نحوه راه اندازی فایروال تحت لینوکس

من دنبال اطلاعات کاملی در مورد نحوه راه اندازی فایروال تحت لینوکس هستم.

از چه توزیعی استفاده می کنی ؟
چه امکاناتی می خوای بهت بده ؟
شفاف صحبت کن !!!

من از fedoracore استفاده میکنم .کلا در مورد iptables ونصب rpm ان میخواهم بدانم.

با عرض ادب:
http://www.barnamenevis.org/forum/showthread.php?t=13897&highlight=iptables

این ابزار رو چند وقته میخوام تست کنم ولی تنبلیم می آد:
http://www.fs-security.com/

ضمنا:
www.dummies.com/WileyCDA/DummiesArticle/id-2597,subcat-OS.html

یه ... ...

اگر حوصله کارکردن داری و واقعا یک فایروال قوی میخوای فقط FreeBSD و IPFW کار کن میتونی یک اسمارت فایروال تعربف کنی اگر بکم هم CBQ چاشنی کارت کنی عالی میشه ولی اینا همش کار می خواد و مهم تر از همه اینه که اول سیستم عامل رو به درستی نصب کنی.

بعد اگر کمک خواستی در خدمتم
موفق باشی

احتمالا چند رابط گرافیکی خوب رو در rpmseek.com پیدا می کنی.

می توانی از GaurdDog یا FireStarter که رابط های گرافیکی برای IPTables هستند استفاده کنید.
یا اگر نیاز به چیزی قوی تر دارید می توانید از توزیع IPCop استفاده کنید که یک کامپیوتر را تبدیل به فایروال می کند.
موفق باشید

اگر حوصله کارکردن داری و واقعا یک فایروال قوی میخوای فقط FreeBSD و IPFW کار کن میتونی یک اسمارت فایروال تعربف کنی اگر بکم هم CBQ چاشنی کارت کنی عالی میشه ولی اینا همش کار می خواد و مهم تر از همه اینه که اول سیستم عامل رو به درستی نصب کنی.

بعد اگر کمک خواستی در خدمتم
موفق باشی


دقیقا چی باعث میشه IPFW بهتر از NetFilter باشه ؟

Firestarter رابطی برای IPTables نیست ؛ او یک فایروال مستقل است .

دقیقا چی باعث میشه IPFW بهتر از NetFilter باشه ؟

شاید بشه جواب سؤال شما را اینجوری داد



Both have their advantages: so why not use both at a time. For pure stateful packet-filtering I like ipfilter very much. For other issues like traffic shaping ipfw and dummynet do a good job. I stick with both and don't have any problems using them in the way mentioned above. (ipfw policy is just "open" and doing the bandwidth stuff)



و


Ipfw(8), the command frontend to ipfirewall(4), is the most common
IP filtering and traffic shaping facility in FreeBSD, and the one for
which FreeBSD is ready to handle by default (although the firewall itself
is disabled by default in the kernel). The logical operation if its rules
is similar to many other packet filters, with the exception of IPFilter,
whose default operation in handling rules is rather less efficient and
requires greater care to tune it (if you're familiar with it, note the
'quick' keyword required for ipf(8) not to traverse the entire ruleset
every time, etc). This is not to minimize the power of ipf(8), which has
its own advantages. The ultimate decision as to which packet filtering
facility one uses is a personal choice, unless one requires particular
functionality not available in one or the other, although, we will delve
into a rough comparison of the two later on.

As indicated above, ipfirewall(4) is a packeting filtering
firewall, which means that it acts by inspecting connexions on a
packet-by-packet basis, and as of FreeBSD 4.0, can also perform
rudimentary connexion oriented (stateful) filtering. On either count, it
acts by filtering packets through one or more network interfaces. This
behaviour is always transparent, that is, one will probably not be aware
that a firewall is present until something is blocked.

Firewall designs take on many shapes, but all can be broken down
into two general policies: open and closed. The open firewall approach
lets all packets through by default and only blocks that which is NOT
desired, while on the other hand, the closed approach blocks all packets
by default, and only lets through was IS desired. The latter allows for a
much tighter firewall configuration, but is much trickier to setup because
one can easily block out traffic that one's net requires, but one isn't
aware of.


