[PPNL-Techteam] csf firewall

Bob Sikkema | DigitalForce.eu bob.sikkema at digitalforce.eu
Wed Jul 18 16:34:57 CEST 2012 

als we csf gaan gebruiken, ga ik csf verder tunen, maar ga daar nu niet
heel veel tijd in steken, als we het toch al niet willen. Lijkt me zonde
van de tijd.

Zimbra doet al automatisch veel, zie opties die wèl zijn aangezet in
redmine.

Dus is het wat, willen we het, of niet? Anders ga ik er niet meer tijd
ins teken

On 18-07-12 13:51, Casper Gielen wrote:
> On 18-07-12 12:01, Bob Sikkema | DigitalForce.eu wrote:
>> Zie onder
>>> Een paar opmerkingen.
>>> - hoe (un)block ik een poort?
>> aangepast in docu. csf op de commandline geeft je alle opties.
> tnx
> 
>>
>>> - is er een manier om de configuratie te testen Dat kost werk en tijd
>>> maar CSF leren kennen en configurvoor hij actief wordt?
>> ja, aangepast in documentatie. zit de varaiable test in de configfile.
>> Deze zorgt dat alle rules na 5 minuten vervallen./
> 
> Mooi, is dat ook te automatiseren?
> Shorewall controleert zijn configuratiefile voordat die wordt uitgevoerd
> om syntax fouten te voorkomen. Na het inladen van een nieuwe config moet
> je bevestigen dat de huidige config goed is, doe je dat niet op tijd (bv
> omdat je jezelf hebt buitengesloten) dan wordt de config weer
> teruggedraaid. Op deze manier kan ik veilig aan de configuratie
> rommelen, als er iets fout gaat wordt je bijna altijd beschermd.
> Ik heb gezien dat er een csftest scriptje is wat een syntax-check doet,
> dat is al wat.
> 
>>
>>> - moeten we niet wat adressen whitelisten voor het geval er iets mis
>>> gaat?
>> kan altijd enteren via console. Dit is tunen, dus moeten we met elkaar
>> afstemmen hoe/wat
> 
> 
>>>
>>> Sorry als ik wat kritisch over kom, maar ik ben heel tevreden met
>>> Shorewall en heb nog maar heel
>>> weinig gezien dat ik niet ook met Shorewall kan.
>> Hierboven zie je wat shrorewall allemaal NIET doet. Shorewall voldoet
>> niet voor bruteforeces etc, portscans etc.
> 
> Ik ben meer van de losse tools die 1 ding goed doen. fail2ban voor
> brute-forcers en psad voor portscans (als je dat interessant vind).
> Die dingen inderdaad niet in Shorewall want Shorewall is alleen een
> firewall. Wel biedt Shorewall allerlei mogelijkheden om andere tools te
> integreren. Je hebt wel helemaal gelijk dat we zoiets moeten gaan doen
> hoor, daarover geen discussie van mij :)
> 
>>
>>> Kun je de installatie van CSF op Zimbra afmaken zodat we daar kunnen
>>> zien wat het doet?
>> Draait standaard config.
> 
> 
> Je hebt een lange lijst van features gepaste, maar toen ik even door de
> config keek stond een groot deel daarvan by default uit.
> 
> Toen ik je vroeg om CSF op Zimbra te installeren bedoelde ik uiterard
> niet "pak de zipfile uit" ;) Het gaat me juist om de configuratie van al
> die geavanceerde features. Als we die niet gaan gebruiken hoeven we ook
> niet over te stappen. Kun je de configuratie op Zimbra helemaal afmaken
> en van alle tuning voorzien?
> 
> PS. Heb je git al aan de praat? Deze config in git zetten zou ook wel
> makkelijk zijn, dan kunnen we snel zien wat je hebt aangepast.

More information about the Techteam mailing list