LINUX.ORG.RU

Вышел Iptadmin 1.0.0 - web-интерфейс для Iptables

 , ,


0

2

Тихо и незаметно был выпущен Iptadmin 1.0.0.

Это простой веб-интерфейс для Iptables, который поддерживает пока только несколько опций. Отличительная особенность - подробные сообщения об ошибках.

Iptadmin запускается в режиме демона. Программа не хранит в системе никакие промежуточные файлы, информация берётся прямо из iptables-save. Правила редактируются с помощью вызова iptables и сохраняются командой /etc/init.d/iptables save. Для таких дистрибутивов, как debian, сохранение правил настраивается дополнительно.

Авторизация осуществляется с помощью PAM. Доступ разрешён пользователю root и любому другому пользователю из группы iptadmin.

Iptadmin не поддерживает работу по https. Чтобы исключить передачу системных паролей по сети в открытом виде, web-интерфейс работает только на локальном сетевом интерфейсе. Для удалённого доступа необходимо настроить работу по https с помощью стороннего web-сервера.

Программа задумывалась в помощь системным администраторам и аутсорсерам. С помощью неё и нескольких простых инструкций неквалифицированный пользователь сможет управлять сетевым экраном в Linux.

>>> Подробности



Проверено: Shaman007 ()
Последнее исправление: cetjs2 (всего исправлений: 3)

> неквалифицированный пользователь сможет управлять сетевым экраном в Linux. /0

По мне так ничего лучше ручной правки конфига нету. ибо всю схему сам отслеживаешь от начала до конца.

MikeDM ★★★★★
()

>С помощью неё и нескольких простых инструкций неквалифицированный пользователь сможет управлять сетевым экраном в Linux.
лучше бы пресеты сделали, имхо

TERRANZ ★★★★
()
Ответ на: комментарий от TERRANZ

Пресеты без низкоуровневой правки правил практически бесполезны.

Когда достаточно хорошо будет проработана правка правил на уровне iptables, тогда можно будет накручивать поверх всякие шаблоны, визарды, анализаторы и т.п. А возможность низкоуровневой работы с iptables всегда можно убрать в раздел advanced.

tranquil
() автор топика
Ответ на: комментарий от tranquil

почему ж?
вон в оффтоп-фаерволах, типа zone-alarm, как раз пресеты, которые можно править руками, а можно просто поставить «средний уровень защиты» и забыть про него
для неквалифицированных пользователей самое - то

TERRANZ ★★★★
()

>>Метки: haskell

wait, what?

anonymous
()
Ответ на: комментарий от TERRANZ

> для неквалифицированных пользователей самое - то

Этих пресетов в инете хоть ж... ешь, нужно и сам нарисуй.
И вообще любой вменяемый дисрибут имеет сразу прессет по дефаульту
минимальный типа.

Вот к примеру в Ф15 есть возможность менять правила на ходу
и всякие штуки задавать типа - открыть самбу на 10 минут.
https://fedoraproject.org/wiki/Features/DynamicFirewall

Это штука Iptadmin 1.0.0 - это поддерживает ?

mx__ ★★★★★
()
Ответ на: комментарий от mx__

Вот к примеру в Ф15 есть возможность менять правила на ходу и всякие штуки задавать типа - открыть самбу на 10 минут. https://fedoraproject.org/wiki/Features/DynamicFirewall

Это штука Iptadmin 1.0.0 - это поддерживает ?

Да, я смотрел на эту штуку, не очень понятно как оно работает и что значит «менять правила на ходу». Внутри iptables и netfilter устроены так, что при любой модификации правил с помощью iptables, все правила копируются в пространство пользователя, модифицируются, затем копируются назад в пространство ядра. Но на tcp соединения это не влияет никак. Самое худшее, что может случиться - потеря нескольких пакетов, которые протокол tcp восстановит.

Возможно, они имеют в виду утилиту system-config-firewall, которая вызывает скрипт /etc/init.d/iptables restart. Во время этого «рестарта» из ядра выгружаются модули iptables и загружаются снова. В этот момент теряется вся информация по установленным соединениям и работа statefull файрволла нарушается.

Если я не ошибаюсь, этот firewalld просто не перезагружает модули при каждой правке. Внутри он всё так же использует iptables. Только навязывает ещё собственную определённую структуру цепочек и правил.

Iptadmin не перезагружает никакие модули, он использует только iptables напрямую и скрипт /etc/init.d/iptables save.

Открыть самбу на 10 минут с помощью Iptadmin нельзя.

tranquil
() автор топика
Ответ на: комментарий от tranquil

> Но на tcp соединения это не влияет никак.

