Linux Firewall?

Slet ingen der kan fortælle lidt mere om disse systemer?

squid ser ud som om, at det kan opfylde kravene, men ser ud til at det også kommer til at kræve en hel del læsning...men det går jo nok også.

Jeg bruger selv shorewall, som er standard i Mandriva. Der er et grafisk opsætningsprogram i Mandrivas kontrolcenter.

Det du skal vide er at alle de "produkter" du nævner f.eks. smoothwall, IPCop, Mon0wall og en masse tilsvarende tiln og sager i virkeligheden blot er brugergrændseflader eller scripts, der bygger på Linux indbyggede Netfilter firewall. Enkelte af den incorperere ting som Squid der er proxy funktionalitet og Snort der er IDS.

Fælles for alle disse produkter er at de er udemærkede for begyndere og lettere øvede, der ønsker en standard løsning. De kan også alle levere special løsninger, men så bliver det pludselig lidt sværere.

Jeg vil anbefale at du bruger tiden p åat sætte dig ind i Netfiler, hvordan den virker, hvordan du laver scriptsne, det er ikke en umulig opgave. Herefter kan du kikke på Squid og Jennea og så ende med en rigtig god firewall, der virker nøjagtig som du ønsker, og hvor du har det fulde overblik over reglerne og deres indbyggede forhold. Dette vil give langt den største sikkerhed i længden og kræver, igen i længden, ikke ret meget mere arbejde

Monowall er vel bygget over Freebsd og ikke over Linux.

Den har så vidt meg bekjendt ikke noen logging av trafikk for den enkelte bruker.

http://img.m0n0.ch/screens/status_graph.png

Den har trafikkshaping, dvs evne og mulighet til å prioritere trafikk:

http://img.m0n0.ch/screens/shaper.png

IPcop er vel bygget på Linux, men den har vel heller ingen logging av trafikk pr bruker. Screnshots:

http://ipcop.org/modules.php?op=modload&name=phpWiki&file=index&pagename=IPCopScreenshots

Smothwall Express er jo også bygget over Linux. Tror heller ikke den kan logge trafikk mengde pr bruker. Link til doc siden:

http://www.smoothwall.org/docs/

Litt mer info om ulike varianter:

http://www.smoothwall.net/products/comparison.gpl.php

Funksjoner som på en effektiv og brukbar måte kan brukes til å overvåke den enkelte bruker, det tror jeg faktisk ikke finnes. (Man kan logge all trafikk og så generere rapporter, men det må vel bli alt for tungveint.

Rent teknisk så skulle det vel ikke være noe i veien for å summere opp trafikken for den enkelte bruker (dvs den lokale ip), og lage grafer for dette, men kjenner ikke til at noen av firewallene har en slik funksjon. Dette er ikke noe man kan regne med å få til ved å begynne å lage script for IPTABLES på egen hånd. (Webhoteller har jo for eksempel ofte en slik funksjon.)

Smoothwall har et ganske aktivt brukermiljø. Jeg ville postet mine ønsker og kravspesifikasjoner på deres webforum under tema, "Homebrew Customisations / Modifications"og så sett om det er noen som vet noe, eller noen som har en løsning:

http://community.smoothwall.org/forum/

"Funksjoner som på en effektiv og brukbar måte kan brukes til å overvåke den enkelte bruker, det tror jeg faktisk ikke finnes."

Dette gjelder selvfølgelig bare på de tre nevnte kjente gratis firewalls.

takker for svarene.

Grunden til at jeg håbede på at det var muligt, at styre trafikken, var nok efter at jeg kiggede forbi http://www.hhkol.dk/gruppe/netudvalg/pl/

De er dog for længst lukket ned, men gik ud fra, at deres software byggede over et nuværende system, som fandtes derude.

Kik forbi http://www.netlimiter.com der, som jeg forstår det, er en netfilter baseret båndbredde styringsfacílitet. Hvor godt den kombineres med filter faciliteter og firewall funktionalitet ved jeg ikke. De bår i hvert tilfælde kunne placeres i serie

Synes det er svært at forstå hvordan netlimiter på netværket fungerer. Men lyder umiddelbart, som om at det kræver at alle har det installeret på deres pc og at man remote kan styre deres trafik :|

Sådan forstår jeg også systemet. Jeg ved at det er muligt at sætte netfiletr op så den kan styre båndbredde uden at der er klienter på alle maskinerne, jeg har set det i drift hos er boligforeningsnetværk i københavns nordvestkvarter, men jeg ved ikke hvordan man konfigurere det.

Oki. Et sidste spørgsmål, inden jeg lukker af.

Hvordan med konsulent hjælp. Er der nogen, som kender til et konsulentfirma/privatperson, som kun tænkes at ville hjælpe et kollegie igang.

Men problemet er jo nok at det ikke rigtig er den vilde forretning for et evt. konsulentfirma i vedligeholdelse, udover de timer det vil tage at sådan en sådan server op.

