[Linux-Biella] firewall .. alternativa ad iptables

[Marco Ermini]

On 6/3/06, Andrea Ferraris <andrea.ferraris a gmail.com> wrote:
[...]
> Sembra un buon progetto,

A me sembra un valido progetto per un master o una tesi. Sicuramente
un buon modo per prendere confidenza con un certo tipo di
programmazione.


> pero` mi pare che manchi una parte (ma ormai
> credo sia troppo tardi), ovvero una comparazione approfondita e accurata
> con le centinaia di software che fanno cose analoghe appoggiandosi su
> iptables o anche no, che ne giustifichi la necessita` (a questo punto e`
> un'attivita` che viene lasciata al lettore o meglio, all'utente prima di
> decidere se provarlo).
> D'altronde e` una cosa che manca alla maggior parte dei progetti - e fa
> tristezza - anche a quelli Open Source, che in questo modo perdono il
> vantaggio fondamentale di essere aperti e cioe` quello di costruire su
> cio` che e` gia` stato fatto e testato.
> E' l'hybris umana. Bel periodo il medioevo, quando sapevano di essere
> nani sulle spalle di giganti.

A me pare che voglia semplicemente fornire a Linux qualcosa di simile
al firewall integrato di Windows XP - ovvero un firewall semplice,
gestibile da un "utonto" e che non richieda privilegi di root per
modificarne le regole.

L'idea è sicuramente buona.


> Da un punto di vista pratico, senza nulla togliere al progetto, credo
> che attualmente ci siano meno bachi e piu` features (da tutti i punti di
> vista) in iptables che in questo, per una mera questione statistica di
> ore di sviluppo/test e di numero di utenti, quindi

> se come utente
> dovessi scegliere qualcosa ora, molto probabilmente sceglierei un sw
> basato su iptables, che ha costruito su di esso un'interfaccia user
> friendly.

Il fatto è che con iptables devi necessariamente avere dei privilegi
di root per modificare le regole. Inoltre, non è possibile per utenti
diversi mettere mano contemporaneamente a set di regole diverse sullo
stesso sistema.

E per fare questo, dovresti cambiare talmente iptables che lo
snatureresti. E per fare questo ti serve per forza un modulo del
kernel. Insomma, da questo punto di vista sono d'accordo con lui: ha
fatto benissimo a scrivere una cosa da zero - il suo scopo non è
copiare iptables, ma fornire un aiuto ai sistemi desktop.

Tu come utente esperto sceglieresti iptables, ma se io dovessi
assemblare una distro da zero specificamente per i desktop di una lan,
potrei benissimo pensare ad una cosa del genere.

Non mi sono chiare un po' di cose:

1) come interagisce questo sistema con iptables? possono convivere?
oppure chi viene caricato prima, viene processato prima? o siamo
nell'entropia pura?

2) la sua gestione del NAT è quanto meno discutibile: la
discriminazione è in base alla classe della rete, ovvero - rete di
classe privata = sorgente del NAT... sic! e se io usassi classi
diverse per la mia rete? e per fare NAT in DMZ? non posso usarlo...

3) guardando molto velocemente il suo codice, mi pare che gestisca
autonomamente i counter TCP dopo una connessione NAT. Questo manda a
farfalle i TCP syncookies ed espone ad un possibile baco di sicurezza
(quanto meno, impedisce di usare questa protezione).

Comunque, sono dettagli rispetto a quello che ha fatto, mi sembra una
buona idea. Spero che continui così.


> Certo che per sviluppare una cosa del genere si deve conoscere bene
> iptables, mentre per una cosa nuova non e` necessario.

Mi sembra più difficile ricreare qualcosa del genere che non mettersi
a smanettare su un prodotto già testato e funzionante. Tanto di
cappello al ragazzo...

I "kernel-hacker" in Italia sono al massimo due o tre. Il ragazzo si
candida in questa elite...


Cordiali saluti
-- 
Marco Ermini
Dubium sapientiae initium. (Descartes)
root a human # mount -t life -o ro /dev/dna /genetic/research
http://www.markoer.org/ - https://www.linkedin.com/in/marcoermini