Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Iptablesin hallintasoftat sekä muita mietteitä
2 views
Skip to first unread message
Elias
Dec 13, 2017, 4:44:15 AM12/13/17
to
Terve
Tässä olisi tarkoituksena vaihtaa pfSense ihan puhtaaseen debian tai
openbsd reitittimeen ja mietinkin mikä olisi hyvä komentorivi työkalu
iptablesin hallintaan. Mitä kokemuksia teillä on esim shorewallista.
shorewall.org
Tai fireholesta
https://firehol.org
Tietenkin iptablesia voisi hallita ihan käsin mutta hieman haastavaa se
on iptablesin syntaksi suhtkoht vaikea. Miettinyt myös openbsd:tä ja sen
pf palmuuria mutta enpä tiedä. Kuullut että iptablesissa on enemmän
moduuleja ja ominaisuuksia mitä säätää. Mitä siis käytätte iptablesin
hallintaan. Mietteitä myös openbsd palomuurista otetaan vastaan.
Tässä olisi tarkoituksena vaihtaa pfSense ihan puhtaaseen debian tai
openbsd reitittimeen ja mietinkin mikä olisi hyvä komentorivi työkalu
iptablesin hallintaan. Mitä kokemuksia teillä on esim shorewallista.
shorewall.org
Tai fireholesta
https://firehol.org
Tietenkin iptablesia voisi hallita ihan käsin mutta hieman haastavaa se
on iptablesin syntaksi suhtkoht vaikea. Miettinyt myös openbsd:tä ja sen
pf palmuuria mutta enpä tiedä. Kuullut että iptablesissa on enemmän
moduuleja ja ominaisuuksia mitä säätää. Mitä siis käytätte iptablesin
hallintaan. Mietteitä myös openbsd palomuurista otetaan vastaan.
Pertti Kosunen
Dec 13, 2017, 12:46:55 PM12/13/17
to
On 12/13/2017 11:43 AM, Elias wrote:
> Terve
> Tässä olisi tarkoituksena vaihtaa pfSense ihan puhtaaseen debian tai
> openbsd reitittimeen ja mietinkin mikä olisi hyvä komentorivi työkalu
> iptablesin hallintaan. Mitä kokemuksia teillä on esim shorewallista.
> shorewall.org
> Tai fireholesta
> https://firehol.org
Firehol on melko helppo omaksua ja valmiita ohjeita löytyy, syntaksi on
> Terve
> Tässä olisi tarkoituksena vaihtaa pfSense ihan puhtaaseen debian tai
> openbsd reitittimeen ja mietinkin mikä olisi hyvä komentorivi työkalu
> iptablesin hallintaan. Mitä kokemuksia teillä on esim shorewallista.
> shorewall.org
> Tai fireholesta
> https://firehol.org
lyhyt ja selkeä. Itse laittaisin "palomuuriin" vaikka systemd vapaan
Devuanin enkä Debiania.
> Tietenkin iptablesia voisi hallita ihan käsin mutta hieman haastavaa se
> on iptablesin syntaksi suhtkoht vaikea. Miettinyt myös openbsd:tä ja sen
> pf palmuuria mutta enpä tiedä. Kuullut että iptablesissa on enemmän
> moduuleja ja ominaisuuksia mitä säätää. Mitä siis käytätte iptablesin
> hallintaan. Mietteitä myös openbsd palomuurista otetaan vastaan.
pfSensekin käyttää tuota OpenBSD:n packet filteriä. Syntaksi on IMO
paljon mukavampi kuin iptables raakana.
Ei noita tosin jaksa enää manuaalisesti säätää, viime vuosina on ollut
käytössä OpenWRT-yhteensopivia purkkeja jotka ovat hoitaneet myös
langattomat yhteydet.
Mikko Saukkoriipi
Dec 14, 2017, 3:00:36 AM12/14/17
to
On 13/12/17 19:46, Pertti Kosunen wrote:
>
> Firehol on melko helppo omaksua ja valmiita ohjeita löytyy, syntaksi on
> lyhyt ja selkeä. Itse laittaisin "palomuuriin" vaikka systemd vapaan
> Devuanin enkä Debiania.
>
Minä en olisi valmis käyttämään Devuania noin kriittisessä käytössä
>
> Firehol on melko helppo omaksua ja valmiita ohjeita löytyy, syntaksi on
> lyhyt ja selkeä. Itse laittaisin "palomuuriin" vaikka systemd vapaan
> Devuanin enkä Debiania.
>
ennen kuin he ovat todistaneet että heiltä löytyy resursseja sen
ylläpitoon pidemmällä aikavälillä. Tietoturvapäivityksissä ei ole paljon
suurempi viive kuin debianissa, jne.
