросов можно легко перенести сервисы на все обслуживаемые хосты без каких либо изменений;
-  Простая отладка. Поддержка вывода чере...

URL: http://code.google.com/p/flex-fw/wiki/RussianHomePage
Новость: http://www.opennet.dev/opennews/art.shtml?num=22605

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +4 +/
Сообщение от azure on 15-Июл-09, 11:37 
гибче iptables чтоли? Не верю! (с) Станиславский
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +4 +/
Сообщение от yopt on 15-Июл-09, 13:40 
не припоминаю что бы Станиславский что-то говорил про iptables...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от shama_n (ok) on 15-Июл-09, 11:45 
что-то маловато дистрибов поддерживается
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 13:44 
>что-то маловато дистрибов поддерживается

Пока поддерживаю то, с чем работаю сам. Если есть желание помочь - буду крайне признателен за любое содействие.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Евгений Александрович email on 15-Июл-09, 20:11 
Сделайте пожалуйста ebuild для gentoo, думаю, многим будет полезно.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от pavlinux (ok) on 15-Июл-09, 16:22 
iptables не дистрибутив :)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  –1 +/
Сообщение от netc email(ok) on 15-Июл-09, 12:12 
да iptables - это хорошо, но в совем изначальном виде, т.е. его обычные правила - это жесть.

недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "больше надстроек - и все разные... где ж хорошие-то?"  +1 +/
Сообщение от Andrey Mitrofanov on 15-Июл-09, 13:29 
>да iptables - это хорошо, но в совем изначальном виде, т.е. его обычные правила - это жесть.

Именно. iptables в тепершнем виде - ассемблер фактически. Чтобы выполнить _обычное_ действие (открыть порт, например), нужно написать несколько правил (+отдельно для NAT-ов), не забыть про ip_forward и, бывает, загрузить модули ядра, очень желательно учесть взаимозависимости, не наступить на "особенности" с порядком правил и не очепятаться в множестве длиннющих строк. И неплохо бы, чтоб stateful. И чтоб безопасно -- обязательно. ... %-l

>недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил!

А выбрал бы и использовал генератор правил -- глядишь, список вспоминаемых правил был бы раз в *цать http:/openforum/vsluhforumID1/81413.html#7 (*) короче. Вспоминалку не так напрягать пришлось бы. Хотя на вкус, на цвет... Многие продолжают пилить iptables/#EXAMPLESCRIPTS, кому-то и "чистый" iptables |) _нравится_.

Поэтому обёрток и генераторов правил -- вагон с тележкой. И у каждого - свои ограничения...
Например, на что уж мне нравится firehol, но в его входном языке не учтена связь между nat-ами и соответствующими фильтрами -- приходится (~всё равно) два набора правил писать... И да, сам мучительно вспоминаю, чего нагородил http:/openforum/vsluhforumID1/82424.html#3 на firehol с кучей разных групп ip с разными nat-ами с фильтрами...

Совершенства нет. Поэтому и появляются новые обёртки-генераторы.

Вот, глядишь, выйдет nftables http:/openforum/vsluhforumID3/50862.html -- будет одна обёртка для всех. Пока и её :) не начнут обёртывать.

(*) При этом _читать_ iptables-save и понимать, как оно там устроено внутри -- тоже неплохо, если не обязательно, - для полной уверненности.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "больше надстроек - и все разные... где ж хорошие-то?"  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 13:58 
>Например, на что уж мне нравится firehol, но в его входном языке
>не учтена связь между nat-ами и соответствующими фильтрами -- приходится (~всё
>равно) два набора правил писать...

Спасибо за идею, возможно возьму на вооружение.

>(*) При этом _читать_ iptables-save и понимать, как оно там устроено внутри
>-- тоже неплохо, если не обязательно, - для полной уверненности.

