Linux e Firewall

[madforthenet]

ciao
vorrei installare e configurare un bel firewall che avesse + o - le stesse prestazioni di certi prog win tipo zone alarm o il firewall di macafee.
potreste darmi dei consigli in merito ?
ciao

[l.golinelli]

1) Un Firewall è MEGLIO di qualsiasi di quei prog per Winzoz
2) Usa IPTABLES

[PiloZ]

o se sei come me alle prime armi con firewall su linux prova:
guardog unisce il semplice al dilettevole

[Cosmo]

Quote:

Originariamente inviato da madforthenet
ciao
vorrei installare e configurare un bel firewall che avesse + o - le stesse prestazioni di certi prog win tipo zone alarm o il firewall di macafee.
potreste darmi dei consigli in merito ?
ciao

Parli di prestazioni oppure di facilità d'uso?
Perché le due cose *non* vanno d'accordo, _mai_.
Cmq, se vuoi mantenere le cattive abitudini che avevi con Windows puoi usare programmi come lokkit oppure firestarter. Funzionano come quei programmi di cui hai scritto:
yes--->yes--->yes--->ok
Altrimenti:
http://www.linuxguruz.com/iptables/h...les-HOWTO.html
saluti

[madforthenet]

Quote:

Originariamente inviato da Cosmo
Parli di prestazioni oppure di facilità d'uso?
Perché le due cose *non* vanno d'accordo, _mai_.
Cmq, se vuoi mantenere le cattive abitudini che avevi con Windows puoi usare programmi come lokkit oppure firestarter. Funzionano come quei programmi di cui hai scritto:
yes--->yes--->yes--->ok
Altrimenti:
http://www.linuxguruz.com/iptables/h...les-HOWTO.html
saluti

intanto grazie , poi perchè parli di cattive abitudini con win ? a cosa ti riferisci in particolare ?
a me sembra che quei prog sotto win funzionino bene, che poi sia win ad avere delle pecche questo è un altro discorso
vorrei una via di mezzo, se le prestazioni comprtano molte difficoltà meglio stare in mezzo. a configurare quei prog sotto win, richiedo scusa x il riferimento, non ho mai avuto problemi
facciamo così ditemene 2:
-il migliore come prestazioni
-il migliore come compromesso
poi li provo e vedo se sono capace di usarli
che li possa installare normalmente su mandrake 9.2 naturalmente.
ciao

[Ikitt_Claw]

Quote:

Originariamente inviato da madforthenet
intanto grazie , poi perchè parli di cattive abitudini con win ? a cosa ti riferisci in particolare ?

Lui non lo so, io penso al fatto che proibire l'accesso/ingresso alla rete a livello applicazione anziche` protocollo mi pare assai poco furbo come approccio. Trojan e Spyware possono agire praticamente indisturbati.

Quote:

a me sembra che quei prog sotto win funzionino bene,

In effetti, rimembrando le mie esperienze, quel che fa roba tipo ZoneAlarm lo fa anche benino, e` tutto l'approccio che secondo me e` criticabile.

Quote:

-il migliore come prestazioni
-il migliore come compromesso

Fatico a cogliere la distinzione. Il firewall sotto Linux e` uno ed uno solo (praticamente), netfilter. Il resto sono frontend, o frontend ai frontend.
Probabilmente per te la cosa migliore e` provare una GUI tipo guarddog o shorewall o un'altra ancora tra le tante disponibili.

Tenendo presente che non sono loro il firewall, ma solo un'interfaccia, piu` o meno comoda e ben fatta, al medesimo.

[stuart]

guarddog
sia con ipchains sia con iptables và bene
e non provarne altri, configurati bene lui e sei a posto

[Cosmo]

Quote:

Originariamente inviato da stuart
guarddog
sia con ipchains sia con iptables và bene
e non provarne altri, configurati bene lui e sei a posto

Per configurarlo *bene* è necessario conoscere iptables - e se conosci bene quest'ultimo, Guarddog è, IMHO, inutile.
saluti

[stuart]

allora, a parte che guarddog lo puoi usare come scritto da me sopra anche con ipchains e quindi se anche non conosci iptables funzia bene lo stesso, io ho iniziato ad usare guarddog quando di iptables non ne conoscevo uan cippa, e mi ha aiutato
ancora adesso uso uno script di guarddog leggermente modificato e passa i test che si trovano su internet, nmap mi dà aperte solo le porte che voglio io ecc
onestamente cosa vuoi di più?
cosa cambia fra uno script fatto da te e uno fatto da guarddog?
dimmi, cosa pensi che sia guarddog?
è solo un frontend grafico per iptablese ipchains, per facilitare l'apertura di porte (ad es per programmi di p2p)
l'autore del post ha chiesto un programma che avesse più o meno le stesse caratteristiche dei programmi windows, non ha chiesto di fare uno script iptables per il suo pc!
e la tua frase "per configurarlo bene è necessario conoscere iptables"
mi dici dove stà scritto una cosa del genere?
ho emerso guarddog adesso, ho aperto l'interfaccia grafica, aperto la guida e non ho trovato niente del genere
da quello che hai detto mi pare che tu abbia parlato senza averlo mai usato
comunque ti riporto quello scritto nell'help, così magari al posto di criticare un progetto VALIDO ci pensi un pochino la prossima volta:
Why use Guarddog


Easy to use goal oriented user interface. You say what the firewall should do without having to explain all the details of how it should do it.