Pertti Kosunen
Dec 14, 2017, 4:26:39 AM12/14/17
to
On 12/14/2017 10:00 AM, Mikko Saukkoriipi wrote:
> Minä en olisi valmis käyttämään Devuania noin kriittisessä käytössä
> ennen kuin he ovat todistaneet että heiltä löytyy resursseja sen
> ylläpitoon pidemmällä aikavälillä. Tietoturvapäivityksissä ei ole paljon
> suurempi viive kuin debianissa, jne.
https://www.ungleich.ch/en-us/datacenterlight/whydatacenterlight
> Minä en olisi valmis käyttämään Devuania noin kriittisessä käytössä
> ennen kuin he ovat todistaneet että heiltä löytyy resursseja sen
> ylläpitoon pidemmällä aikavälillä. Tietoturvapäivityksissä ei ole paljon
> suurempi viive kuin debianissa, jne.
https://devuan.org/os/partners/devuan-distros
Se kelpaa jo tuotantokäyttöön ja monet muut jakelut käyttävät jo sitä
pohjana joten en olisi huolissani. Systemd sen sijaan on tietoturva-hazardi.
Elias
Dec 14, 2017, 8:42:00 AM12/14/17
to
debianista kuin niin ettei käytä systemd:tä. Firehole voisi olla muuten
hyvä vaihtoehto mutta käsittääkseni siinä ei pysty erikseen sallimaan
sisään ja ulospäin menevää liikennettä. Vaan jos sallit esim https:n
niin https on sallittu sekä sisään että ulospäin. En ole siis varma
asiasta. Kaverilta kuulin myös että iptablesilla on paha tapa hidastua
jos sääntöjä on paljon mitä openbsd:n tai freebsd:n pf ei tee. Onko asia
näin.
Kuulin lisäksi hallintaliittymästä iptablesille nimeltä fiaif. Vaikuttaa
mielenkiintoiselta
https://www.fiaif.net
Tapio Väättänen
Dec 14, 2017, 12:41:41 PM12/14/17
to
itselleni täysin tuntematottomia. En jotenkin jaksa uskoa, että
valtavirrasta poikkeava ratkaisu pidemmänpäälle saisi enempää suosiota ilman
jotain merkittävää nimekästä kumppania.
Canonical yritti pitkään marssia vastavirtaan ainoastaan palatakseen
Gnomeen.
Ainakaan ylläpidollisesti itse en kaipaa pois systemd:stä. Kyllähän ne
hommat vanhallakin tavalla toimii, mutta minusta systemd on parannus
vanhaan. Ylläpidollisesti. En ole tietoinen mistään
tietoturvavaikuuksista.
--
sip:t...@tav.iki.fi http://tav.iki.fi
Vähän viiniä ja ruokaa ei vie meitä konkurssiin -- J.R. Ewing
Pertti Kosunen
Dec 14, 2017, 12:46:21 PM12/14/17
to
On 12/14/2017 3:41 PM, Elias wrote:
> Tuo Devuan oli meikäläiselle uusi tuttavuus mites muutenn eroaa
> debianista kuin niin ettei käytä systemd:tä. Firehole voisi olla muuten
> hyvä vaihtoehto mutta käsittääkseni siinä ei pysty erikseen sallimaan
> sisään ja ulospäin menevää liikennettä. Vaan jos sallit esim https:n
> niin https on sallittu sekä sisään että ulospäin. En ole siis varma
> asiasta. Kaverilta kuulin myös että iptablesilla on paha tapa hidastua
> jos sääntöjä on paljon mitä openbsd:n tai freebsd:n pf ei tee. Onko asia
> näin.
https://firehol.org/firehol-manual.html#firehol-params5
> Tuo Devuan oli meikäläiselle uusi tuttavuus mites muutenn eroaa
> debianista kuin niin ettei käytä systemd:tä. Firehole voisi olla muuten
> hyvä vaihtoehto mutta käsittääkseni siinä ei pysty erikseen sallimaan
> sisään ja ulospäin menevää liikennettä. Vaan jos sallit esim https:n
> niin https on sallittu sekä sisään että ulospäin. En ole siis varma
> asiasta. Kaverilta kuulin myös että iptablesilla on paha tapa hidastua
> jos sääntöjä on paljon mitä openbsd:n tai freebsd:n pf ei tee. Onko asia
> näin.
Liikenteen suunnat pystyy määrittämään Fireholin kanssa.
Iptables sääntöjen määrällä voi olla vaikutusta tietyissä tapauksissa,
jos sääntöjä on tuhansia tai enemmän. Tuolloinkin pitäisi pystyä
virittämään suorituskyky siedettävälle tasolle sysctl tms. asetuksia
säätämällä.
(FreeBSD ei toiminut viimeeksi testatessani vakiona ongelmitta isomman
kuormituksen alla, liekö tilapäinen ongelma clang siirtymisen jälkeen
vai joku muu vika, mutta en jaksanut ihmetellä asiaa paria päivää
pidempään vaan vaihdoin linuxin tilalle.)