Абсолютно с вами согласен. Никакая обертка не должна исключать знание мат-части. Задача обертки не в замене инструмента, а в упрощении автоматизации повседневной работы.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "больше надстроек - и все разные... где ж хорошие-то?"  +/
Сообщение от pavlinux (ok) on 15-Июл-09, 16:59 
Ага, это вы бландинкам за рулём лексуса расскажите.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

40. "больше надстроек - и все разные... где ж хорошие-то?"  +/
Сообщение от netc email(??) on 15-Июл-09, 22:28 

>>недавно старый сервер надо было немного поменять (fw скрипт) да полчаса вспоминал что да как. вспомнил!
>
>А выбрал бы и использовал генератор правил -- глядишь, список вспоминаемых правил
>был бы раз в *цать http:/openforum/vsluhforumID1/81413.html#7 (*) короче. Вспоминалку не так
>напрягать пришлось бы. Хотя на вкус, на цвет... Многие продолжают пилить
>iptables/#EXAMPLESCRIPTS, кому-то и "чистый" iptables |) _нравится_.

не знаю, но почему то после ваших слов всякая обвертка для fw стала оссоциироваться с графическим интерфейсом на сервере ;)

хотя на счет вкуса я согласен

но почему то как то вот сложилось, если уж браться за что то до пилить до конца, во всяком случае если это интересно или других вариантов нет ;

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от ra (??) on 15-Июл-09, 12:16 
Новый велосипед? Чем лучше Shorewall или хотя бы ferm?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 13:28 
Увы, новый. Насчёт лучше - не уверен, но есть возможность управлять доступом к конкретным сетевым сервисам, при этом никак не затрагивая доступ к остальным, и уж тем более не перезапуская систему фильтрации целиком (что зачастую чревато обрывом уже установленных соединений).
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

57. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от belkin (ok) on 16-Июл-09, 12:50 
>возможность управлять доступом
>к конкретным сетевым сервисам, при этом никак не затрагивая доступ к
>остальным, и уж тем более не перезапуская систему фильтрации целиком (что
>зачастую чревато обрывом уже установленных соединений).

Системный подход к решению практических задач.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от kukulkan (??) on 15-Июл-09, 12:37 
опять эти велосипеды. есть уже ufw, shorewall и еще вагон с маленькой тележкой этих надстроек. и все из-за убогого синтаксиса и логики построения правил в iptables.
почему то для ipfw и pf таких надстроек не используют - вменяемый синтаксис (особенно у pf) изначально был заложен разработчиками.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от netc email(ok) on 15-Июл-09, 12:51 
>опять эти велосипеды. есть уже ufw, shorewall и еще вагон с маленькой
>тележкой этих надстроек. и все из-за убогого синтаксиса и логики построения
>правил в iptables.
>почему то для ipfw и pf таких надстроек не используют - вменяемый
>синтаксис (особенно у pf) изначально был заложен разработчиками.

АБСОЛЮТНО ТРЕМЯ РУКАМИ ЗА!

Очень правильная мысль у Вас - на счет велосипедов, окружающих настройку iptables.

Почему интересно разработчики об этом не задумываються.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Стабильный релиз"  +/
Сообщение от Andrey Mitrofanov on 15-Июл-09, 13:45 
>опять эти велосипеды.
>почему то для ipfw и pf

Ы? :)) Что-то мне подсказывает, что это не все _ваши_ велосипеды?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 14:05 
>опять эти велосипеды. есть уже ufw, shorewall и еще вагон с маленькой
>тележкой этих надстроек. и все из-за убогого синтаксиса и логики построения
>правил в iptables.

Никто не ругает ассемблер за убогость синтаксиса и логики работы через регистры процессора. Его просто используют те, кому это действительно нужно. Остальные применяют обертки в виде компиляторов и интерпретаторов. Правда среди них тоже мало счастливых и всем довольных... :)

>почему то для ipfw и pf таких надстроек не используют - вменяемый
>синтаксис (особенно у pf) изначально был заложен разработчиками.

