07. januar 2007 - 16:20Der er
10 kommentarer og 1 løsning
Søker deltakere til Linux firewall prosjekt .
Tidligere så fantes det en .dk web side der man kunne få generert ut ipfirewall konfigureringsscript. Jeg tror ikke denne finnes mere.
Jeg kunne tenke meg et nytt slikt prosjekt, denne gang med mer avanserte funsjoner samtidig som også et mere overskuelig og like til opplegg.
Måten å gjøre dette på kunne jeg tenke meg er, ikke å lage kun ett php program/script som genererer firewall konfigureringen, men der i mot en liten serie eller samling med mer spesialiserte php sckript. (Server firewall, gateway firewall, dmz sone, trådløs sone, fitrering trafikkretning inn, trafikkretning ut, eventuelt trafic shaping, etc.)
Tenker meg så at firewall konfigurerings script skal kunne genereres direkte på websiden, samtidig som det også skal være mulig å downloade php koden for videre endringer og modifikasjoner.
Behøver eventuelt hjelp først og fremst til testing. Det ville heller ikke skade med litt bedre PHP kunnskap/erfaring enn det som gjelder for meg.
Hvis det skulle være interesse for et slikt prosjekt så kunne vi eventuelt opprette en .dk webside som forhåpentligvis ender opp som et web sted der man kan få laget en del forskjellige Linux firewall oppsett.
Ja jeg tenkte på iptables-script.dk Jeg hadde en lokal kopi php applikasjonen, men da jeg oppgraderte serveren så ville den ikke lengere kjøre. Forsøkte å feilsøke men fant ikke ut av det. Tenkkte derfor på å lage noe tilsvarende på nytt, men med en del endringer.
Ja, php koden bør være GPL. Jeg har heller ikke den store erfaring med php, men jeg får det da til å kjøre, selv om det ikke ser så spesielt vakkert ut. Hvis konfigureringsskriptene blir bra, så kan det vel være at det er noen som vil hjelpe med en litt bedre design.
Jo, QoS og slike ting kan være en god ide. I øyeblikket så vet jeg ikke hvordan dette gjøres, men regner med at vi kan finne ut av det. Tenkte å lage et x antall varianter av php program, slik hvor av det ene kan være med QoS.
Har aldri hatt behov for noe trafikkshaping pga Limux gatewayen har kjørt såpas bra at dette aldri har vært noe problem, ip telefon har vært krystallklar uansett nedlasting etc. Med fler brukere så kan nok dette være en problemstilling allikevell. Fant noe info som kanskje kan brukes: http://lartc.org/howto/
Flere deltakere ? Forslag til navn på website / prosjektside ?
Jeg har en 3-4 gange her på E været ude for at folk på kollegienetværk og lignende har haft et ønske om traffic shaping/QoS. Deres ønskede "feature" har enten været "Fjern alle muligheder for p2p på dette netværk" eller (og her kommer traffic shaping ind) "Tillad p2p, men sæt det med sidste prioritet i forhold til båndbredde". Samtidig har der også været ønsker om at prioritere visse spil frem for den øvrige internet brug af hensyn til lag/latency. Vi er selvfølgelig langt ude over firewall til en enkelt maskine, men der er vel ingen grund til at stoppe der. ;)
Logging lyder også som en oplagt ting at sætte ind.
Hvis fixxxer kan bidrage med php kompetencerne kan vi vel lægge resten til? Jeg anser mig selv som rimelig ferm med iptables og firewalls generelt.
Hvis der kommer mange deltagere og brugere vil jeg foreslå at der oprettes et sourceforge projekt til det, idet sourceforge allerede har CVS, www plads, forum, wiki, fil download og bugzilla. Det eneste sourceforge kræver af deres projekter er at de er under en "OSI approved license" og det er GPL. Men til 3 personer er det måske overkill.
Opgaven for en php programmør kan vel egentlig beskrives ret simpelt: En hulens masse checkboxe, dropdown boxe, radiobuttons og tekst bokse skal give sig udslag i at en ASCII tekst fil genereres med iptables kommandoer i. Det som jeg så gerne vil vide er hvor en php programmør så gerne vil starte. Er det med en liste af mange mulige firewall konfigurationer? Eller er det måske et interface mock-up lavet i HTML? Andet?
Min svaghed skal siges at være at jeg ikke er helt på hjemmebane i hvordan iptables scripts sammensættes og hvilke "kombinationsmuligheder" der er tilgængelige.
