Re: Firewallkonfiguration (was: Re: Kein Internetverbot bei CIPux)

[Florian Reitmeir <florian@reitmeir.org>]

Hi,

On Fre, 01 Dez 2006, Maximilian Wilhelm wrote:

> > Kann man auch Services an Kerberos binden?
> Was hat das mit der Firewall zu tun?

leider zu wenig derzeit.

> > Oder XSupplicant mit Radius verwenden?
> > Zeitlicheabhaenigkeiten definieren?
> 
> Noe.

genau das waere aber interessant, und auch mit iptables schon zu machen..

Client mit Cert -> Switch -> Radius -> Switch vergibt VLAN
und die Firewall Konfig des Netzes hat das schon beruecksichtigt..

> > > Sowas gibts schon.
> > > Du kannst Netze zu 'Sicherheitsklassen' zusammenfassen und diese spaeter
> > > fuer Zugriffskontrolle der Services nutzen.
> > Zonen muessen nicht unbedingt etwas mit Sicherheit zu tun haben, hier z.b.
> > hab ich das Problem dass sie ca. 10 Firmen ein Ethernet teilen, verbunden nur 
> > durch DSL Leitungen sind.. ueber mehrere Stationen. Und um es ganz einfach zu
> > machen teilen die sich dann aber doch ein paar Rechner, und zwar nicht nur
> > Linux Server.
> > Ds waere es schoen z.b. dem Backupserver immer wenn er ein Backup machen will
> > die Rechte dafuer zu geben, ansonsten aber nicht...
> Und im Restore-Fall musst Du erst die Firewall umkonfigurieren?

unter umstaenden ja, das sollte ja dann ueber ein einfaches CLI tool leicht
zu machen sein.

> > dann hab ich den sematic Check vergessen
> Ok, Du willst also die rundum sorglos Loesung.
sicher.

> > Ich faende es eleganter es wie die Cisco/HP Router zu machen, also aendern
> > wie man will. Und dann ein Commit das die Dinge fixiert wie sie sind.
> Bei HP mag das ja sein, aber bei Cisco bin ich mir ziemlich sicher, dass
> sie genau das *nicht* haben.
> Mal davon abgesehen heisst das, dass Du die Regeln von $n Geraete backupen
> willst?

Nein ich will "mein Netz" modellieren, und die Regeln dann fuer jeder Geraet
daraus herausziehen. Und im "Erstellungs" Fall, das ganze umgekehrt (also
einsammeln und draus eine "Netzwerk" Sicht erzeugen, dabei kann man ja dann
wenn man die ganzen Checks hat gleich FETTE Warnungen ausgeben wenn Dinge
offendsichtlich falsch sind.. was auch immer das heisst)

> > aber genau das interessiert mich doch nicht, wozu verwende ich eine Meta
> > Sprache, wenn ich den echten Syntax dann auch noch kennen muss?
> 
> Ok, hier unterscheiden sich unsere "Ideologien".
> Ich erwarte von jemandem, der sich Firewalladmin nennt, dass er genau
> das *kann*.
> Was soll er denn tun, wenn das Tool[tm] mal nicht 100%ig funktioniert?
> Soll er dann sagen, "tut mir leid, ich habe keine Ahnung von meinen
> Firewalls. Es geht grad nicht"?

Wie ich schon sagte, fuer einfache Dinge reichen iptables direkt aus, will
man aber die Linux Plattform weiterbringen, und endlich wie in der Windows
Welt schon seit 5 Jahren normal, z.b. zentrale Steuerung von Rechten im Netz
Single Sign On, Kerberos, VLAN/Radius Support und das alles dann noch mit
zentraler "firewall" kontroller kombiniert haben, dann reichen die iptables
bei weitem nicht als Grundlage.

- viel zu Fehler anfaellig
- viele "Standard" Situationen muessen immer wieder "neu" erfunden werden
- nur Host bezogen
- nur eine Platform, kein support fuer z.b. Proxies (auch TCP, Socks)
- usw. usw.

> [x] dagegen.

Das ganze wird wenn ich es schaffe es jemals jemanden gut genung zu
verkaufen, NIE dazu fuehren dass das Wissen, wie etwas im Netz funktioniert
kleiner wird. 

Eher das Gegenteil, die Abhaenigkeiten werden viel groesser und ... 

> Aber das ist halt ne Frage der Ideologie.

Wie vieles im Leben..


> Summa summarm denke ich, dass wir beide eher nicht auf einen Nenner
> kommen, da wir das Problem verschieden angehen :)

Ich weiss.

Nur kann ich versuchen Ideen von mir an den Mann zu bringen, und vielleicht
bleibt ja was haften :-)

-- 
Florian Reitmeir