Возможно разработчики pf просто имели больший опыт в разработке дружественных интерфейсов. Пускай даже и интерфейсов командной строки... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Аноним email(??) on 15-Июл-09, 12:51 
А чем он от убунтовского ufw отличается, который тоже с похожим на pf синтаксисом? Например:

ufw allow proto tcp from any to any port 22
ufw allow from 192.168.0.0/16
ufw insert 3 deny to any port 22 from 10.0.0.135 proto tcp

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 14:23 
>А чем он от убунтовского ufw отличается, который тоже с похожим на
>pf синтаксисом?

Хотя бы тем, что ufw никто не переносил на Slackware и не планирует делать это для RedHat. Да и не былы ничего слышно про ufw в августе 2003 года. Как, впрочем, и об Ubuntu...

А вообще, я бы на синтаксисе вообще не концентрировал внимание. Упрощённый синтаксис - это скорее побочный продукт, в начале разработки о нем как-то и не задумывались, хватало нескольких функций-макросов. Основными плюсами я считаю сервис-ориентированность, возможность манипуляции доступом к конкретным сервисам независимо от других, без внесения в их работу каких-либо помех, и легкость миграции в другое сетевое окружение. При введении простых стандартов на макросы получаем возможность прозрачного переноса описаний сервисов между хостами в обслуживаемом парке маршрутизаторов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от netc email(??) on 15-Июл-09, 22:09 
>в их работу каких-либо помех, и легкость миграции в другое сетевое
>окружение. При введении простых стандартов на макросы получаем возможность прозрачного переноса
>описаний сервисов между хостами в обслуживаемом парке маршрутизаторов.

Кстати раз уж зашла об этом речь! Осмелюсь у Вас, да в прочем и у всех!

У меня три маршрутизатора на pf и честно сказать я в ужасе. У кого какие методики есть.

Может примеры конфигов, сценариев (iptables)

Интересует как pf так и iptables.

Можете поделиться ? можно на мыло, если ну сами понимаете

спасибо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

45. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Vitalka (ok) on 16-Июл-09, 01:14 
Не совсем понятно что вызывает у вас ужас. В чем суть проблемы?
Может обсуждение проблемы переведем на форум - к этой новости это наверняка отношения не имеет?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от _Vitaly_ (ok) on 15-Июл-09, 15:34 
А как в ufw по простому привязывать правила не к порту, а к интерфейсу хотя бы?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +6 +/
Сообщение от jy on 15-Июл-09, 12:59 
А мне нравится синтаксис iptables и не нуждаюсь во всяких приблудах
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от auk on 15-Июл-09, 13:05 
что-то мне казалось, что синтаксис у pf и ipfw ну сильно различается
по крайней мере идеи заложенные в их ситаксис очень разнятся
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от netc email(ok) on 15-Июл-09, 13:08 
>что-то мне казалось, что синтаксис у pf и ipfw ну сильно различается
>
>по крайней мере идеи заложенные в их ситаксис очень разнятся

не знаю как у ipfw и pf

а вот pf и iptables - точно, идея и реализация FW разные, точнее есть нюансы, которые если их не знать то сделать хороший FW не представляеться возможным.

А вообще я заметил, лично по себе, забываеться что то, что это. Каждый раз приходиться вспоминать а это же pf у него так; а это же iptables здесь нужно так

Это личное впечатление от настройки FW-ов

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +6 +/
Сообщение от Антон (??) on 15-Июл-09, 13:18 
Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко осваиваемый нужно просто включить мозги.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  –1 +/
Сообщение от netc email(ok) on 15-Июл-09, 13:39 
>Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого
>рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко
>осваиваемый нужно просто включить мозги.

лично я не спорю
все понятно, понятный синтаксис, главное гибкий

но у pf это более абстрагировано от реальной организации стека и все что с нм связано
как то более на человека подобном языке а не на машинно
если можно так сказать

согласны?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +2 +/
Сообщение от настоящий_аноним on 15-Июл-09, 14:34 
Если кратко, синтаксис pf можно описать одним словом - негибкий.