Men umiddelbart ville jeg klart gribe det objekt-orienteret an - klasser til forskellige typer policies og heri funktioner til hver type regel der kan optræde i den pågælende policy. Funktionen vil så sansynligvis blot læse noget fra en txt fil, men der kan skrives i funktionen hvis den skal kædes sammen med andre regler, hvilke paramtere regelen skal bruge osv osv.
Det er blot løs brainstorming, så det er ganske sansynligt en anden vej, rent programmeringsmæssigt, man kan tage, men lad os se hvad langbein synes om tiltagene so far.
Har aldri hatt noe prosjekt på Sourceforge, men det kunne da være interessant å forsøke ?? Alternativt så kunne vi jo starte opp med et forholdsvis enkelt (overskueligt/lille) nettsted. Vil forsøke å sette opp noe til å starte opp med i løpet av de neste dager.
Har minimalt med erfaring med php, slik at jeg egentlig ikke vet hvordan den siden av saken kan løses best. Har bare en ide at det kan være smart å organisere prosjektet ikke kun som ett eneste prosjekt med en eneste løsning, men der i mot som en samling med litt mindre prosjekter som tester ut litt forskjellige løsninger parralelt ved siden av hverandre. Dels så kan man da få testet ut hva som fungerer best og dels så kan man også lage løsninger som er optimalisert opp mot litt mer spesialiserte anvendelser, i stedet for en enkelt løsning som skal kunne anvendes til alt mellom himmel og jord.
Jeg vil tro at den minst kompliserte og mest like til del av prosjektet vil være det som går på tradisjonell packet filtering inn og ut gjennom gateway og inn og ut i forhold til en server. Her vil det ikke være noe problem med å komme opp med noe som fungerer slik som man ønsker. Problemet er vel heller å formulere hva man egentlig ønsker, og så teste ut om det fungerer slik som man hadde tenkt, og om det virkelig var dette man ville ha.
Den del av prosjektet som vil ha et lite element av en x faktor i seg, det er den delen som går på trafikk shaping og QoS. (Det er ikke dermed sagt at ikke også denne delen vil kunne løses på en ok måte, når denne problemstillingen får litt arbeide bak seg.)
For å gjøre prosjektet håndterbart så mener jeg at det kan være en god ide å organisere det i form av prosjektdeler eller prosjektmoduller. Det som har med trafic shaping / QoS vil for eksempel kunne hånteres som en egen prosjektmodul for seg. Vi vil for eksempel kunne jobbe med den generelle firewallstruktiren først, og så parallelt ved siden av dette også problemstillingene relatert til trafic shaping / QoS som en problemstilling eller delmodul for seg. Når disse problemstillingene løses separat for seg, så vil denne modulen som har med dette å gjøre kunne implementers inn i den totale firewallstrukturen.
Hva så med filtrering på et såkalt application level eller via en proxy (Squid ?) er dette noe man bør ta med, eller et dette ikke en aktuell problemstilling ? Hvorfor hvorfor ikke ? Eventuelt hvordan ? Dette kan for eksempel også være en problemstilling for og et "prosjekt i prosjektet".
Sånn sett så vil det kanskje være smart først å få på plass en slags ikke alt for koplisert hovedstruktur, som for eksempel inneholder noe av det samme som iptables-script.dk gjorde tidligere. På denne måten så kan vi forholdsvis hurtig være oppe med noe som kan fungere og brukes til noe. Med dette som et utgangspunkt, så vil vi så kunne eksperimentere videre med å lage varianter til mer avanserte tillegsfunksjoner.
Det vil være interessant å se hvordan man eventuelt kan bruke php i en slik sammenheng. PHP koden bør absoulutt være opensource. På den måten så får vi kanskje (måske) fler tilbakemeldinger og ideer til videre utvikling.
Forsøker å få opp et midlertidig nettsted i løpet av de nærmeste dager, og så kan vi eventuelt forsøke å kjøre i gang noe på Sourceforge eller noe slikt, i neste runde eller så. (Det skulle være interessant å teste ut.)
Jeg falt visst litt ut av det en periode pga sykdom og annet. Det var plutselig ingen tid til "hobby" og den type interessant arbeide.
Har vi sjans for å komme i gang på nytt ?
Jeg har laget litt forberedelser i anledning mitt "bortfall":
1. Har fått tak i den nyeste Linux firewall boken (Linux firewalls 3'd edition.) 2. Har fått opprettet et nettsted http://linuxfirewalls.info 3. Har lagt inn phprojekt som "arbeidsredskap".
Er det noen som fortsatt er med ? Setter event opp brukerkontoer.
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.