Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2014-05-05 10:08:22

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

[Dyskusja] PF vs IPtables i co z NFTables ?

Witam,

Caly czas gryzie mnie dylemat rozwiazan routerowo/firewallowych. Probuje znalezc na necie jakies informacje, porwnania tych powiedzmy firewall'i. Niestety nic ciekawego nie znalazlem. Na codzien korzystam z PF, dziala wysmienicie, bardzo szybko, lecz brakuje mi tej hmm szczegolowosci co w iptables. Stad moje pytania. Czy skutecznosc w zwalczaniu i mozliwosc konfiguracji w PF jest taka sama jak w IPtables ? Jak wyglada sprawa z radzeniem sobie podczas ddos'ow, spoofingu, roznych innych technik falszowania pakietow i tym podobne. Nie zapytam co jest lepsze bo nigdy nie dojdziemy do konsensusu (co jest oczywiste).

Czy ktos sie interesowal nftables ? Jak wyglada sprawa z przyszloscia, czytalem tu na forum, ze ponoc ma powstac jakis translator z iptables na nftables, cos ktos wie ?

Za kazda dyskusje bede wdzieczny,

Z gory dziekuje,
Pozdrawiam,

Ostatnio edytowany przez bryn1u (2014-05-05 11:19:09)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#2  2014-05-05 11:13:42

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

To pewnie widziałeś:
http://en.wikipedia.org/wiki/Nftables‎
https://wiki.archlinux.org/index.php/Nftables


Ma zastąpić Iptables, wynika to ze zmiany konstrukcyjnej, netfilter ma teraz działać nie bezpośrednio  w przestrzeni kernela, ale jako maszyna wirtualna, co ma poprawić bezpieczeństwo.
Kiedy będzie gotowy? kiedy wszystkie istotne funkcje z iptables, arptables, ebtables zostaną zaimplementowane w nowym interfejsie.
Ale to pewnie nastąpi nieprędko.

Jest trochę wzorowany na PF, także dla Ciebie będzie chyba łatwiejszy.


Iptables vs PF?
PF integruje w sobie firewalla, kontrolę pasma, nat i pasywną identyfikację systemu operacyjnego.

W netfilterze iproute zarządza routingiem i pasmem, iptables firewallem, a cześć funkcji i tak jest dostępna przez sysctl, lub /proc/*.

Pod tym względem PF jest prostszy w obsłudze.
Skuteczność jest praktycznie jednakowa, w typowych zastosowaniach, przy czym konfiguracja jest totalnie inna, nawet nie jest za bardzo podobna.

Ostatnio edytowany przez Jacekalex (2014-05-05 11:21:06)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#3  2014-05-05 12:27:40

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Ja w środowiskach produkcyjnych używam OpenBSD z PF i działa bardzo dobrze. Po wczytaniu się w manual, ma naprawdę sporo możliwości.

Offline

 

#4  2014-05-05 12:33:10

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

jurgensen napisał(-a):

Ja w środowiskach produkcyjnych używam OpenBSD z PF i działa bardzo dobrze. Po wczytaniu się w manual, ma naprawdę sporo możliwości.

A cos w rodzaju timestart i timestop w iptables ? W sensie blokowanie torrentow w godzinach np od timestart 17:00 do timestop 20:00 ? Jest taka mozliwosc ?

Pozdrawiam,


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#5  2014-05-05 13:07:07

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Bezpośrednio w PF nie ma takiej możliwości, ale robię to inaczej. Tworzę tablicę, która domyślnie jest pusta. Następnie do crona dodaję zadanie, które przez pfctl zapełnia tablicę lub oczyszcza ją w określonych godzinach.

Offline

 

#6  2014-05-05 13:14:59

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

bryn1u napisał(-a):

jurgensen napisał(-a):

Ja w środowiskach produkcyjnych używam OpenBSD z PF i działa bardzo dobrze. Po wczytaniu się w manual, ma naprawdę sporo możliwości.

A cos w rodzaju timestart i timestop w iptables ? W sensie blokowanie torrentow w godzinach np od timestart 17:00 do timestop 20:00 ? Jest taka mozliwosc ?