اما چرا FreeBSD

http://www.freebsd.org/features.html

الته اینکه من این پیشنهاد رو میدم نظر شخصی بنده و بنا به بررسی هایی که انجام دادم و مقایسه کارایی ها به این نتیجه رسیدم و مهم ترین ویژگی این سیستم عامل به همراه نرم افزار های مربوطه اش استفاده حد اقل از منابع سیستم و پایداری مناسب می باشد البته فایل سیستم استفاده شده در این سیستم متفاوت با لینوکس است چون به عبارتی این سیستم عامل نسخه ای از یونیکس می باشد و در بعضی موارد متفاوت میباشد

موفق باشید

شاید بشه جواب سؤال شما را اینجوری داد



در این متنی که شما Copy/Paste کردید نوشته شده هر کدوم قابلیت خاص خودشون رو دارن و بهترین حالت اینه که از هر دو را همزمان استفاده کنیم .

این جمله یعنی هر کدوم از دیگری بهتر هستن ؟

مهمترین قابلیت IPFW مسئله کنترل Bandwidth ذکر شده ، من کاملا با این موافقم ،‌کد لینوکس برای کنترل BW روی ۲.۴ فوق العاده ضعیف بود ( حتی میشه گفت عملا چنین چیزی وجود نداشت ، یک Module برای Traffic Shaping که حتی هنوز Experimental ه ) ولی روی نسخه ۲.۶ وضعیت کاملا متفاوت و هر نوع سیاست قابل تصوری رو میشه روی لینوکس پیاده کرد .

Firestarter رابطی برای IPTables نیست ؛ او یک فایروال مستقل است .


نه ، Firestarter یک Interface صرف برای Iptables و Netfilter هست .

رک به README برنامه :‌
Requirements
============

A machine running Linux kernel version 2.4 or 2.6 with
Linux IP Firewalling Tables (iptables) version 1.2.3 or higher

بله من هم توانائی مطالعهء readme اش را داشتم . لیکن Firestarter یک "رابط صرف" برای IPTables نیست و کاملا" مستقل عمل میکنه ؛ سرویس IPTables رو حتی از کار میندازه و از سرویس و پیکره بندی های خودش استفاده میکنه . البته موتور فیلترینگش همان موتور سطح کرنل IPTables یعنی Netfilter است . ( عبارت "یک رابط" برای IPTables در مورد چیزی مثل firewall Builder صادقه . )

بله من هم توانائی مطالعهء readme اش را داشتم . لیکن Firestarter یک "رابط صرف" برای IPTables نیست و کاملا" مستقل عمل میکنه ؛ سرویس IPTables رو حتی از کار میندازه و از سرویس و پیکره بندی های خودش استفاده میکنه . البته موتور فیلترینگش همان موتور سطح کرنل IPTables یعنی Netfilter است . ( عبارت "یک رابط" برای IPTables در مورد چیزی مثل firewall Builder صادقه . )


دقیقا متوجه منظورت نشدم ،‌ اصولا چیزی به اسم سرویس iptables وجود نداره ، وقتی نوشتی Firestarter رابطی برای iptables نیست من این نتیجه رو گرفتم که FireStarter بدون نیاز به iptables این کار رو انجام میده ، ولی در واقع FireStarter یک Interface صرف برای Iptables هست ، صرفا Rule های Iptables رو Insert میکنه .

چیزی که میخوام بگم اینه که این یارو چیزی بیشتر از Firewall Builder نیست ، فکر نمیکنم مقصودت اینه که این برنامه ، یه چیزی در کنار باینری های iptables ه و با استفاده از Library های اون و Call های سیستم کار میکنه ، یعنی باینری های iptables واسط نیستن ، ولی ظاهرا اینطور نیست و FireStarter به طور مستقیم رابط باینری های Iptables هست .
رک به فایل netfilter-script.c

( قاعدتا" اگر با هر دوی فایروال بیلدر و فایراستارتر کار کرده باشی اینها رو میدونی )

