i386 firewall (+moms)

Linux relatert forum

Moderator: jgilje

i386 firewall (+moms)

Postby Hansi on 18 May 2006, 23:23

Er p? jakt etter ny firewall. ?nsker i utgangspunktet at den skal v?re Unix/Linux/BSD-basert, men er i utgangspunkntet ?pen for alt bortsett fra det der greiene fra Redmond. Gjerne ogs? en kombosak med masse flere funksjoner enn det, s?nn som f ex Clarkconnect har. S? p? M0n0wall, den s? i grunnen veldig bra ut, men vil gjerne teste flere f?r jeg bestemmer meg. Kjenner til Astaro, Smoothwall, IPCop...sikkert flere ogs?, kommer ikke p? flere i ?yeblikket. Har dere noen gode tips?
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Re: i386 firewall (+moms)

Postby jgilje on 24 May 2006, 11:02

Hansi wrote:Har dere noen gode tips?


Selv bruker jeg Linux/iptables. Manuellt satt opp. Det er det mest fleksible, og det er ganske lett ? jobbe med n?r du f?rst er kommet inn i syntaxen til iptables.

Hvis du driver ? tester ut disse her forskjellige, s? synes jeg du likes?greit skal ta ? gi en liten review av dem her. Og gjerne med bittelitt screenshots. Sett igang!
User avatar
jgilje
Keiser nørd
Keiser nørd
 
Posts: 411
Joined: 30 Apr 2006, 01:43
Location: Vardeneset

Postby Hansi on 24 May 2006, 15:50

N? for tida er jeg mest fokusert p? http://www.eve-online.com , s? det kommer nok til ? ta en del tid ;-) har i grunnen hatt et firewallprosjekt g?ande i etpar ?r n? sikkert :-P Bruker Linksysboksen for ?yeblikket, og den funker jo bra, men har noen irritasjonsmomenter som jeg vil bli kvitt :-p
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Postby Hansi on 26 May 2006, 10:50

OK, har tatt en *kjapp* gjennomgang av ClarkConnect, M0n0wall, IPCop og Smoothwall. Ser greie ut alle i bunn og grunn. Det jeg merka meg av negative ting er er at i CC ser det ikke ut til ? v?re mulig ? endre allerede innlagte regler, en m? slette og legge inn p? ny. P? den annen side banker CC alle de andre n?r det gjelder features, det er en mye mer komplett pakke, det er mye mer enn bare brannmur og gateway. Bl a veldig fin og detaljert statistikk (MRTG-basert? S? i hvertfall s?nn ut)

IPCop og Smoothwall virket i det hele tatt veldig veldig lik installasjonsmessig (Fedora Core-basert) Ingen av dem utmerket seg p? noen m?te. Begge bruker Red/Green/Orange/Blue-terminologi p? nettverkskortene, s? de er greie ? ha med ? gj?re s?nn sett.

M0n0wall har realtimevisning av CPU-bruk, via en Adobe-plugin (AVG, var det ikke mon tro?), men jeg fant ingen statistikk der.

Pr n? ser det ut som om jeg har endt opp med en OpenBSD 3.9 og PacketFilter-basert l?sning...holder p? ? sette det opp n?. Brukte det for noen ?r siden da 3.4 var siste versjon. Bytta fordi jeg ikke gadd vedlikeholde det ;-) N? kan jeg *litt* mer enn det jeg kunne den gangen og vil fors?ke det igjen. PF er etter min mening myyye lettere forst?elig enn iptables for en som ikke kan noen av delene.
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Postby Hansi on 26 May 2006, 12:39

PS: Screenshots ligger det p? hjemmesiden til de fleste, glemte det da jeg gikk gjennom dem. Kanskje jeg kan legge ut screenshot av PF-oppsettet mitt hvisn?romattedersom jeg noen gang skulle f?le meg "ferdig" med det :-)
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Postby jgilje on 26 May 2006, 18:00

Hansi wrote:IPCop og Smoothwall virket i det hele tatt veldig veldig lik installasjonsmessig (Fedora Core-basert) Ingen av dem utmerket seg p? noen m?te. Begge bruker Red/Green/Orange/Blue-terminologi p? nettverkskortene, s? de er greie ? ha med ? gj?re s?nn sett.

Akkurat... Hva betyr det? (Red/Green/Orange/Blue-terminologi).
User avatar
jgilje
Keiser nørd
Keiser nørd
 
Posts: 411
Joined: 30 Apr 2006, 01:43
Location: Vardeneset

Postby Hansi on 27 May 2006, 10:41

Vanligvis er

GREEN=LAN-interface
ORANGE=DMZ(?)
RED=store stygge internet
BLUE=wireless(?)
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Postby Hansi on 05 Nov 2006, 17:33

Vekker opp en gammel tråd her, har gått litt grundigere gjennom noen av brannmurene her...

Bare kopierer mine egne notater, skrevet på engelsk, fordi det føles mer naturlig for meg når det er snakk om "data-ting".

Note! These tests are by no means scientific in any way, I have just noted down features as I look through.
Features that I have written in one software may also exist in other software without me having noted it there!
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

IPCop 1.4.10

Postby Hansi on 05 Nov 2006, 17:34

IPCOP 1.4.10 tested, using kernel 2.4.31 - last version atm is 1.4.11.

RedHatish install system
http://www.ipcop.org/
Addons: http://www.ipcop.org/modules.php?op=mod ... 5fb56e0e21

No control over installation what/where except NICs
Users admin and root (and dial)
ISDN support
Uses Green/Orange/Red/Blue NIC interfaces
Hangs a *long* time on detecting ICL EtherTeam 16i/32 - hard hangup
Ability to manually select card and pass parameters to drivers (Great for control freaks like me)
Seems to need IP address on *all* selected cards
DHCP server
Access installed system av http://ipcop:81 or https://ipcop:445

--- reboot ---

uses /dev/harddisk[1-x]
Colourful prompt
Those darn "active" menus (auto pop-down) However, can be removed by disabling JavaScript in the menus

Services and default status:
- CRON server RUNNING
- DHCP Server STOPPED
- DNS proxy server RUNNING
- Intrusion Detection System (GREEN) STOPPED
- Intrusion Detection System (ORANGE) STOPPED
- Intrusion Detection System (RED) STOPPED
- Kernel logging server RUNNING
- Logging server RUNNING
- NTP Server STOPPED
- Secure shell server STOPPED
- VPN STOPPED
- Web proxy STOPPED
- Web server RUNNING

One the whole I like the layout of the web UI
Graphs on CPU, memory, swap and disk
Backup system built in (configurations only?)
Schedule reboots (not really needed, this is Linux dammit!)
Multiple languages, including Norwegian
Support for synamic DNS, including dhs.org, dyndns.org and loads of others
Time synchronization with ntp server
Traffic shaping
Intrusion Detection
Firewall: add, edit, enable, disable (for some reason, not all software does this!)
Ping disable, all, none or red interface
DMZ
VPN support
Logging, local or remote

Seems really good this one!
Last edited by Hansi on 05 Nov 2006, 17:44, edited 1 time in total.
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Smoothwall Express 2.0

Postby Hansi on 05 Nov 2006, 17:39

Smoothwall Express 2.0

Note: This installation was done using VMWare

http://www.smoothwall.org/

Installation very similar to IPCop, RedHatish
Access to installed system using http://smoothwall:81 https://smoothwall:441
Same dial and admin users + setup
Red/Orange/Red interface (no Blue, i.e. no wireless support)

Default Services and default status:
Logging server RUNNING
DHCP server STOPPED
DNS proxy server RUNNING
Kernel logging server RUNNING
Web proxy STOPPED
Web server RUNNING
Secure shell server STOPPED
Intrusion Detection System STOPPED
CRON server RUNNING
VPN STOPPED

Using /dev/harddisk[whatever] names
Graphs, but only of the network interfaces
Dynamic DNS: dhs.org, no-ip.org, dyndns.org and more, though not as many as IPCop.
Intrusion Detection System
Can enable/disable fw rules, although not as easily as IPCop, must mark and edit and then enable/disable.
DMZ
Shell function through web interface, ie no seperate SSH software required
IP Tools: ping/traceroute
Configuration backup system

Conclusion: Nice, but no match for IPCop
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

RedWall 2.2.3

Postby Hansi on 05 Nov 2006, 17:43

RedWall 2.2.3
http://www.redwall-firewall.com/

- Installation and setup more or less like a normal Linux Distro except that by default it runs from CD.
- There is an option to install to harddisk, but that's in beta stages as of Sept 26. 2006. http://www.redwall-firewall.com/content/view/11/25/ Did work well when I tried it though, except that it doesn't seem to like that the root fs is mounted read-only.
- Gentoo Based
- (Too) short pauses when it asks for something
- Linkcheck after configuring ethernet cards, great way to identify eth0, eth1 +++
- Enable/disable services during setup (and after setup through redwall-setup) ... and the number of programs it supports/can use is long
- High-Availability (heartbeat ++)
- Intrusion detection
- Routing
- Proxy
- Reporting
- Mail/Spam filtering
- Network Management System
- Firewall can be based on iptables, ip6tables, shorewall, firewalladmin, turtlefirewall, vuurmuur, chilispot, firehol, packetfence
- VPN support: l2tpd, vtun, openvpn, stunnel, pptpd, ipsec
- Looks like they have collected a whole lot of possible programs and just put'em all together without making sure they really work. OK, I did enable a whole lot of stuff, but I got loads of error messages on startup.
- An incredibly annoying "feature" is that a lot of the prompts time out after 5 secs. I understand that the ones during boot does that, but it shouldn't be neccesary when you have entered a menu manually!

Seems VERY promising
- Being based on Gentoo definitely is a big +++ (for me anyways...)

I'll check this one more thorough...

[EDIT 24.11.06]: Well, thought this would be especially interesting being based on Gentoo and all...but it seem the Gentoo they are using is *highly* customized...I can just as well put together someting based on a normal Gentoo installation using the loads of packages available here as a starting point. But really I doubt it...
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

PFSense 1.0.1

Postby Hansi on 24 Nov 2006, 15:13

PFSense 1.0.1

NOTE: This installation was done using VMWare

http://www.pfsense.com/

Fork of M0n0wall, i.e. FreeDSB-based.

Firmware upload support :-)
easy installation to disk, but does (probably) need a dedicated disk
Support for extending the features through installable packages
NAT:Port forward, 1:1 NAT, Outbound NAT: create, edit, mode up/down, delete, "create new based on" (Keeps prot, NAT IP, local port and description)
seems not to support disabling of rules for NAT, but does support it for Firewall rules. Adds Firewall rule automatically when NAT rule is addded.
Definable names on networks, hosts and ports
Default policy block, first match-basis
Traffic Shaping support (Not compatible with bridging atm)
Supports Captive Portal (Whatever that is, can't remember having seen that on any other FW)
Supports loads of Dynamic DNS clients, DNS Forwarding
Load Balancing support
Traffic Shaping support (Setup Wizard for this didn't seem to work?)
SNMP Support
VPN support: IPsec, OpenVPN, PPPoE, PPTP
Statistics: (RRD Based) For each Interface: Last 2h, 6h, 48h, 14d, 2m, 18m. Traffic, Quality, Queues, Packets, Spamd
Also a realtime Traffic Graph thingie based on Adobe SVG Viewer
Backup/restore config support, reinstall all packages support
execute shell command, edit file support
Installable packages: iperf, darkstat, nmap, diag_new_states, freeradius, miniupnpd, ntop, nut, openntpd, pfflowd, routed, snort, spamd, sshterm, stunnel, wident (closer description of the packages in the package install interface)

Seems *very* promising so far
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Konklusjon

Postby Hansi on 04 Mar 2007, 01:03

Denne skulle jeg ha lagt inn for lenge siden...

Har altså endt opp med å kjøre OpenBSD 4.0 som brannmur. Satte opp 3.4(?) for noen år siden, gikk så over til bl a Linksys WRT54GS, fordi jeg syntes det ble litt dumt at jeg måtte gaule på hjelp når noe skjedde eller noen endring skulle gjøres, den gangen kunne jeg lite og ingenting om BSD, og bare litt om Linux. Har nå stått med OpenBSD i sikkert et par-tre måneder, og jeg er kjempefornøyd!

Har nå kjørt filserver og webserver basert på Gentoo Linux i etpar år og satte opp en BSD-maskin selv denne gangen. (Nesten hvertfall) ;-)

Liker fleksibiliteten i en OpenBSD-brannmur. Den får du ikke i noen webinterface i noen løsning av de jeg har sett. Tar litt mer tid å sette opp og krever litt mer innsats, men synes faktisk at totalen blir enklere vedlikehold. Skal jeg nå åpne en port eller gjøre noen justeringer logger jeg bare på via SSH. Slipper å tenke på at webinterface som bruker port sånn og slik skal være tilgjengelig på port nummer sånn og slik på den og den porten fra utsida. Porten for SSH er jo åpen ænniwei, ikke sant?

Her burde jeg jo selvfølgelig lagt inn veiledning på Wikien vår, dessverre var jeg så dum at jeg ikke tok notater underveis. Skulle noen ønske å ta en kikk på firewallscriptet mitt (såkalt pf.conf) så ta kontakt på PM...ønsker ikke at det skal ligge offentlig. Kanskje jeg er paranoid, men...
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Re: Konklusjon

Postby jgilje on 04 Mar 2007, 14:35

Hansi wrote:Liker fleksibiliteten i en OpenBSD-brannmur. Den får du ikke i noen webinterface i noen løsning av de jeg har sett. Tar litt mer tid å sette opp og krever litt mer innsats, men synes faktisk at totalen blir enklere vedlikehold.

Ja, jeg er enig. Jeg har enda ikke lært meg PF, sitter selv med iptables. Men hvis du bare lærer deg å bruke verktøyene som alle disse webinterfacene egentlig bruker, så har du "uendelig" med fleksibilitet.

Hansi wrote:Skulle noen ønske å ta en kikk på firewallscriptet mitt (såkalt pf.conf) så ta kontakt på PM...ønsker ikke at det skal ligge offentlig. Kanskje jeg er paranoid, men...

Kan du ikke bare redigere bort det farlige? Hvis du f.eks. vil holde ekstern IP skjult, så kan du jo bare bytte den ut med noe tekst som $EKSTERN_IP.
Skryteliste: Sun SPARCstation 4: 110MHz microSPARC, 160MB RAM, 18GB HDD
User avatar
jgilje
Keiser nørd
Keiser nørd
 
Posts: 411
Joined: 30 Apr 2006, 01:43
Location: Vardeneset

Postby Hansi on 04 Mar 2007, 15:31

Så vidt jeg husker ligger ikke den i scriptet, det er mer adresser/logikk og porter på mitt interne nettverk. Men det er klart, det er jo mulig å bare redigere det ut.

Ang iptables vs pf/ipf (har ikke sett så mye på ipf, men logisk sett er det ganske likt) så hadde det seg sånn da jeg så på disse for første gang at iptables ble jeg bare større og større spørsmålstegn jo mer jeg leste om det, men pf skjønte jeg basisen bare ved å se på andre script....jeg synes bare det er så utrolig mye mer logisk! (eller er det intuitivt det heter)
MacPro 2.8 8-core,17" MBP 2.33,G5/1.6,4x G4,iPod 160GB
HP Mini 5101
HP71B/200LX/42S/48SX/48GX/49G/49G+
Nokia N900,Treo 650,iPhone 3GS,Nokia E90
Garmin 76S/76C/iQue3600
Nikon D300,SB-900/800/R1C1,S150-500f5-6.3,N17-55f2.8,N70-200VRf2.8,N105VRf2.8N50
Hansi
Nørd Zalo Ultra
Nørd Zalo Ultra
 
Posts: 728
Joined: 04 May 2006, 22:58
Location: MacPro.local

Next

Return to Linux

Who is online

Users browsing this forum: No registered users and 1 guest

cron