Pozdrawiam,

W nftables jeszcze nie wiem, ale jakbyś kiedyś zajrzał do mana iptables, to zobaczysz taki  fragment dotyczący modułu time.
Skrócona pomoc pojawi się tak na konsoli po wpisaniu:

Kod:

iptables -m time --help

Tu masz dokumentację po polsku:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter
Jeśli w tych swoich ebookach ze stopki nie znalazłeś, to może się przydać. ;)

Pozdro
;-)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2014-05-05 13:38:17

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

@Jacekalex

Dokladnie chodzilo mi o ten przyklad:

Kod:

iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP

@jurgensen
tak wlasnie myslalem, ze jest to zrobione, za pomoca cron. Jeszcze takie pytanie do Ciebie czy uzywasz jakis odpowiednik typu psad, snort do detekcji, albo czy moze znasz, polecasz jakis pod pf'a.

Ostatnio edytowany przez bryn1u (2014-05-05 13:39:41)


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#8  2014-05-05 15:09:14

  jurgensen - Użytkownik

jurgensen
Użytkownik
Skąd: Wrocław
Zarejestrowany: 2010-01-26

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Osobiście nie używam, ale z tego, co się orientuję, snorta można całkiem ładnie zintegrować z PF. Sam snort może słuchać na interfejsie pflog. Natomiast wybrany ruch ze snorta może być blokowany przy użyciu tablic/kotwic (jest np. skrypt snort2pf).

Offline

 

#9  2014-05-05 15:17:52

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Psad to jest proteza z czasów chyba Ipchains, podobnie jak Portsentry.
O wiele lepsze i stabilniejsze rezultaty osiągniesz w samym iptables modułami CONNLIMIT, hashlimit i recent, PF też ma możliwości podobnego limitowania połączeń, podobnie jak serwery np Lighttpd, Nginx czy Apache.

Snort ma teoretycznie bardzo fajne reguły, ale te najnowsze są płatne.
Może np wykrywać przy serwerze SSH zbyt dużą porcję nieszyfrowanych danych przesłanych przy inicjowaniu połączenia, ale jakoś nie ma podobnej opcji dla protokołu SSL, i między innymi dlatego najważniejsza dziura w Openssl  -  tls-heartbeat spokojnie sobie wisiała przez dwa lata, przez nikogo nie odkryta, choć w Snorcie są mechanizmy, pozwalające teoretycznie na wykrywanie podobnych anomalii.

Dlatego Snorta nie brałbym do zabezpieczania usług internetowych,
bo tu się w ogóle nie nadaje, daje tylko iluzję zabezpieczenia i tony fałszywych alarmów, natomiast nieźle się sprawdza przy wykrywaniu nietypowej i  podejrzanej aktywności w sieci LAN, odgrodzonej od internetu firewallem.

Z modułem ipp2p bym nie przesadzał, jego skuteczność przy większości protokołów jest raczej mierna, przy szyfrowanym torrencie w ogóle nie występuje.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#10  2014-05-06 07:21:16

  bryn1u - Użytkownik

bryn1u
Użytkownik
Zarejestrowany: 2009-04-17

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Czy jest moze jakas tabelka/porownanie jakie zmiany zaszly. Co nie przeczytam w internecie to wszystko opiera sie na starym np: state jak @jaceklex wspomnial w poprzednim moim temacie lub moduly, ktore zostaly zastapione innymi. A stare dokumentacje opisuja stare rozwiazania :(


E-Booki: FreeBSD, OpenBSD, Linux, Hacking, PHP, Catia, Perl_CGI, Mysql ...
http://unix-ebooki.neth.pl/

Offline

 

#11  2014-05-06 11:26:49

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Tabelka, żeby zobaczyć?
Każdą tabelę możesz sobie obejrzeć z osobna:
Tabele Netfiltera mają nazwy:

Kod:

filter raw nat mangle security

Wyświetlenie zawartości tabeli zrobisz przez:

Kod:

iptables -t {tabela} -S

Bez oznaczenia tabeli domyślnie pokaże tabelę filter.

Tabelą security się na razie nie zajmuj, na niej się przypisuje pakietom konteksty selinuxa, jak będziesz miał roczek wolnego czasu,
i będzie Ci się bardzo nudziło, to możesz się SElinuxem pobawić gruntownie. :D.


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#12  2019-06-21 08:53:43

  siefca - Użytkownik

siefca
Użytkownik
Zarejestrowany: 2013-02-24

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Zrewitalizowałem nieco artykuł o Nftables. Wyjaśnia trochę architekturę i sposób integracji z podsystemem Netfilter:

https://randomseed.pl/pub/analizy/nftables-nowy-firewall-linuksa/

Pozdrawiam,
Paweł

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)