[Linux-Biella] firewall .. alternativa ad iptables

[Matteo Cisilino]

Marco Ermini wrote:
> On 6/3/06, Andrea Ferraris <andrea.ferraris a gmail.com> wrote:
> [...]
>> Sembra un buon progetto,
>
> A me sembra un valido progetto per un master o una tesi. Sicuramente
> un buon modo per prendere confidenza con un certo tipo di
> programmazione.
>
>
>> pero` mi pare che manchi una parte (ma ormai
>> credo sia troppo tardi), ovvero una comparazione approfondita e accurata
>> con le centinaia di software che fanno cose analoghe appoggiandosi su
>> iptables o anche no, che ne giustifichi la necessita` (a questo punto e`
>> un'attivita` che viene lasciata al lettore o meglio, all'utente prima di
>> decidere se provarlo).
>> D'altronde e` una cosa che manca alla maggior parte dei progetti - e fa
>> tristezza - anche a quelli Open Source, che in questo modo perdono il
>> vantaggio fondamentale di essere aperti e cioe` quello di costruire su
>> cio` che e` gia` stato fatto e testato.
>> E' l'hybris umana. Bel periodo il medioevo, quando sapevano di essere
>> nani sulle spalle di giganti.
>
> A me pare che voglia semplicemente fornire a Linux qualcosa di simile
> al firewall integrato di Windows XP - ovvero un firewall semplice,
> gestibile da un "utonto" e che non richieda privilegi di root per
> modificarne le regole.
>
> L'idea è sicuramente buona.
>
>
>> Da un punto di vista pratico, senza nulla togliere al progetto, credo
>> che attualmente ci siano meno bachi e piu` features (da tutti i punti di
>> vista) in iptables che in questo, per una mera questione statistica di
>> ore di sviluppo/test e di numero di utenti, quindi
>
>> se come utente
>> dovessi scegliere qualcosa ora, molto probabilmente sceglierei un sw
>> basato su iptables, che ha costruito su di esso un'interfaccia user
>> friendly.
>
> Il fatto è che con iptables devi necessariamente avere dei privilegi
> di root per modificare le regole. Inoltre, non è possibile per utenti
> diversi mettere mano contemporaneamente a set di regole diverse sullo
> stesso sistema.
>
> E per fare questo, dovresti cambiare talmente iptables che lo
> snatureresti. E per fare questo ti serve per forza un modulo del
> kernel. Insomma, da questo punto di vista sono d'accordo con lui: ha
> fatto benissimo a scrivere una cosa da zero - il suo scopo non è
> copiare iptables, ma fornire un aiuto ai sistemi desktop.
>
> Tu come utente esperto sceglieresti iptables, ma se io dovessi
> assemblare una distro da zero specificamente per i desktop di una lan,
> potrei benissimo pensare ad una cosa del genere.
>
> Non mi sono chiare un po' di cose:
>
> 1) come interagisce questo sistema con iptables? possono convivere?
> oppure chi viene caricato prima, viene processato prima? o siamo
> nell'entropia pura?
>
> 2) la sua gestione del NAT è quanto meno discutibile: la
> discriminazione è in base alla classe della rete, ovvero - rete di
> classe privata = sorgente del NAT... sic! e se io usassi classi
> diverse per la mia rete? e per fare NAT in DMZ? non posso usarlo...
>
> 3) guardando molto velocemente il suo codice, mi pare che gestisca
> autonomamente i counter TCP dopo una connessione NAT. Questo manda a
> farfalle i TCP syncookies ed espone ad un possibile baco di sicurezza
> (quanto meno, impedisce di usare questa protezione).
>
> Comunque, sono dettagli rispetto a quello che ha fatto, mi sembra una
> buona idea. Spero che continui così.
>
>
>> Certo che per sviluppare una cosa del genere si deve conoscere bene
>> iptables, mentre per una cosa nuova non e` necessario.
>
> Mi sembra più difficile ricreare qualcosa del genere che non mettersi
> a smanettare su un prodotto già testato e funzionante. Tanto di
> cappello al ragazzo...
>
> I "kernel-hacker" in Italia sono al massimo due o tre. Il ragazzo si
> candida in questa elite...
>
>
> Cordiali saluti
Questa è una bellisma critica costruttiva. Che potresti fare
direttamente a Giacomo ( user jacum sul forum ALP ).

Mandi
Matteo