Indice del forum www.zeroshell.net
Distribuzione Linux ZeroShell
 
 FAQFAQ   CercaCerca  GruppiGruppi   RegistratiRegistrati 
 ProfiloProfilo  Log inLog in   Messaggi privatiMessaggi privati 

Gestione firewall semplificata....in stile checkpoint

 
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità
Precedente :: Successivo  
Autore Messaggio
s.borrelli



Registrato: 09/02/09 17:37
Messaggi: 8

MessaggioInviato: Ven Ago 07, 2009 10:15 am    Oggetto: Gestione firewall semplificata....in stile checkpoint Rispondi citando

Ciao

per lavoro uso spesso firewall CheckPoint...per diletto ho scoperto l'esistenza di zeroshell e, devo dire, che lo trovo assolutamente interessante.

C'è una logica che trovo estremamente comoda e utile di checkpoint e che adorerei vedere esportata in zeroshell: la gestione degli oggetti.

Mi spiego, se riesco, meglio.

Uno stesso indirizzo IP mi capita di doverlo utilizzare in decine di regole diverse, sia di firewall che di NAT. Magari, spesso, è una serie di indirizzi IP ad essere oggetto di una regola, e non solo uno.

Supponiamo di avere gli ip 192.168.1.1, 192.168.1.2, 192.168.1.3 che devono accedere all'ip 10.0.0.1 sulla porta 22 (per l'ssh) e sulla porta 80 (per il webserver)

Con zeroshell faccio 6 regole

192.168.1.1 --> 10.0.0.1:80 OK
192.168.1.1 --> 10.0.0.1:22 OK
192.168.1.2 --> 10.0.0.1:80 OK
192.168.1.2 --> 10.0.0.1:22 OK
192.168.1.3 --> 10.0.0.1:80 OK
192.168.1.3 --> 10.0.0.1:22 OK

Con Checkpoint lavoro diversamente.
- Definisco i 4 oggetti (a cui posso assegnare un nome..ad esempio "Server BackEnd 1" , "...2", "...3" e "Front End").
- Creo 2 gruppi che chiamo, ad esempio, "Server backend" e "Server Front End".

- Inserisco nel gruppo "Server Backend" i 3 oggetti di BE e nel gruppo "Server FrontEnd" il server 10.0.0.1

Creo una regola
server backend --> Server front end --> porte 80 e 22 OK



Questo modo di lavorare l'ho sempre trovato più comodo.
Ovviamente richiede un maggiore lavoro iniziale perchè ogni oggetto va ben definito e inserito nei gruppi opportuni...ma quando si lavora con reti abbastanza grandi lo trovo di una comodità sconcertante.

So che questa logica non va proprio a bracetto con iptables che ragiona esclusivamente per indirizzi IP...ma secondo me se si riuscisse a lavorarci sopra sarebbe una feature davvero davvero interessante.

Mi farebbe molto piacere avere dei pareri...anche un "no non si farà mai" va benissimo....ma mi farebbe piacere discuterne.
Grazie
Ciao
Top
Profilo Invia messaggio privato
Mostra prima i messaggi di:   
Nuovo argomento   Rispondi    Indice del forum -> Suggerimento nuove funzionalità Tutti i fusi orari sono GMT + 1 ora
Pagina 1 di 1

 
Vai a:  
Non puoi inserire nuovi argomenti
Non puoi rispondere a nessun argomento
Non puoi modificare i tuoi messaggi
Non puoi cancellare i tuoi messaggi
Non puoi votare nei sondaggi


Powered by phpBB © 2001, 2005 phpBB Group
phpbb.it