[gl-como] Newbe - ubuntu e firewall

Mar 26 Gen 2010 11:38:40 CET

pirla ha scritto:
> Il giorno mar, 26/01/2010 alle 08.58 +0100, Riccardo (SCASI) ha scritto:
> 
>> In effetti non credo di stare 'reinventando la ruota', altrimenti avrei 
>> scritto una mia versione di /etc/init.d/iptables :) .
> Beh, secondo me si, perché ho l'idea che nel mondo dell'open source, se
> uno perde tempo a rifare "male" quello che altri hanno fatto sicuramente
> meglio, spreca tempo due volte, visto che quel tempo potrebbe usarlo per
> far meglio altre cose.

ti ripeto, io non ho riscritto una mia versione di /etc/init.d/iptables, 
semplicemente non lo utilizzo per gestire il firewall del gw aziendale. 
Questo anche in relazione al fatto che /etc/init.d/iptables al momento 
*non è in grado di soddisfare le mie esigenze* (vedi gestione del qos).
Nel momento in cui emergerà uno standard(*) per la gestione dei firewall 
sotto Linux (compreso appunto il qos) sarò ben felice di utilizzarlo.

(*) a parte i comandi iptables, tc, ip etc, intendo

> 
>> E' che mi trovo meglio a editare direttamente i comandi di iptables (ho 
>> scritto delle funzioncine per generare i comandi in base a regole che 
>> imposto etc) piuttosto che editare il file /etc/sysconfig/iptables.
>> Inoltre nello stesso file, oltre ad impostare iptables, imposto anche le 
>> diverse classi per il qos con tc (cosa che non mi risulta sia possibile 
>> con /etc/init.d/iptables)
> Non è che non devi usare i comandi iptables, solo che ci sono due
> vantaggi
> Il primo è che lo metti nel runlevel giusto, al momento giusto.

non mi serve, non è una macchina desktop, il runlevel è sempre il 3 e mi 
va bene che lo script venga sempre lanciato.

> I comandi iptables li dai lo stesso, ma li dai una volta, e poi usi
> iptables-save che ti genera il file di configurazione da usare con
> iptables-restore, niente di strano.

si ma io i comandi iptables e altre cose non le digito a mano, dico allo 
script che ho fatto quali comandi generare. Certo potrei sempre lanciare 
lo script e poi digitare 'service iptables save', ma non ne vedo 
l'utilità e rimane sempre fuori il discorso relativo a 'tc'.

> 
> Il secondo è che lo script controlla, verifica, ed in caso carica, tutti
> i moduli che servono per far funzionare bene il firewall.
> Questo non è poco, e poi eventuali bachi o altro vengono aggiornati con
> gli aggiornamenti del sistema operativo, oltre ad essere una cosa

questo non è vero:
a) le soluzioni ai bachi di kernel/iptables/iproute etc li ho anch'io
b) i bachi nelle regole di iptables non vengono 'sistemate' nemmeno nel 
tuo caso:
1) iptables -I INPUT -i ppp0 -j ACCEPT
2) service iptables save
3) yum update

il passo 3) non mi elimina il 'baco' che ho introdotto nel passo 1)

> standard, per cui domani che vai da un cliente ti aspetti che la cosa
> funzioni così, e se così non è, come con ubuntu "smadonni" oppure dici,
> ma chi è quel coglione che ha fatto sta cosa che non si capisce niente.
> Peggio ancora se perdi 3 ore di tempo a capire dove cavolo vengono
> caricate delle regole di firewall che tu non avevi mai specificato.
> Non so se mi sono capito, ma fa lo stesso

questo appunto perché per ora non è emerso il famoso standard.
Inoltre, iirc, rc.local è l'ultimo script che viene lanciato al boot, 
pertanto potresti 'segare' le regole iptables che non si sa da dove 
vengano e impostare solo le tue.

> 
> Questione di punti di vista, ma il problema è proprio questo.
> Non ci sono standard purtroppo. E continuo a sentirmelo dire dai clienti
> dove vado in giro. Molti stanno facendo degli sforzi, altri invece fanno
> i dittatori o gli "asociali" dicendo che "come faccio io è meglio e
> quindi non rompetemi".

io non mi considero 'dittatore' o 'asociale' (ok, asociale magari un po' 
lo sono, ma _non_ in ambito informatico :) ) e non mi sono mai espresso 
in questi termini; ti ho semplicemente detto l'approccio che utilizzo 
io, che ha il vantaggio di essere abbastanza agnostico (se so cosa vuol 
dire) in merito alla distribuzione usata.