LINUX.ORG.RU
ФорумAdmin

Shorewall в качестве корпоративного firewall и шейпера

 , , ,


0

3

Мне нужно поднять файрволл и шейпер для небольшой фирмы, порядка 100 рабочих компьютеров.

Сначала думал написать свою обёртку, поскольку в поиске попадались только какие-то биллинги для провайдеров, усложненные, платные или нуждающиеся в веб-интерфейсе или даже GUI.

Но детальный поиск помог мне найти Shorewall. Пока остановился на нём. Какие подводные камни?

Причины выбора — работает без GUI и web-интерфейса, гибкий, бесплатный и свободный (GPLv2+).

ОС на сервере — Gentoo.

С твоими требованиями и iptables подойдет

Pinkbyte ★★★★★
()

Какие подводные камни?

Никаких, отличная штука с широкой функциональностью и человекопонятной конфигурацией.

Gotf ★★★
()
Ответ на: комментарий от MikeDM

Это который с конфигуратором для администраторов под винду? Если да, то не подходит, у нас только Linux.

anonymous8 ★★
() автор топика
Ответ на: комментарий от MikeDM

оно в вайне работает нормально

Кто в здравом уме изначально будет добровольно выбирать костыли в виде wine? Извини, но нормальный софт должен быть нативным, ставиться через системный пакетный менеджер и им же обновляться.

anonymous8 ★★
() автор топика
Ответ на: комментарий от anonymous8

Смотрите, например:

rc.firewall:

#!/bin/sh

EB=/usr/local/sbin/ebtables

 

$EB -F INPUT
$EB -F FORWARD
$EB -F OUTPUT

# Deny for change ip's

$EB -A FORWARD -i eth1 -p IPv4 --ip-src 192.168.3.0/24 -j DROP
$EB -A FORWARD -i eth0 -p IPv4 --ip-src 192.168.3.0/24 -j ACCEPT
$EB -A FORWARD -i eth0 -p IPv4 --ip-dst 192.168.3.0/24 -j DROP
$EB -A FORWARD -i eth0 -p IPv4 -j DROP

# Deny for any INPUT traffic from eth1

$EB -A INPUT -i eth1 -p IPv4 -j DROP

В eth0 подключен мой сегмент, адреса 192.168.3.1-254.

Deathstalker ★★★★★
()
Ответ на: комментарий от anonymous8

Извини, но нормальный софт должен быть нативным, ставиться через системный пакетный менеджер и им же обновляться.

мне тебя искренне жаль, избалован убунтой видимо ты.

MikeDM ★★★★★
()
Ответ на: комментарий от MikeDM

мне тебя искренне жаль, избалован убунтой видимо ты.

Отнюдь, у нас в продакшене рабочие места на Debian и сервера на Gentoo.

И почему «избалован»? Не, я понимаю, что настоящие мужики трудностей не бояться, но создавать добровольно костыли, а потом героически их поддерживать — это глупою.

anonymous8 ★★
() автор топика

Подводные камни - не успевает за возможностями netfilter. Но это фигня, все недостающее можно добавить нативными правилами. Тем более если gentoo, т.к. обновления приходят регулярно. Из плюсов - легко сопровождать очень сложные конфигурации.

macumazan ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.