Комментарии 57
>файрволл
а я сижу за роутером и срал я на все файерволосрачи с высокой горки :)
а я сижу за роутером и срал я на все файерволосрачи с высокой горки :)
Я тоже сидел, пока не оказалось, что файлопомойку лучше хранить на PC-говнороутере, а не на D-link DIR-300, что хочется иметь локальную зону в DNS и свой DHCP-сервер, не ставящие всю сетку в зависимость от моих экспериментов со своим компом. У подруги делал на шореволле мульти-ISP с одним из аплинков на роутере в локалке. Если задуматься, можно еще придумать бонусы.
Автор! Пиши ещё, завалю кармой!
/me пошел прикручивать софт к Gentoo
/me пошел прикручивать софт к Gentoo
Что именно интересует?
Вобще всё :) И защита (ограничения запросов, трафика и.т.д.), и роутинг (строть кластер будем — нужен будет роутинг). Вобщем было бы хорошо более-менее мануала что-то с разъяснениями.
Вам нужен сетевой инженер. Я всего лишь линуксоид, слегка коснувшийся темы. Крайне советую нанять хорошего специалиста, чтобы потом не кусать локти из-за аномалий в проекте, вызванных ошибкой в проектировании сети.
Вы без этих знаний собираетесь строить кластер? Удачи!
Кластер кластеру рознь. Вот Pacemaker+OpenAIS+Aache+MySQL — тоже кластер, хотя там ничего подобного не нужно знать.
Я не один там, я больше по WEB части, но стремлюсь и к остальным знаниям. Я и не собираюсь поставить и вводить в production всё с ходу, для этого есть время для тестирования, изучения и.т.д. Мы сами для себя строим, можем тестировать столько, сколько потребуется.
*я, может быть, чего-то не понимаю*
В чем смысл этих зон, если в примере одной зоне соответствует один интерфейс?
Это всегда так, или только в примере?
И зачем эти зоны вводить?
В чем смысл этих зон, если в примере одной зоне соответствует один интерфейс?
Это всегда так, или только в примере?
И зачем эти зоны вводить?
В примере — да, получилось так. В сферическом случае в вакууме можно сделать физически несвязанные между собой сети за одним файрволлом (несколько интерфейсов в одной зоне), разделить компы в одной физической сети на разные зоны, сделать зону, находящуюся за какой-нибудь железкой на другом конце физической сети.
асус WL500 сдыхает от 3500-5к соединений, а я изза этого чихаю. А роутер пытаюсь на вьяте поднять (хитрый роутер, очень хитрый).
Сталкивался с шорволом, но как то не прижился (, в итоге юзаю скрипты от айпитейбла и свои.
Сталкивался с шорволом, но как то не прижился (, в итоге юзаю скрипты от айпитейбла и свои.
Вероятно, ее не зря активно рекламируют — с разбегу правильно настроить систему может только специалист их поддержки, время работы которого многого стоит.
ну если поднять так — то не сложно ), а на вирт машине чуть сложней. А супорт скорее всего на меня как на больного посмотрит )). Хотя под вмвар там есть солюшн.
Не очень понимаю, зачем роутер в виртуалке. Это же сильно бьет по производительности сети из-за того, что каждый фрейм пробрасывается с железной сетевухи в виртуальную и наоборот. То есть, можно упереться в процессор и пропускную способность RAM вместо сетевой карточки.
Не зря же лучшие сетевые девайсы — специально заточенные под это дело железки, со специальной ОС и кучей проприетарного кода для обработки трафика.
Не зря же лучшие сетевые девайсы — специально заточенные под это дело железки, со специальной ОС и кучей проприетарного кода для обработки трафика.
ой незнаю, что там сложного. я прекрасно настроил виатту с первой попытки, воружившись их мануалами. вполне доступно.
Эм… iptables не намного сложнее чем те конфиги которые вы предлагаете править. Хотя… кому как больше нравится =). Против ничего не имею =)
Для таких случаев — да, примерно то же самое. А теперь представьте, что PPPoE вдруг стал называться ppp1 из-за того, что при поднятии туннеля предыдущий pppd не успел умереть. Или что провайдер поменял Вам выдаваемый IP. Shorewall дает интересную абстракцию.
Сам я стал изучать его, когда понадобилось сделать Multi-ISP в хитрой конфигурации. Со стандартным набором команд пришлось бы писать длинные и глючные скрипты, а также долго дебажить набор правил для iptables.
И вот еще камень в сторону iptables: понимать, что куда течет по дампу таблиц бывает сложно.
Всему свое место. Это дома не страшно экспериментировать. На серверах я предпочитаю чистый iptables, поскольку там почти всегда одинаковая конфигурация, и чем меньше прослоек, тем надежнее.
Сам я стал изучать его, когда понадобилось сделать Multi-ISP в хитрой конфигурации. Со стандартным набором команд пришлось бы писать длинные и глючные скрипты, а также долго дебажить набор правил для iptables.
И вот еще камень в сторону iptables: понимать, что куда течет по дампу таблиц бывает сложно.
Всему свое место. Это дома не страшно экспериментировать. На серверах я предпочитаю чистый iptables, поскольку там почти всегда одинаковая конфигурация, и чем меньше прослоек, тем надежнее.
Никогда не видел смысла в таком софте, но статья годная. Пойду попробую, авось не придётся ручками писать загрузку/сохранение правил iptables для дебиана :)
iptables-save
iptables-restore
iptables-apply
какбы написано уже )
iptables-restore
iptables-apply
какбы написано уже )
ага, а вот чтобы не использовать б-гомерзкий rc.local нужно стянуть или написать init-скрипт.
Не помню уже, в чём было дело в моём случае, но в конце концов отказался от rc.local в пользу /etc/network/interfaces, по событию up для loopback'а.
в убунте if-up /if-down работают через /etc/network/interfaces, а в rc.local кидаю что то на подобии «noip2/ventrilo/teamspeak/».
Вопрос, в Shorewall реализована iptables-apply? (откат при удачной / не удачной правке)?
Вопрос, в Shorewall реализована iptables-apply? (откат при удачной / не удачной правке)?
Не имею представления, это к автору статьи :)
Shorewall сделан так, что не рвет имеющиеся соединения. То есть, когда в конфиге какая-то ахинея, консоль не отмирает.
Отношение к уже установленным сессиям (оставлять или обрывать) меняется опцией ADMINISABSENTMINDED в конфиге.
Отношение к уже установленным сессиям (оставлять или обрывать) меняется опцией ADMINISABSENTMINDED в конфиге.
ещё хорошо m0n0wall и Pfsense но для предприятия, для дома кажется лучше Shorewall, тут хоть система не урезана)
ps по установке Shorewall в разы просто в разы проще)
ps по установке Shorewall в разы просто в разы проще)
Отличная штука.
Более полугода работает под Ubuntu Server 9.04
Потратил около недели на танцы с бубном и на освоение. Зато теперь трогаю только если порт нужно пробросить.
Доволен, как слон. Работает NAT-ом в домашней сетке из 4-х компов (сервер 5-й).
Более полугода работает под Ubuntu Server 9.04
Потратил около недели на танцы с бубном и на освоение. Зато теперь трогаю только если порт нужно пробросить.
Доволен, как слон. Работает NAT-ом в домашней сетке из 4-х компов (сервер 5-й).
в чем профит по сравнению с ufw/gufw?
Хотя бы в отвязанности от конкретного дистрибутива.
Еще я как-то с разбегу не обнаружил в UFW поддержки NAT. Точнее, она там реализована путем вписывания сырых правил iptables в конфиг.
UFW не дает простого способа разделить домашнюю сеть, сеть провайдера и инет.
В общем, UFW — примитивная обвязка, подходящая только для standalone-машины. Shorewall же дает кучу возможностей по настройке маршрутизатора.
Еще я как-то с разбегу не обнаружил в UFW поддержки NAT. Точнее, она там реализована путем вписывания сырых правил iptables в конфиг.
UFW не дает простого способа разделить домашнюю сеть, сеть провайдера и инет.
В общем, UFW — примитивная обвязка, подходящая только для standalone-машины. Shorewall же дает кучу возможностей по настройке маршрутизатора.
Чтобы не быть голословным: официальный гайд, следует всмотреться в секцию «ufw Masquerading», улыбнуться и закрыть вкладку.
Согласен. Изначально рассматривал решения, не привязаные к определённому дистру.
Не являюсь фанатом ubuntu (любимые дистры Gentoo и Archlinux)
Не холивара ради, просто поднял систему «на посмотреть» под Ubuntu Server, а посмотреть у меня — это хотя бы несколько дней поработать и распробовать. А т.к. всё работает без нареканий, глупо это дело сносить и ставить любимый дистр, что бы опять допиливать.