Для интерфейса к любой сложной системе простота и удобство противопоставляются.
Чем проще интерфейс - тем он менее удобен.
Чем удобнее - тем больше нужно шевелить мозгами, чтобы понять его. Примеры: vim, emacs, awesome, xmonad. Но зато после определенного движения мысли, эффективность работы значительно возрастает по сравнению с простым интерфейсом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  –1 +/
Сообщение от sanDro (ok) on 15-Июл-09, 16:36 
>Если кратко, синтаксис pf можно описать одним словом - негибкий.

Это у PF-а то синтаксис не гибкий? Вы когда нибудь на OpenBSD маршрутизатор с FW делали? Много-портовый?

>Для интерфейса к любой сложной системе простота и удобство противопоставляются.
>Чем проще интерфейс - тем он менее удобен.

Ваши слова истинная правда, если учесть что синтаксис iptables в N раз проще чем синтаксисPF. :) Ассемблер имеет много достоинств. Но на С писать проще, быстрее и, если программа большая, то и надёжнее. Т.к. синтаксис читабельней чем у ассемблера на несколько порядков.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

39. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от netc email(??) on 15-Июл-09, 22:23 
>Если кратко, синтаксис pf можно описать одним словом - негибкий.
>
>Для интерфейса к любой сложной системе простота и удобство противопоставляются.
>Чем проще интерфейс - тем он менее удобен.
>Чем удобнее - тем больше нужно шевелить мозгами, чтобы понять его. Примеры:
>vim, emacs, awesome, xmonad. Но зато после определенного движения мысли, эффективность
>работы значительно возрастает по сравнению с простым интерфейсом.

много чего в мире не гибкого, при том, что это совсем не характеризует не гибкий "предмет" как не соответствующий требованиям и функциям ему предъявляемым или в него залеженным.

да pf за счет синтаксиса скрывает тонкости реализации, и поэтому может не всегда понятно как он работает, пока не поймешь как же это будет на его языке.

iptables напротив нужно один раз понять, но понять так широко и с такими вытекающими, что написать правило будет гораздо сложнее нежели для pf и будет это гораздо трудоемней.

Вообще у этих двух fw много отличий. Ну вот например tcnm еще одно отличие iptables от pf это порядок правил или цепочек. в pf он строго задан разработчиком, в iptables наоборот ты сам себе хозяин.

с iptables - пока не проколешься не поймещь. с pf - это гораздо менее вероятнее ИМХО.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

41. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Антон (??) on 15-Июл-09, 23:25 
Разве машинный код придумали не люди? Или скайнет захватил мир? :D
Так или иначе каждый выбирает для себя свой, на его взгляд, удобный инструмент.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 13:41 
>Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого
>рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко
>осваиваемый нужно просто включить мозги.

Использую iptables в оригинале с момента его появления. О надстройках задумался когда в количество сопровождаемых маршрутизаторов со схожими задачами, а следовательно и настройками фаервола, перевалило за второй десяток. И практически каждый день приходилось вносить в эти настройки изменения, практически одинаковые для нескольких хостов. И мозгами тут уже не пахло - тупая рутина...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

42. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Антон (??) on 15-Июл-09, 23:27 
>>Пользую iptables в оригинале уже, дай бог памяти, лет пять. О всякого
>>рода надстройках даже не задумывался. Синтаксис команд вполне понятный и легко
>>осваиваемый нужно просто включить мозги.
>
>Использую iptables в оригинале с момента его появления. О надстройках задумался когда
>в количество сопровождаемых маршрутизаторов со схожими задачами, а следовательно и настройками
>фаервола, перевалило за второй десяток. И практически каждый день приходилось вносить
>в эти настройки изменения, практически одинаковые для нескольких хостов. И мозгами
>тут уже не пахло - тупая рутина...

Для тупой рутины есть bash, perl, etc....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

46. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Vitalka (ok) on 16-Июл-09, 01:17 
>>И мозгами тут уже не пахло - тупая рутина...
>
>Для тупой рутины есть bash, perl, etc....