سرویس IPTables ( این یه اصطلاحه متداوله .iptables service . مفهومش هم مشخصا" ماژولهای کرنل در حال اجرای netfilter و موتور پردازش رول IPTables است ؛ ) ارتباطی با firestarter نداره . firestarter سرویس خودش رو داره ، رول ست های خودش رو داره ، و صرفا" از Netfilter ، و موتور رول IPTables ، "استفاده" میکنه . یعنی "رابط"ی برای IPTables نیست . محصولی مثل Firewall builder یک رابط کاربری ساده برای فایروالهای متداولی مثل IPTables است که فقط براشون rule تولید میکنه ، و همین . اما تو باید یک لینوکس داشته باشی ، همراه ماژولهای کرنل Netfilter تا Firestater ات کار کنه ، یک سرویس جدید رو نصب و فعال میکنه و از قواعد خودش استفاده میکنه .

در واقع Firestarter از موتور Netfilter برای فیلتر پکت و از موتور IPTables برای پردازش رول استفاده میکنه ، اما اینها رو خودش کنترل میکنه . سرویس خودش رو اجرا میکنی ، سرویس خودش رو متوقف میکنی و غیره . خیلی ساده است . این یک "رابط" نیست . یک فایروال است . اصلا" با Firewall Builder قابل قیاس نیست .

( خیلی طبیعیه که یه محصول از محصولات لایه های پائین تر استفاده کنه . IPTables/netfilter موتورهای فیلترینگ استاندارد لینوکس هستند ؛ اما یک رابط مثل Firewall Builder فقط یک ابزار بصری برای طراحی رول است ، اما Firestarter یک فایروال است ، قواعدش رو به سبک خودش تعریف میکنی ، و سرویس خودش مسئول کنترل و مدیریت وضعیت اش است ، نصبش میکنی و تو یه فایروال داری ، حذفش میکنی و تو یه فایروال نداری . این بسادگی تفاوت یک رابط با یک فایروال است . قاعدتا" انتی هکر کسپراسکی هم از موتور NDIS Hooking ویندوز استفاده میکنه , حالا آیا او یک رابط برای قابلیتهای فیلترینگ ویندوزه ؟ یا یک فایرواله ؟ مثال خوبیه . مسئله همینه . )

نتیجه ؟ Firestarter یک فایرواله ، Firewall builder فقط یک رابطه ، نه بیشتر .

( قاعدتا" اگر با هر دوی فایروال بیلدر و فایراستارتر کار کرده باشی اینها رو میدونی )

سرویس IPTables ( این یه اصطلاحه متداوله .iptables service . مفهومش هم مشخصا" ماژولهای کرنل در حال اجرای netfilter و موتور پردازش رول IPTables است ؛ ) ارتباطی با firestarter نداره . firestarter سرویس خودش رو داره ، رول ست های خودش رو داره ، و صرفا" از Netfilter ، و موتور رول IPTables ، "استفاده" میکنه . یعنی "رابط"ی برای IPTables نیست . محصولی مثل Firewall builder یک رابط کاربری ساده برای فایروالهای متداولی مثل IPTables است که فقط براشون rule تولید میکنه ، و همین . اما تو باید یک لینوکس داشته باشی ، همراه ماژولهای کرنل Netfilter تا Firestater ات کار کنه ، یک سرویس جدید رو نصب و فعال میکنه و از قواعد خودش استفاده میکنه .

در واقع Firestarter از موتور Netfilter برای فیلتر پکت و از موتور IPTables برای پردازش رول استفاده میکنه ، اما اینها رو خودش کنترل میکنه . سرویس خودش رو اجرا میکنی ، سرویس خودش رو متوقف میکنی و غیره . خیلی ساده است . این یک "رابط" نیست . یک فایروال است . اصلا" با Firewall Builder قابل قیاس نیست .

( خیلی طبیعیه که یه محصول از محصولات لایه های پائین تر استفاده کنه . IPTables/netfilter موتورهای فیلترینگ استاندارد لینوکس هستند ؛ اما یک رابط مثل Firewall Builder فقط یک ابزار بصری برای طراحی رول است ، اما Firestarter یک فایروال است ، قواعدش رو به سبک خودش تعریف میکنی ، و سرویس خودش مسئول کنترل و مدیریت وضعیت اش است ، نصبش میکنی و تو یه فایروال داری ، حذفش میکنی و تو یه فایروال نداری . این بسادگی تفاوت یک رابط با یک فایروال است . قاعدتا" انتی هکر کسپراسکی هم از موتور NDIS Hooking ویندوز استفاده میکنه , حالا آیا او یک رابط برای قابلیتهای فیلترینگ ویندوزه ؟ یا یک فایرواله ؟ مثال خوبیه . مسئله همینه . )

نتیجه ؟ Firestarter یک فایرواله ، Firewall builder فقط یک رابطه ، نه بیشتر .


