c't

c't-Projekte - Mailinglisten


[Voriger (Datum)] [Nächster (Datum)] [Voriger (Thread)] [Nächster (Thread)]
[Nach Datum][Nach Thread]

AW: [ctsrvdev] Neue Basis Xen 3 ?

Absender: Jens Friedrich
Datum: Do, 24.08.2006 19:43:17
In-reply-to: <Pine.LNX.4.58.0608241842580.26527@xxxxxxxxxxxxxxxxxxxx>


Der fwbuilder hat eine GUI àla Checkpoint !
Siehe http://www.fwbuilder.org/archives/cat_screenshots.html

Die EFW2 läuft mit iptables und dem Standard-2.6.16er Xen3-kernel,
allerdings fehlen die 4 genannten Module (2x_mms, 2x _gre).
Die anderen Iptables module sind ja da.
Da es ein Standard-Kernel ist, sollte man auch diese 4 Module hinzufügen
können, oder?

Shorewall hat keinen eigenen Kernel !!!
-> Läuft also, da es nur eine Script/Config-Engine ist, welche noch ein paar
notwendige weitere Features hat.
  ( = das entspricht praktisch dem legitimen Nachfolger meines FCT-Tools von
1997 )
=>>> Ist aber also auf jedem XEN-Kernel lauffähig!!!
Proxmos schreibt was "von den aktuellesten kerneln" irgendwo, hab's aber
nicht verifiziert.
Das macht aber vom Shorewall-Tool her Sinn...das das zumindest einafch
geht...

Ich hab mal probiert, den SKAS-Patch in den XEN-Kernel zu compilieren... Hat
aber Fehler geworfen, denen ich nicht nachgegangen bin.

IPSEC ist IMO bei fwbuilder und Shorewall nicht dabei (bei Proxmox glaube
ich schon).
-> Dafür würde ich ja die Endian-FW (ohne orig. EFW-Kernel sondern mit dem
Standard-Xen kernel) in einer DomU einsetzen...
Die ganze GUI und Konfigurationsintegration der EFW für alles ausser der
Firewall selber nutzen...
*grins*

Auch z.B Squid hatte letztens Security Issues, welches meine Meinung stärkt,
das auf eine Firewall nix weiteres drauf gehört.
-> Spam/Viren/Squid und das ganze Zeugs kommt bei mir in eine eigene VM

Gruss Jens

> -----Ursprüngliche Nachricht-----
> Von: ctsrvdev-bounces@xxxxxxxxxxxxxxxxx 
> [mailto:ctsrvdev-bounces@xxxxxxxxxxxxxxxxx] Im Auftrag von 
> Peter Siering
> Gesendet: Donnerstag, 24. August 2006 18:57
> An: Entwicklung rund um den c't Server
> Betreff: Re: [ctsrvdev] Neue Basis Xen 3 ?
> 
> On Thu, 24 Aug 2006, Jens Friedrich wrote:
> 
> > ich stelle hiermit den  Antrag, von UML auf XEN 3 umzusteigen :-)
> >
> 
> Angenommen, aber ohne Mitstreiter wird es nicht gehen ;-)
> 
> >
> > Ich persönlich werde evtl. vom IPCOP weg gehen, wahrscheinlich zu 
> > fw-builder.
> >
> 
> fw-builder heisst aber, kein GUI, ipsec zu Fuss ... - oder?
> 
> > Ein anderer Favorit wäre Shorewall (evtl. mit GUI in Form 
> von proxmox 
> > Firewall).
> >
> 
> Was fuer einen Kernel hat Shorewall? Wie einfach sind die 
> noetigen Anpassungen, die bei Xen3 ja momentan immer nur fuer 
> aktuellere Kernel zu haben sind ;-(
> 
> Fuers Protokoll: Ich habe einige Stunden darin investiert, 
> den umlisierten IPCop in einer Xen-DomU an den Start zu 
> bringen. Es scheint aber Probleme mit dem Abfangen der 
> Systemaufrufe durch UML zu geben. Der Startprozess stockte 
> hier und da, etwa der Aufruf von ifconfig. Wenn ich ein 
> strace ergaenzt habe, ging es weiter oder nicht ...
> 
> >
> > Gründe:
> >
> > 1)       Xen 3 ist geil und performant und kann PCI 
> Hardware in DomUs
> > verwenden (z.B. auch meine FritzCard).
> >
> > 2)       Ich möchte die zentrale Firewall alleine betreiben 
> (plain) ohne
> > zusätzlichen Server/Proxy/Scanner Schnickschnack usw.
> >
> > 3)       Den Schnickschnack möchte ich in einer dedizierten 
> VM haben :-)
> > (XEN bietet IMO ggü UML die notwendige Performance für mehr VMs?)
> >
> > D.h. für mich:
> >
> > a.       Die Firewall ist verfügbarer, einfacher und 
> sicherer und läuft
> > sofort unter debian mit kernel 2.6
> >
> > b.       Das Gedöhns mit IPCOP-Kernel oder EFW-Xenisierung 
> entfällt (da EFW
> > ja abgeseh. von den 4 ip_xxx_mms Modulen mit dem Xen-kernel läuft?)
> > > c.       Updates des SchnickSchnacks (Havp, Frox, SIP etc.)
> beeinflussen
> > meine Firewall nicht ? bin damit immer online
> >
> > d.       Ich könnte auch die EndianFirewall als 
> SchnickSchack-Server nutzen,
> > obwohl diese keinen
> > vernünftigen Update-Mechanismus bietet!
> > -> Neue EFW ISO in neuer VM installieren, Konfig übertragen, Fehler 
> > -> beheben
> > und dann erst
> > auf die neue VM umswitchen
> >
> > @Peter: Du arbeitest doch bestimmt an einem update des 
> c?t-server auf 
> > XEN, oder?
> >
> > Für die Allgemeinheit ist IPCOP aber sicher einfacher zu 
> konfigurieren 
> > als der
> >
> > Objekt-orientierte fw-builder ? aber proxmox firewall wäre 
> evtl. eine 
> > Alternative, die auch einfach
> >
> > Über GUI zu konfigurieren ist?
> >
> 
> Im Moment sehe ich in efw2 als interessanteste Alternative, 
> weil es ein paar Features mitbringt, die ich in ipcop 
> vermisse (openvpn und sip proxy), Antivirus und Spam-Filter 
> nicht fehl am Platz sind (Samba & Co.
> muss man ja nicht benutzen) und _vor allem_ Kernel 2.6 zum 
> Einsatz kommt, was den Betrieb unter Xen3 erst moeglich macht.
> 
> Die efw2-Entwickler haben - so schrieben sie neulich auf 
> ihrer Mailingliste - Updates fuer aeltere Versionen bereitgestellt.
> 
> Peter
> 
> _______________________________________________
> ctsrvdev Mailingliste
> ctsrvdev@xxxxxxxxxxxxxxxxx
> http://www.heise.de/bin/newsletter/listinfo/ctsrvdev
>