Firewall Configuration

[Γιώργος Κεραμίδας]

On 2003-04-07 19:47, Βασιλειου Σπυρος <alfadeck at freemail.gr> wrote:
> Χαιρετε προς ολους.
>
> Εχω μια περιπτωση ενος δικτυου στην οποια χρειαζομαι ολιγον
> την βοηθεια σας διοτι δεν εχω ψαξει τα ipcahins.

> Ομως η διοικηση θελει πλεον τα εξης
> 1) Ολα τα συστηματα να εχουν προσβαση στον mail & ftp server
> 2) Κανενα συστηματα να μην εχει προσβαση σε HOTMAIL & MSN
> 3) Κανενα συστημα να μην βλεπει www και συναφεις σελιδες (πχ
>    χρηματηστηριο απο in.gr) με εξαιρεση ορισμενα PC (μαντεψτε ποια!)
> 4) Χρειαζομαι Τelnet εγω απο ολα τα εσωτερικα PC και 1 ΙΡ απο
>    εξωτερικο δικτυο.

Το 2) είναι εντελώς άχρηστο όταν υπάρχει το 3).. απλώς ξέχνα το.  Αν
κάνεις το 3) τότε έχεις αυτόματα πετύχει και το 2).  Αν και προσωπικά
θεωρώ πως το web είναι πηγή πληροφόρησης και ενημέρωσης των εργαζομένων
και είναι λίγο άσχημο να μπαίνουν περιορισμοί μαζικά, χωρίς να το ξέρουν
όλοι οι εργαζόμενοι, ή χωρίς πολύ σκέψη για το πως αυτό θα επηρεάσει τον
τρόπο δουλειάς τους, την απόδοσή τους σε αυτό που κάνουν, κλπ.

Σε μια αντίστοιχη περίπτωση μου ζητήθηκε να στήσω και να ρυθμίσω το mail
server εταιρείας έτσι που να καταγράφονται όλα τα γράμματα και να
γίνονται archive σε κεντρικό μηχάνημα, αλλά δεν δέχτηκα να το κάνω.
Ακόμα και σαν εξωτερικός συνεργάτης, θεωρώ πως ανήθικο να γίνει κάτι
τέτοιο χωρίς να έχει ενημερωθεί πρώτα ο κόσμος.  Απάντησα ότι μπορώ να
το κάνω, αλλά θέλω πρώτα να ενημερωθεί ο κόσμος ότι τα mail τους
γίνονται archive όταν τα στέλνουν ή κατεβάζουν από μηχανήματα της
εταιρείας, και να είμαι κι εγώ μπροστά όταν γίνει αυτό.  Φυσικά, δεν
δέχτηκε η διοίκηση της εταιρείας.  Μάλλον είχαν στο νου τους να
παρακολουθούν τα mail όλων χωρίς να το ξέρουν ότι κάτι τέτοιο γίνεται.

Αντίστοιχη είναι και η ενημέρωση από το web.  Πολλοί εργαζόμενοι μπορεί
να χρησιμοποιούν το web στη δουλειά τους με εποικοδομητικό τρόπο, και σε
άλλους μπορεί να είναι ακόμη κι απαραίτητο (π.χ. δεν είναι απαραίτητο σε
ένα system administrator να μπορεί να διαβάζει έγκαιρα τις σελίδες του
securityfocus.com όταν ανακοινώνεται εκεί κάποιο πρόβλημα ασφάλειας;
ΦΥΣΙΚΑ και είναι).

Δεν είμαι σίγουρος πόσο ελαφρά τη καρδία θα έβαζα τέτοιους περιορισμούς
αν ήμουν εγώ.

> Ξεκινησα να γραφω γραμμες με τα IPCHAINS αλλα ματαιως. Σας δινω ενα
> παραδειγμα που δεν λειτουργει!!!

Το τεχνικό κομμάτι είναι ένα τίποτα.  Μισής ώρας υπόθεση.  Με την ηθική
πλευρά και την άποψη της λειτουργίας, αποδοτικότητας και την παραγωγική
πλευρά της επιχείρησης τί γίνεται; Αν μια εταιρεία η οποία κινείται στον
ίδιο χώρο με σας, δεν βάζει περιορισμούς στην πρόσβαση στο web, και οι
εργαζόμενοί της είναι καλύτερα ενημερωμένοι για τη δουλειά τους, δεν θα
σας φάνε λάχανο;  Αν κάνετε κάτι τέτοιο και δυσαρεστηθεί το σύμπαν, η
απόδοση των εργαζομένων τι ποσοστιαία πτώση προβλέπεται να παρουσιάσει
και για πόσο καιρό;  Ας μην ξεχνάμε ότι όταν είναι δυσαρεστημένοι οι
εργαζόμενοι ΣΧΕΔΟΝ ΠΟΤΕ δεν αποδίδουν καλύτερα από όταν είναι
ευχαριστημένοι.

Αυτά κι άλλα τέτοια πολλά είναι το ίδιο σημαντικά με τα ipchains.  Μη
σου πω και πιο σημαντικά τον περισσότερο καιρό.  Τα ipchains αν μη τι
άλλο αλλάζουν σε ένα λεπτό.  Οι πολιτικές και ο τρόπος εργασίας σε μια
επιχείρηση θέλει πολύ δουλειά... κι οποιαδήποτε αλλαγή περνάει σήμερα
στα ψιλά γράμματα επηρεάζει πολλές 'γενιές' εργαζομένων αργότερα.

- Γιώργος



ΥΓ: Η πιο απλή λογική στα ipchains είναι να φτιάξεις ένα ή περισσότερα
chain με local 'περιορισμούς' και σε κατάλληλα σημεία των input, output
και forwarding chains να εισάγεις -j local, -j local2, ...

Μπορείς να δώσεις και ονόματα στα local chains σου αν θες, π.χ. κάτι σαν
-j noweb [μετάβαση στο chain που δεν επιτρέπει πρόσβαση στο web σε
κανέναν εκτός από τον κ. Α, την δεσποινίδα Β και τον admin].

Μην γράφεις spagghetti rules!

Οργάνωσε τα rules σου σε λογικές ομάδες, ανάλογα με το τι κάνουν και
διαχώρισέ τα σε κατάλληλα chains.  Τα ονόματα input, output και forward
είναι απλώς τα "βασικά" chains.  Μπορείς να φτιάξεις όσα θες, και είναι
καλή ιδέα όταν δοκιμάζεις το firewall σου να έχεις έτσι ομαδοποιημένα τα
chains σου.  Για παράδειγμα, όταν κάνεις δοκιμές για το noweb chain,
μπορείς να βάζεις και να βγάζεις ένα κανόνα που έχει -j noweb από το
input chain σου και να αλλάζουν όλα όσα έχουν σχέση με την πρόσβαση στο
web με μια κίνηση.

Που να τρέχεις τώρα (ή μεθαύριο, τον άλλο μήνα, του χρόνου) να ψάχνεις
μέσα σε ένα περίεργο μπέρδεμα από chains, μια συμπαγή και πυκνή μάζα από
κανόνες, τι στο διάολο ήταν αυτό που ήθελες να κάνεις όταν γράφτηκαν
πριν τόσο καιρό οι κανόνες...  Κρίμα είναι :-P