Собственно, с простенького башевского скрипта за несколько лет все это плавно переросло в flex-fw :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от terminus (ok) on 15-Июл-09, 13:50 
зачем обертки? используйте оригинал! луиджи же недавно портировал ipfw на Linux =)
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +2 +/
Сообщение от azure on 15-Июл-09, 14:05 
iptables, (точнее, Netfilter) пожалуй, самое мощное бесплатное средство работы с сетевым стеком. Все эти "упрощалки" на самом деле усложняют(!) работу системы. Достаточно один раз понять, как проходят пакеты через netfilter, освоить правило создания команд, и вуаля! - можно делать все что угодно с пакетами - маркировать для других нужд, журналировать попытки доступа, блокировать злоумышленников с частыми запросами к определенным сервисам и автоматически снимать блокировки через установленные промежутки времени. И всего-то что нужно прочитать - man iptables.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от VitalkaDrug email on 15-Июл-09, 14:40 
>iptables, (точнее, Netfilter) пожалуй, самое мощное бесплатное средство работы с сетевым стеком.

Абсолютно уверен в том-же!

>Все эти "упрощалки" на самом деле усложняют(!) работу системы.

Как это не парадоксально - но это факт! Внесение дополнительной логики в любую систему может ее только усложнить. Я думаю что любыми обертками следует пользоваться только досконально изучив работу самого iptables. И рассматривать их не как средство упрощения синтаксиса, а как средство минимизации затрат времени при решении ряда весьма специфичных задач.

> И всего-то что нужно прочитать - man iptables.

А вот здесь категорически не согласен. Одного мана для понимания работы пакетного фильтра в Linux будет явно не достаточно. Придётся еще почитать документацию и статьи с netfilter.org...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  –1 +/
Сообщение от kem on 15-Июл-09, 15:20 
Упрощалки упрощалкам рознь.
При большом количестве правил все равно приходится писать свой скрипт, то есть собственную упрощалку, так почему бы не использовать уже написанную, поддерживаемую и с понятным синтаксисом.

Использовал firehol http://firehol.sourceforge.net/, действительно удобно писать простые правила и не менее удобно сложные, использовать свои скрипты и т.д.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

43. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Антон (??) on 15-Июл-09, 23:30 

>А вот здесь категорически не согласен. Одного мана для понимания работы пакетного
>фильтра в Linux будет явно не достаточно. Придётся еще почитать документацию
>и статьи с netfilter.org...

Зачем? Ведь уже есть для ленивых и на русском http://www.opennet.dev/docs/RUS/iptables/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Andrew Kornilov email on 15-Июл-09, 14:38 
А etcnet тоже, кстати, имеет встроенную поддержку iptables, ipv6tables и ebtables.
http://www.altlinux.org/Etcnet/firewall
Это если вдруг кто не знал, т.к. штатно он выключен.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от pavlinux (ok) on 15-Июл-09, 16:39 
> allow forward from any to $ipDmzServer in-if $ifWan out-if $ifDMZ proto tcp dport https

iptables -I FORWARD -s 0/0 -d $ipDmzServer -i $ifWan -o $ifDMS -p tcp --destination-port https -j ACCEPT

И где разница, кроме того что синтаксис другой ...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

47. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +1 +/
Сообщение от Vitalka (ok) on 16-Июл-09, 02:18 
>> allow forward from any to $ipDmzServer in-if $ifWan out-if $ifDMZ proto tcp dport https
>
>iptables -I FORWARD -s 0/0 -d $ipDmzServer -i $ifWan -o $ifDMS -p
>tcp --destination-port https -j ACCEPT
>
>И где разница, кроме того что синтаксис другой ...

Я бы не делал акцент на синтаксисе. В данном случае ее действительно практически нет. На страничке проекта альтернативный синтаксис даже не вынесен в "возможности" (features), поскольку это далеко не главное.

Рассмотрите эту строчку в контексте с другими, ведь правил на фаере как правило больше одного. А теперь представте что правил там несколько тысяч. Или десятков тысяч. Желание сгруппировать их, снабдить комментариями, или хотя-бы просто сократить объем анализируемой при просмотре информации возникнет очень быстро. И группировка, скорее всего, будет производиться по влиянию правил на доступность конкретных сетевых приложений. Вот мы уже вплотную подошли к сервис-ориентированности.