Application protocol based. Unlike other tools, Guarddog does not require you to understand the ins and outs of IP packets and ports. Guarddog takes care of this for you. This also reduces the chances of configuration mistakes being made which are a prime source of security holes in computer systems.


Doesn't just generate an initial firewall and forgets it. Guarddog is used to maintain and modify the firewall in place.


Can be used in workstation and router configurations.


Allows you to divide your network into groups of machines and control what network protocols are allowed between them.


Works on the older Linux kernel 2.2 series ipchains firewall subsystem, and also on newer Linux kernel 2.4 netfilter/ iptables firewall subsystem.


Takes advantage of advanced Linux kernel 2.4 features such as connection tracking and rate limited logging.


Licensed under the terms of the GPL. Is Free and will remain Free.

[Cosmo]

Su una cosa hai ragione: mai usato Guarddog - ma se è per questo non ho mai usato nessun frontend grafico né per ipchains né per iptables.
Sul resto c'è poco da dire: a parte il fatto che hai interpretato una critica generale all'uso dei frontend come una critica particolare verso Guarddog, l'idea che si possa configurare in modo adeguato un firewall senza sapere quello che si sta facendo *esattamente* è ridicola e mi ricorda assai l'approccio usato da un diffuso sistema operativo di una nota software house statunitense.
saluti

[madforthenet]

chiedo scusa a tutti in effetti x abitudini passate confondevo il programma vero e proprio con la sua interfaccia grafica che ne può o meno facilitare l'uso.
certo è una cosa bella ed auspicabile sapere sempre ciò che si sta facendo in modo da poter sempre fermarsi fare un passo indietro e correggere gli errori o scoprire strade nuove.
bisogna tener sempre presente una cosa non tutti vogliono o possono spendere del loro tempo, o hanno o meno le capacità o la preparazione x dedicarsi allo studio di programmi o sistemi operativi x usare un pc a queste persone i programmi a prova di stupido fanno comodo per configurare al meglio un pc anche se non sapranno mai esattamente cosa stanno facendo come dice Cosmo.
eppure anche in questo caso non mi sembra che questa sia una cosa così negativa in quanto permette a tutti tecnici e non di entrare in un mondo meraviglioso e dal quale non si può ormai prescindere senza avere capacità particolari acquisendo un minimo di conoscenze x fare solo le cose necessarie x creare cd audio , navigare sicuri in internet ed altro.
certo da un punto di vista strettamente tecnico hai ragione cosmo , ma ciò non credo sia valido x tutti
ad es io dopo anni di uso di win sto lentamente passando a Linux x scelta, ma ciò mi sta costando tempo x imparare tante cose e a me sta bene, non tutti però vogliono o possono fare altrettanto.
comunque vi ringrazio x i suggerimenti e se ne avete altri sono pronto ad acsolatarvi
ciao

[stuart]

Quote:

Originariamente inviato da Cosmo
Su una cosa hai ragione: mai usato Guarddog - ma se è per questo non ho mai usato nessun frontend grafico né per ipchains né per iptables.
Sul resto c'è poco da dire: a parte il fatto che hai interpretato una critica generale all'uso dei frontend come una critica particolare verso Guarddog, l'idea che si possa configurare in modo adeguato un firewall senza sapere quello che si sta facendo *esattamente* è ridicola e mi ricorda assai l'approccio usato da un diffuso sistema operativo di una nota software house statunitense.
saluti

vedo che continui a criticare il programma pur ammettendo di non averlo usato
allora ti spiego io come funziona, visto che con windows a differenza di quello che tu affermi (sempre senza averlo mai provato) non c'entra una mazza

facciamo un confronto:
io sono un utente
ho bisogno di uno script iptables
la cosa che mi interessa sono:
http, https, dns, smtp, pop3, la porta 873 per il rsync di gentoo e le porte di edonkey per usarlo
allora faccio il mio scriptino che partirà ovviamente dal tutto chiuso ed aprirò la porta 80 per l'http ecc

sono sempre lo stesso utente
ho bisogno delle stesse porte ed utilizzo guarddog
in trenta secondi sbarrando le caselle http, https, dns, smtp, pop3, la casella di edo (4661,4662,4666); mi manca la porta 873 tcp rsync ed allora vado su avanzate, metto il nome della porta, del protocollo, sbarro la casella ed il firewall è fatto
ovviamente anche da guarddog come per l'utente avnazato di iptables si parte dal tutto chiuso

ed allora, dimmi cosa ci trovi di tanto uguale con l'approccio usato da un diffuso sistema operativo di una nota software house statunitense?

ultimamente ho installato pe un mio amico il norton
mamma mia, quello sì concede autorizzazioni a destra e a manca ed autorizza un casino di roba senza che uno se ne accorga (compresi tutti i bei protocolli di mamma microsoft)

il paragone che tu hai fatto con i firewall di windows è campato per aria

mi spiace se mi scaldo, niente di personale, solo informazioni




p.s. avevo usato anche un altro front-end di nome bastille
lui usava ipchains e di DEFAULT lui sì apriva le porte più comuni (80, 25 ecc)
guarddog no

[mingotta]

Non sapevo neanche dell'esistenza di Guarddog, ma adesso quando ho un po' più di tempo andrò sicuramente a dargli un'occhiata.

