Mailing List del Fortunae LUG ============================= On Mon, Apr 22, 2002 at 08:09:02PM +0200, Bolognini wrote: > su cosa basate voi i vostri firewall?? IPTABLES o IPCHAINS ? Che vantaggi > offre uno rispetto all'altro? Considerando che da quanto ho capito iptables Io ho usato fino a poco tempo fa ipchains, poi sono passato a iptables. Trovo che il secondo sia molto superiore al primo e non solo perche' ne e' la naturale evoluzione. In primo luogo, e' stato riorganizzato ed ottimizzato il modo in cui i pacchetti attraversano le catene: finalmente, se il firewall deve solo smistare i pacchetti, non e' piu' necessaria la doppia apertura delle porte sulle catene INPUT e FORWARD, il filtraggio puo' essere fatto integralmente su quest'ultima. E' diventato molto piu' semplice effettuare i giochetti con gli indirizzi sorgenti e di destinazione, il cui supporto in iptables e' nativo e non richiede, pertanto, programmi aggiuntivi. Finalmente, il firewall ha capacita' di stateful inspection, il che permette di scrivere regole efficaci in pochissime righe, a tutto vantaggio della chiarezza e, di conseguenza, con minore probabilita' di errori. Infine, iptables e' anche facilmente estendibile, in quanto trattasi di un sistema pensato per essere modulare. Pertanto, se in futuro si vorranno implementare nuove funzionalita', bastera' scrivere i moduli appropriati, senza cambiare il core layer. Ci sono anche altre novita' minori, ma importanti, come la possibilita' di limitare e personalizzare i log, di stabilire come si deve rispondere a un pacchetto non accettato, di effettuare controlli sul MAC address e sul TOS etc. etc. Io lo consiglio senza riserve. > è molto + difficile e che esistono diversi script di transizione... si può Non e' vero che e' piu' difficile, se conosci ipchains devi solo impadronirti di pochi concetti differenti. Io ci ho messo mezza giornata a impararlo da zero e se l'ho fatto io lo puo' fare chiunque. > fare (o è una porcata) lo scrivere lo script di firewalling in ipchains e > convertirlo in iptables? Puoi anche usare lo script ipchains cosi com'e', iptables ha un modulo per la compatibilita', ma e' ovviamente consigliabile scriverlo specificamente per netfilter. > Ho già scaricato gli howto ufficiali e mi appresto a querare Google per A me sono bastati e avanzati quelli, quindi non ho cercato altro. Buon lavoro! :-) -- Romano Romano Se non e' tutto chiaro, regolate i parametri di brightness e contrast della vostra mente ( Simon ). -- http://10.0.100.201/fanolug/