[PPNL-Techteam] csf firewall

Casper Gielen casper at gielen.name
Wed Jul 18 13:51:16 CEST 2012 

On 18-07-12 12:01, Bob Sikkema | DigitalForce.eu wrote:
> Zie onder
>> Een paar opmerkingen.
>> - hoe (un)block ik een poort?
> aangepast in docu. csf op de commandline geeft je alle opties.
tnx

>
>> - is er een manier om de configuratie te testen Dat kost werk en tijd maar CSF leren kennen en configurvoor hij actief wordt?
> ja, aangepast in documentatie. zit de varaiable test in de configfile.
> Deze zorgt dat alle rules na 5 minuten vervallen./

Mooi, is dat ook te automatiseren?
Shorewall controleert zijn configuratiefile voordat die wordt uitgevoerd 
om syntax fouten te voorkomen. Na het inladen van een nieuwe config moet 
je bevestigen dat de huidige config goed is, doe je dat niet op tijd (bv 
omdat je jezelf hebt buitengesloten) dan wordt de config weer 
teruggedraaid. Op deze manier kan ik veilig aan de configuratie 
rommelen, als er iets fout gaat wordt je bijna altijd beschermd.
Ik heb gezien dat er een csftest scriptje is wat een syntax-check doet, 
dat is al wat.

>
>> - moeten we niet wat adressen whitelisten voor het geval er iets mis gaat?
> kan altijd enteren via console. Dit is tunen, dus moeten we met elkaar
> afstemmen hoe/wat


>>
>> Sorry als ik wat kritisch over kom, maar ik ben heel tevreden met Shorewall en heb nog maar heel
>> weinig gezien dat ik niet ook met Shorewall kan.
> Hierboven zie je wat shrorewall allemaal NIET doet. Shorewall voldoet
> niet voor bruteforeces etc, portscans etc.

Ik ben meer van de losse tools die 1 ding goed doen. fail2ban voor 
brute-forcers en psad voor portscans (als je dat interessant vind).
Die dingen inderdaad niet in Shorewall want Shorewall is alleen een 
firewall. Wel biedt Shorewall allerlei mogelijkheden om andere tools te 
integreren. Je hebt wel helemaal gelijk dat we zoiets moeten gaan doen 
hoor, daarover geen discussie van mij :)

>
>> Kun je de installatie van CSF op Zimbra afmaken zodat we daar kunnen zien wat het doet?
> Draait standaard config.


Je hebt een lange lijst van features gepaste, maar toen ik even door de 
config keek stond een groot deel daarvan by default uit.

Toen ik je vroeg om CSF op Zimbra te installeren bedoelde ik uiterard 
niet "pak de zipfile uit" ;) Het gaat me juist om de configuratie van al 
die geavanceerde features. Als we die niet gaan gebruiken hoeven we ook 
niet over te stappen. Kun je de configuratie op Zimbra helemaal afmaken 
en van alle tuning voorzien?

PS. Heb je git al aan de praat? Deze config in git zetten zou ook wel 
makkelijk zijn, dan kunnen we snel zien wat je hebt aangepast.
-- 
Casper

More information about the Techteam mailing list