یک سوال ساده :

فایروال چیزیه که Rull ایجاد میکنه یا چیزی که Filter میکنه ؟

Firestarter چیزیکه که Rull ایجاد میکنه ،‌iptables/netfilter چیزیه که Filter میکنه .

یک رابط مثل Firewall Builder فقط یک ابزار بصری برای طراحی رول است ، اما Firestarter یک فایروال است ، قواعدش رو به سبک خودش تعریف میکنی ، و سرویس خودش مسئول کنترل و مدیریت وضعیت اش است ، نصبش میکنی و تو یه فایروال داری ، حذفش میکنی و تو یه فایروال نداری . این بسادگی تفاوت یک رابط با یک فایروال است .

همینو باز بخون . کافیه .

همینو باز بخون . کافیه .


حذفش میکنی و تو رابط نداری ،‌ولی Firewall داری در عین اینکه Filtering نداری .
چیزیه که Rull ایجاد میکنه Firewall نیست ، رابطه .

نمیخوام بحث کشدار کنم ولی به نظرم اینکه یک Application ایجاد Rull اتوماتیک رو فایروال بی واسطه بدونیم درست نیست .

از دید من این یه مساله روشنه . اگه تو فایروال ویندوزت رو حذف کنی تو فایروال داری یا نداری ؟ فیلتر داری یا نداری ؟ در حقیقت داشتن یا نداشتن به چه معناست ؟ اگه بخواهیم با لفظ بازی کنیم اتفاقات با مزه تری هم میتونه بیفته . من و تو میدونیم که فیلترینگ رو در حقیقت کی داره انجام میده . کسی در این تردیدی نداره ؛ و میدونیم که موتور تحلیل رول متعلق به کیه . کسی در این هم تردید نداره . اما محصولی مانند فایروال بیلدر ساخته شده تا فقط برای IPTables رول بسازه . اما Firestarter ساخته شده که در یک بستهء مجتمع یک فایروال باشه . به سبک خودش رول تعریف میکنی ، با سرویسهای خودش کنترلش میکنی ، از محیطی که ارائه کرده استفاده میکنی ؛ یعنی فایروال بیلدر تولید شده که فقط یه رابط باشه ، فایر استارتر تولید شده که یک فایروال باشه ، و البته هر کودکی اینو درک میکنه که همه نرم افزارها از بسته های متداول و استاندارد و سطح پائینتر سیستم عامل استفاده میکنند ؛ این چیز جدیدی نیست . حالا زون آلارم یک فایروال هست یا نیست ؟ با علم به این حقیقت که داره از موتور فیلترینگ ویندوز استفاده میکنه و حتی بدون زون آلارم تو میتونی با Cscript و COM Interface های ویندوز ( شبیه به پیکره بندی دستی IPTables ) یک فایروال داشته باشی ...حالا در حقیقت چه چیزی یه فایروال هست ؟