Расширим рамки - вы в организации не единственный сисадмин, и у вас далеко не один сервер/маршрутизатор. По мере развития все равно или поздно разрабатывают свои внутренние стандарты, или, если им повезет, следуют ранее принятым - как оформлять комментарии, как группировать правила, какие правила использовать в той или иной ситуации, какие использовать переменные, где инициализировать их значения и т.п. И теперь вы уже не вольный художник с гибким и мощным инструментом, вы заложник стандартов. И что-бы им следовать и не ошибаться, вы сами-же начнете разрабатывать макросы или функции, заменяющие одинаковые последовательности команд одним вызовом и сводящие к минимуму объем набиваемого текста. Вы вплотную подошли к упрощению синтаксиса.

Возмем штатную рабочую ситуацию - необходимо изменить настройки фаервола на маршрутизаторе. В простейшем случае (а именно так поступает большинство) вы находите в своем скрипте с последовательностью команд iptables нужные комменты, добавляете или модифицируете правила, и перезапускаете скрипт. Сброс цепочек, применение полиси, пошли добавляться правила... Через некоторое время пакеты снова забегали. Никто из работающих через маршрутизатор практически ничего и не заметил. Ну, тормознул браузер. Ну, аська переконнектилась. Хотя, если вы ошиблись, и скрипт не отработал сразу без ошибок, времени потребуется немного больше и кое-кто может занервничать... А теперь вспомним что правил много (очень много!), а клиентов, работающих через маршрутизатор, ненамногим меньше. И они очень нетерпеливые. И в случае перебоя со связью на вас обрушивается шквал телефонных звонков, потому что вы еще и служба поддержки к тому-же. Через пару промахов вас вызовет к себе ваш руководитель и вставит чопик. Который ему достанется от его руководителя. И что-бы этого избежать в будущем вы задумаетесь - как быстро и аккуратно вносить точечные изменения в работающий фаер, минимизируя последствия (читай - простой) от допущенной ошибки (а человеческий фактор еще никто не отменял). При достаточно серъезном подходе к должностным обязанностям вы быстро обрастете своими-же "обертками".

Предполагаю, что все создатели каких-либо "оберток" начинали с этого-же. Не от праздного любобытства разрабатывались упомянутые здесь shorewall'ы и ufw'ы. Все от нужды... :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

50. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Alex (??) on 16-Июл-09, 04:07 
Несогласен. Давайте разберемся в схеме построений правил. Бывает статический набор правил, обычно задается самим сисадмином, и динамический - строится по каким то внешним раздражителям, состояниям счета у пользователя, состоянием сервиса и т.д. Как привязать эту схему к динамике - я честно говоря не представляю.
Что же делается в статике - я могу рассказть. Если мне необходимо провести изменения в живом наборе правил - я меняю именно живой набор правил, какие то правила удаляю, какието добавляю, какието меняю. Все правила начинают работать немедленно и я сразу вижу изменения в работе. Только после того как задача выполнена и пакеты побежали по новой схеме я их сохраняю. Фушкционал iptables-save уже давно реализован и только он реализует полную и правильную сохранность правил. Конечно есть вариант что save неиспользуется, а все правила написаны в неком промежуточном файле с последовательным вызовом iptables. В таком случае стоит задуматься о изменении механизма хранения правил, а не о его модернизации.
И еще один момент. Если я как нерадивый сисадмин буду получать он начальства нагоняи за свои ошибки - это обидно. Но если я буду получать тоже самое, но за ошибки которые потенциально содержатся в сторонней программе - так мне и надо. А представим ситуацию когда в этой программе просто нехватит функционала...
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

51. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Vitalka (ok) on 16-Июл-09, 06:13 
>Фушкционал iptables-save уже давно реализован и только
>он реализует полную и правильную сохранность правил. Конечно есть вариант что
>save неиспользуется, а все правила написаны в неком промежуточном файле с
>последовательным вызовом iptables. В таком случае стоит задуматься о изменении механизма
>хранения правил, а не о его модернизации.
>И еще один момент. Если я как нерадивый сисадмин буду получать он
>начальства нагоняи за свои ошибки - это обидно. Но если я
>буду получать тоже самое, но за ошибки которые потенциально содержатся в
>сторонней программе - так мне и надо. А представим ситуацию когда
>в этой программе просто нехватит функционала...

