| 1 |
Olá Fabiano! |
| 2 |
|
| 3 |
Eu trabalho em um provedor... e quando entrei, mal conhecia OpenBSD e FreeBSD. |
| 4 |
Mas acabei pegando gosto por essas distribuições, principalmente quando diz respeito ao firewall. |
| 5 |
|
| 6 |
Eu cheguei à conclusão que Linux não serve de Firewall... pelo menos aquele iptables do inferno e suas milhares de flags ilegíveis. |
| 7 |
|
| 8 |
O firewall do OpenBSD, o PF (Packet Filter) é muito bom... e faz QoS, com múltiplas disciplines (até mesmo HFSC). |
| 9 |
Eu só não gostei do formato do arquivo de regras do PF... é a última regra que vale, a não ser que tenha "quick"... se vc não escrever as regras tomando um certo cuidado, se perde muito facilmente. |
| 10 |
|
| 11 |
Já o FreeBSD possui tanto o PF quanto o IPFW. |
| 12 |
Vale ressaltar que o PF do FreeBSD sempre está algumas versões atrás do PF do OpenBSD, de onde foi portado. |
| 13 |
|
| 14 |
Já o IPFW é muuuuitooooo bom! |
| 15 |
É muito fácil criar regras nele, como "deny ip from 192.168.1.1 to any out via fxp0"... só de ler a regra você entende. |
| 16 |
Você ainda tem coisas como Dummynet, que faz controle de banda muito facilmente! |
| 17 |
Com 4 linhas você consegue configurar uma banda default para todos os ips de uma rede... mas não é limitado pelo máximo (como o iproute2 e o PF fazem), e sim uma banda para cada IP. |
| 18 |
|
| 19 |
Você faz isso batendo a máscara, vejam: |
| 20 |
# Regra de upload dos clientes - Limita em 1Mbps CADA IP desse range |
| 21 |
ipfw pipe 10 config mask src-ip 0x000000ff bw 1Mbits/s |
| 22 |
ipfw add pipe 10 ip from 192.168.1.0/24 to any in recv fxp0 |
| 23 |
|
| 24 |
# Regra de dowload dos clientes - Limita em 1Mbps CADA IP desse range |
| 25 |
ipfw add pipe 11 ip from any to 192.168.1.0/24 out xmit fxp0 |
| 26 |
ipfw pipe 11 config mask dst-ip 0x000000ff bw 1Mbits/s |
| 27 |
|
| 28 |
Na minha opinião, uma das melhores coisas que podia acontecer com o Gentoo é eles darem continuidade ao projeto Gentoo-BSD. |
| 29 |
Eu já fiz testes instalando ele em FreeBSD mais modernos, como a versão 7.0 (o projeto morreu na versão 5.4 se não me engano) e funcionou bacana, mas dava problemas. |
| 30 |
|
| 31 |
Se isso acontecesse, eu teria servidores Gentoo-Linux e firewalls Gentoo-BSD... iria padronizar todo o ambiente do provedor. |
| 32 |
|
| 33 |
Abraços, |
| 34 |
Eduardo. |
| 35 |
|
| 36 |
From: Fabiano - deStilaDo |
| 37 |
Sent: Friday, November 28, 2008 9:42 AM |
| 38 |
To: gentoo-user-br@l.g.o |
| 39 |
Subject: [gentoo-user-br] Firewalls. Gentoo? Qual kernel? |
| 40 |
|
| 41 |
|
| 42 |
Senhores, |
| 43 |
|
| 44 |
Eu sempre achei o Gentoo não muito ideal para firewalls devido a dinâmica do Gentoo, a filosofia da segurança é baseada em estar sempre atualizado, com as últimas correções. Eu particularmente prefiro essa filosofia do que a de usar pacotes extremamente antigos, testados e estáveis. Mas firewall é um caso a parte. |
| 45 |
|
| 46 |
Por isso, mesmo usando Gentoo nos meus servidores (normelmente hardened 64), o firewall eu costumava deixar um velho e Slackware, kernel 2.4, um sistema que sempre foi muito estável e estático, pra deixar lá e esquecer -- só lembrar quando receber algum e-mail da lista de atualizações de segurança do slack. |
| 47 |
|
| 48 |
Mas estou meio descontente com o rumo do Slackware ultimamente, não me parece mais a base "rock solid" que eu costumava a confiar para um servidor (slack já tem até kde4, hehe). Uma outra opção que costumam me recomendar é Debian, mas esse não me desse garganta, não adianta, incompatibilidade de gênios, não vai. |
| 49 |
|
| 50 |
Então estava pensando em montar um firewall com Gentoo mesmo, um bom Hardened 64, colocar um cron lá pra me enviar um e-mail com os affecteds do glsa e instalar um IDS. |
| 51 |
|
| 52 |
Porém, como vocês já devem saber, Linus decidiu há algum tempo que o kernel agora é 2.6 e ponto. Não vai ter 2.8. Então agora o que era minor version antes acaba funcionando na prática como major, tendo muita diferença de um kernel 2.6.xx pra um 2.6.yy. |
| 53 |
|
| 54 |
Então minha pergunta é: qual versão do kernel 2.6 vocês consideram mais estável para deixar num firewall? |
| 55 |
|
| 56 |
Outra opção que eu também estou considerando, com ótimas referências, porém eu nunca fiz, é usar um OpenBSD para o firewall. Acho que não tem como discordar que se o OpenBSD não for o mais, é um dos sistemas operacionais mais seguros que existem hoje. (OpenBSD - "Only two remote holes in the default install, in more than 10 years!" - http://www.openbsd.org/security.html). |
| 57 |
|
| 58 |
O que vocês acham? |
| 59 |
|
| 60 |
|
| 61 |
|
| 62 |
Fabiano. |
Archives