من متوجه علت تاکید تو هستم . اما اساس این بحث نوعی بازی با لفظه . چون در هر حال حق با توست و فیلترینگ رو موتور دیگری میکنه ، و حق با توسعه گران فایراستارتر هست که بگن ما یه فایروال داریم ، چون یک رابط ، یعنی فایروال بیلدر ، چون برای رابط بودن ساخته شده ، پس یک رابطه ، اما فایراستارتر یعنی یک فایروال ، چون برای فایروال بودن ساخته شده ، هر چند موتورش رو خودشون ننوشته باشن ( هیچگاه ، روی هیچ سیستم عامل ، هیچ فایروال موتور خودش رو نداره . همه در حال استفاده از موتورهای موجود و معروف هستند ؛ بالاخره این محصولات فایروال هستند یا فقط رابط اند ؟ من با این مشکلی ندارم که یک تعریف ارائه کنیم و بگیم ، بله اینها همگی رابط هستند ، و فایروال ما یا IPTables/netfilter است یا خود موتور NDIS Hooking ویندوز ؛ و خلاص . اما بواقع اون بیرون ماجرا اینطور دیده نمیشه ، به فایراستارتر میگن فایروال ، به زون آلارم هم گفته میشه فایروال ، در عین اینکه اون واقعیت مشترک رو خیلیها میدونن . در این بین قیاس بین فایروال بیلدر و فایراستارتر صحیح نیست . آیا تا بحال از این دو بسته استفاده کردی ؟ فایروال بیلدر رابطی برای حداقل هشت فایروال مطرح است ، و فقط رول تولید میکنه ، اما فایراستارتر ، میخواد که یک بستهء مجتمع فایروال باشه ، برای لینوکس ، ازش استفاده میکنی و به چیز دیگه ای کار نداری . با سرویسش تعامل میکنی ، و ...)

حالا اگر به کل بحث یک نگاه مجدد بندازی مشخصه که این مساله نوعی تاکید بیهوده روی لفظ است . من معتقدم - مثل خیلیهای دیگه - چیزی که توسعه داده شده ، برای اینکه یک فایروال باشه ، یک فایرواله ، مثل فایراستارتر ؛ حالا اینکه موتورش چیست یه بحث فنیه ؛ شاید به درد ما بخوره ، اما به درد کاربر نمیخوره ، او نهایتا" فایراستارتر رو بصورت یک فایروال خواهد دید ؛ و همینطور چیزی که برای فایروال نبودن و رابط بودن توسعه پیدا کرده ، یک فایروال نیست ، مثل فایروال بیلدر ، و کسی هیچ وقت به فایروال بیلدر به چشم یه فایروال نگاه نمیکنه ، اصلا به چنین مقصودی تولید نشده . حالا اگر تو در نهایت این قصه هنوز معتقدی که این ترکیب netfilter/IPTables است که یک فایرواله ، من مشکلی باهاش ندارم ، فقط طبق همین فرمول تو ناچاری بگی ما روی ویندوز و هیچ سیستم عامل دیگری ، هیچ وقت هیچ فایروالی نداشته ایم و نداریم ، چون همگی در حال استفاده از بسته های باینری سطح پائین تری هستند که آنها بطور مستقل هم میتونن دارای هویت باشن ، مثل همین داستان ، و مخاطب تو ازت میپرسه خوب در واقع یک فایروال چیه ؟ فایروال اونی است که در پائین ترین سطح فیلترینگ رو انجام میده ، یا اونی که رول تعریف میکنه ، سرویسهای سطح پائین رو کنترل میکنه و روند رو مدیریت میکنه و برای اینکه فایروالی برای کاربران باشه توسعه داده شده ؟ طبق جوابی که به این سوال میدی میشه در مورد سوالات مشابه هم قضاوت کرد .

در نهایت ، اگه به سبک تو قضاوت کنیم ، ما روی لینوکس و روی ویندوز مجموعا" دو فایروال داریم . یکی netfilter/IPTables است و دیگری NDIS Hooking Engine . سایر محصولات یک سری رابط ساده هستند که قاعده تعریف میکنند و خلاص . اگه به سبک من قضاوت کنیم ، ما فایروالهای زیادی داریم . همهء اونها هم از موتورهای سطح پائینتر استفاده میکنند و در کنار اون ویژگیها و مزایای مناسبی رو به کاربر میدن ، پس اونها فایروال هستند ، تکلیف موتورهاشون هم روشنه . این بین قسمت انحرافی ماجرا چیزی است مثل فایروال بیلدر که اصلا" تو هیچ بخشی از این قضاوت نمیگنجه ، چون اصولا" آنهائی که فایروال بیلدر رو نوشته اند ، هدف و انگیزه دیگری داشتند ، و این برنامه در جمع کاربرد دیگری داره . رابط تحت ویندوزش رو بگیر ، و برای IPTables روی لینوکس ات رول تعریف کن و خلاص . اینها دو مقولهء کاملا" جدا هستند .

موفق باشی

خیلی بحث جامع و جالب بود آقای اینپرایز واقعا استفاده کردیم

با تشکر