[PLUTO-help] IPTABLES: da dove cominciare

[Stefano Vedovelli]

On 5/11/05, kinto <mlist a email.it> wrote:
> > Come mi rimproverava un iscritto di un'altra ML, è meglio usare un
> > prodotto con una larga userbase che uno fatto a mano in casa, specie
> > se si tratta di sicurezza. I motivi mi sembrano lampanti.
> >
> 
> Potresti spiegarti un pò meglio su questo punto? Ti riferisci percaso al
> fatto che un "prodotto" fatto in casa è meno sicuro perchè a più
> rischio di bugs? Se è questo il caso come può uno script che ha delle
> semplici regole iptables essere affetto da bugs in maniera maggiore o
> uguale ad un prodotto tipo fwbuilder?

Il problema è che vi sono svariate considerazioni da applicare per la
creazione di regole robuste, a cominciare dal logging, a finire alla
gestione dei frags. Ho imparato nel tempo che quattro semplici regole
sfortunatamente non aiutano, quantomeno in termini di monitoriaggio.
La gran quantità di regole che vedi nei vari prodotti tipo shorewall e
firestarter sono dovute a due considerazioni:

a) loggare in maniera appropriata ogni evento anomalo
b) creare una serie di chain che abbiano un senso se gestite da un
software e non a mano

La gestione di un firewall a mano è indicata per chi ha necessità
specifiche e parecchio tempo a disposizione. Per chi invece, come me,
di tempo ne ha poco e non ho specificità estremamente sofisticate,
affidarsi ad un software con una vasta userbase assicura

a) facilità ed immediatezza nel setup e nella manutenzione
b) la sicurezza che qualora ci sia un problema, esso sia risolto più
velocemente e meglio di una soluzione fatta in casa.

IMHO, ovviamente.

Ciao :)
Stefano