Keresés: - [Re:] Linux tűzfal otthon - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Keresés

Új hozzászólás Aktív témák

#25 zrubi senior tag TomeeSan #17

Új Válasz 2013-10-29 11:07:33 #25
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

zrubi

senior tag

válasz TomeeSan #17 üzenetére

Ne legyen kés a szívedben...
Tanulni mindig jó és hasznos... csak az baj, amikor 'rosszat tanul' valaki...
Csak ezért szóltam hozzá egyátalán.
Egyébként én is ilyennekkel kezdtem pályafutásomat (10+ éve majd tűzfalakkal foglalkoztam 'nagyban' is sok évig... (jelenleg még nagyobban, de ez már nem feltétlenül a jó irány) de mégis egy openwrt-s ruoterem van otthon, mert az pont oda való.
#14 zrubi senior tag

Új Válasz 2013-10-29 09:31:48 #14
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

zrubi

senior tag

Csak néhány gondolat a cikkhez:
* A 'saját tűzfal készítés élményén' kívül sajnos ennek manapság nem sok értelme van... miért:
- Mert már sok professzionális, kész, működő megoldás létezik, amiket nagyon könnyű telepíteni, és üzemeltetni. A tűzfal lényege pedig nem a barkácsolás.
- Sajnos azt kell mondjam, hogy otthoni környezetben manapság már ez a fajta tűzfalazás (csomagszűrő + proxy) elavult, és nagyjából semmire nem jó. Ez manapság arra való, hogy a klienseket elszeparáljuk a szerverektől, nyomtatóktól, egyéb hálózatoktól... erre pedig leginkább céges környezetben van szükség.
Miért?
Mert a https, és http forglamat kiengeded, hiszen a júzerek netezni szeretnének...
Ezen a kettőn pedig BÁRMILYEN forgalom képes működni. És a bármilyent szó szerint kell érteni. Mamapság bártmit be lehet csomagolni http (vagy annakk látszó) protokollba, amit a proxy simán átenged...
a https kiengedése pedig maga a paradicsom (a 'gonosz' forgalmak szempontjából), mert azzal még a proxy sem tud/akar semmit kezdeni, 'csak átengedi' így pedig már http-be sem kell csomagolni, bármit lehet forgalmazni kifelé...
És ha ez a bármi pl egy VPN, ssh, vagy hasonló, akkor tulajdonképpen akarva vagy akaratlanul beengedtél idegeneket a hálózatodba, amibe a tűzfalad nem fog (mert nem is tud) beleszólni!
* A cikkben vázolt tűzfalszabályok nagy rész teljesen felesleges, pl: loc-loc irányú forgalmak.
Ezek ugyanis el sem fognak jutni a tűzfalig, mert ugyan abban a natworkben vannak, így direktben egymással kommunikálnak. Ilyen szempontból erősen félrevezető is a cikk ezen része, hiszen a kevésbé hozzáértők azt hihetik, hogy egy tűzfal képes megakadályozni/korlátozni azonos hálózatban lévő gépek közötti forgalmat. De valójában ez nem igaz!
Manapság nem attól kell parázni (értsd védeni a hálózatodat) hogy valaki direktben eléri a desktop gépedet. Ezellen ugyanis egy 'szappantartó' is véd, ha minden forgalamt maszkol kifelé (MASQUERADE)
Otthoni felhasználás esetén a valós probléma az, ami a felhasználók gépére kerül, és onnan KIFELÉ kommunikál. (és így gyorsan részese is lehet egy botnetnek pl)
Márpedig oda az esetek 99.98%-ban úgy kerül valami hogy a júzer le - (vagy épp fel) tölti. Akarva, vagy akaratlanul az mindegy. Ezellen pedig egy ilyen jellegű tűzfal sajnos NEM VÉD.
* Hálózattervezés szempontjából pedig egy kliensekből állló hálózatot védettnek nyilvánítani elég nagy tévedés. Pont ez a hálózat az, AMITŐL a többit védeni KELL!
(ezzel az utóbbi ténnyel sajnos sok magát nagyra tartó cég sincs tisztában)
PS:
Remélem ezzel senkinek nem törtem le a lelkesedését...
#11 zrubi senior tag RBJ #2

Új Válasz 2013-10-29 08:58:08 #11
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra
Privát üzenet küldése

zrubi

senior tag

válasz RBJ #2 üzenetére

A cikket elolvasva nekem valami szoftveres, és megfelelő gui val rendelkező tűzfal kellene.
Rengeteg ilyen létezik, pl:
http://openwall.com/
http://www.smoothwall.org/
http://www.zentyal.org/