Prosba o radu

Jan Houstek houstek na karlin.mff.cuni.cz
Úterý Červenec 2 19:11:18 CEST 2002


> Nyní k dotazu. V soucasné dobe potrebuju vyvorit firewall na nejakém PC.
> Jediné co vím z jistotou, ze by na nem mel bezet Linux. Chtel bych pozádat o
> radu, jakou distribuci pouzít. Mela by splnovat následující pozadavky:
> - nemela by být prílis nárocná na PC.. ideálne tak P100
> [...]

Firewallu pro linux je hafo, viz serial SecurityProgz na root.cz.
Pokud nepotrebujete nejake zvlastni funkce, tak staci naprosto minimalni
distribuce s kernelem, ktery ma podporu ipchains (2.2) ci iptables (2.4).

Co se tyka vykonu PC, tak to zalezi na velikosti toku dat a na poctu a
slozitosti predpokladanych pravidel. Pro 10M ethernet a jednoducha
pravidla typu zvenku povolene vse, zevnitr nic az na vyjimky (www na www
server nekde uvnitr, smtp na postovni server nekde uvnitr, ...) bohate
staci i stara 486ka, ovsem na jeden firewall mezi Inetem a dvema 100M
ethernety s velkym, ktery mel cca 400 casto celkem slozitych pravidel
(napr. stavovy firewall je o dost narocnejsi nez jednoduchy paketovy
filtr), nestacil ani Celeron 366 na znackove desce ...

Na Inetu se jiste vali plno distribuci urcenych primo pro firewall, ale
pokud vezmete libovolnou "velkou" distribuci (RedHat, Suse, Debian ...) a
nebudete instalovat zadne volitelne baliky (krome iptables, jiste), patrne
nic moc nezkazite (jen budete muset povypinat veci, ktere nebudete
potrebovat). O iptables sel clanek na root.cz, myslim ze s nazvem "Stavime
Firewall", autor tusim M. Petricek.

> Na root.cz jsem cetl o OpenBSD ...

OpenBSD je jiny system nez linux, i kdyz je to stejne jako linux klon
UNIXu, takze hodne veci je velmi podobnych. Firewallovaci schopnosti maji
kernely obou systemu (na linuxu jiz zminene iptables, jmeno podobne veci
na OpenBSD z hlavy nevim), i kdyz vzdy muzete pouzit jiny firewall. Co se
tyka vhodnosti pro firewallove reseni, tak to je asi tema na pekne tucny
flame, takze se radeji zdrzim vyjadreni sveho nazoru :-))

-- Honza Houstek



Další informace o konferenci Linux