[gentoo-user-br] Firewalls. Gentoo? Qual kernel?

[gentoo-user-br] Firewalls. Gentoo? Qual kernel?

[Fabiano - deStilaDo]

[-- Attachment #1: Type: text/plain, Size: 1936 bytes --]

Senhores,

Eu sempre achei o Gentoo não muito ideal para firewalls devido a dinâmica do
Gentoo, a filosofia da segurança é baseada em estar sempre atualizado, com
as últimas correções. Eu particularmente prefiro essa filosofia do que a de
usar pacotes extremamente antigos, testados e estáveis. Mas firewall é um
caso a parte.

Por isso, mesmo usando Gentoo nos meus servidores (normelmente hardened 64),
o firewall eu costumava deixar um velho e Slackware, kernel 2.4, um sistema
que sempre foi muito estável e estático, pra deixar lá e esquecer -- só
lembrar quando receber algum e-mail da lista de atualizações de segurança do
slack.

Mas estou meio descontente com o rumo do Slackware ultimamente, não me
parece mais a base "rock solid" que eu costumava a confiar para um servidor
(slack já tem até kde4, hehe). Uma outra opção que costumam me recomendar é
Debian, mas esse não me desse garganta, não adianta, incompatibilidade de
gênios, não vai.

Então estava pensando em montar um firewall com Gentoo mesmo, um bom
Hardened 64, colocar um cron lá pra me enviar um e-mail com os affecteds do
glsa e instalar um IDS.

Porém, como vocês já devem saber, Linus decidiu há algum tempo que o kernel
agora é 2.6 e ponto. Não vai ter 2.8. Então agora o que era minor version
antes acaba funcionando na prática como major, tendo muita diferença de um
kernel 2.6.xx pra um 2.6.yy.

Então minha pergunta é: qual versão do kernel 2.6 vocês consideram mais
estável para deixar num firewall?

Outra opção que eu também estou considerando, com ótimas referências, porém
eu nunca fiz, é usar um OpenBSD para o firewall. Acho que não tem como
discordar que se o OpenBSD não for o mais, é um dos sistemas operacionais
mais seguros que existem hoje. (OpenBSD - "Only two remote holes in the
default install, in more than 10 years!" -
http://www.openbsd.org/security.html).

O que vocês acham?



Fabiano.

[-- Attachment #2: Type: text/html, Size: 2050 bytes --]

Re: [gentoo-user-br] Firewalls. Gentoo? Qual kernel?

[Eduardo Schoedler]

[-- Attachment #1: Type: text/plain, Size: 4201 bytes --]

Olá Fabiano!

Eu trabalho em um provedor... e quando entrei, mal conhecia OpenBSD e FreeBSD.
Mas acabei pegando gosto por essas distribuições, principalmente quando diz respeito ao firewall.

Eu cheguei à conclusão que Linux não serve de Firewall... pelo menos aquele iptables do inferno e suas milhares de flags ilegíveis.

O firewall do OpenBSD, o PF (Packet Filter) é muito bom... e faz QoS, com múltiplas disciplines (até mesmo HFSC).
Eu só não gostei do formato do arquivo de regras do PF... é a última regra que vale, a não ser que tenha "quick"... se vc não escrever as regras tomando um certo cuidado, se perde muito facilmente.

Já o FreeBSD possui tanto o PF quanto o IPFW.
Vale ressaltar que o PF do FreeBSD sempre está algumas versões atrás do PF do OpenBSD, de onde foi portado.

Já o IPFW é muuuuitooooo bom!
É muito fácil criar regras nele, como "deny ip from 192.168.1.1 to any out via fxp0"... só de ler a regra você entende.
Você ainda tem coisas como Dummynet, que faz controle de banda muito facilmente!
Com 4 linhas você consegue configurar uma banda default para todos os ips de uma rede... mas não é limitado pelo máximo (como o iproute2 e o PF fazem), e sim uma banda para cada IP.

Você faz isso batendo a máscara, vejam:
# Regra de upload dos clientes - Limita em 1Mbps CADA IP desse range
ipfw pipe 10 config mask src-ip 0x000000ff bw 1Mbits/s
ipfw add pipe 10 ip from 192.168.1.0/24 to any in recv fxp0

# Regra de dowload dos clientes - Limita em 1Mbps CADA IP desse range
ipfw add pipe 11 ip from any to 192.168.1.0/24 out xmit fxp0
ipfw pipe 11 config mask dst-ip 0x000000ff bw 1Mbits/s

Na minha opinião, uma das melhores coisas que podia acontecer com o Gentoo é eles darem continuidade ao projeto Gentoo-BSD.
Eu já fiz testes instalando ele em FreeBSD mais modernos, como a versão 7.0 (o projeto morreu na versão 5.4 se não me engano) e funcionou bacana, mas dava problemas.

Se isso acontecesse, eu teria servidores Gentoo-Linux e firewalls Gentoo-BSD... iria padronizar todo o ambiente do provedor.

Abraços,
Eduardo.

  From: Fabiano - deStilaDo 
  Sent: Friday, November 28, 2008 9:42 AM
  To: gentoo-user-br@lists.gentoo.org 
  Subject: [gentoo-user-br] Firewalls. Gentoo? Qual kernel?


  Senhores,

  Eu sempre achei o Gentoo não muito ideal para firewalls devido a dinâmica do Gentoo, a filosofia da segurança é baseada em estar sempre atualizado, com as últimas correções. Eu particularmente prefiro essa filosofia do que a de usar pacotes extremamente antigos, testados e estáveis. Mas firewall é um caso a parte.

  Por isso, mesmo usando Gentoo nos meus servidores (normelmente hardened 64), o firewall eu costumava deixar um velho e Slackware, kernel 2.4, um sistema que sempre foi muito estável e estático, pra deixar lá e esquecer -- só lembrar quando receber algum e-mail da lista de atualizações de segurança do slack.

  Mas estou meio descontente com o rumo do Slackware ultimamente, não me parece mais a base "rock solid" que eu costumava a confiar para um servidor (slack já tem até kde4, hehe). Uma outra opção que costumam me recomendar é Debian, mas esse não me desse garganta, não adianta, incompatibilidade de gênios, não vai.

  Então estava pensando em montar um firewall com Gentoo mesmo, um bom Hardened 64, colocar um cron lá pra me enviar um e-mail com os affecteds do glsa e instalar um IDS.

  Porém, como vocês já devem saber, Linus decidiu há algum tempo que o kernel agora é 2.6 e ponto. Não vai ter 2.8. Então agora o que era minor version antes acaba funcionando na prática como major, tendo muita diferença de um kernel 2.6.xx pra um 2.6.yy.

  Então minha pergunta é: qual versão do kernel 2.6 vocês consideram mais estável para deixar num firewall?

  Outra opção que eu também estou considerando, com ótimas referências, porém eu nunca fiz, é usar um OpenBSD para o firewall. Acho que não tem como discordar que se o OpenBSD não for o mais, é um dos sistemas operacionais mais seguros que existem hoje. (OpenBSD - "Only two remote holes in the default install, in more than 10 years!" - http://www.openbsd.org/security.html).

  O que vocês acham?



  Fabiano.

[-- Attachment #2: Type: text/html, Size: 6694 bytes --]