Path: csiph.com!eternal-september.org!feeder.eternal-september.org!reader02.eternal-september.org!.POSTED!not-for-mail From: Elias Newsgroups: sfnet.atk.turvallisuus Subject: =?UTF-8?Q?Re:_Iptablesin_hallintasoftat_sek=c3=a4_muita_mietteit?= =?UTF-8?B?w6Q=?= Date: Thu, 14 Dec 2017 15:41:11 +0200 Organization: A noiseless patient Spider Lines: 40 Message-ID: <795578a2-e675-9e09-bf99-2dbb38f728c8@gmail.com> References: Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit Injection-Info: reader02.eternal-september.org; posting-host="5f2f5c7a5afefd15d5d4f83ba356158d"; logging-data="13260"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX19w2gyrw2oZ0LQZdE7hkG/OgBkf6LmT1qw=" User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Thunderbird/52.5.0 In-Reply-To: Cancel-Lock: sha1:qrHSNSLf8ec6cQMM/9ah29RhLPc= Xref: csiph.com sfnet.atk.turvallisuus:9 Pertti Kosunen kirjoitti 13.12.2017 klo 19:46: > On 12/13/2017 11:43 AM, Elias wrote: >> Terve >> Tässä olisi tarkoituksena vaihtaa pfSense ihan puhtaaseen debian  tai >> openbsd reitittimeen ja mietinkin mikä olisi hyvä komentorivi työkalu >> iptablesin hallintaan. Mitä kokemuksia teillä on esim shorewallista. >> shorewall.org >> Tai fireholesta >> https://firehol.org > > Firehol on melko helppo omaksua ja valmiita ohjeita löytyy, syntaksi on > lyhyt ja selkeä. Itse laittaisin "palomuuriin" vaikka systemd vapaan > Devuanin enkä Debiania. > >> Tietenkin iptablesia voisi hallita ihan käsin mutta hieman haastavaa >> se on iptablesin syntaksi suhtkoht vaikea. Miettinyt myös openbsd:tä >> ja sen pf palmuuria mutta enpä tiedä. Kuullut että iptablesissa on >> enemmän moduuleja ja ominaisuuksia mitä säätää. Mitä siis käytätte >> iptablesin hallintaan. Mietteitä myös openbsd palomuurista otetaan >> vastaan. > > En usko, että ominaisuuksien puute tulee vastaan, FreeBSD-pohjainen > pfSensekin käyttää tuota OpenBSD:n packet filteriä. Syntaksi on IMO > paljon mukavampi kuin iptables raakana. > > Ei noita tosin jaksa enää manuaalisesti säätää, viime vuosina on ollut > käytössä OpenWRT-yhteensopivia purkkeja jotka ovat hoitaneet myös > langattomat yhteydet. Tuo Devuan oli meikäläiselle uusi tuttavuus mites muutenn eroaa debianista kuin niin ettei käytä systemd:tä. Firehole voisi olla muuten hyvä vaihtoehto mutta käsittääkseni siinä ei pysty erikseen sallimaan sisään ja ulospäin menevää liikennettä. Vaan jos sallit esim https:n niin https on sallittu sekä sisään että ulospäin. En ole siis varma asiasta. Kaverilta kuulin myös että iptablesilla on paha tapa hidastua jos sääntöjä on paljon mitä openbsd:n tai freebsd:n pf ei tee. Onko asia näin. Kuulin lisäksi hallintaliittymästä iptablesille nimeltä fiaif. Vaikuttaa mielenkiintoiselta https://www.fiaif.net