Firewall nos dias atuais

foxbit3r
(usa Solaris)

Enviado em 04/11/2010 - 10:57h

Hoje em dia compensa mais usar um firewall Endian, Coyote, BrazilFw, PfSense, MonoWall ao invés de usar a linha de comandos com iptables?

Eu costumo fazer tudo na mão com ultimas distribuições atualizadas.

Tem alguma desvantagem usar um Linux personalizado para segurança de rede?

Essas distros já têm vpn, firewall, ids, proxy, redundância, gráfico de utilização de rede instalado e etc...

Eu não tenho nenhuma dificuldade com iptables e os scripts que eu faço são bons e pode ser considerados como avançados.

Uma vantagem que eu percebi sobre essas distros personalizadas é que as pessoas ficam menos dependentes de um administrador Linux para liberar uma porta ou fazer um NAT.

Fora a documentação de porta e host que você tem tudo bonitinho numa interface web.

Eu tive colegas que já disseram:
"Nossa... você fica se matando pra quê?"
"Pra que ficar se matando se você pode fazer de forma mais fácil, cara de linux gosta de sofrer."

Você leitor, qual é a sua opinião e experiência com esses linux box personalizados para fazer a parte de comunicação e segurança?
Compensa fazer tudo na mão ?
Será que administrador Linux gosta mesmo de sofrer?

Uma analogia seria entre usar uma distribução Debian que você tem de baixar e instalar zilhões de pacotes para deixar como desktop e usar o Ubuntu que já está prontinho para desktop.


Ah... Tem alguma vantagem eu usar o shorewall ao invés de usar só iptables?

removido
(usa Nenhuma)

Enviado em 04/11/2010 - 12:09h

É ai que os seus colegas se enganam. Se alguma vez esses seus colegas tentaram configurar um firewall com o iptables e "sofreram" ou acharam que estavam se "matando", é porque eles não chegam nem perto de ser pelo menus um Linuxers "newbie".

Um linuxer de verdade, ele não "sofre", ele se fascina com as dificuldades que se encontram a cada dia, ele adora desafios.

Aqui vai uma frase pra esses seus colegas:

"Se o conhecimento pode criar problemas, não é através da ignorância que podemos solucioná-los."

meinhardt_jgbr
(usa Debian)

Enviado em 04/11/2010 - 12:11h

O uso de firewall ou melhor interface gráfica para firewall já que pelo menos no meu modesto entendimento todos são baseados no iptables não deixa de ser a mesma coisa que a escolha da distro linux de cada usuário ou do partido politico e religião de cada um. No final das contas também é igual a cerveja, cada um tem a sua preferencia.

Em casa uso o BrazilFW num roteador / fw dedicado, usando um pc velho que de outra forma já estaria ha anos na sucata.

No Notebook (NoBo), uso o Guarddog ou o Firestarter por ser absolutamente mais simples do que administrar a configuração de iptables.

Acho que a administração das tabelas permitidas de ip e configuração em maior profundidade das regras de firewall são importantes para quem administra redes e servidores. Para o usuário normal, não seria necessário tanto. O básico oferecido pelas alternativas de firewall com interface gráfica é mais do que suficiente para os dias atuais.

removido
(usa Nenhuma)

Enviado em 04/11/2010 - 12:18h

Eu concordo o que você disse: "Usuário normal"

Mas esses caras falar que "cara de linux gosta de sofrer"!!! Quem sofre é quem não tem conhecimento que nem nós do VOL.

meinhardt_jgbr
(usa Debian)

Enviado em 04/11/2010 - 14:38h

Cesar,

Concordo também com a sua colocação, não é uma questão de sofrer buscando a solução ou o caminho mais complicado. Quando o seu nível de conhecimento é maior e portanto com maior profundidade e você precisa executar determinada tarefa, existem distintas opções, mais simples, mais complexas ou meia-boca.
Vai da responsabilidade e conhecimento do profissional de TI o uso da ferramenta mais apropriada e configurada a aplicação a que se destina. Um usuário comum, em aplicação doméstica, provavelmente não necessitará nada mais que algum aplicativo com interface simplificada como o Firestarter ou o Guarddog apenas para dar dois exemplos. Pode ser que ate mesmo nem isto seja necessário, mas apenas o iptables padrão carregado senão por todas pelo menos pela maioria das distros disponíveis, já no boot.

