IPchains Vs IPtables

[antidot]

IPchains Vs IPtables

מה דעתכם על שני אלה, בעד ונגד ? לי אישית יצא להתקין IPCHAINS לאחרונה והייתי רוצה לשמוע את הבע ונגד שני אלה. כעקרון המטרה זה מחשב לינוקס שכל תפקידו הוא FIREWALL המפריד בין הLAN לראוטר (הראוטר מבצע NAT והסגמנט הפנימי של הרשת מבוסס כתובות פיקטיביות - 10.0.0.0 ) מה ההמלצות שלכם במקרה כזה ? יש טעם בIPMASQ בלינוקס עם יש גם ככה NAT ? על איזו הפצה רצוי להריץ את הFW ? (אנא, תחסכו לעצמכם את מלחמות הקודש על ההפצות, אני מבקש דעה מקצועית ומנומקת). מה היתרונות של IPTABLES על IPCHAINS ומתי עדיף להשתמש במה ? תודה מראש, Antid0t

 

[dux]

עדיף IPCHAINS

עובד לא רע בכלל כבר 12 שעות, עיקר הבעיה היא עם צריבת ה Image של סוסה אבל זה עובד טוב גם בלי IPTABLES.

 

[ezaton]

אני בעד IpTables

משתמש בו כבר כחצי שנה. העדפה (אבל זה יבוא כשאני אבנה מערכת חדשה) על רדהאט 7.2, סיבה - בנוסף לכל השמונצים הרגילים, מספק לוג שמרכז את כל הפניות הרגילות למערכת, ומוסיף את הלא תקינות (לדוגמא - בקשת ריליי לא חוקי מסנדמייל). הוא כולל כבר בתוכי TripWire (כלי לבדיקה מדגמית של נסיונות חדירה דרך זיוף שירות נפוץ לגבי הפורץ שמנסה לחדור, ובכך מאפשר לבחון את שיטות החדירה המודרניות ביותר). המערכת הנוכחית שלי היתה פעם מנדרייק שנחתך קשות כדי להיות מינימאלי, כוללת קרנל שקומפל במיוחד בשבילו, שמריץ IPTables. אני אישית לא יודע מספר פרטים עליך שיכולים להיות משמעותיים לתשובה. איך אתה מחובר? ADSL? אם כן, איזה מודם יש לך? (אורכית?) - IpTables מציעה פיתרון יפה למאסק ולאורכית, שאיתה יש בעיה ידועה של MTU ו MRU. עוד פרט - גם כשאתה משתמש עם הפצה חדשה ב IpChains, למעשה אתה משתמש במודול ל IpTables שיודע לתרגם את הסקריפט של IpCahins ל IpTables. לתשומת ליבך - IpTables הוא חלק מהקרנל - הוא מנוע ה Packet Filtering של ליבת הלינוקס. פרט נוסף - IpTables מאפשר לך מספר כלים חזקים יותר, לבדיקת תוכן Packets, לבדיקת עומס יחסי על פי זמן ומקור, ישנם מודולי זיהוי סריקת פורטים, ועוד. אנחנו מדברים על כלי חזק למדי. אני מחבב אותו מאוד. Ez

 

[antidot]

ידידי היקר

כפי שאתה רואה, לא סתם עשיתי לך מוות בניסיון לעבור לIPTABLES. ראה תשובה מפורטת למטה. Ez : תודה על התשובה Antid0t

 

[דורון אופק]

שתיתם משהו על הבוקר ??

שני התצורות מהוות יכולת filering שיש ל kernel של הלינוקס .. האחת ישנה יותר ועובדת על מערכת חוקים סיריאלי קבוע .. החדשה יותר מממשת מעין מבנה של פרמידה במערכי החוקים השונים .. הישנה יותר חלשה יותר ולמעשה עשויה להוות firewall ביתי .. החדשה יותר הינה סביבה חזקה יותר כתוצאה מהמבנה המורכב שלה ויכולה להוות firewall גם במימד עסקי .. 2 התוכניות מצריכות מודולים משלהם בתוך ה kernel - אי אשפר לפיכך להפעיל את 2 התוכניות בו זמנית על אותו מחשב (יותר נכון אותו kernel ) 2 התוכניות שדיברתם עליהם מהוות בסה"כ את ממשק המשתמש להכנסת חוקי ה filer אל ה kernel .. לפיכך די ברור לחלוטין שיש עדיפות ברורה ל iptables

 

[ezaton]

דורון, כמה שאני אוהב אותך

ובכל זאת, הקרנל מסנן כפי שבא לו. הכלי IPTABLES או IPCHAINS תלוי במודול שקובע איך תגדיר את הדברים למערכת, ולא איך הם יעבדו, משמע - המודול שמדמה את הכלי הישן יותר יודע לקבל את מערך החוקים כפי שמוגדר בישן (גם באופן הלודי של העניין) ולתרגם אותו למערכת חוקים שהקרנל מבין, שהיא, אגב, חדשה יותר. (כמו לחבר מקלדת קטנה ומצומצמת (כדוגמת אלו של לפטופים) למחשב ולטעון שזה משנה לנו את איך המחשב מקבל ומבין את הפקודות. לא. זה משנה את איך אנחנו נקליד אותן, וזהו). Ez

 

[דורון אופק]

הוא לו מסנן איך שבא לו ..

אם הוא היה עושה מה שבא לו היינו כולנו בצרות צרורות .. בקשר לשאר יש צדק רב בדבריך .. למעשה מודול הישן יודע לקבל סידרה של חוקים כאשר המסננים מופעלים עליהם בזה אחר זה (בצורה סדרתית), אגב, יש שם כמה מסננים שאנחנו בכלל לא יכולים לגעת בהם .. ואם אנו עובדים בצורה כזו , על אף שחידשו את הקוד, נהיה מוגבלים ביכולת ליצור chains למינהם .. ה - iptables נותן לנו גם את היכולת לבצע הזזה, שינוי והוספה של chains שונים ולעשה הוא גמיש יותר .. ב2 המקרים הכלים הם כמו שאמרת הדרך שלנו להעביר אל ה kernel מערך של חוקים מרגע העברת מערך החוקים , כל הנושא הוא בשליטת ה kernel (החוקים למעשה מתיישמים בתוך ה kernel ). מה שאומר גם שמאותו רגע שהחוקים ב kernel מי בכלל צריך את מערכת ההפעלה ?? כלומר אם אני לא רוצה לשנות חוקים או להפעיל תוכניות אחרות אני יכול "לכבות" את המערכת. ** יש לציין שאני מת על הלינוקס שלי .. הוא כזה חכם ..

 

[ezaton]

כל זמן שתעזוב את init...

מסכן. הוא עובד הכי קשה. תעזוב אותו בצד, והכל יהיה בסדר

Ez