Ну да. Сам то я это дело обычно правлю через
iptables ..... --line-numbers ..... ;)

mx__ ★★★★★
()
Ответ на: комментарий от qbbr

Да. На сайте ведь есть ссылка на исходники.

Что бы вы поменяли в интерфейсе?

Работа над эргономикой ещё предстоит большая. Яркие цвета сэкономлены чтобы потом ими подсвечивать информацию. Графические файлы пока не использованы для упрощения разработки и установки.

tranquil
() автор топика

>Вышел Iptadmin 1.0.0 - web-интерфейс для Iptables

Прочитал как LPTadmin. Долго думал…

YYY
()

>Авторизация осуществляется с помощью PAM.

неслакварьненько

abumbaher
()

если оно работает только локально, и причем через веб- т.е. предполагается что X'ы как бы стоят - нафиг оно надо, если уже есть тонны GUI конфигурялок под KDE/Gnome?

anonymous
()
Ответ на: комментарий от tranquil

> накручивать поверх всякие шаблоны, визарды, анализаторы и т.п.

Вот это было бы очень круто и удобно. А так если домохозяйка(ведь ЦА - неквалифицированные пользователи?) знает что такое цепочка INPUT и протокол tcp, то она и в консоли сможет осуществить все эти простые действия, причем гораздо быстрее чем через вебморду.
Лучшее что можешь сделать - перехватывать и логировать все пакеты, и если они идут от/к какому-то неизвестному хосту от странного процесса - уведомлять пользователя и предлагать забанить этот подозрительный хост.

drull ★☆☆☆
()

> Для удалённого доступа необходимо настроить работу по https с помощью стороннего web-сервера.

Советую включить в комплект поставки готовый веб-сервер, скомпиленный статически и слушающий хттпс, возможно на нестандартном порту, как вебмин. Так будет ощущение целостности продукта - установил и пользуешься.

drull ★☆☆☆
()

помощью неё и нескольких простых инструкций неквалифицированный пользователь сможет управлять сетевым экраном в Linux

Зачем неквалифицированному пользователю управлять фаерволом?

anton_jugatsu ★★★★
()
Ответ на: комментарий от anton_jugatsu

Поддерживаю, UFW для этого дела годится идеально. Там как раз 10 кнопок и никаких конфигов, разберется кто угодно.

anonymous
()

Чувствую, судя по описанию, эта штука пока не очень доделана...

BattleCoder ★★★★★
()

а при чом тут хаскель ?!

mmarkk
()
Ответ на: комментарий от tranquil

неправда, никакие пакеты не теряются. на момент перезагрузки правил вся сеть блокируется в ведре нахрен.

фаерволд на самом деле демон который просто держит список правил в своей башке и время от времени сувает список в ядро если считает что оно надо. А список меняется через некий апи типа дбас

его можно написать на баше с использование iptables-save и iptables-load. (правда без дбаса)

mmarkk
()

Зачем файерволу веб-интерфейс вообще?

Urchin ★★★
()
Ответ на: комментарий от mmarkk

фаерволд на самом деле демон который просто держит список правил в своей башке и время от времени сувает список в ядро если считает что оно надо. А список меняется через некий апи типа дбас

Я так понимаю дбас лежит между этим демоном и GUI к нему. А сам демон взаимодействует с ядром через iptables или через те же вызовы, что и iptables.

Вообще, настраивать сеть по сети это очень плохая идея же. поэтому iptadmin не нужен

Настраивать с помощью iptables это плохая идея. Но в iptadmin имеется механизм защиты от создания правила, запрещающего доступ по сети к веб-интерфейсу.

После каких-либо правок (запрос POST на сервер) сразу же производятся манипуляции с файрволлом. После этого клиенту отдаётся код 303 с редиректом на страницу отображения правила. Если в течении 10 секунд клиент не зашёл туда, то считаем добавленное правило запрещающим работу с интерфейсом, откатываем изменение.

Когда появится поддержка опций, связанных с временем, вот тогда эта защита перестанет быть столь надёжной.

tranquil
() автор топика
Ответ на: комментарий от mmarkk

У меня есть свой скрипт которым я настраиваю iptables по SSH, просто там любой изменение применяется на 1 мин. а потом откатывается автоматом. Применить навсегда можно только уже сохраненный прессет. Вот и всех делов. А то - да как то настраивал по ssh ... и пришлось с дивана вставать идти в кабинет (хорошо что дома настраивал).

Suntechnic ★★★★★
()
Ответ на: комментарий от Guest30

Нет. Но хотя бы с принтерами путаницы не получается.

wbrer ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.