www.zeroshell.net

[s.borrelli]

Ciao

per lavoro uso spesso firewall CheckPoint...per diletto ho scoperto l'esistenza di zeroshell e, devo dire, che lo trovo assolutamente interessante.

C'è una logica che trovo estremamente comoda e utile di checkpoint e che adorerei vedere esportata in zeroshell: la gestione degli oggetti.

Mi spiego, se riesco, meglio.

Uno stesso indirizzo IP mi capita di doverlo utilizzare in decine di regole diverse, sia di firewall che di NAT. Magari, spesso, è una serie di indirizzi IP ad essere oggetto di una regola, e non solo uno.

Supponiamo di avere gli ip 192.168.1.1, 192.168.1.2, 192.168.1.3 che devono accedere all'ip 10.0.0.1 sulla porta 22 (per l'ssh) e sulla porta 80 (per il webserver)

Con zeroshell faccio 6 regole

192.168.1.1 --> 10.0.0.1:80 OK
192.168.1.1 --> 10.0.0.1:22 OK
192.168.1.2 --> 10.0.0.1:80 OK
192.168.1.2 --> 10.0.0.1:22 OK
192.168.1.3 --> 10.0.0.1:80 OK
192.168.1.3 --> 10.0.0.1:22 OK

Con Checkpoint lavoro diversamente.
- Definisco i 4 oggetti (a cui posso assegnare un nome..ad esempio "Server BackEnd 1" , "...2", "...3" e "Front End").
- Creo 2 gruppi che chiamo, ad esempio, "Server backend" e "Server Front End".

- Inserisco nel gruppo "Server Backend" i 3 oggetti di BE e nel gruppo "Server FrontEnd" il server 10.0.0.1

Creo una regola
server backend --> Server front end --> porte 80 e 22 OK



Questo modo di lavorare l'ho sempre trovato più comodo.
Ovviamente richiede un maggiore lavoro iniziale perchè ogni oggetto va ben definito e inserito nei gruppi opportuni...ma quando si lavora con reti abbastanza grandi lo trovo di una comodità sconcertante.

So che questa logica non va proprio a bracetto con iptables che ragiona esclusivamente per indirizzi IP...ma secondo me se si riuscisse a lavorarci sopra sarebbe una feature davvero davvero interessante.

Mi farebbe molto piacere avere dei pareri...anche un "no non si farà mai" va benissimo....ma mi farebbe piacere discuterne.
Grazie
Ciao