Concordo sul fatto che conviene risparmiare tempo se il risultato del lavoro è il medesimo. L'atteggiamento di Cosmo denota superbia e ignoranza. Siamo tutti d'accordo che imparare ad usare iptables è un modo didattico per imparare il funzionamento di netfilter, ma non è certo l'unico, e ognuno trova la sua strada come meglio crede.

Link al sito ufficiale: http://www.simonzone.com/software/guarddog/
Nota di rilievo: il progetto è iniziato nell'agosto 2000, ed è tuttora actively maintained.

[Cosmo]

Quote:

Originariamente inviato da mingotta
Concordo sul fatto che conviene risparmiare tempo se il risultato del lavoro è il medesimo. L'atteggiamento di Cosmo denota superbia e ignoranza. Siamo tutti d'accordo che imparare ad usare iptables è un modo didattico per imparare il funzionamento di netfilter, ma non è certo l'unico, e ognuno trova la sua strada come meglio crede.

Rispondo per punti:
1) il risultato non è il medesimo: chi lo scrive non ha la più vaga idea di quello che dice; lo stesso fan di Guarddog scrive: "Cosa vuoi di più?" ben consapevole che quello che ottiene è sufficiente per lui, ma può non esserlo per qlcn altro.
2) qui l'*unico* ignorante è chi scrive :" imparare ad usare iptables è un modo didattico per imparare il funzionamento di netfilter, ma non è certo l'unico "
L'altro quale sarebbe? Cliccare su un'interfaccia grafica?
saluti

[Cosmo]

Quote:

Originariamente inviato da stuart
vedo che continui a criticare il programma pur ammettendo di non averlo usato

Permettimi una domanda: non sai leggere o mi stai flammando?
Cosa non capisci della frase: "(...) a parte il fatto che hai interpretato una critica generale all'uso dei frontend come una critica particolare verso Guarddog (...)"?
saluti
ps non rispondermi, non è necessario. Abbiamo idee diverse su come vanno fatte le cose. Ne prendo atto e la chiudo qui.
saluti

[stuart]

Quote:

Originariamente inviato da Cosmo
Permettimi una domanda: non sai leggere o mi stai flammando?

qua nessuno faceva flame, mi sembra
e anche se a te suona strano sò leggere

Quote:

Cosa non capisci della frase: "(...) a parte il fatto che hai interpretato una critica generale all'uso dei frontend come una critica particolare verso Guarddog (...)"?

vedo che te non hai neanche letto le mie considerazioni, mi spiace

Quote:

ps non rispondermi, non è necessario. Abbiamo idee diverse su come vanno fatte le cose. Ne prendo atto e la chiudo qui.
saluti

saluti anche a te, chiusa anche per me

[mingotta]

Quote:

Originariamente inviato da Cosmo
2) qui l'*unico* ignorante è chi scrive :" imparare ad usare iptables è un modo didattico per imparare il funzionamento di netfilter, ma non è certo l'unico "
L'altro quale sarebbe? Cliccare su un'interfaccia grafica?
saluti

Esatto, bravo! Proprio cliccare su un interfaccia grafica!
Ti sembrerà strano ma è proprio così che comincia la maggior parte delle persone!
Poi c'è chi va avanti e chi si ferma all'interfaccia grafica, ma è evidente che le interfacce grafiche esistono proprio per dare all'utente una visione generale del funzionamento di un certo programma.

[Cosmo]

Quote:

Originariamente inviato da mingotta
ma è evidente che le interfacce grafiche esistono proprio per dare all'utente una visione generale del funzionamento di un certo programma.

Abbiamo una concezione differente del significato della parola "funzionamento"
saluti

[carmine65]

Ciao,

a parte la disputa ( mi sembra ci sia poco dialogo...) ...
io uso questo script "già pronto" che trovate a questo link

http://rocky.molphys.leidenuniv.nl/

è molto semplice da installare è, mi sembra, funzioni alla perfezione: passo tutti i test in rete.
Poi, per quanto riguarda i dettagli tecnici, accetto spiegazioni e commenti.

ciaooooo.

[Ikitt_Claw]

Quote:

Originariamente inviato da Cosmo
Abbiamo una concezione differente del significato della parola "funzionamento"

A quanto pare la tua concezione e` molto simile alla mia.

Cosa c'entra col topic?
a parer mio il firewalling e` uno di quei campi in cui "un'idea generale del funzionamento" NON basta, e anzi fa piu` danni che altro.
Il famoso "falso senso di sicurezza".