Absender: Jens Friedrich
Datum: Do, 24.08.2006 19:43:17
In-reply-to:
<Pine.LNX.4.58.0608241842580.26527@xxxxxxxxxxxxxxxxxxxx>
Der fwbuilder hat eine GUI àla Checkpoint ! Siehe http://www.fwbuilder.org/archives/cat_screenshots.html Die EFW2 läuft mit iptables und dem Standard-2.6.16er Xen3-kernel, allerdings fehlen die 4 genannten Module (2x_mms, 2x _gre). Die anderen Iptables module sind ja da. Da es ein Standard-Kernel ist, sollte man auch diese 4 Module hinzufügen können, oder? Shorewall hat keinen eigenen Kernel !!! -> Läuft also, da es nur eine Script/Config-Engine ist, welche noch ein paar notwendige weitere Features hat. ( = das entspricht praktisch dem legitimen Nachfolger meines FCT-Tools von 1997 ) =>>> Ist aber also auf jedem XEN-Kernel lauffähig!!! Proxmos schreibt was "von den aktuellesten kerneln" irgendwo, hab's aber nicht verifiziert. Das macht aber vom Shorewall-Tool her Sinn...das das zumindest einafch geht... Ich hab mal probiert, den SKAS-Patch in den XEN-Kernel zu compilieren... Hat aber Fehler geworfen, denen ich nicht nachgegangen bin. IPSEC ist IMO bei fwbuilder und Shorewall nicht dabei (bei Proxmox glaube ich schon). -> Dafür würde ich ja die Endian-FW (ohne orig. EFW-Kernel sondern mit dem Standard-Xen kernel) in einer DomU einsetzen... Die ganze GUI und Konfigurationsintegration der EFW für alles ausser der Firewall selber nutzen... *grins* Auch z.B Squid hatte letztens Security Issues, welches meine Meinung stärkt, das auf eine Firewall nix weiteres drauf gehört. -> Spam/Viren/Squid und das ganze Zeugs kommt bei mir in eine eigene VM Gruss Jens > -----Ursprüngliche Nachricht----- > Von: ctsrvdev-bounces@xxxxxxxxxxxxxxxxx > [mailto:ctsrvdev-bounces@xxxxxxxxxxxxxxxxx] Im Auftrag von > Peter Siering > Gesendet: Donnerstag, 24. August 2006 18:57 > An: Entwicklung rund um den c't Server > Betreff: Re: [ctsrvdev] Neue Basis Xen 3 ? > > On Thu, 24 Aug 2006, Jens Friedrich wrote: > > > ich stelle hiermit den Antrag, von UML auf XEN 3 umzusteigen :-) > > > > Angenommen, aber ohne Mitstreiter wird es nicht gehen ;-) > > > > > Ich persönlich werde evtl. vom IPCOP weg gehen, wahrscheinlich zu > > fw-builder. > > > > fw-builder heisst aber, kein GUI, ipsec zu Fuss ... - oder? > > > Ein anderer Favorit wäre Shorewall (evtl. mit GUI in Form > von proxmox > > Firewall). > > > > Was fuer einen Kernel hat Shorewall? Wie einfach sind die > noetigen Anpassungen, die bei Xen3 ja momentan immer nur fuer > aktuellere Kernel zu haben sind ;-( > > Fuers Protokoll: Ich habe einige Stunden darin investiert, > den umlisierten IPCop in einer Xen-DomU an den Start zu > bringen. Es scheint aber Probleme mit dem Abfangen der > Systemaufrufe durch UML zu geben. Der Startprozess stockte > hier und da, etwa der Aufruf von ifconfig. Wenn ich ein > strace ergaenzt habe, ging es weiter oder nicht ... > > > > > Gründe: > > > > 1) Xen 3 ist geil und performant und kann PCI > Hardware in DomUs > > verwenden (z.B. auch meine FritzCard). > > > > 2) Ich möchte die zentrale Firewall alleine betreiben > (plain) ohne > > zusätzlichen Server/Proxy/Scanner Schnickschnack usw. > > > > 3) Den Schnickschnack möchte ich in einer dedizierten > VM haben :-) > > (XEN bietet IMO ggü UML die notwendige Performance für mehr VMs?) > > > > D.h. für mich: > > > > a. Die Firewall ist verfügbarer, einfacher und > sicherer und läuft > > sofort unter debian mit kernel 2.6 > > > > b. Das Gedöhns mit IPCOP-Kernel oder EFW-Xenisierung > entfällt (da EFW > > ja abgeseh. von den 4 ip_xxx_mms Modulen mit dem Xen-kernel läuft?) > > > c. Updates des SchnickSchnacks (Havp, Frox, SIP etc.) > beeinflussen > > meine Firewall nicht ? bin damit immer online > > > > d. Ich könnte auch die EndianFirewall als > SchnickSchack-Server nutzen, > > obwohl diese keinen > > vernünftigen Update-Mechanismus bietet! > > -> Neue EFW ISO in neuer VM installieren, Konfig übertragen, Fehler > > -> beheben > > und dann erst > > auf die neue VM umswitchen > > > > @Peter: Du arbeitest doch bestimmt an einem update des > c?t-server auf > > XEN, oder? > > > > Für die Allgemeinheit ist IPCOP aber sicher einfacher zu > konfigurieren > > als der > > > > Objekt-orientierte fw-builder ? aber proxmox firewall wäre > evtl. eine > > Alternative, die auch einfach > > > > Über GUI zu konfigurieren ist? > > > > Im Moment sehe ich in efw2 als interessanteste Alternative, > weil es ein paar Features mitbringt, die ich in ipcop > vermisse (openvpn und sip proxy), Antivirus und Spam-Filter > nicht fehl am Platz sind (Samba & Co. > muss man ja nicht benutzen) und _vor allem_ Kernel 2.6 zum > Einsatz kommt, was den Betrieb unter Xen3 erst moeglich macht. > > Die efw2-Entwickler haben - so schrieben sie neulich auf > ihrer Mailingliste - Updates fuer aeltere Versionen bereitgestellt. > > Peter > > _______________________________________________ > ctsrvdev Mailingliste > ctsrvdev@xxxxxxxxxxxxxxxxx > http://www.heise.de/bin/newsletter/listinfo/ctsrvdev >