Про firewall

Просмотрел несколько готовых решений на базе Linux для создания firewall и учета трафика. Просмотренные варианты:

1) IPCop, IPFire
2) RedWall
3) IdecoICS
4) LEAF

4) IdecoICS -- комерческий вариант от российских разработчиков, ориентированный на интернет-провайдеров. Реализован на базе LFS или RedHat (очень сильно подстроен под нужды). Что-то настраивается в консоли, большая часть -- по Web-интерфейсу из Windows и спец-программы (настройка базы interbase). Настроить полностью из Linux не удасться. Через 70 дней (триал-период, полностью функциональный) вроде надо будет переустанавливать заново.

Подробнее: Ядро -- 2.4. Установка на машину предполагает затирание диска целиком и создание на нем трех разделов: ro (read-only), rw (read-write), bk (backup). При загрузке на ro проверяется CRC-сумма файлов и все файлы на ro помечаются (помечены)) как immutable (ничего изменить нельзя). Польователем root по умолчанию войти нельзя (без правки конфигов), получить консоль для login довольно хитро: надо на 8-консоли (там никаких приглашений нет) набрать слово login и только тогда появится промпт. Из особненностей можно отметить наличие демона для контроля над работой сервисов. Этот демон должен оповестить_админа-сбосить систему при возникновении проблем. При этом он кушает ну очень много процессорного времени (период опроса очень маловат). Что затрудняет оценку дистра в VirtualBox.

В общем, все сделано, чтоб более-менее знающему Linux человеку воспользоваться IdecoICS было трудно. Я первоначально установил дистр в VirtualBox, потом созданные разделы скопировал на свой gate (создал там три новых раздела), модифицировал загрузку (uuid) под новые разделы (и использовал для загрузки grub вместо lilo как в оригинале), удалил проверку на CRC и установку immutable, разрешил логиниться root. И только после этого более-менее ставло возможным протестировать особенности работы (свободноая машина с двумя сетевыми под рукой была, но вот незадача -- она со SCSI-диском, а IdecoICS для установки нужен IDE).

Но далее все работает более-менее нормально, настроил без проблем pptp-соединение с провайдером для выхода в интернет. После некоторых заморочек удалось настроить разрешние выхода в инет по IP (без необходимости устанавливать vpn-соединение каждой машины со шлюзом перед выходом ее в интернет)

Вот показ потребления трафика бедный -- только общее количество скаченного/выгруженного по пользователю-или_IP.

Надо сказать, изучал в целях понять, как правильно делать шлюз. Создалось впечатление, что указанную функциональность можно будет не так трудно сделать в Gentoo имеющимися в нем пакетами. Поэтому больше тратить время на IdecoICS (в нем нет исходников) не стал.

1) IPCop, IPFire. Решения на базе Linux From Scratch. Соответственно исходники есть. Но работать с ними после Gentoo непривычно. IPCop используется ядро 2.4, в IPFire экспериментальные версии используют ядро 2.6. При установке тоже хотят под себя целый диск и разбивают его на 3 раздела (boot, log, root). Все настраивается через www-интерфейс, который хорошо выглядит. Однако все испортило отсутствие возможности-неудача установить соединение с провайдеров по pptp. Ибо выяснилось, что IPCop поддерживает OpenVPN. А вот как работать в нем с pptp -- Google подсказать не смог. Попытка перенести настройки pptp с рабочей машинки Gentoo в IPCop не удалась (видно что-то с версией pptp в IPCop не то). Можно было заняться устанокой ядра 2.6, glibc, pptp нужной версии и тд -- но не захотелось. Ибо проще в Gentoo попытаться реализовать функциональность IPCop. Жалко, так и не удалось проверить IPCop-IPFire в боевых условиях (на деле)

2,4) RedWall декларирует себя как базирующийся на Gentoo. Но он так обрезан, что это ни в чем не выражается. Да и структура на диске -- очень своеобразная (опять разбираться?). Каких-либо исходников или описания процесса создания дистра -- не нашел.

LEAF -- дистрибутив на основе uClibc. А по технологии сборки пакетов похож на LFS. Возможно там есть полезные идеи. Но хочется не сильно отрываться от общей линии. А использование uClibc ограничивает возможные пакеты или добавляет при их сборке лишнюю головную боль.

Вывод: из линуксовых дистров так и не нашел ни одного готового, который открытый и можно было бы поэксплуатировать на Gate (в целях изучения)

Последний кандидат

Еще вот хочу попробовать SmoothWall. Это из той же серии, что и IPCop, IPFire. Предыдущие два откололись в свое время от SmoothWall. Страничка проекта выглядит получше, версия 3 (тестовая) использует почти новое 2.6-ядро (2.6.17, я сижу на 2.6.18), соответственно есть шанс, что pptp-настройки от Gentoo-box заработают в этом варианте.

эээМ...а фенту

эээМ...а фенту тут при чем-то? О___о

ну он вроде как

ну он вроде как дистр на основе генту хочет сделать, сам генту юзает вот и делиться успехами так сказать...

кто хочет дистр

кто хочет дистр сделоть?оО ТС чтоле?)
что-то я такого не замтели...

ну а как ты

ну а как ты думаеш - зачем все эти просмотры дистров ему? он хочет сваять что-то своё, взяв несколько идей у других.
ИМХО

Не, с LFS больше не связываюсь

Linux From Scratch -- это не для Gentoo-шника. Может для спеца по LFS все понятно и легко делается (как и в Gentoo)...

Скомпилировал pptp-client в SmoothWall (взял из Gentoo). Он не запустился. Установил свое ядро вместо родного. Опять неудача. Заменил родные glibc на свои. Не запускается. Установил из Gentoo ppp. Не помогает. И все ругается на невозможность открыть свободный pts.

Дистр использует devd. Прикручивать udev в LFS уже не стал.

План для реализации подобного в Gentoo: WebMin (для начала как web-конфигурилка)+ Shorewall (для firewall) + NetAms или stargazer (как допуск клиентов-пользователей и учет их трафика)

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".