1 |
Olá Fabiano! |
2 |
|
3 |
Eu trabalho em um provedor... e quando entrei, mal conhecia OpenBSD e FreeBSD. |
4 |
Mas acabei pegando gosto por essas distribuições, principalmente quando diz respeito ao firewall. |
5 |
|
6 |
Eu cheguei à conclusão que Linux não serve de Firewall... pelo menos aquele iptables do inferno e suas milhares de flags ilegíveis. |
7 |
|
8 |
O firewall do OpenBSD, o PF (Packet Filter) é muito bom... e faz QoS, com múltiplas disciplines (até mesmo HFSC). |
9 |
Eu só não gostei do formato do arquivo de regras do PF... é a última regra que vale, a não ser que tenha "quick"... se vc não escrever as regras tomando um certo cuidado, se perde muito facilmente. |
10 |
|
11 |
Já o FreeBSD possui tanto o PF quanto o IPFW. |
12 |
Vale ressaltar que o PF do FreeBSD sempre está algumas versões atrás do PF do OpenBSD, de onde foi portado. |
13 |
|
14 |
Já o IPFW é muuuuitooooo bom! |
15 |
É muito fácil criar regras nele, como "deny ip from 192.168.1.1 to any out via fxp0"... só de ler a regra você entende. |
16 |
Você ainda tem coisas como Dummynet, que faz controle de banda muito facilmente! |
17 |
Com 4 linhas você consegue configurar uma banda default para todos os ips de uma rede... mas não é limitado pelo máximo (como o iproute2 e o PF fazem), e sim uma banda para cada IP. |
18 |
|
19 |
Você faz isso batendo a máscara, vejam: |
20 |
# Regra de upload dos clientes - Limita em 1Mbps CADA IP desse range |
21 |
ipfw pipe 10 config mask src-ip 0x000000ff bw 1Mbits/s |
22 |
ipfw add pipe 10 ip from 192.168.1.0/24 to any in recv fxp0 |
23 |
|
24 |
# Regra de dowload dos clientes - Limita em 1Mbps CADA IP desse range |
25 |
ipfw add pipe 11 ip from any to 192.168.1.0/24 out xmit fxp0 |
26 |
ipfw pipe 11 config mask dst-ip 0x000000ff bw 1Mbits/s |
27 |
|
28 |
Na minha opinião, uma das melhores coisas que podia acontecer com o Gentoo é eles darem continuidade ao projeto Gentoo-BSD. |
29 |
Eu já fiz testes instalando ele em FreeBSD mais modernos, como a versão 7.0 (o projeto morreu na versão 5.4 se não me engano) e funcionou bacana, mas dava problemas. |
30 |
|
31 |
Se isso acontecesse, eu teria servidores Gentoo-Linux e firewalls Gentoo-BSD... iria padronizar todo o ambiente do provedor. |
32 |
|
33 |
Abraços, |
34 |
Eduardo. |
35 |
|
36 |
From: Fabiano - deStilaDo |
37 |
Sent: Friday, November 28, 2008 9:42 AM |
38 |
To: gentoo-user-br@l.g.o |
39 |
Subject: [gentoo-user-br] Firewalls. Gentoo? Qual kernel? |
40 |
|
41 |
|
42 |
Senhores, |
43 |
|
44 |
Eu sempre achei o Gentoo não muito ideal para firewalls devido a dinâmica do Gentoo, a filosofia da segurança é baseada em estar sempre atualizado, com as últimas correções. Eu particularmente prefiro essa filosofia do que a de usar pacotes extremamente antigos, testados e estáveis. Mas firewall é um caso a parte. |
45 |
|
46 |
Por isso, mesmo usando Gentoo nos meus servidores (normelmente hardened 64), o firewall eu costumava deixar um velho e Slackware, kernel 2.4, um sistema que sempre foi muito estável e estático, pra deixar lá e esquecer -- só lembrar quando receber algum e-mail da lista de atualizações de segurança do slack. |
47 |
|
48 |
Mas estou meio descontente com o rumo do Slackware ultimamente, não me parece mais a base "rock solid" que eu costumava a confiar para um servidor (slack já tem até kde4, hehe). Uma outra opção que costumam me recomendar é Debian, mas esse não me desse garganta, não adianta, incompatibilidade de gênios, não vai. |
49 |
|
50 |
Então estava pensando em montar um firewall com Gentoo mesmo, um bom Hardened 64, colocar um cron lá pra me enviar um e-mail com os affecteds do glsa e instalar um IDS. |
51 |
|
52 |
Porém, como vocês já devem saber, Linus decidiu há algum tempo que o kernel agora é 2.6 e ponto. Não vai ter 2.8. Então agora o que era minor version antes acaba funcionando na prática como major, tendo muita diferença de um kernel 2.6.xx pra um 2.6.yy. |
53 |
|
54 |
Então minha pergunta é: qual versão do kernel 2.6 vocês consideram mais estável para deixar num firewall? |
55 |
|
56 |
Outra opção que eu também estou considerando, com ótimas referências, porém eu nunca fiz, é usar um OpenBSD para o firewall. Acho que não tem como discordar que se o OpenBSD não for o mais, é um dos sistemas operacionais mais seguros que existem hoje. (OpenBSD - "Only two remote holes in the default install, in more than 10 years!" - http://www.openbsd.org/security.html). |
57 |
|
58 |
O que vocês acham? |
59 |
|
60 |
|
61 |
|
62 |
Fabiano. |