Forum Debian Users Gang

bryn1u · 2014-05-05 10:08:22

Witam,

Caly czas gryzie mnie dylemat rozwiazan routerowo/firewallowych. Probuje znalezc na necie jakies informacje, porwnania tych powiedzmy firewall'i. Niestety nic ciekawego nie znalazlem. Na codzien korzystam z PF, dziala wysmienicie, bardzo szybko, lecz brakuje mi tej hmm szczegolowosci co w iptables. Stad moje pytania. Czy skutecznosc w zwalczaniu i mozliwosc konfiguracji w PF jest taka sama jak w IPtables ? Jak wyglada sprawa z radzeniem sobie podczas ddos'ow, spoofingu, roznych innych technik falszowania pakietow i tym podobne. Nie zapytam co jest lepsze bo nigdy nie dojdziemy do konsensusu (co jest oczywiste).

Czy ktos sie interesowal nftables ? Jak wyglada sprawa z przyszloscia, czytalem tu na forum, ze ponoc ma powstac jakis translator z iptables na nftables, cos ktos wie ?

Za kazda dyskusje bede wdzieczny,

Z gory dziekuje,
Pozdrawiam,

Ostatnio edytowany przez bryn1u (2014-05-05 11:19:09)

Jacekalex · 2014-05-05 11:13:42

To pewnie widziałeś:
http://en.wikipedia.org/wiki/Nftables‎
https://wiki.archlinux.org/index.php/Nftables

Ma zastąpić Iptables, wynika to ze zmiany konstrukcyjnej, netfilter ma teraz działać nie bezpośrednio w przestrzeni kernela, ale jako maszyna wirtualna, co ma poprawić bezpieczeństwo.
Kiedy będzie gotowy? kiedy wszystkie istotne funkcje z iptables, arptables, ebtables zostaną zaimplementowane w nowym interfejsie.
Ale to pewnie nastąpi nieprędko.

Jest trochę wzorowany na PF, także dla Ciebie będzie chyba łatwiejszy.

Iptables vs PF?
PF integruje w sobie firewalla, kontrolę pasma, nat i pasywną identyfikację systemu operacyjnego.

W netfilterze iproute zarządza routingiem i pasmem, iptables firewallem, a cześć funkcji i tak jest dostępna przez sysctl, lub /proc/*.

Pod tym względem PF jest prostszy w obsłudze.
Skuteczność jest praktycznie jednakowa, w typowych zastosowaniach, przy czym konfiguracja jest totalnie inna, nawet nie jest za bardzo podobna.

Ostatnio edytowany przez Jacekalex (2014-05-05 11:21:06)

jurgensen · 2014-05-05 12:27:40

Ja w środowiskach produkcyjnych używam OpenBSD z PF i działa bardzo dobrze. Po wczytaniu się w manual, ma naprawdę sporo możliwości.

bryn1u · 2014-05-05 12:33:10

jurgensen napisał(-a):
Ja w środowiskach produkcyjnych używam OpenBSD z PF i działa bardzo dobrze. Po wczytaniu się w manual, ma naprawdę sporo możliwości.

A cos w rodzaju timestart i timestop w iptables ? W sensie blokowanie torrentow w godzinach np od timestart 17:00 do timestop 20:00 ? Jest taka mozliwosc ?

Pozdrawiam,

jurgensen · 2014-05-05 13:07:07

Bezpośrednio w PF nie ma takiej możliwości, ale robię to inaczej. Tworzę tablicę, która domyślnie jest pusta. Następnie do crona dodaję zadanie, które przez pfctl zapełnia tablicę lub oczyszcza ją w określonych godzinach.

Jacekalex · 2014-05-05 13:14:59

bryn1u napisał(-a):
jurgensen napisał(-a):
Ja w środowiskach produkcyjnych używam OpenBSD z PF i działa bardzo dobrze. Po wczytaniu się w manual, ma naprawdę sporo możliwości.
A cos w rodzaju timestart i timestop w iptables ? W sensie blokowanie torrentow w godzinach np od timestart 17:00 do timestop 20:00 ? Jest taka mozliwosc ?

Pozdrawiam,

W nftables jeszcze nie wiem, ale jakbyś kiedyś zajrzał do mana iptables, to zobaczysz taki fragment dotyczący modułu time.
Skrócona pomoc pojawi się tak na konsoli po wpisaniu:

Kod:

iptables -m time --help

Tu masz dokumentację po polsku:
http://pl.wikibooks.org/wiki/Sieci_w_Linuksie/Netfilter
Jeśli w tych swoich ebookach ze stopki nie znalazłeś, to może się przydać. ;)

Pozdro
;-)

bryn1u · 2014-05-05 13:38:17

@Jacekalex

Dokladnie chodzilo mi o ten przyklad:

Kod:

iptables -I FORWARD -s 192.168.0.11 -m time --timestart 17:00 --timestop 22:00 -m ipp2p --ipp2p -j DROP

@jurgensen
tak wlasnie myslalem, ze jest to zrobione, za pomoca cron. Jeszcze takie pytanie do Ciebie czy uzywasz jakis odpowiednik typu psad, snort do detekcji, albo czy moze znasz, polecasz jakis pod pf'a.

