[FLUG] Re: Firewall

• From: Romano Romano <blueraven@xxxxxxxxx>
• To: fanolug <fanolug@xxxxxxxxxxxxx>
• Date: Tue, 23 Apr 2002 10:19:47 +0200

Mailing List del Fortunae LUG
=============================

On Mon, Apr 22, 2002 at 08:09:02PM +0200, Bolognini wrote:

> su cosa basate voi i vostri firewall?? IPTABLES o IPCHAINS ? Che vantaggi
> offre uno rispetto all'altro? Considerando che da quanto ho capito iptables

Io ho usato fino a poco tempo fa ipchains, poi sono passato a iptables.
Trovo che il secondo sia molto superiore al primo e non solo perche' ne e'
la naturale evoluzione.
In primo luogo, e' stato riorganizzato ed ottimizzato il modo in cui i
pacchetti attraversano le catene: finalmente, se il firewall deve solo
smistare i pacchetti, non e' piu' necessaria la doppia apertura delle porte
sulle catene INPUT e FORWARD, il filtraggio puo' essere fatto integralmente
su quest'ultima.
E' diventato molto piu' semplice effettuare i giochetti con gli indirizzi
sorgenti e di destinazione, il cui supporto in iptables e' nativo e non
richiede, pertanto, programmi aggiuntivi.
Finalmente, il firewall ha capacita' di stateful inspection, il che permette
di scrivere regole efficaci in pochissime righe, a tutto vantaggio della
chiarezza e, di conseguenza, con minore probabilita' di errori.
Infine, iptables e' anche facilmente estendibile, in quanto trattasi di un
sistema pensato per essere modulare.
Pertanto, se in futuro si vorranno implementare nuove funzionalita',
bastera' scrivere i moduli appropriati, senza cambiare il core layer.
Ci sono anche altre novita' minori, ma importanti, come la possibilita'
di limitare e personalizzare i log, di stabilire come si deve rispondere a
un pacchetto non accettato, di effettuare controlli sul MAC address e sul
TOS etc. etc.
Io lo consiglio senza riserve.

> è molto + difficile e che esistono diversi script di transizione... si può

Non e' vero che e' piu' difficile, se conosci ipchains devi solo
impadronirti di pochi concetti differenti.
Io ci ho messo mezza giornata a impararlo da zero e se l'ho fatto io lo puo'
fare chiunque.

> fare (o è una porcata) lo scrivere lo script di firewalling in ipchains e
> convertirlo in iptables?

Puoi anche usare lo script ipchains cosi com'e', iptables ha un modulo per
la compatibilita', ma e' ovviamente consigliabile scriverlo specificamente
per netfilter.

> Ho già scaricato gli howto ufficiali e mi appresto a querare Google per

A me sono bastati e avanzati quelli, quindi non ho cercato altro.
Buon lavoro! :-)

-- 
Romano Romano

Se non e' tutto chiaro, regolate i parametri di brightness
e contrast della vostra mente ( Simon ).
--
http://10.0.100.201/fanolug/

• References:
  • [FLUG] Firewall
    • From: Bolognini

Other related posts:

• » [FLUG] Firewall
• » [FLUG] Re: Firewall

1. Home
2. fanolug
3. Archive
4. 04-2002

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---