Pertti Kosunen
Dec 14, 2017, 12:51:54 PM12/14/17
to
On 12/14/2017 7:41 PM, Tapio Väättänen wrote:
> Onko näihin tietoturvahazardeihin jotain viitteitä? Devuanin kumppanit oli
> itselleni täysin tuntematottomia. En jotenkin jaksa uskoa, että
> valtavirrasta poikkeava ratkaisu pidemmänpäälle saisi enempää suosiota ilman
> jotain merkittävää nimekästä kumppania.
https://www.theregister.co.uk/2017/07/28/black_hat_pwnie_awards/
> Onko näihin tietoturvahazardeihin jotain viitteitä? Devuanin kumppanit oli
> itselleni täysin tuntematottomia. En jotenkin jaksa uskoa, että
> valtavirrasta poikkeava ratkaisu pidemmänpäälle saisi enempää suosiota ilman
> jotain merkittävää nimekästä kumppania.
http://without-systemd.org/wiki/index.php/Arguments_against_systemd
Kehittäjät eivät ymmärrä tietoturvasta(kaan) edes alkeita.
Tapio Väättänen
Dec 14, 2017, 3:53:00 PM12/14/17
to
On 2017-12-14, Pertti Kosunen <pertti....@pp.nic.fi> wrote:
Mä vähän luulen, että kun kaikki paukut kuitenkin pistetään systemd:hen,
lopulta joku muu lagaa enemmän.
Kyllä vanha init.d alkaa olla menneeän talven lumia.
Mä en tiedä mikä siinä init.d:ssä on hyvää. Se siis oikeasti käynnistää
sarjassa palveluja, jotka voisi myös käynnistää rinnan. Minuasta se on ihan
jo perustavaa laatua oleva suunniteluvirhe. Miksi ihmeessä niin täytyy
käynnistää sarjassa?
Kaikki minun omat henk. koht. systeemit on init.d-pohjaisia. Duunissa on
molempia.
Kaikkein vähiten lähtisin kuitenkin taistelemaan valtavirtaa vastaan, joka
on systemd.
"By the way, I was being sarcastic" -- Homer J. Simpson
Tapio Väättänen
Dec 14, 2017, 4:10:02 PM12/14/17
to
On 2017-12-14, Pertti Kosunen <pertti....@pp.nic.fi> wrote:
kehittäjät on tasan samoja kehittäjiä kuin Linuxin ylipäänsäkin. Jos ne ei
tajua tietoturvasta tai muustakaan yhtään mitään, ei Linuxin tietoturvaa
paranna oleellisesti mikään muukaan init-systeemi.
Ja BSD-initille... oikeasti?
MacOS ja AIX? Kenellekään ei ole selvää mitä siellä tapahtuu. OpenBSD:ssä
homma ei todellakaan ole elegantti, ja kahteen edelliseen en osaa
kommentoida, koska en tajua yhtään mitä siellä tapahtuu.
Mä olen AIX, MacOS ja OpenBSD fanboy, ja silti se on minusta karmea, se
niiden init vs. init.d ja systemd.
Follarit voi pistää s.a.sotiin, jos haluaa.
Itse en nyt kuitenkaan laittanut.
"Ei me nyt tietenkään niin paljon saada kuin jotkut poikabändit."
-- Timo Kotipelto IS:ssa 11.9.2015
Pertti Kosunen
Dec 15, 2017, 5:56:10 AM12/15/17
to
On 12/14/2017 10:52 PM, Tapio Väättänen wrote:
> Eli Red Hat ei ymmärrä tietoturvasta mitään?
Pöttering ja kumppanit. Esim. virhe "init-skriptin" käyttäjänimessä ei
> Eli Red Hat ei ymmärrä tietoturvasta mitään?
estä palvelun käynnistämistä vaan se ajetaan roottina. Lisäksi
bugiraportti ohitettiin WONTFIXillä, koska mestari ei voi olla väärässä.
Vastaavia ja pahempia ongelmia on kaikkialla, mm. tietoturvaa ei ole
usein mietitty lainkaan.
> Kyllä vanha init.d alkaa olla menneeän talven lumia.
megalomaanisella p****läjällä. Jos mikään olemassa olevista korvaajista
ei ollut kehityskelpoinen, niin uuden suunnitteluun olisi voinut käyttää
aikaa ja järkeä, esim. modulaarinen rakenne olisi ollut monelta kannalta
parempi.
> Kaikkein vähiten lähtisin kuitenkin taistelemaan valtavirtaa vastaan, joka
> on systemd.
eteen vasta CentOS 6 tuen päättymisen lähestyessä, vielä on kolme vuotta
aikaa.