Волков бояться - в лес не ходить :) В принципе, никто не позиционирует никакую "обертку" как замену iptables - любая "обертка" это ведь только надстройка. Кто запретит вам использовать команды iptables напрямую? Я сам, к примеру, часто так и делаю. Те-же сервисы для flex-fw описываю командами iptables. В этом случае flex-fw предоставляет удобные возможности по быстрой блокировке/разрешению трафика минимизируя ручные манипуляции, и как следствие - вероятность ошибки. Достаточно запустить или остановить сервис flex-fw одной командой. И она будет одинаковой для всех, обслуживаемых у вас, маршрутизаторов.
Может это для вас и незначительно, но для меня было весьма критично - администрированием занималось несколько специалистов, каждый со своими "замутами", стилем работы и опытом...

Я думаю что продолжать в том-же духе можно долго, и у каждого будут свои аргументы, опирающиеся на его личный опыт. Но, увы, это чужой опыт. Пока сам не почувствуешь необходимость изменений - они тебе не нужны :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от pavlinux (ok) on 15-Июл-09, 16:55 
Вот такая нужна!!!

http://i15.tinypic.com/4kemw0k.jpg


Только не куча г..на, на PHP/Pyton/Apache/MySQL/RRDtools/iptables

2 ядрённых модуля - для слежения и управления.
1 библиотека для парсинга ввода/вывода и GUI
1 демон для сервера, логирования, статистики.
1 API для плугинов.
Туева хуча плугинов... (напр. для запуска USB-кофемолки при обнаружении спец пакета) :)


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

44. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от demon (??) on 16-Июл-09, 01:04 
А вы конфиг, который это чудо делает, пытались прочитать, и главное, понять?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

48. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от pavlinux (ok) on 16-Июл-09, 03:03 
>А вы конфиг, который это чудо делает, пытались прочитать, и главное, понять?
>

У Сисок, два понятия управлением фраерволом - через ГУЙ и КЛИ,
90% населения серверных хватает ГУЯ, и лишь 10% ШайтанБубен-IOSАдмины.


Кстати, от конфига фаервола на иптаблес, народ тоже в обморок падал...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

54. "Стабильный павлин проекта гибкой над лексус..."  +/
Сообщение от Andrey Mitrofanov on 16-Июл-09, 10:03 
>Кстати, от конфига фаервола на иптаблес, народ тоже в обморок падал...

Та самая "блондинка на лексусе" из #36? Бе-есчеловечный!! Ж)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

55. "Стабильный павлин проекта гибкой над лексус..."  +/
Сообщение от pavlinux (ok) on 16-Июл-09, 10:55 
>>Кстати, от конфига фаервола на иптаблес, народ тоже в обморок падал...
>
>Та самая "блондинка на лексусе" из #36? Бе-есчеловечный!! Ж)

А так же:
аппроксимация и экстраполяция- это какие-то виды эпиляции...
интерференция и дифракция - это что-то политическое
Впадают в глубокий экстаз от Дифференциальное уравнение высшего порядка...  а-а-а-а


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

61. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Станислав email on 19-Июл-09, 00:53 
Значит этих 90% админов нельзя подпускать к Сискам, ибо в руках таких админов очень надежные железки превращаются в дыры.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

49. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Alex (??) on 16-Июл-09, 03:52 
Честно говоря совершенно не понял цели данной надстройки. Правила построения файервола - это очень сисадминская задача, требующего понимания и щепетильности. Всяческое упрощение приведет к появлению недосмотров и в итоге дырок. И опять же человек, ВРИО сисадмина, который не проверил фаерволл!!! зря получает зарплату.
А теперь по самой программе. Вся сила и прелесть iptables именно в его цепочках и таблицах. Т.е. если человеку надо создать собственную цепочку - то надо очень плотно поработать с этой программой, не лучше ли это время потратить на изучение самого iptables? Второй момент: дополнительные модули. Их много и с самым разным функционалом и опциями, боюсь что в полном объеме поддержку всех модулей реализовать просто нереально. Значит останутся места где надо будет доделывать функционал фаервола руками, а это опять же дыра в защите.
Я лично видел негатиный результат от использования некоторыми сисадминами надстройки shorewall, народ просто сидел на упрощенной схеме и даже не пытался разобраться. Я так считаю если общее количество правил не прывашает 50-100 строк - то все они легко читаются и настраиваюстя штатными средствами. А если количество правил больше, и чем больше тем это актуальней - то ручная правка и тщательная проверка крайне необходима.
ИМХО: людям которые мне показали эту ссылку я нерекомендую использовать данную прогу. Обычные проблемы у новичков - набор правил для предотвращения атак с внешнего интерфейса, есть масса примеров с готовыми правилами описывающую данную ситуацию. А у специалистов - я думаю вывод будет простой.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

52. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от Vitalka (ok) on 16-Июл-09, 06:20 
>Обычные проблемы у новичков - набор правил для предотвращения атак с
>внешнего интерфейса, есть масса примеров с готовыми правилами описывающую данную ситуацию.
>А у специалистов - я думаю вывод будет простой.

Да как бы и не на новичков все это ориентировано... Назвать себя новичком язык не поворачивается. Лично мне в работе подобный инструмент помогает. Если он поможет еще хотя бы одному человеку кроме меня - значит проект опубликован не зря :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

53. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от zsh (ok) on 16-Июл-09, 07:26 
Думаю, что способ заставить людей изучить что-либо, отняв у них более простые способы, работать не будет. Разумеется "глубины" можно изучить самостоятельно, ощутив недостаток функционала/гибкости, но некоторым и существующего будет в достатке.
Проект скорее "for fun", но как и все остальное, имеет право на существование.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

58. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от belkin (ok) on 16-Июл-09, 13:15 
>Честно говоря совершенно не понял цели данной надстройки.

Цель - управлять на уровне сервисов а не пакетов. Типичная задача автоматизации управления сетью.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

59. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от bondbig (ok) on 16-Июл-09, 21:06 
Вот вы тут рассуждаете - десятки-сотни файерволов, команда админов, тысячи клиентов вроде как вынудили написать "обёртку", но я не понимаю, почему в подобного масштаба организации не используются решения уровня Enterprise, например тот же CheckPoint? Эти ребята изобрели stateful FW, и делают замечательные файерволы, экономя время и нервы (а в итоге и деньги) подразделениям поддержки сетевой инфраструктуры. Для сетей попроще отлично работают файерволы Cisco, например. К чему все эти красноглазые велосипеды и программисткий зуд? Я понимаю в конторках на 100-300 человек с парой филиалов, но в крупных компаниях допускать самоделки? Ну напишет человек мега-тулзу, всем хорошо и бесплатно, потом он уволился, и понемногу начнутся проблемы - там не так сработало, тут не хватило функционала для такой-то задачки и т.п. Я уже молчу о жизненном цикле ПО, если автор забьет на разработку через годок, а контора уже вляпалась по самое небалуйся... Страшно, товарищи!
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

60. "Стабильный релиз проекта flex-fw - гибкой надстройки над ipt..."  +/
Сообщение от zsh (ok) on 17-Июл-09, 00:52 
Вы наверно прямиком с cisco.com к нам заглянули? =) "тыщи" маршрутизаторов на базе pc, как правило у интернет-провайдеров вторичного рынка небольших городов, пиксы, чекпоинты и асы, им не подходят, да и по цене они "не свезут". Может быть и есть компании подобного профиля куда без ITIL не берут, но они явно все внутри МКАД. ))
Фраза "К чему все эти красноглазые велосипеды и программисткий зуд?", может быть смело опубликована в обсуждении чуть не каждой новости этого ресурса.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру