Shorewall в качестве корпоративного firewall и шейпера

0

3

Мне нужно поднять файрволл и шейпер для небольшой фирмы, порядка 100 рабочих компьютеров.

Сначала думал написать свою обёртку, поскольку в поиске попадались только какие-то биллинги для провайдеров, усложненные, платные или нуждающиеся в веб-интерфейсе или даже GUI.

Но детальный поиск помог мне найти Shorewall. Пока остановился на нём. Какие подводные камни?

Причины выбора — работает без GUI и web-интерфейса, гибкий, бесплатный и свободный (GPLv2+).

ОС на сервере — Gentoo.

Ссылка

←	ip rule flush не удаляет все

Глобальное ограничение памяти в системе на один процес.

→

А у меня ebtables.

~~Deathstalker~~ ★★★★★
(22.05.14 01:38:33 MSK)

На правах рекламы: http://vitalkadrug.ru/VitalkaDrug/FlexFw. Все то же самое, но немного по другому. Правда без шейпера.

VitalkaDrug ★★
(23.05.14 03:20:48 MSK)
Последнее исправление: VitalkaDrug 23.05.14 03:27:21 MSK (всего исправлений: 1)

а я поднимаю stargazer для таких вещей.

MikeDM ★★★★★
(23.05.14 06:04:33 MSK)

С твоими требованиями и iptables подойдет

Pinkbyte ★★★★★
(23.05.14 10:30:26 MSK)

Ссылка

Какие подводные камни?

Никаких, отличная штука с широкой функциональностью и человекопонятной конфигурацией.

Gotf ★★★
(23.05.14 10:40:14 MSK)

Ссылка

Ответ на: комментарий от Deathstalker 22.05.14 01:38:33 MSK

ebtables — это вообще другого рода инструмент.

anonymous8 ★★
(23.05.14 10:57:00 MSK) автор топика

Ответ на: комментарий от VitalkaDrug 23.05.14 03:20:48 MSK

Увы, без шейпера мне не подходит.

anonymous8 ★★
(23.05.14 10:57:33 MSK) автор топика

Ссылка

Ответ на: комментарий от MikeDM 23.05.14 06:04:33 MSK

Это который с конфигуратором для администраторов под винду? Если да, то не подходит, у нас только Linux.

anonymous8 ★★
(23.05.14 11:01:15 MSK) автор топика

Ответ на: комментарий от anonymous8 23.05.14 11:01:15 MSK

оно в вайне работает нормально. да и консольный конфигуратор у него есть.

MikeDM ★★★★★
(23.05.14 14:48:21 MSK)

Ответ на: комментарий от anonymous8 23.05.14 10:57:00 MSK

Я, может быть, чего-то не понимаю. Но ebtables фильтрует пакеты.

~~Deathstalker~~ ★★★★★
(23.05.14 19:30:52 MSK)

Ответ на: комментарий от Deathstalker 23.05.14 19:30:52 MSK

ebtables фильтрует пакеты на уровне L2, разве не так? Он подходит для бриджей.

anonymous8 ★★
(24.05.14 01:47:00 MSK) автор топика

Ответ на: комментарий от MikeDM 23.05.14 14:48:21 MSK

оно в вайне работает нормально

Кто в здравом уме изначально будет добровольно выбирать костыли в виде wine? Извини, но нормальный софт должен быть нативным, ставиться через системный пакетный менеджер и им же обновляться.

anonymous8 ★★
(24.05.14 01:49:53 MSK) автор топика

Ответ на: комментарий от anonymous8 24.05.14 01:47:00 MSK

Смотрите, например:

rc.firewall:

#!/bin/sh

EB=/usr/local/sbin/ebtables

 

$EB -F INPUT
$EB -F FORWARD
$EB -F OUTPUT

# Deny for change ip's

$EB -A FORWARD -i eth1 -p IPv4 --ip-src 192.168.3.0/24 -j DROP
$EB -A FORWARD -i eth0 -p IPv4 --ip-src 192.168.3.0/24 -j ACCEPT
$EB -A FORWARD -i eth0 -p IPv4 --ip-dst 192.168.3.0/24 -j DROP
$EB -A FORWARD -i eth0 -p IPv4 -j DROP

# Deny for any INPUT traffic from eth1

$EB -A INPUT -i eth1 -p IPv4 -j DROP

В eth0 подключен мой сегмент, адреса 192.168.3.1-254.

~~Deathstalker~~ ★★★★★
(24.05.14 03:01:53 MSK)

Ссылка

Ответ на: комментарий от anonymous8 24.05.14 01:49:53 MSK

Извини, но нормальный софт должен быть нативным, ставиться через системный пакетный менеджер и им же обновляться.

мне тебя искренне жаль, избалован убунтой видимо ты.

MikeDM ★★★★★
(24.05.14 07:34:04 MSK)

Ответ на: комментарий от MikeDM 24.05.14 07:34:04 MSK

мне тебя искренне жаль, избалован убунтой видимо ты.

Отнюдь, у нас в продакшене рабочие места на Debian и сервера на Gentoo.

И почему «избалован»? Не, я понимаю, что настоящие мужики трудностей не бояться, но создавать добровольно костыли, а потом героически их поддерживать — это глупою.

anonymous8 ★★
(25.05.14 17:53:05 MSK) автор топика

Ссылка

Подводные камни - не успевает за возможностями netfilter. Но это фигня, все недостающее можно добавить нативными правилами. Тем более если gentoo, т.к. обновления приходят регулярно. Из плюсов - легко сопровождать очень сложные конфигурации.

macumazan ★★
(28.05.14 18:05:58 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	ip rule flush не удаляет все

Admin

Глобальное ограничение памяти в системе на один процес.

→

Похожие темы