Tapio Väättänen
Dec 16, 2017, 11:40:35 AM12/16/17
to
On 2017-12-15, Pertti Kosunen <pertti....@pp.nic.fi> wrote:
> On 12/14/2017 10:52 PM, Tapio Väättänen wrote:
>> Eli Red Hat ei ymmärrä tietoturvasta mitään?
>
> Pöttering ja kumppanit. Esim. virhe "init-skriptin" käyttäjänimessä ei
> estä palvelun käynnistämistä vaan se ajetaan roottina. Lisäksi
> bugiraportti ohitettiin WONTFIXillä, koska mestari ei voi olla väärässä.
> Vastaavia ja pahempia ongelmia on kaikkialla, mm. tietoturvaa ei ole
> usein mietitty lainkaan.
En oikein osaa otta kantaa, koska kyseessä ei kuitenkaan ole maailman
> On 12/14/2017 10:52 PM, Tapio Väättänen wrote:
>> Eli Red Hat ei ymmärrä tietoturvasta mitään?
>
> Pöttering ja kumppanit. Esim. virhe "init-skriptin" käyttäjänimessä ei
> estä palvelun käynnistämistä vaan se ajetaan roottina. Lisäksi
> bugiraportti ohitettiin WONTFIXillä, koska mestari ei voi olla väärässä.
> Vastaavia ja pahempia ongelmia on kaikkialla, mm. tietoturvaa ei ole
> usein mietitty lainkaan.
ensimmäinen tietoturva-aukko. Luotan silti Red Hatiin ja muihin toimijoihin,
jotka ovat systemd:n valinneet, ja näyttävät siinä edelleen pysyvän.
>> Kyllä vanha init.d alkaa olla menneeän talven lumia.
>
> Vaihtoehtoja on muitakin kuin korvata vanha kevyt ja toimiva ratkaisu
> megalomaanisella p****läjällä. Jos mikään olemassa olevista korvaajista
> ei ollut kehityskelpoinen, niin uuden suunnitteluun olisi voinut käyttää
> aikaa ja järkeä, esim. modulaarinen rakenne olisi ollut monelta kannalta
> parempi.
kyllä on.
>> Kaikkein vähiten lähtisin kuitenkin taistelemaan valtavirtaa vastaan, joka
>> on systemd.
>
> Monet isot organisaatiot jatkavat vielä vanhalla ja joutuvat valinnan
> eteen vasta CentOS 6 tuen päättymisen lähestyessä, vielä on kolme vuotta
> aikaa.
aika vapaamatkustajan elämää. Minusta jos käyttiksellä tekee rahaa, voi sen
käyttämisestä myös maksaa kehittäjälle.
Amazonin Linux AMI pohjautuu CentOS 6:een. En tiedä kuinka suosittu se on
yrityskäytössä. Itse käytän kyllä, ja heti ekana harmitti palata init.d:hen.
The Internet is *full* - go away! -- Gert Doering
Pertti Kosunen
Dec 16, 2017, 1:18:40 PM12/16/17
to
On 12/16/2017 6:40 PM, Tapio Väättänen wrote:
> Aika harva iso organisaatio käyttää CentOS:ää. Hyvä niin, koska onhan se
> aika vapaamatkustajan elämää. Minusta jos käyttiksellä tekee rahaa, voi sen
> käyttämisestä myös maksaa kehittäjälle.
>
> Amazonin Linux AMI pohjautuu CentOS 6:een. En tiedä kuinka suosittu se on
> yrityskäytössä. Itse käytän kyllä, ja heti ekana harmitti palata init.d:hen.
Sama koskee tietenkin myös isäntäversiota, paitsi kaupalliseen RHEL
> Aika harva iso organisaatio käyttää CentOS:ää. Hyvä niin, koska onhan se
> aika vapaamatkustajan elämää. Minusta jos käyttiksellä tekee rahaa, voi sen
> käyttämisestä myös maksaa kehittäjälle.
>
> Amazonin Linux AMI pohjautuu CentOS 6:een. En tiedä kuinka suosittu se on
> yrityskäytössä. Itse käytän kyllä, ja heti ekana harmitti palata init.d:hen.
kutoseen saa näköjään vielä ilmaisversioon verrattuna lähes 4 vuotta
lisää tukea Extended Life Cycle Support pakettien kanssa.
Tapio Väättänen
Dec 16, 2017, 2:17:05 PM12/16/17
to
on ollut mahdollista.
Tukeahan kyllä riittää. RHEL5:kin on edelleen tuettu ja monessa paikassa
edelleen käytössä. Se taas ei kerro mitään uudempien versioiden suosiosta.
"Writing a new OS only for the 386 in 1991 gets you your second 'F' for
this term." -- Prof. Andrew S. Tanenbaum
0 new messages