Hvis PL programmet er laget korrekt og hvis det kan fungere så er det vel i utgangspunktet ingen ting i veien for å bruke det ??!

De aller fleste kommandoer i den gamle IPTABLES syntaks er også kompatible med dagens utgave av det samme, slik at PL sansynligvis også kan fungere i forhold til dagens 2.6.x kjerne (forutsatt at det altså fungerte tidligere.)

Ellers så kan man nok også downloade en Linux distro med 2.4.x kernel slik at det kanskje passer bedre.

Dokumentasjonen til PL er vel ikke helt komplett. Det står bare at den behøver en Linux firewall, eller en Linux kernel men når man ser på innholdet i downloaden så ser det ut som om den bruker både perl og PHP.

Noen ide om hvem som har laget den (PL) ?

Synes den ser ganske morsom ut, og kunne kanskje tenke meg å teste den ut. (Tror også at den event kan modifiseres og oppdateres til "dagens standard".)

Hvis det fungerer så kunne jeg kanskje se på muligheten av å eventuelt hjelpe til med en remote install.

Har ellers ikke sett noen gratis firewall som kan akkurat dette med å summere opp og kontrollere forbruk pr bruker osv.

Tar et lite forbehold at jeg eventuelt får tid nok, det er jo så mye man skal rekke ..

Hvor mange brukere er det forresten snakk om ?

e-mail: heiarne_at_gmail_dott_com

Du kan få gratis hjælp på http://www.sslug.dk også hjælp i praksis. Sslug afholder installparties hvor man kommer med sin maskine og så hjælper de med at sætte op. Du kan også få kontakt med professionelle der yder konsulent hjælp på linux via sslug hjemmeside

> Jeg ved at det er muligt at sætte netfiletr op så den kan styre båndbredde uden at der er klienter på alle maskinerne

- Nix, Netfilter kan ikke lave "throttling" som det hedder. Det kan BSD's firewall til gengæld.
I Linux benytter man i stedet værktøjet tc (som står for traffic control). Her er biblen til hvordan det fungerer i Linux, hvis nogen skulle have interesse: http://lartc.org/howto/

Angående et script som måske kan hjælpe så kig efter Wondershaper (kig på google). Jeg har ikke mulighed for at hjælpe yderligere i disse uger desværre..

> Jeg ved at det er muligt at sætte netfiletr op så den kan styre båndbredde uden at der er klienter på alle maskinerne

Det tror heller ikke jeg er riktig.

Ellers så ligger vel hele denne problemstillingen på et helt annet utfordrings nivå enn det som gjelder for alminnelig konfigurering av et packet firewall vha av et firewallscript. 

Hvis man eventuelt skulle forsøke å ta opp igjen noe av det som ligger i den gamle "PL pakken" så måtte man for det første vite at det fungerte godt nok en gang før i tiden (i forhold til oppgaven) og for det annet så ville det også være nødvendig å teste det ut i et labopsett for å finne ut hvordan det egentlig fungerer.

I det hele så vil jeg mene at kravene til den aktuelle firewall er slik at vanskelighetsgraden (sværhetsgraden) nærmest ligger på en annen planet i forhold til det man kan regne med å få til ved hjelp av ordinær firewall scripting.

Det som eventuelt kunne være en måte for at oppgaven skulle bli noenlunde overkommelig, det var hvis man hadde ett eller annet mer eller mindre ferdig, som man så kunne kartlegge, finne ut av og modifisere og tilpasse til oppgaven, så hadde man kanskje en mulighet.

Hvis situasjonen eventuelt er den at "PL pakken" egentlig aldri helt har virket slik som den skulle, så er vel heller ikke dette utgangspunktet så godt.

Ettersom kravene om prioritering av trafikk pluss summering og begrensning av trafikk for den enkelte bruker er krav utenom det vanlige, samtidig som det teoretrisk sett skulle være fullt ut mulig å løse oppgaven, så ville jeg forsøkt med en posting på Smoothwall sitt diskusjonsforum under "Homebrew".

Oppgaven kan nok helt sikkert løses, og det finnes helt sikkert kommersielle firewaller som kan dette, men ved hjelp av ordinær og standard linux firewall scripting, så kan man ikke løse denne oppgaven, og den kan heller ikke løses ved de alminnelige kjente ferdige Linux firewall slik som IPCop, Smothwall, etc i sin ordinære og umodifiserte form.

Takker for alle de gode svar. Jeg er ihvertfald blevet en hel klogere.

Jeg vil meget gerne bruge en hel masse tid på at sætte mig ind i det, men da jo er af ren nysgerrighed og der også er et arbejde og en skole der skal passes; bliver det nok ikke i det tempo, som andre håber på.

Men håber at finde tid til at kigge forbi til et af sslug's møder og måske få lidt hjælp til at komme igang.