Ostatnio edytowany przez bryn1u (2014-05-05 13:39:41)

jurgensen · 2014-05-05 15:09:14

Osobiście nie używam, ale z tego, co się orientuję, snorta można całkiem ładnie zintegrować z PF. Sam snort może słuchać na interfejsie pflog. Natomiast wybrany ruch ze snorta może być blokowany przy użyciu tablic/kotwic (jest np. skrypt snort2pf).

Jacekalex · 2014-05-05 15:17:52

Psad to jest proteza z czasów chyba Ipchains, podobnie jak Portsentry.
O wiele lepsze i stabilniejsze rezultaty osiągniesz w samym iptables modułami CONNLIMIT, hashlimit i recent, PF też ma możliwości podobnego limitowania połączeń, podobnie jak serwery np Lighttpd, Nginx czy Apache.

Snort ma teoretycznie bardzo fajne reguły, ale te najnowsze są płatne.
Może np wykrywać przy serwerze SSH zbyt dużą porcję nieszyfrowanych danych przesłanych przy inicjowaniu połączenia, ale jakoś nie ma podobnej opcji dla protokołu SSL, i między innymi dlatego najważniejsza dziura w Openssl - tls-heartbeat spokojnie sobie wisiała przez dwa lata, przez nikogo nie odkryta, choć w Snorcie są mechanizmy, pozwalające teoretycznie na wykrywanie podobnych anomalii.

Dlatego Snorta nie brałbym do zabezpieczania usług internetowych,
bo tu się w ogóle nie nadaje, daje tylko iluzję zabezpieczenia i tony fałszywych alarmów, natomiast nieźle się sprawdza przy wykrywaniu nietypowej i podejrzanej aktywności w sieci LAN, odgrodzonej od internetu firewallem.

Z modułem ipp2p bym nie przesadzał, jego skuteczność przy większości protokołów jest raczej mierna, przy szyfrowanym torrencie w ogóle nie występuje.

bryn1u · 2014-05-06 07:21:16

Czy jest moze jakas tabelka/porownanie jakie zmiany zaszly. Co nie przeczytam w internecie to wszystko opiera sie na starym np: state jak @jaceklex wspomnial w poprzednim moim temacie lub moduly, ktore zostaly zastapione innymi. A stare dokumentacje opisuja stare rozwiazania :(

Jacekalex · 2014-05-06 11:26:49

Tabelka, żeby zobaczyć?
Każdą tabelę możesz sobie obejrzeć z osobna:
Tabele Netfiltera mają nazwy:

Kod:

filter raw nat mangle security

Wyświetlenie zawartości tabeli zrobisz przez:

Kod:

iptables -t {tabela} -S

Bez oznaczenia tabeli domyślnie pokaże tabelę filter.

Tabelą security się na razie nie zajmuj, na niej się przypisuje pakietom konteksty selinuxa, jak będziesz miał roczek wolnego czasu,
i będzie Ci się bardzo nudziło, to możesz się SElinuxem pobawić gruntownie. :D.

siefca · 2019-06-21 08:53:43

Zrewitalizowałem nieco artykuł o Nftables. Wyjaśnia trochę architekturę i sposób integracji z podsystemem Netfilter:

https://randomseed.pl/pub/analizy/nftables-nowy-firewall-linuksa/

Pozdrawiam,
Paweł

Forum Debian Users Gang

Ogłoszenie

#1 2014-05-05 10:08:22

bryn1u - Użytkownik

[Dyskusja] PF vs IPtables i co z NFTables ?

#2 2014-05-05 11:13:42

Jacekalex - Podobno człowiek...;)

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

#3 2014-05-05 12:27:40

jurgensen - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

#4 2014-05-05 12:33:10

bryn1u - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

jurgensen napisał(-a):

#5 2014-05-05 13:07:07

jurgensen - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

#6 2014-05-05 13:14:59

Jacekalex - Podobno człowiek...;)

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

bryn1u napisał(-a):

jurgensen napisał(-a):

Kod:

#7 2014-05-05 13:38:17

bryn1u - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Kod:

#8 2014-05-05 15:09:14

jurgensen - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

#9 2014-05-05 15:17:52

Jacekalex - Podobno człowiek...;)

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

#10 2014-05-06 07:21:16

bryn1u - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

#11 2014-05-06 11:26:49

Jacekalex - Podobno człowiek...;)

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Kod:

Kod:

#12 2019-06-21 08:53:43

siefca - Użytkownik

Re: [Dyskusja] PF vs IPtables i co z NFTables ?

Stopka forum