Já para um administrador de rede em empresa, ou para quem tem a seu cargo a administração de algum servidor, será absolutamente necessário um conhecimento maior do iptables, sua sintaxe, dicas e truques, etc. Também não vejo isto como sacrifício ou sofrimento afinal que trabalha na área deve gostar daquilo que faz.

irado
(usa XUbuntu)

Enviado em 04/11/2010 - 15:26h

a premissa é equivocada (IMHO, claro). É mais fácil de usar QUALQUER coisa ou ferramenta quando vc sabe O QUE vai fazer. Fazendo completa abstração da complexidade inerente, NÃO ADIANTA euzinho aqui pegar um bisturi elétrico e querer fazer uma cirurgia de cérebro. O resultado NÃO VAI ficar igual ao obtido por um neuro-cirurgião habilitado. Podemos extender isso para quase qualquer coisa: piloto de jato ou de helicóptero, de F1, de basculante..

então, voltando ao nosso dia a dia: NÃO ADIANTA vc ter uma excelente ferramenta se não souber o que fazer com ela (ou porque).

hoje em dia uso o PFSense (como não gosto de iptables, evito o mais que possa - rs). Mas duas coisas:

a) eu SEI fazer um firewall em PF e SEI o que quero conseguir e sei COMO usar a ferramenta.

b) o PFSense só veio depois de loooonga prática com PF+BSDs.

BTW, nota final: PFSense NÃO É Linux (felizmente), é FreeBSD ;)

carlosparisotto
(usa Red Hat)

Enviado em 11/11/2010 - 17:30h

Esse é um assunto que pode gerar bastante polêmica, mas eu ainda prefiro o iptables. Alguns podem se ofender, mas na minha opinião usar essas ferramentas gráficas é pra quem não conhece muito sobre o assunto. Eu prefiro utilizar a linha de comando onde eu sei a cada parâmetro o que estou fazendo, do que uma ferramenta, que por baixo roda iptables, mas que eu não sei exatamente o que faz.
Isso envolve outras coisas, como VPN e proxy.

removido
(usa Nenhuma)

Enviado em 11/11/2010 - 18:02h

"Meus amigos são amigos de ninguém..."
(Vander Lee)

Alguém dizia "Sem sacrifício não há recompensa".

Ai tinha uma outra "Sacrifício é para aqueles que não aprendem para os que querem aprender isto se chama enunciado"

Eu gosto do iptables, ele é infinitamente melhor que o firewall do windows, tem mais opções do que o norton hahahaah e ele é estável e de acesso extremamente dificultado.
Gosto dele.

removido
(usa Nenhuma)

Enviado em 11/11/2010 - 19:37h

I feel the strength.
"...
Through strength, I gain power.
Through power, I gain victory.
Through victory, my chains are broken.
The Force shall free me."
-Code of the Sith

meinhardt_jgbr
(usa Debian)

Enviado em 11/11/2010 - 20:13h

ThePinkShark,

Não tenho a menor dúvida que o poder e a flexibilidade do iptables é incomparável com possivelmente quaisquer das otras alternativas desenvolvidas para os "Manés" como eu que são simples usuários. Gostaria de ter o tempo disponível para montar / preparar a minha tabela própria, porém isto não é para qualquer um.
Concordo também que sem sacrifício e dedicação a recompensa sempre é menor. Para os jovens que tem interesse em desenvolver mais a sua base de conhecimento, o domínio do uso das tabelas de filtro de endereços IP (iptables) pode inclusive abrir grandes portas e aumentar as oportunidades profissionais.

removido
(usa Nenhuma)

Enviado em 22/11/2010 - 13:15h

Minha opinião e o seguinte !!

Usar firewall customizado e o mais correto !! Deixando instalado somente o que precisa, reduzindo risco na segurança do servidor! E feito tudo no braço so assim teremos controle total do servidor. Na minha Opinião a linha de comando em conjunto com iptables também e a melhor opção pois , neste caso o limite geralmente vai ser ate a onde sua imaginação pode chegar !!heheheheh !! Muito mais Flexivel! A formula para issu funcionar e muita memoria e processamento rapido!! heheheheh !!

Abraços !!