Всё это дело тихонько работает на серевере и я его особо и не трогаю.
Не являюсь фанатом ubuntu (любимые дистры Gentoo и Archlinux)
Не холивара ради, просто поднял систему «на посмотреть» под Ubuntu Server, а посмотреть у меня — это хотя бы несколько дней поработать и распробовать. А т.к. всё работает без нареканий, глупо это дело сносить и ставить любимый дистр, что бы опять допиливать.
Всё это дело тихонько работает на серевере и я его особо и не трогаю.
Спасибо за статью, станет легче начать. Дома использую firehol, из минусов — отсутвие шейпера, из плюсов — более понятный конфиг, например:
version 5
interface eth0 lan
policy accept
interface eth1 internet
protection strong
server custom ssh tcp/XXX default accept
server custom torrent tcp/49161 default accept
server custom torrent udp/49163 default accept
client all accept
router lan2internet inface ppp+ outface eth1
masquerade
route all accept
router internet2lan inface tun+ outface eth0
masquerade
route all accept
Только набросал: habrahabr.ru/blogs/linux/80284/ :)
Эмм… Простите, а что сложного в iptables?
Я 2 года назад тоже считал «Что столжного в этом или том». Активно ставил друзьям Gentoo, конфигурировал боевой апач, на трех виртуалках гонял Coda…
Там нет ничего сложного, ровно как нет ничего сложного в sed. И в конфигурации ядра Linux нет ничего сложного. Только понятно это становится после того, как уже изучен некоторый объем документации.
Так вот, о чем это я… Этот стартовый объем документации в случае с shorewall сильно ниже.
Там нет ничего сложного, ровно как нет ничего сложного в sed. И в конфигурации ядра Linux нет ничего сложного. Только понятно это становится после того, как уже изучен некоторый объем документации.
Так вот, о чем это я… Этот стартовый объем документации в случае с shorewall сильно ниже.
ИМХО, лучше один раз с iptables разобраться.
Согласитесь, что стартовый объем документации — он на то и стартовый, чтобы изучать его в первую очередь. Iptables включить в него необходимо. По моему мнению, лучше научиться писать правила на iptables, потратив на это n часов, чем n/2 на разбор конфигов каких-либо обвязок и в конечном итоге не понимать, что именно происходит в системе. И вот тогда будет меньше вопросов, подобных этому: комментарий из соседнего топика.
Года три назад настроил iptables (man+«метод научного тыка», инета не было, чтоб погуглить и/или хауту почитать, хорошо что вообще эти слова iptables и man в голове откуда-то были), работает и работает, с год назад понадобилось кое-что изменить — еще n часов, чтоб понять, что я два года назад написал, еще n чтоб понять, что теперь надо написать. Итого 3n часов, сейчас вот шейпинг захотелось сделать и еще одну сеть, так лучше я почитаю n часов про Shorewall, чем 2n, а то и 3n часов буду разбираться с «нативными» инструментами.
В общем, имхо, если что-то постоянно не используешь, не стоит тратить время на его изучение, если есть более простые в изучении обвязки и обертки — прочитал, настроил и забыл до следующего раза.
В общем, имхо, если что-то постоянно не используешь, не стоит тратить время на его изучение, если есть более простые в изучении обвязки и обертки — прочитал, настроил и забыл до следующего раза.
не понял смысла. Морда к iptables кто его не осилил? Кстате когда выбирал фэрвол iptable и ipf тупо не справились с поставленой задачей, пришел к pf :) ipfw — надоело ехать через весь город к консоли если опечатался. Вообщем pf мой вечный друг.
p.s.
не для холивара ради. просто так ИМХО
p.s.
не для холивара ради. просто так ИМХО
Это не просто морда к таблицам. Это обвязка сразу для iptables, роутинга, шейпинга. Возможность определить логику работы маршрутизатора в одном каталоге интуитивно понятными словами.
Повода изучить pf пока не было, к сожалению. Для адекватного сравнения нужно плотно попользоваться каждым из кандидатов на звание лучшего, поэтому утверждать ничего не буду.
Повода изучить pf пока не было, к сожалению. Для адекватного сравнения нужно плотно попользоваться каждым из кандидатов на звание лучшего, поэтому утверждать ничего не буду.
Я не перевариваю такой табличный формат конфигов. Мне больше по душе ferm.
пользую на работе, очень доволен, при 150 юзерах чистыми iptables запарился бы разруливать
stolen, спасибо за статью )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Shorewall: файрволл для всех